sou 2023 100

Till statsrådet och chefen för Finansdepartementet

Regeringen beslutade den 3 november 2021 att ge en särskild utred- are i uppdrag att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ända- målsenliga regler som är anpassade efter dagens behov. Utredaren fick också i uppdrag att se över nämnda myndigheters förutsättningar att använda dataanalyser och urval som verktyg för en effektivare kontroll- verksamhet (dir 2021:104). Genom tilläggsdirektiv som beslutades av regeringen den 16 februari 2023 förlängdes utredningstiden (dir. 2023:24).

Den 1 december 2021 förordnades kammarrättslagmannen Peder Liljeqvist som särskild utredare.

Som experter att biträda utredningen förordnades från och med den 20 januari 2022 numera kanslirådet Alf Engsbråten, Finansdepar- tementet, rättssakkunniga Philip Forsberg, Justitiedepartementet, rättsliga experten Anders Hamlin, Skatteverket, verksjuristen Ann- Kristin Hansson, Tullverket, juristen Nina Hubendick, Integritets- skyddsmyndigheten, juristen Petra Kanon, Myndigheten för digital förvaltning, advokaten Caroline Olstedt Carlström, Cirio Advokat- byrå AB, numera kanslirådet Jessica Sjöberg, Finansdepartementet, kanslirådet Annica Svedberg, Finansdepartementet, numera kansli- rådet Richard Vesterberg, numera Finansdepartementet, enhets- chefen Jens Västberg, Kronofogdemyndigheten och utredaren Anders Åkerfeldt, Riksarkivet. Anders Åkerfeldt entledigades som expert den 29 mars 2022 och i hans ställe förordnades från och med samma dag utredaren Morgan Nordberg, Riksarkivet, som expert i utred- ningen. Den 7 september 2022 entledigades Jens Västberg från upp- draget att vara expert med verkan från och med den 4 oktober 2022 och i hans ställe förordnades verksjuristen Sofie Wildiér, Krono-

fogdemyndigheten, som expert i utredningen från och med den 5 oktober 2022. Den 23 november 2022 entledigades Alf Engsbråten, Nina Hubendick och Petra Kanon från uppdraget att vara experter med verkan från och med den 1 december 2022. Samma dag förord- nades dataskyddsombudet Erika Lidén, Myndigheten för digital för- valtning, att vara expert i utredningen från och med den 1 december 2022. Den 2 maj 2023 förordnades Alf Engsbråten att åter vara expert i utredningen från och med den 9 maj 2023.

Som sekreterare i utredningen anställdes kammarrättsassessorn Ulrika Matsson från och med den 18 december 2021 och hovrätts- assessorn Christina Söderbäck Hedén från och med den 1 januari 2022. Christina Söderbäck Hedén avslutade sitt arbete i utredningen den 23 oktober 2022. Från och med den 1 september 2022 anställdes förvaltningsrättsfiskalen Emma Persson som sekreterare.

Arbetet har bedrivits i nära samråd med experterna och betänk- andet är därför skrivet med användande av vi-form, även om det inte har funnits fullständig samsyn i alla delar.

Utredningen har antagit namnet Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden (Fi 2021:11) och överlämnar härmed betänkandet Framtidens dataskydd – Vid Skatteverket, Tullverket och Kronofogden (SOU 2023:100). Vårt arbete är i och med detta slutfört.

Stockholm i december 2023

Peder Liljeqvist

/Ulrika Matsson

Emma Persson

Innehåll

SOU 2023:100

12.4.8Vissa gallringsbestämmelser i skatteförfarandeförordningen och

		fastighetstaxeringsförordningen ska tas bort	...... 886
	12.4.9 Skyddet för den personliga integriteten ..............		891
Del 2
13	Ny reglering av uppgiftslämnande..............................		895
13.1	Inledning ...............................................................................		895
13.2	Utlämnande av uppgifter .....................................................		896
	13.2.1	Allmänt om informationsutbyte ..........................	896
	13.2.2	Uppgiftslämnande till myndigheter.....................	897
	13.2.3	Uppgiftslämnande till enskilda ............................	901

13.2.4Uppgiftslämnande och den allmänna

dataskyddsregleringen ..........................................	903
13.3 Bestämmelser om uppgiftslämnande
i registerförfattningarna .......................................................	906
13.3.1 Bakgrund till nuvarande reglering ........................	906

13.3.2Uppgiftslämnande till andra myndigheter

genom direktåtkomst............................................

908

13.3.3Uppgiftslämnande från Skatteverkets

beskattningsverksamhet .......................................

912

13.3.4Uppgiftslämnande från Skatteverkets

folkbokföringsverksamhet ...................................

916

13.3.5Uppgiftslämnande från Tullverkets

	verksamhet.............................................................	918
13.3.6	Uppgiftslämnande från
	Kronofogdemyndighetens verksamhet................	921
13.4 Generella överväganden och förslag....................................		922
13.4.1	Nuvarande reglering är inte väl avvägd ................	922

13.4.2Omfattningen av informationsutbytet bör

som utgångspunkt inte ändras i sak .....................

929

13.4.3Bestämmelser om uppgiftsskyldighet bör inte

finnas i de nya dataskyddsförfattningarna ...........

932

13.4.4 Sekretessbrytande bestämmelser ska inte
ange att utlämnandet ska ske på begäran av
den mottagande myndigheten ..............................	935

SOU 2023:100

Innehåll

13.4.5Vilka kategorier av uppgifter som avses ska i de nya bestämmelserna utgå från hur de

definieras i den befintliga regleringen...................

942

13.4.6Bestämmelser om uppgiftslämnande bör i så hög utsträckning som möjligt utformas på ett

enhetligt och flexibelt sätt.....................................	946
13.5 Skatteverkets beskattningsverksamhet................................	948

13.5.1Utlämnande av uppgifter från

	beskattningsverksamheten ska regleras i en ny
	förordning ..............................................................	948
13.5.2	Utlämnande till enskilda .......................................	953
13.5.3	Utlämnande till SPAR-verksamheten ..................	956
13.5.4	Visst utlämnande till
	Kronofogdemyndigheten......................................	957

13.5.5Utlämnande till Kronofogdemyndigheten

	för tillsyn över näringsförbud ...............................	967
13.5.6	Visst utlämnande till Tullverket ...........................	973
13.5.7	Upplysningsbestämmelser ....................................	977
13.6 Skatteverkets folkbokföringsverksamhet............................		978

13.6.1Utlämnande av uppgifter från folkbokföringsverksamheten ska regleras

i en ny förordning..................................................

978

13.6.2Utlämnande av uppgifter till

SPAR-verksamheten .............................................	984
13.7 Tullverket ..............................................................................	985

13.7.1Utlämnande av uppgifter från Tullverket

	ska regleras i en ny förordning..............................	985
13.7.2	Utlämnande till enskilda .......................................	990
13.7.3	Visst utlämnande till Skatteverket........................	992
13.8 Kronofogdemyndigheten .....................................................		993

13.8.1Utlämnande av uppgifter från Kronofogdemyndigheten ska regleras i en ny

förordning ..............................................................	993
13.8.2 Utlämnande till Skatteverket ................................	997

InnehållSOU 2023:100

	13.8.3	Utlämnande till Tullverket ...................................	999
	13.8.4	Utlämnande till Säkerhetspolisen ........................	999
13.9	Skyddet för den personliga integriteten.............................		1000
14	Dataanalyser och urval ...........................................		1009
14.1	Inledning ..............................................................................		1009
14.2	Myndigheternas kontrollverksamhet .................................		1011
	14.2.1 Något om myndigheternas uppdrag
		och uppgifter ........................................................	1011
	14.2.2 Allmänt om myndigheternas utrednings-
		och kontrollverksamhet.......................................	1014
	14.2.3 Myndigheternas specifika utrednings- och
		kontrollverksamhet..............................................	1015
	14.2.4	Gränsdragningen mellan kontrollverksamhet
		och brottsbekämpning .........................................	1031
	14.2.5 Behovet av en effektiv kontrollverksamhet........		1033
14.3	Vad är dataanalyser och urval?............................................		1034
	14.3.1	En övergripande beskrivning...............................	1034
	14.3.2 Något om AI och maskininlärning .....................		1035
	14.3.3	Skatteverkets, Tullverkets och
		Kronofogdemyndighetens arbete
		med dataanalyser och urval i dag .........................	1037
	14.3.4 Dataanalyser och urval i andra sammanhang......		1042

14.3.5Utgör dataanalyser och urval

ärendehandläggning eller faktiskt handlande?....1045

14.4	Myndigheternas behov ........................................................	1046
	14.4.1 Behovet av att använda dataanalyser och urval
	som verktyg för kontroll .....................................	1046
	14.4.2 Uppgifter myndigheterna behöver behandla
	för att göra dataanalyser och urval ......................	1055
14.5	Nuvarande möjligheter att behandla personuppgifter
	för att göra dataanalyser och urval......................................	1063
14.6	Utökade möjligheter att göra dataanalyser och urval........	1071
	14.6.1 Myndigheterna bör ges utökade möjligheter
	att göra dataanalyser och urval ............................	1071

SOU 2023:100	Innehåll
14.6.2 Närmare om myndigheternas dataanalyser
och urval...............................................................	1080
14.7 Rättslig grund för behandling av personuppgifter
för att göra dataanalyser och urval .....................................	1086
14.8 Nya särskilda ändamålsbestämmelser
som avser dataanalyser och urval........................................	1095
14.9 Reglering av vilka uppgifter som behövs
för dataanalyser och urval ...................................................	1105
14.9.1 Utgångspunkter för bedömningen av vilka
uppgifter som behövs och hur det kan regleras. 1105
14.9.2 En ny särskild reglering av vilka
personuppgifter som får behandlas för
dataanalyser och urval .........................................	1107
14.9.3 Våra förslag i förhållande till bestämmelser om

användningsbegränsningar i andra författningar .. 1130

14.9.4Särskilt om uppgifter som lämnas från

	betaltjänstleverantörer till Skatteverket .............	1131
14.10 Vissa uppgiftsskyldigheter ska utökas...............................		1135
14.10.1 Gällande rätt och myndigheternas behov ..........		1135
14.10.2 En utökad uppgiftsskyldighet gentemot
	Skatteverket .........................................................	1138
14.10.3 En utökad uppgiftsskyldighet gentemot
	Tullverket .............................................................	1146
14.11 Särskilda skydds- och säkerhetsåtgärder ...........................		1155
14.11.1 Något om vilka skyddsåtgärder som kommer
	att vara tillämpliga vid dataanalyser och urval....	1155
14.11.2	Proportionalitetsprincipen..................................	1157
14.11.3	Krav på dokumentation.......................................	1162

14.11.4Längsta tid som personuppgifter får behandlas. 1167

14.11.5En bestämmelse om särskilda rutiner vid

dataanalyser och urval bör tas in i förordning ... 1175

14.11.6Särskilt om sökbegrepp vid Skatteverkets dataanalyser och urval inom

folkbokföringsverksamheten ..............................	1176
14.12 Samlad dataskydds- och integritetsbedömning.................	1177

Innehåll	SOU 2023:100
15	Offentlighet och sekretessfrågor ..............................	1195
15.1	Inledning ..............................................................................	1195
15.2	Sekretess för uppgifter som ingår i vissa
	sammanställningar i Skatteverkets
	folkbokföringsverksamhet ..................................................	1196
	15.2.1 Uppgifter som ingår i vissa sammanställningar
	i Skatteverkets folkbokföringsverksamhet
	ska omfattas av sekretess .....................................	1196
	15.2.2 Sekretessen ska gälla i högst 70 år .......................	1206
	15.2.3 Tystnadsplikten ska ha företräde framför
	meddelarfriheten ..................................................	1207
15.3	Sekretess till skydd för enskildas intressen
	vid dataanalyser och urval ...................................................	1208
	15.3.1 Uppgifter om enskildas personliga eller
	ekonomiska förhållanden ska omfattas av
	sekretess................................................................	1208
	15.3.2 Sekretessen ska gälla i högst 20 eller 50 år..........	1232
	15.3.3 Tystnadsplikten ska ha företräde framför
	meddelarfriheten ..................................................	1234
	15.3.4 Ändringar av vissa ytterligare bestämmelser
	i offentlighets- och sekretesslagen med
	anledning av våra förslag ......................................	1236
15.4	Sekretess till skydd för vissa allmänna intressen vid
	dataanalyser och urval .........................................................	1242
15.5	Ändrade sekretessregler med anledning
	av att databasregleringen upphävs.......................................	1252
	15.5.1 Gällande rätt och bakgrund
	till den s.k. databassekretessen ............................	1252
	15.5.2 Utvecklingen efter införandet av
	databassekretessen ...............................................	1261
	15.5.3 Ändringar av den sekretess som i dag avser
	förande av eller uttag ur databaser.......................	1265

SOU 2023:100Innehåll

16	Statens personadressregister ..................................		1277
16.1	Inledning..............................................................................		1277
16.2	SPAR-verksamheten...........................................................		1278
	16.2.1	Allmänt om SPAR ...............................................	1278
	16.2.2	Historik................................................................	1280
	16.2.3 Skatteverkets ansvar för SPAR ...........................		1282
	16.2.4	SPAR-nämnden ...................................................	1284
16.3	Nuvarande reglering av behandling av personuppgifter i
	SPAR....................................................................................		1285
	16.3.1	Bakgrund ..............................................................	1285
	16.3.2	Regleringen av SPAR ..........................................	1287
16.4	Överväganden och förslag ..................................................		1292
	16.4.1	Verksamhetens särprägel.....................................	1292
	16.4.2 En ny lag och förordning ....................................		1293

16.4.3Vissa bestämmelser i SPAR-lagen ska föras över till den nya lagen med endast

redaktionella ändringar........................................

1298

16.4.4Förtydligande av syftet med och ändamålen

för SPAR ..............................................................	1304
16.4.5 Lagens dubbla syften ska tydliggöras.................	1306

16.4.6Ansvarig myndighet och personuppgiftsansvar 1307

16.4.7	Misstanke om oriktig uppgift .............................	1310
16.4.8	Längsta tid för behandling ..................................	1312

16.4.9Flera bestämmelser i SPAR-förordningen ska föras övertill den nya förordningen

	med enbart redaktionella ändringar....................	1317
16.4.10	Skatteverket får anlita ett personuppgiftsbiträde..	1320
16.4.11	Alla begränsningar av utlämnandet från SPAR
	ska regleras i den nya förordningen....................	1322

16.4.12Myndigheters tillgång till uppgifter från SPAR ska anpassas till myndigheters tillgång till

uppgifter från Navet ............................................	1324
16.4.13 Skyddet för den personliga integriteten.............	1331

InnehållSOU 2023:100

17	Skatteverkets äktenskapsregister- och
	bouppteckningsverksamheter ..................................		1335
17.1	Inledning ..............................................................................		1335
17.2	Skatteverkets äktenskapsregister- och
	bouppteckningsverksamheter .............................................		1336
	17.2.1	Övergripande om verksamheterna......................	1336
	17.2.2	Bouppteckningsverksamheten ............................	1337
	17.2.3	Äktenskapsregisterverksamheten .......................	1340
17.3	Nuvarande reglering av behandling av personuppgifter....		1342
	17.3.1	Bakgrund...............................................................	1342
	17.3.2	Lagen och förordningen om behandling
		av personuppgifter i Skatteverkets
		äktenskapsregister- och
		bouppteckningsverksamheter..............................	1346
17.4	Överväganden och förslag...................................................		1348
	17.4.1	En ny lag om dataskydd i Skatteverkets
		äktenskapsregister- och
		bouppteckningsverksamheter..............................	1348
	17.4.2	Vissa bestämmelser kan flyttas till den nya
		lagen med endast redaktionella ändringar...........	1351
	17.4.3	Uppgifter om avlidna ska inte omfattas
		av lagens tillämpningsområde..............................	1352
	17.4.4	Ändamålsbestämmelserna ska utformas
		i överensstämmelse med övrig
		dataskyddsreglering .............................................	1354
	17.4.5	Känsliga personuppgifter.....................................	1357
	17.4.6	Sökbegränsningar .................................................	1360
	17.4.7	Tillgången till personuppgifter ska begränsas ....	1365
	17.4.8	Elektroniskt utlämnande .....................................	1367
	17.4.9	Längsta tid för behandling...................................	1370
	17.4.10	En ny förordning..................................................	1373
	17.4.11	Skyddet för den personliga integriteten .............	1377
18	Ikraftträdande- och övergångsbestämmelser .............		1385

SOU 2023:100Innehåll

19	Konsekvenser........................................................	1391
19.1	Inledning..............................................................................	1391
19.2	Allmänna konsekvenser......................................................	1392
19.3	Konsekvenser för den personliga integriteten ..................	1398
19.4	Ekonomiska konsekvenser för det allmänna.....................	1402
19.5	Övriga konsekvenser enligt kommittéförordningen..........	1409


20	Författningskommentar ..........................................		1413
20.1	Förslaget till beskattningsdatalag.......................................		1413
20.2	Förslaget till folkbokföringsdatalag...................................		1430
20.3	Förslaget till tulldatalag ......................................................		1446
20.4	Förslaget till kronofogdedatalag ........................................		1462
20.5	Förslaget till lag om det statliga personadressregistret ....		1482
20.6	Förslaget till lag om dataskydd i Skatteverkets
	äktenskapsregister- och bouppteckningsverksamheter....		1489
20.7	Förslaget till lag om ändring i kreditupplysningslagen
	(1973:1173)..........................................................................		1497
20.8	Förslaget till lag om ändring i folkbokföringslagen
	(1991:481)............................................................................		1498
20.9	Förslaget till lag om ändring i offentlighets-
	och sekretesslagen (2009:400)............................................		1502
20.10	Förslaget till lag om ändring i lagen (2022:1697)
	om samordningsnummer....................................................		1519
20.11	Övriga lagförslag .................................................................		1522
Bilagor
Bilaga 1		Kommittédirektiv 2021:104 .......................................	1525
Bilaga 2		Kommittédirektiv 2023:24 .........................................	1539

Sammanfattning

Vårt uppdrag

Vi har haft i uppdrag att göra en översyn av Skatteverkets, Tull- verkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Reglerna bör vara flexibla och anpassade efter såväl den tekniska ut- vecklingen som den EU-rättsliga dataskyddsregleringen. I uppdraget har även ingått att överväga om det finns utrymme för minskad de- taljreglering jämfört med i dag liksom att göra en översyn av register- författningarnas struktur och terminologi.

En annan del av vårt uppdrag har bestått i att se över förutsätt- ningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. En utgångspunkt har varit att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med dataanalyser och urval. Reglerna behöver dessutom vara teknikneutrala och flex- ibla samt ge myndigheterna möjlighet att utveckla och anpassa arbe- tet med analyser och urval efter utvecklingen i samhället i övrigt.

Våra utgångspunkter för en modern och ändamålsenlig reglering

En utgångspunkt för vårt arbete har varit att den kompletterande dataskyddsregleringen ska omfatta de bestämmelser som krävs för att den ska kunna utgöra ett adekvat skydd för enskildas personliga integritet. I den kompletterande dataskyddsregleringen bör myndig- heterna därför ges möjlighet att utföra personuppgiftsbehandling en- dast i den utsträckning det är proportionerligt i förhållande till en-

Sammanfattning

SOU 2023:100

skildas berättigade intresse av skydd för information om sina person- liga förhållanden.

Inom EU finns en generell reglering av personuppgiftsbehandling i EU:s dataskyddsförordning.1 Förordningen kompletteras i svensk rätt på ett generellt plan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).

Dataskyddsförordningen är i dag den primära dataskyddsrättsliga rättskällan och bestämmelserna i förordningen ska tillämpas av myn- digheterna på precis samma sätt som om de fanns i en svensk författ- ning. Även om dataskyddsförordningen både förutsätter och medger nationella bestämmelser som kompletterar eller föreskriver undan- tag från förordningens regler, finns det inte längre samma behov som tidigare av att i sektorsspecifik dataskyddsreglering begränsa eller tyd- liggöra vilken personuppgiftsbehandling som får förekomma inom en myndighet i syfte att upprätthålla ett adekvat integritetsskydd. Förordningen syftar till att skapa en enhetlig och likvärdig nivå för integritetsskyddet inom unionen och den kompletterande regleringen bör endast avvika från vad som annars hade gällt enligt dataskydds- förordningen om det framstår som nödvändigt för att skapa ett ade- kvat integritetsskydd. Regeringens överväganden i samband med data- skyddslagens tillkomst kan ligga till grund för bedömningen av behovet av kompletterande reglering.

Mot bakgrund av den snabba tekniska utvecklingen bör de kom- pletterande bestämmelserna vara teknikneutrala i så hög utsträckning som möjligt. I det ligger inte enbart frågan om vilken terminologi som används, utan målsättningen om teknikneutralitet bör tillåtas påverka även vilka förfaranden som över huvud taget ska regleras. Vidare bör enbart de förhållanden som behöver regleras för att åstadkomma ett adekvat integritetsskydd regleras i kompletterande dataskyddsregler- ing. De kompletterande författningarna bör inte omfatta bestäm- melser vars syfte är att reglera andra förhållanden än dataskydd. Dubbelreglering bör undvikas. Kompletterande dataskyddsreglering bör dessutom utformas på ett enhetligt sätt i förhållande till annan liknande lagstiftning.

1Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

SOU 2023:100

Sammanfattning

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

För Skatteverket, Tullverket och Kronofogdemyndigheten finns i svensk rätt särskilda registerförfattningar som kompletterar EU:s dataskyddsförordning och dataskyddslagen.

Vi föreslår att följande registerlagar, med tillhörande förordningar, som i dag tillämpas i Skatteverkets, Tullverkets och Kronofogde- myndighetens verksamheter ska upphävas:

•lagen (1998:527) om det statliga personadressregistret

•lagen (2001:181) om behandling av uppgifter i Skatteverkets be- skattningsverksamhet

•lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet

•lagen (2001:184) om behandling av uppgifter i Kronofogdemyndig- hetens verksamhet

•lagen (2001:185) om behandling av uppgifter i Tullverkets verk- samhet

•lagen (2015:898) om behandling av personuppgifter i Skatte- verkets äktenskapsregister- och bouppteckningsverksamheter.

Vi föreslår också att dessa ovan angivna lagar ska ersättas av nya myndighetsspecifika lagar om dataskydd:

•lag om det statliga personadressregistret

•beskattningsdatalag

•folkbokföringsdatalag

•kronofogdedatalag

•tulldatalag

•lag om dataskydd i Skatteverkets äktenskapsregister- och boupp- teckningsverksamheter.

Lagarnas övergripande syften föreslås vara att ge berörda myndig- heter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet

Sammanfattning

SOU 2023:100

kränks vid sådan behandling. Vi föreslår även att lagarna komplet- teras med tillhörande förordningar.

Nedan i sammanfattningen behandlas våra förslag till lag om det statliga personadressregistret och lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter separat under särskilda rubriker.

Lagarnas tillämpningsområden och förhållande till annan reglering

Vi föreslår att beskattningsdatalagen, folkbokföringsdatalagen, tull- datalagen och kronfogdedatalagen endast ska gälla vid helt eller del- vis automatiserad behandling av personuppgifter eller om person- uppgifterna ingår i eller kommer att ingå i ett register. Lagarna ska inte omfatta behandling av uppgifter i administrativ verksamhet.

Vidare bör lagarna inte omfatta behandling av uppgifter om juri- diska personer. Ett undantag görs dock i kronofogdedatalagen som

viföreslår ska vara tillämplig på uppgifter om juridiska personer i fråga om särskilda bestämmelser om rättelse m.m. och överklagande i den lagen, mer om det nedan. Vi gör också bedömningen att de nya lagarna inte bör omfatta behandling av uppgifter om avlidna personer. Ut- över detta ska bestämmelserna i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen inte gälla vid behandling av personuppgif- ter i Europeiska unionens gemensamma informationssystem.

De nya lagarna bör enligt vår mening ha samma materiella tillämp- ningsområden som de nu gällande databaslagarna. Beskattningsdata- lagen föreslås därför gälla vid behandling av personuppgifter i Skatte- verkets beskattningsverksamhet. Vad som avses med Skatteverkets beskattningsverksamhet ska framgå av lagen och rör bl.a. faststäl- lande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Beskattningsdatalagen ska också gälla i viss annan verksamhet inom Skatteverket.

Folkbokföringsdatalagen föreslås gälla vid behandling av person- uppgifter i Skatteverkets folkbokföringsverksamhet. Vad som avses med folkbokföringsverksamhet ska framgå av folkbokföringsdata- lagen. Det handlar bl.a. om myndighetens verksamhet med folkbok- föring och samordningsnummer.

SOU 2023:100

Sammanfattning

Tulldatalagen föreslås gälla vid behandling av personuppgifter i de delar av Tullverkets verksamhet som anges i lagen. Det rör bl.a. verk- samhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter.

Kronofogdedatalagen föreslås gälla vid behandling av personuppgif- ter i de delar av Kronofogdemyndighetens verksamhet som anges i lagen. Det handlar bl.a. om verksamhet med utsökning och indriv- ning, skuldsanering och F-skuldsanering, betalningsföreläggande och handräckning samt tillsyn i konkurs och över rekonstruktörer. Bestäm- melserna i kronofogdedatalagen ska dock inte gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuld- saneringar enligt lagen (2017:473) med kompletterande bestämmel- ser till 2015 års insolvensförordning.

I likhet med vad som gäller för databaslagarna i dag föreslås be- stämmelserna i lagarna komplettera EU:s dataskyddsförordning. Där- utöver ska dataskyddslagen gälla vid behandlingen av personuppgifter enligt de nya lagarna, om inte annat följer av dessa eller föreskrifter som har meddelats i anslutning till de nya lagarna.

Myndigheternas personuppgiftsansvar

Skatteverket, Tullverket och Kronofogdemyndigheten föreslås vara ensamt personuppgiftsansvariga för den behandling av personuppgif- ter som myndigheterna utför enligt de lagar som ska tillämpas i respek- tive myndighets verksamheter och föreskrifter som har meddelats i anslutning till de nya lagarna. Det motsvarar i sak dagens reglering, med undantag för vissa delar av bestämmelsen om personuppgifts- ansvar i lagen om behandling av personuppgifter i Skatteverkets folk- bokföringsverksamhet.

Mindre detaljerade ändamålsbestämmelser

Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oför- enligt med dessa ändamål. Det framgår av artikel 5.1 b i EU:s data- skyddsförordning. Det är mot det särskilda, uttryckligt angivna och berättigade ändamålet som ett flertal av de grundläggande principerna i förordningen ska prövas och iakttas. Ändamålet med behandlingen

Sammanfattning

SOU 2023:100

avgör vilka uppgifter som får behandlas, hur länge de får behandlas och för vilka tillkommande ändamål de får vidarebehandlas.

De ändamål som framgår av de befintliga registerförfattningarnas ändamålsbestämmelser går inte att likställa med sådana särskilda, ut- tryckligt angivna och berättigade ändamål som dataskyddsförord- ningen kräver ska finnas för varje behandling. De är i stället snarast att betrakta som en yttersta ram för vilken behandling som är tillåten och de omfattar all personuppgiftsbehandling inom författningarnas materiella tillämpningsområden. Vi föreslår en ny bred ändamåls- bestämmelse i respektive myndighetsspecifik dataskyddslag som inne- bär att Skatteverket, Tullverket och Kronofogdemyndigheten även i fortsättningen ska få behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom de nya datalagarnas respektive materiella tillämpningsområden. Det innebär att samtliga ändamål som framgår av dagens reglering omfattas av den nya bestämmelsen. Även vissa ändamål som inte uttryckligen regleras i dagens ändamålsbestäm- melser kommer att omfattas av den nya och brett formulerade ända- målsbestämmelsen, exempelvis utveckling och testning av befintliga eller nya it-system. Ansvaret för att formulera särskilda, uttryckligt angivna och berättigade ändamål i det enskilda fallet vilar på den personuppgiftsansvariga myndigheten i enlighet med artikel 5.2 i data- skyddsförordningen.

Den föreslagna bestämmelse som avser behandling av person- uppgifter för att utföra verksamhet inom respektive lags materiella tillämpningsområde är mindre detaljerad än dagens ändamålsbestäm- melser. Bestämmelsen motsvarar s.k. primära ändamål och föreslås kompletteras av en upplysningsbestämmelse om regeringens möjlig- het att meddela föreskrifter om ändamålen med behandlingen. Vi föreslår även en bestämmelse som avser s.k. sekundära ändamål och anger att uppgifter som behandlas med stöd av den primära ända- målsbestämmelsen får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

De primära och sekundära ändamålsbestämmelserna föreslås kom- pletteras av en bestämmelse som motsvarar den s.k. finalitetsprinci- pen eller principen om ändamålsbegränsning som framgår av arti- kel 5.1 b i dataskyddsförordningen. Av bestämmelsen ska framgå att uppgifter som behandlas i enlighet med den primära ändamålsbestäm- melsen får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ända-

SOU 2023:100

Sammanfattning

mål för vilket uppgifterna samlades in. En sådan bestämmelse gör det tydligare för den registrerade att uppgifterna kan behandlas även för andra ändamål än de som uppgifterna samlats in för.

Databasregleringen ska upphävas

I dagens registerförfattningar finns en särskild reglering av myndig- heternas uppgiftssamlingar som används gemensamt i verksamheten, s.k. databaser. Databas avser i sammanhanget inte en tekniskt av- gränsad databas utan är ett juridiskt begrepp.

Databasregleringen omfattar bl.a. särskilda bestämmelser om vilka uppgiftskategorier som får behandlas, vilka olika former av elektro- niskt utlämnande som får användas vid utlämnande samt bestämmelser om gallring och bevarande. Bestämmelser om vilka personuppgifter som får användas gemensamt inom verksamheterna är utmärkande för databasregleringen.

Regleringen kom till under en period då digitaliseringen av förvalt- ningen endast var påbörjad, och utgår från väsentligt andra tekniska och rättsliga förutsättningar för myndigheters personuppgiftsbehand- ling än dagens. Vid tidpunkten för databasregleringens tillkomst ut- gjorde digital informationshantering ett komplement till den analoga hanteringen. I dag är myndigheternas digitala informationshantering i stället fullt integrerad i myndigheternas verksamhet och utgör inte längre ett komplement, utan omfattar all informationshantering. Det innebär att databasregleringen har fått en annan funktion än avsett. Regleringen begränsar i dag inte enbart vilka uppgifter som får göras gemensamt tillgängliga utan också vilka uppgiftskategorier myndig- heterna över huvud taget får behandla, om det inte är möjligt att ut- föra behandlingen utanför databasen.

Vi bedömer att EU:s dataskyddsförordning, som ställer krav på bl.a. tekniska och organisatoriska säkerhetsåtgärder och åtkomst- begränsning vid personuppgiftsbehandling inom myndigheterna, utgör en tillräcklig reglering för att säkerställa att uppgifter som är gemensamt tillgängliga får ett adekvat skydd. Utifrån den allmänna dataskyddsregleringeringen och rådande tekniska förutsättningar för personuppgiftsbehandling finns det enligt vår bedömning inte något behov av att för Skatteverket, Tullverket och Kronofogdemyndig- heten införa särskilda regler för sådan behandling av personuppgifter

Sammanfattning

SOU 2023:100

som innebär att fler än ett fåtal personer har tillgång till uppgifterna. Enligt vår bedömning bör den särskilda databasregleringen därför inte ha någon motsvarighet i de nya dataskyddslagarna. Inte heller i övrigt bör det införas någon generell begränsning av vilka kategorier av personuppgifter som myndigheterna får behandla i syfte att ut- föra sin verksamhet.

För Skatteverkets folkbokföringsverksamhet finns det dock skäl att i viss utsträckning föra över regleringen av vilka uppgifter om en person som i dag får behandlas i folkbokföringsdatabasen till andra författningar. Folkbokföring innebär nämligen fastställande av en persons bosättning samt registrering av vissa uppgifter om personen. Vilka uppgifter som får registreras vid folkbokföring framgår i dag av regleringen av vilka uppgifter som får behandlas i folkbokförings- databasen. Vi föreslår i stället att vilka uppgifter som får registreras om en person vid folkbokföring ska framgå av en ny materiell bestäm- melse i folkbokföringslagen (1991:481). Den nya bestämmelsen före- slås i sak motsvara regleringen av vilka uppgifter som i dag får behand- las i folkbokföringsdatabasen, i den utsträckning de uppgifterna är relevanta vid folkbokföring.

Skatteverket registrerar också vissa uppgifter om personer som tilldelas ett samordningsnummer i enlighet med bestämmelserna om vilka uppgifter som får behandlas i folkbokföringsdatabasen. Vi före- slår därför att det även införs en ny bestämmelse i lagen (2022:1697) om samordningsnummer som i relevanta delar motsvarar dagens regler- ing av vilka uppgifter som får behandlas i folkbokföringsdatabasen. Databasregleringens upphävande medför även vissa andra föränd- ringar i de nyss nämna lagarna.

Känsliga personuppgifter, uppgifter om lagöverträdelser samt person- och samordningsnummer

Med känsliga personuppgifter avses enligt EU:s dataskyddsförord- ning uppgifter som avslöjar ras eller etniskt ursprung, politiska åsik- ter, religiös eller filosofisk övertygelse eller medlemskap i fackfören- ing och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller upp- gifter om en fysisk persons sexualliv eller sexuella läggning. Behand- ling av sådana uppgifter är som utgångspunkt förbjuden. Undantag

SOU 2023:100

Sammanfattning

kan dock göras om behandlingen är nödvändig av hänsyn till ett vik- tigt allmänt intresse på grundval av unionsrätten eller medlems- staternas nationella rätt, och vissa ytterligare förutsättningar är upp- fyllda. Skatteverket, Tullverket och Kronofogdemyndigheten har behov av att kunna behandla sådana uppgifter inom sina respektive verksamheter när så är relevant till följd av materiell verksamhets- reglering. Vi föreslår att myndigheterna ska få behandla känsliga per- sonuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 i dataskyddsförordningen får enligt förordningen utföras under kontroll av en myndighet. Skatteverket, Tullverket och Kronofogdemyndigheten har i vissa fall behov av att kunna behandla sådana personuppgifter. Vi bedömer att den behandling av person- uppgifter om fällande domar i brottmål och lagöverträdelser som inne- fattar brott som Skatteverket, Tullverket och Kronofogdemyndig- heten behöver utföra inte bör begränsas eller på annat sätt särregleras i de nya lagarna.

Vidare gör vi bedömningen att det inte behöver finnas särskilda bestämmelser om behandling av personnummer och samordnings- nummer. Sådana bestämmelser finns i dataskyddslagen.

Sökbegränsningar

Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och sök- begränsningar kan vara ett viktigt och ändamålsenligt sätt att minska dessa risker. Vi föreslår att det i beskattningsdatalagen, folkbokför- ingsdatalagen, tulldatalagen och kronofogdedatalagen ska föreskrivas att det som huvudregel är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. För- budet ska dock inte omfatta sökningar som sker i syfte att få fram ett urval av personer grundat på vissa kategorier av känsliga personuppgif- ter, om sökningen är nödvändig för att myndigheterna ska kunna utföra en uppgift i verksamhet som omfattas av respektive föreslagen lag. Vilka sökningar som ska undantas från sökförbudet måste an-

Sammanfattning

SOU 2023:100

passas efter respektive myndighets behov. Förbudet ska inte heller omfatta sökningar i en viss handling eller i ett visst ärende.

Vi föreslår också ett särskilt sökförbud i folkbokföringsdatalagen som innebär att det ska vara förbjudet att som sökbegrepp använda uppgifter om vissa relationssamband som är grundade på adoption.

Tillgången till personuppgifter

En utgångspunkt enligt EU:s dataskyddsförordning är att person- uppgifter inte ska spridas till fler än vad som är nödvändigt med hän- syn till ändamålet med behandlingen. Om personuppgifter sprids ökar risken för att uppgifterna kommer att användas på ett sätt som innebär ett intrång i de registrerades personliga integritet.

Vi föreslår att det ska införas bestämmelser i beskattningsdata- lagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter samt att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

I de förordningar som hör till lagarna föreslår vi att det ska finnas en reglering som innebär att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgif- ter. Det ska även regleras att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regel- bundet kontrollera åtkomst till personuppgifter.

Elektroniskt utlämnande av personuppgifter ska vara tillåtet om det inte är olämpligt

Formen för ett tillåtet eller föreskrivet uppgiftslämnande, dvs. om det ska ske exempelvis muntligt, på papper eller på elektronisk väg, är en fråga som är skild från regleringen av utlämnandet i sak. I EU:s dataskyddsförordning finns ingen reglering som särskilt avser vilka tekniska lösningar eller vilka system som får användas vid utlämnande eller överföring av personuppgifter. I nuvarande registerförfattningar finns däremot bestämmelser som särskilt reglerar i vilka situationer uppgifter över huvud taget får lämnas ut elektroniskt till enskilda

SOU 2023:100

Sammanfattning

(via exempelvis e-post), och i vilka situationer utlämnande får ske genom s.k. direktåtkomst till både myndigheter och enskilda.

Direktåtkomst är en särskild form av elektroniskt utlämnande som innebär att den utlämnande myndigheten saknar kontroll över vilka uppgifter den mottagande aktören (ofta en annan myndighet) vid varje enskilt tillfälle tar del av. När direktåtkomsten är aktiv anses samtliga uppgifter som omfattas vara inkomna till den mottagande myndigheten i enlighet med offentlighetsprincipen, och kan därmed komma att ingå i allmänna handlingar där. Direktåtkomst ger där- med upphov till s.k. överskottsinformation och har bl.a. av den an- ledningen bedömts vara särskilt känsligt ur integritetssynpunkt.

Den tekniska utvecklingen har dock lett till att skillnaden i integ- ritetshänseende mellan direktåtkomst och andra former av helt auto- matiserat informationsutbyte inte längre är särskilt stor. Nya former av informationsutbyte kan dessutom ge samma effektivitetsvinster som vid direktåtkomst, utan att uppgifter som tillgängliggörs men inte hämtas in av mottagaren blir del av allmänna handlingar hos den mottagande myndigheten. Vi bedömer att flertalet av de integritets- risker som har legat till grund för tidigare ställningstaganden om direktåtkomst i dag är läkta genom bestämmelserna i dataskydds- förordningen. Vi bedömer därmed att dagens begränsningar av myn- digheternas möjligheter att lämna ut uppgifter genom direktåtkomst inte bör ha någon motsvarighet i de nya dataskyddslagarna. I lagstift- ningshänseende bör direktåtkomst i stället likställas med övriga former av elektroniskt utlämnande.

Vi föreslår att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt. Det innebär att Skatteverkets i dess beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska ges möjlighet att, med beaktande av den allmänna dataskydds- regleringen och övriga tillämpliga bestämmelser, samt i förekom- mande fall efter samråd med Integritetsskyddsmyndigheten, själva avgöra i vilken form ett föreskrivet utlämnande ska få ske.

Bestämmelser om uppgiftslämnande ska flyttas

till särskilda förordningar om utlämnande av uppgifter

EU:s dataskyddsförordning kräver att det finns en rättslig grund för all behandling av personuppgifter. För att en myndighet ska kunna lämna ut personuppgifter till en tredje part krävs som utgångspunkt

Sammanfattning

SOU 2023:100

en bestämmelse i nationell rätt eller unionsrätten som tillåter eller föreskriver utlämnandet. Visst utlämnande kan också ske med stöd av finalitetsprincipen. För uppgifter som är skyddade av sekretess krävs också att det finns en sekretessbrytande bestämmelse för att en uppgift ska kunna lämnas ut från det sammanhang där den är sekretess- belagd. I de nuvarande registerförfattningarna för Skatteverket, Tull- verket och Kronofogdemyndigheten finns sekretessbrytande bestäm- melser som anger att myndigheten har en skyldighet eller möjlighet att under vissa omständigheter lämna ut uppgifter till andra myndig- heter och till enskilda. Sådana bestämmelser finns också i andra för- fattningar och i unionsrätten.

Behandling av personuppgifter i syfte att lämna ut dem till någon annan aktualiserar frågor om dataskydd, bl.a. om säkerhet vid infor- mationsöverföringen. Bestämmelser som anger att ett utlämnande av uppgifter får eller ska ske under vissa förutsättningar utgör dock inte dataskyddsbestämmelser. Vi föreslår därför att sådana bestäm- melser inte ska finnas i de nya dataskyddsförfattningarna för Skatte- verkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten, och att bestämmelser som reglerar utlämnande i stället ska föras in i nya förordningar. I förordningarna ska även bestämmelser om myndigheternas rätt att ta ut avgifter i vissa fall finnas.

Bestämmelserna i de nya förordningarna föreslås i huvudsak mot- svara dagens bestämmelser. Vi föreslår dock vissa justeringar av be- stämmelsernas utformning, huvudsakligen i syfte att kompensera för att viss befintlig särreglering av när direktåtkomst är tillåten föreslås upphävas. För att möjliggöra olika former av elektroniskt utlämnande föreslår vi även att de nya bestämmelserna inte ska avse utlämnande som får ske endast på begäran av den mottagande myndigheten. I de fall den nuvarande regleringen avser ett utlämnande på begäran föreslår vi i stället att de nya bestämmelserna förenas med ett förbud mot utlämnande på initiativ av den utlämnande myndigheten. Initiativ- förbudet avser enbart det faktiska utlämnandet och syftar till att förhindra spontant utlämnande utan att det föregåtts av kontakt med mottagaren.

SOU 2023:100

Sammanfattning

Reglering om gallring ska ersättas med bestämmelser om längsta tid för behandling

I de befintliga registerförfattningarna för Skatteverkets beskattnings- verksamhet, Tullverket och Kronofogdemyndigheten finns bestäm- melser om gallring och bevarande.

Enligt vår bedömning är dock både gallring och bevarande be- grepp som främst hör till det arkivrättsliga regelverket och som inte bör användas om syftet är integritetsskydd. Den arkivrättsliga utgångs- punkten är nämligen att allmänna handlingar ska bevaras. Vi föreslår därför att det fortsättningsvis görs en tydlig uppdelning mellan arkiv- rättsliga bestämmelser å ena sidan och dataskyddsbestämmelser å andra sidan, och att den kompletterande dataskyddsregleringen inte ska innehålla bestämmelser om gallring.

En grundläggande princip för personuppgiftsbehandling enligt EU:s dataskyddsförordning är den om lagringminimering, dvs. att person- uppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för ändamålet med behandlingen (artikel 5.1 e). Vi föreslår att en bestäm- melse som motsvarar principen om lagringsminimering ska finnas i lag, men att det i övrigt inte anges någon yttersta tidsgräns för behand- ling. Myndigheterna måste därför som regel själva avgöra hur lång tid det är motiverat att behandla uppgifter för ett särskilt ändamål. Däremot kan regeringen eller den myndighet regeringen bestämmer föreskriva om yttersta tidsgränser för behandling för vissa ändamål, om det är påkallat av exempelvis integritetshänsyn eller effektivitets- hänsyn.

Bestämmelsen om längsta tid för behandling avser endast sådana ändamål som omfattas av det materiella tillämpningsområdet. Det innebär att det inte finns något hinder mot fortsatt behandling för arkivändamål. När uppgifter enbart behandlas för arkivändamål är det arkivlagstiftningens bestämmelser, dvs. i praktiken Riksarkivets beslut eller föreskrifter, som avgör hur länge uppgifter (som ingår i en all- män handling) ska behandlas för detta ändamål.

Sammanfattning

SOU 2023:100

Enskildas rättigheter ska begränsas i vissa fall

Rätten att göra invändningar mot behandling av personuppgifter regleras i artikel 21 i EU:s dataskyddsförordning. Vi föreslår att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska föreskrivas att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte ska gälla vid sådan behandling som är tillåten enligt lagarna eller föreskrifter som har meddelats i anslutning till lagarna. Denna begränsning innebär inte något nytt utan finns i dag i motsvarande registerlagar.

Vidare föreslår vi att det ska införas en bestämmelse i beskattnings- datalagen som reglerar att vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete in- om Europeiska unionen i fråga om beskattning ska vissa bestämmelser om rätt till information och tillgång till personuppgifter i dataskydds- förordningen inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.

Särskilda bestämmelser om rättelse och överklagande för Kronofogdemyndigheten

I dag finns särskilda bestämmelser om rättelse m.m. och överklag- ande i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Bestämmelserna är motiverade av de potentiella effek- terna av att registreras hos myndigheten. Vi föreslår att det ska införas sådana särskilda bestämmelser även i den nya kronofogdedatalagen, dock med vissa ändringar i förhållande till vad som gäller i dag.

Bestämmelsen om rättelse m.m. ska ange att på begäran av en en- skild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som inte har behandlats i enlighet med den lagen eller anslutande författningar, eller som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Bestämmelsen ska inte vara tillämplig på uppgifter om avlidna personer. Avseende juridiska personer ska bestämmelsen vara tillämplig enbart beträffande om uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska

SOU 2023:100

Sammanfattning

förpliktelser. Om uppgifterna lämnats ut till tredje man, ska Krono- fogdemyndigheten underrätta denne om åtgärd att rätta, blockera eller utplåna uppgifter om den enskilde begär det eller om mera be- tydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse ska inte behöva lämnas om det skulle inne- bära en oproportionerligt stor arbetsinsats.

Vi föreslår också att beslut om rättelse, liksom i dag, ska få över- klagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Dataanalyser och urval för en effektiv kontrollverksamhet

Vi anser att Skatteverket, Tullverket och Kronofogdemyndigheten bör ges utökade möjligheter att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet.

Dataanalyser och urval bedöms vara ett effektivt verktyg i myn- digheternas verksamheter som exempelvis kan underlätta arbetet med att identifiera felaktigheter. Vi föreslår därför att det ska införas särskilda ändamålsbestämmelser i beskattningsdatalagen, folkbokför- ingsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att respektive myndighet får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i de verksamheter som omfattas av lagarna. Kronofogdemyndigheten ska även få behandla personuppgifter för att göra sådana analyser och urval i syfte att motverka överskuldsättning. Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att myndigheterna ges ett tydligt rättsligt stöd för att använda analyser och urval även i syfte att identifiera olika risker för felaktigheter redan innan det finns ett ärende och inte enbart för efterhandskontroller.

Som underlag för att göra dataanalyser och urval behöver myndig- heterna tillgång till adekvata och relevanta uppgifter, däribland per- sonuppgifter. En allt för kringskuren möjlighet att behandla uppgifter för dataanalyser och urval kan i praktiken leda till att myndigheter- nas möjligheter att behandla personuppgifter styr vilka företeelser myndigheterna kan rikta sina kontroller mot, snarare än att kontrol- ler kan riktas mot de områden där det faktiskt finns störst risk för fel eller fusk. Samtidigt måste intentionerna att effektivisera kon-

Sammanfattning

SOU 2023:100

trollverksamheten balanseras mot skyddet för den personliga integ- riteten. Vi föreslår att det i de nya lagarna ska anges att för att göra dataanalyser och urval får de personuppgifter behandlas som respek- tive myndighet förfogar över eller samlar in till följd av den verksam- het som omfattas av respektive lags tillämpningsområde. Myndig- heterna ska även få behandla uppgifter som lämnas till dem för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. De personuppgifter som behandlas måste alltid vara nöd- vändiga för de i lagarna angivna syftena. Om det finns alternativa och mindre integritetskränkande sätt för myndigheterna att utföra sina uppdrag på med samma grad av effektivitet, ska dessa i stället användas i syfte att minska integritetsintrånget.

Vidare föreslår vi bestämmelser som innebär utökade uppgifts- skyldigheter gentemot Skatteverket och Tullverket i syfte att möjlig- göra adekvata och effektiva dataanalyser och urval i kontrollverk- samhet.

Vi föreslår också att det ska införas särskilda skydds- och säker- hetsåtgärder som ska gälla när myndigheterna utför dataanalyser och urval med hjälp av personuppgifter. I lagarna ska det föreskrivas att myndigheterna ska dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integri- tet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Vidare ska det i förord- ning föreskrivas att myndigheterna ansvarar för att det inom respek- tive myndighet finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval. I övrigt kommer de generella skydds- och säkerhetsåtgärderna i EU:s data- skyddsförordning, dataskyddslagen samt i förslagen till beskattnings- datalag, folkbokföringsdatalag, tulldatalag och kronofogdedatalag med tillhörande förordningar att vara tillämpliga även vid behandling av personuppgifter för dataanalyser och urval.

Offentlighet och sekretess

Till följd av våra förslag om ändrade bestämmelser avseende sök- begrepp inom Skatteverkets folkbokföringsverksamhet finns det be- hov av en ny sekretessregel till skydd för vissa uppgifter. Detta efter-

SOU 2023:100

Sammanfattning

som vissa sammanställningar med våra förslag – till skillnad från i dag – kan bli allmänna handlingar. Vi föreslår därför att absolut sekretess ska gälla i Skatteverkets folkbokföringsverksamhet för upp- gift i en sammanställning ur en upptagning för automatiserad behand- ling om den grundar sig på uppgifter om födelseort, födelseland, in- flyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen ska dock inte gälla för uppgifter som ingår i en sådan sammanställ- ning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).

Vi har också funnit att det finns behov av ändringar av vissa be- fintliga regler om sekretess samt av nya sekretessbestämmelser till följd av våra förslag om utökade möjligheter för myndigheterna att göra dataanalyser och urval. Absolut sekretess föreslås gälla vid data- analyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattningsverksamhet och folkbokföringsverksam- het samt i Tullverkets och Kronofogdemyndighetens verksamheter för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretessen ska även gälla i Kronofogdemyndighetens verksamhet med dataanalyser och urval i syfte att motverka överskuldsättning.

Vi föreslår också att myndigheterna ska kunna sekretessbelägga uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör Skatteverkets beskattnings- eller folkbokföringsverksamheter, Tull- verkets verksamhet eller Kronofogdemyndighetens verksamhet som omfattas av de nya lagarna. Sådana uppgifter ska också vara möjliga att sekretessbelägga i Kronofogdemyndighetens verksamhet enligt kronofogdedatalagen om de hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning.

Vidare innebär vissa av våra förslag i övrigt att också andra befintliga sekretessbestämmelser behöver ändras. Vi föreslår därför att bestäm- melser om sekretess i offentlighets- och sekretesslagen (2009:400), OSL, som i dag omfattar verksamhet som avser förande av eller uttag ur Skatteverkets beskattningsdatabas, Tullverkets tulldatabas och Kronofogdemyndighetens utsöknings- och indrivningsdatabas ska ändras. Det ska i stället föreskrivas att sekretessen gäller vid förande

Sammanfattning

SOU 2023:100

av eller uttag ur en automatiserad uppgiftssamling som respektive myn- dighet använder i viss verksamhet som avses i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen. Sekretessen vid myndigheterna ska inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket, Tullverket eller Krono- fogdemyndigheten. Syftet med bestämmelserna är främst att garan- tera sekretess hos en annan mottagande myndighet som har direkt- åtkomst till sådana uppgifter som i dag behandlas i myndigheternas databaser.

Det statliga personadressregistret (SPAR)

Skatteverkets verksamhet med det statliga personadressregistret, SPAR, är särpräglad och avgränsad. Genom verksamheten med SPAR fullgörs det statliga åtagandet att hålla ett register med befolknings- uppgifter av hög kvalitet för att tillgodose behovet av kontroll av personuppgifter.

Lagen om det statliga personadressregistret, SPAR-lagen, och till- hörande förordning reglerar både förandet av ett särskilt register och utlämnandet av uppgifter från det, vilket inkluderar den personupp- giftsbehandling som detta medför. Författningarna skiljer sig därför från exempelvis regleringen av personuppgiftsbehandling vid Skatte- verkets beskattningsverksamhet. Flera av de generella bedömningarna för övriga verksamheter är därför inte relevanta i SPAR-verksam- heten. SPAR-författningarna är dock i behov av modernisering avse- ende språk, struktur och i viss mån avseende vilka bestämmelser för- fattningarna bör innehålla.

Vi bedömer att förändringsbehovet är tillräckligt stort för att moti- vera att den nuvarande SPAR-lagen med tillhörande förordning upp- hävs och ersätts av nya författningar, med uppdaterat språk, vissa förtydliganden, samt en anpassning av termer och struktur till övrig dataskyddsreglering.

Vi föreslår även att den nya lagen ska omfatta en sådan syftes- bestämmelse som vi har föreslagit i övriga dataskyddslagar, samt vissa justeringar av regleringen av personuppgiftsansvar för behandling enligt SPAR-lagen och förordningen. Vi föreslår att bestämmelser om gallring ersätts med bestämmelser om längsta tid för behandling

SOU 2023:100

Sammanfattning

i förhållande till de ändamål uppgifter behandlas för, i likhet med övrig dataskyddsreglering. Dessutom föreslår vi att enskildas anmäl- ningsskyldighet vid misstanke om oriktig uppgift, som i dag regleras i förordning, i fortsättningen ska regleras i lag. Däremot föreslår vi att alla begränsningar av utlämnandet från SPAR ska göras i förord- ning, vilket innebär att begränsningar avseende vissa uppgifter som i dag regleras i lag ska flyttas ner till förordningsnivå.

Avseende utlämnandet till myndigheter föreslår vi att begränsningar i förhållande till myndigheters möjlighet att få ut samma uppgifter från Skatteverkets folkbokföringsverksamhet ska tas bort.

Skatteverkets äktenskapsregister- och bouppteckningsverksamheter

Den befintliga regleringen av personuppgiftsbehandling inom Skatte- verkets äktenskapsregister- och bouppteckningsverksamheter är för- hållandevis modern. Regleringen innehåller i flera fall bestämmelser som motsvarar vad vi föreslår ska gälla enligt de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tull- verket och Kronofogdemyndigheten. Exempelvis finns ingen data- basreglering och inga detaljerade ändamålsbestämmelser.

Enligt vår bedömning bör dock nuvarande reglering i flera avse- enden anpassas till de förslag vi lämnat i fråga om struktur, termino- logi och generella dataskyddsbestämmelser. En ändring av den befint- liga lagen hade inneburit att flertalet paragrafer hade ändrats och den konsoliderade versionen skulle framstå som helt omgjord. Vi före- slår därför att den befintliga lagen med tillhörande förordning ska upphävas och ersättas av en ny lag med tillhörande förordning. Det övergripande syftet med förslaget är att skapa enhetlighet i utform- ningen av de nya dataskyddslagarna.

I den nya lagen föreslår vi vissa strukturella ändringar i förhållande till den befintliga, som t.ex. att ändamålsbestämmelserna utformas enhetligt i förhållande till övrig dataskyddsreglering. Vi föreslår även vissa förändringar i sak. Den nya lagen föreslås inte tillämpas vid be- handling av uppgifter om avlidna. Vidare föreslår vi att dagens be- gränsningar av när Skatteverket får behandla känsliga personuppgif- ter ersätts av en bestämmelse som tillåter sådan behandling om det är nödvändigt för ändamålet med behandlingen, i likhet med hur

Sammanfattning

SOU 2023:100

övrig reglering föreslås utformas i detta avseende. Vi föreslår även att sökbegränsningar i den nya lagen utformas i enhetlighet med mot- svarande reglering i övriga dataskyddslagar. Det innebär att förbudet ska avse sådan sökning som syftar till att åstadkomma ett urval av personer grundat på känsliga personuppgifter. Något undantag från förbudet för vissa kategorier av uppgifter föreslås inte i detta sam- manhang. Förbudet ska dock inte omfatta sökningar i en viss hand- ling eller i ett visst ärende.

Vi föreslår även nya bestämmelser om åtkomstbegränsning och om längsta tid för behandling som saknar motsvarighet i befintlig reglering. Bestämmelserna motsvarar de som föreslås i övrig data- skyddsreglering.

Ikraftträdande

Våra förslag föreslås träda i kraft den 1 januari 2026. Vi har då beaktat att förslagen bör träda i kraft så snart som möjligt för att de i största möjliga utsträckning ska kunna leda till effektivare kontrollverksam- het vid Skatteverket, Tullverket och Kronofogdemyndigheten. Sam- tidigt har vi tagit hänsyn till att förslagen är omfattande vilket kräver sedvanlig tid för remissbehandling och beredning inom Regerings- kansliet och att berörda myndigheter ges viss tid att förbereda sig.

Konsekvenser

Syftet med våra förslag är att åstadkomma en ändamålsenlig komplet- terande dataskyddsreglering som ger enskilda ett adekvat integritets- skydd samtidigt som Skatteverket, Tullverket och Kronofogdemyndig- heten ges förutsättningar att utföra sina samhällsviktiga uppgifter så som de kommer till uttryck i den materiella verksamhetsregleringen. Förslagen om utökade möjligheter för myndigheterna att göra data- analyser och urval för att förebygga, förhindra och upptäcka fel syftar till att ge myndigheterna adekvata verktyg för att effektivisera kon- trollverksamheten. Våra förslag kommer att medföra konsekvenser för enskildas personliga integritet. Vi bedömer dock att integritets- intrången är motiverade och proportionerliga.

Vårt förslag om att myndigheter ska kunna få motsvarande upp- gifter som de i dag kan få från folkbokföringsverksamheten (via

SOU 2023:100

Sammanfattning

Navet) genom SPAR kommer att kräva systemutveckling. Vidare be- dömer vi att våra förslag innebär en viss ökning av planerade utbild- ningsinsatser vid myndigheterna. De ställer också nya krav på att myndigheterna ansvarar för att ta fram vissa rutiner och följa ett särskilt dokumentationskrav vid dataanalyser och urval. Våra förslag om att nuvarande regler om gallring ska ersättas med bestämmelser om längsta tid som personuppgifter får behandlas kommer att leda till vissa indirekta kostnader för Riksarkivet, Skatteverket, Tullverket och Kronofogdemyndigheten fram till dess att nya myndighetsspeci- fika föreskrifter eller beslut om gallring finns på plats. Sammantaget kommer våra förslag alltså initialt att medföra vissa kostnader för det allmänna. Dessa kostnader bedömer vi inte vara större än att de kan täckas av myndigheternas ordinarie anslag. På längre sikt gör vi dess- utom bedömningen att våra förslag bör medföra besparingar för be- rörda myndigheter och ökade statsintäkter till följd av att verksam- heterna vid ärendehanteringen och med kontroll kan bedrivas mer effektivt.

I övrigt förväntas våra förslag ha vissa positiva effekter för brotts- ligheten och det brottsförebyggande arbetet och indirekt för offent- lig service samt företags konkurrensförmåga.

Förslagen är förenliga med EU-rätten och andra relevanta inter- nationella rättsakter till skydd för den personliga integriteten.

Summary

Our remit

We have been tasked with reviewing the register statutes1 of the Swedish Tax Agency, Swedish Customs and the Swedish Enforce- ment Authority in order to create appropriate regulation adapted to current needs. The regulation should be flexible and up to date in terms of both technological developments and data protection regu- lation enshrined in EU law. Our remit also included considering whether a less detailed regulation than today would be feasible, as well as reviewing the structure and terminology of the register statutes.

Another part of our remit was to review the feasibility of the Swedish Tax Agency, Swedish Customs and the Swedish Enforce- ment Authority use of data analysis and sampling as tools for more efficient control activities. A premise was that there should be clear legal support for any data analysis and samplings carried out by the government agencies. The rules should also be technology neutral and flexible and allow the government agencies to develop and adapt their analysis and sampling in line with general developments in society.

Our basic premises for modern, fit-for-purpose regulation

Our work is based on the premise that supplementary data protec- tion regulation should include the provisions necessary for it to provide adequate protection of individual privacy. Consequently, supplementary data protection regulation should only permit govern- ment agencies to process personal data to the extent that this is pro-

1I.e. sector-specific regulations on the processing of personal data.

Summary

SOU 2023:100

portionate to the legitimate interest of individuals to protect infor- mation about their personal circumstances.

Within the EU, personal data processing is regulated in general terms in the EU General Data Protection Regulation (GDPR).2 The GDPR is supplemented in Swedish law at a general level by the Act (2018:218) containing supplementary provisions to the EU General Data Protection Regulation (Data Protection Act).

Today, the GDPR is the primary source of data protection legis- lation, and the provisions of the GDPR must be applied by govern- ment agencies in the same way as a Swedish statute. Although the GDPR both requires and permits national provisions that supple- ment or provide for derogations from its rules, there is no longer the same need as before to limit or clarify in sector-specific data protec- tion regulation the personal data that may be processed at a govern- ment agency in order to maintain an adequate level of privacy pro- tection. The GDPR aims to create a uniform and comparable level of privacy protection throughout the European Union, and supple- mentary regulation should only deviate from what will otherwise apply under the GDPR if this appears necessary in order to provide an adequate level of privacy protection. The Government’s consid- erations when drafting the Data Protection Act can serve as a basis for assessing the need for supplementary regulation.

In the light of the rapid technological development, the supple- mentary provisions should be as technology neutral as possible. This is not only a question of the terminology used; the objective of tech- nology neutrality should also influence which procedures should be regulated at all. Furthermore, only matters that need to be regulated in order to achieve an adequate level of privacy protection should be regulated in supplementary data protection legislation. The supple- mentary legislation should not include provisions on matters other than data protection. Double regulation should be avoided.

2Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

SOU 2023:100

Summary

New acts on data protection for the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority

Specific register statutes govern the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority under Swedish law. This legislation supplements the GDPR and the Swedish Data Protection Act.

We propose that the following acts, with their associated ordi- nances, currently governing the activities of the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority be re- pealed:

•Act (1998:527) on the Swedish state’s personal address register

•Act (2001:181) on the processing of data in the Swedish Tax

Agency’s taxation activities

•Act (2001:182) on the processing of personal data in the Swedish

Tax Agency’s population registration activities

•Act (2001:184) on the processing of data in the activities of the Swedish Enforcement Authority

•Act (2001:185) on the processing of data in the activities of Swedish Customs

•Act (2015:898) on the Swedish Tax Agency’s processing of per- sonal data in activities relating to the marriage register and estate inventories.

We also propose that the acts listed above be replaced by new agency- specific data protection acts:

•Swedish state’s personal address register Act

•Taxation Data Act

•Population Registration Data Act

•Enforcement Data Act

•Customs Data Act

•Act on personal data protection in the Swedish Tax Agency’s marriage register and estate inventory activities.

Summary

SOU 2023:100

It is proposed that the overall objective of these acts is to enable the relevant government agencies to process personal data in an appro- priate manner, and to protect individuals from having their privacy unduly violated during such processing. We also propose that the acts should be supplemented by related ordinances.

In the summary below, our proposals for the National Personal Address Register Act and the Act on personal data protection in the Swedish Tax Agency’s marriage register and estate inventory active- ities are discussed separately under specific headings.

The Scope of the legislation and relationship with other regulation

We propose that the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act shall apply only in the case of wholly or partly automated personal data processing, or to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. The legislation shall not cover data processing in administrative activities.

Furthermore, the regulations should not cover data processing regarding legal entities. An exception from this is however made in the Enforcement Data Act, which we propose should apply to data on legal entities with regard to specific provisions on i.a. rectification and appeal in that act; more on this below. We also assess that the new legislation should not cover the processing of data on deceased individuals. In addition, the provisions of the Taxation Data Act, the Customs Data Act and the Enforcement Data Act shall not apply to personal data processing in the common information systems of the European Union.

We suggest that the new legislation has the same substantive scope as current database regulation. Consequently, it is proposed that the Taxation Data Act apply to personal data processing in the Swedish Tax Agency’s taxation activities. What constitutes taxation activities in this setting shall be stated in the act and includes i.a. determining the basis for taxes and charges, and the assessment, accounting, pay- ment and refund of these. The Taxation Data Act shall also apply to certain other activities carried out by the Swedish Tax Agency.

SOU 2023:100

Summary

It is proposed that the Population Registration Data Act apply to personal data processing in the Swedish Tax Agency’s population registration activities. What constitutes population registration acti- vities in this setting shall be stated in the act and includes i.a. the Agency’s activities regarding population registration and coordina- tion numbers.

It is proposed that the Customs Data Act apply to personal data processing during the activities carried out by Swedish Customs’ specified in the act. This includes activities related to the assessment, accounting, payment and refund of duties, taxes, and charges.

It is proposed that the Enforcement Data Act apply to personal data processing in the parts of the Swedish Enforcement Authority’s activities specified in the act. This includes enforcement and recov- ery activities, debt restructuring and company debt restructuring, orders to pay and assistance, and supervision in bankruptcy and of reorganisation administrators. However, the provisions of the Enforce- ment Data Act shall not apply to personal data processing in the insolvency register of debt restructuring and company debt restruc- turing under the Insolvency Regulation of 2015 (Supplemental Pro- visions) Act (2017:473).

As with the current national database regulation, it is proposed that the provisions of the new legislation supplement the GDPR. In addition, the Data Protection Act shall apply to personal data pro- cessing under the new acts, unless otherwise provided by these acts or statutes issued in connection with the new acts.

Responsibility of government agencies for personal data

It is proposed that the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority respectively be the sole data controller for personal data processing carried out by these govern- ment agencies under the respective act and regulations issued in connection with the act. This essentially corresponds to the current regulation, except for certain parts of the provision on personal data responsibility in the Act on the processing of personal data in the Swedish Tax Agency’s population registration activities.

Summary

SOU 2023:100

Less detailed purpose provisions

Personal data shall be collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes. This is stated in Article 5(1)(b) of the GDPR. It is against this specified, explicit and legitimate purpose that several of the fundamental principles of the GDPR must be examined and adhered to. The purpose of the processing determines which data can be processed, how long it can be processed and for what addi- tional purposes it can be processed further.

The purposes set out in the purpose provisions of the existing register legislation cannot be equated with the specified, explicit, and legitimate purposes that the GDPR requires for each processing operation. Rather, they should be seen as an overall framework for which processing is authorised and cover all personal data processing within the substantive scope of the legislation. We propose a new, broad purpose provision in each agency-specific data protection act. This will allow the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority to continue processing personal data where this is necessary to carry out their activities within the sub- stantive scope of their respective new data protection act. This means that all purposes stated in the current provision are covered by the new provision. Certain purposes not explicitly regulated in the current purpose provisions will also be covered by the new, broadly worded purpose provision, such as the development and testing of new or existing IT systems. The responsibility for formulating specified, ex- plicit, and legitimate purposes in specific each case lies with the data controlling government agency in accordance with Article 5(2) of the GDPR.

The proposed provision on personal data processing to carry out activities within the substantive scope of each act is less detailed than the current purpose provisions. The proposed provision corresponds to what are known as primary purposes, and it is proposed that it be supplemented by an informative provision on the Government’s ability to legislate regarding the purposes of the processing. We also propose a provision regarding what are known as secondary pur- poses, stating that data processed on the basis of the primary purpose provision may be processed in order to disclose data in accordance with an act or ordinance.

SOU 2023:100

Summary

It is proposed that the primary and secondary purpose provisions be supplemented by a provision corresponding to what is known as the principle of finality or purpose limitation principle set out in Article 5(1)(b) of the GDPR. The provision shall state that data processed in accordance with the primary purpose provision may be processed for other purposes, provided that the data is not processed in a manner incompatible with the purpose for which it was col- lected. Such a provision makes it clearer to the data subject that the data may also be processed for purposes other than those for which the data was collected.

Database regulation to be repealed

The current national register statutes contain specific regulation of government agencies’ data collections that are used jointly in their activities, known as databases. Database in this context does not refer to a technically defined database but is instead a legal term.

The regulation of databases includes specific provisions on the categories of data that may be processed, the different forms of elec- tronic disclosure that may be used and provisions on deletion and preservation. Provisions on the personal data that can be shared within the organisations are characteristic of this regulation of databases.

This regulation came about in a period when the digitalisation of public administration was in its infancy and is based on significantly different technical and legal conditions for personal data processing by government agencies than currently apply. During this period, digital information management was seen as a complement to ana- logue management. In contrast, the digital information management of government agencies is now fully integrated in their operations and is no longer seen as complementary, but as encompassing all information management. This means that database regulation has taken on a different function than originally intended. The regula- tion currently limits not only the data that can be made jointly avail- able, but also the categories of data that government agencies may process at all, unless it is possible to carry out the processing outside the database.

It is our assessment that the GDPR, which imposes requirements regarding technical and organisational security measures and access

Summary

SOU 2023:100

restrictions in connection with personal data processing at govern- ment agencies, constitutes sufficient regulation to ensure that data that is jointly accessible is adequately protected. Based on the GDPR and current technical conditions for personal data processing there is, in our opinion, no need to introduce specific rules for such per- sonal data processing performed by the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority that involves more than a few people having access to the data. For this reason, we do not suggest an equivalent to the specific database regulation in the new data protection acts. Nor do we suggest any other general restriction on the categories of personal data that government agen- cies may process for the purpose of carrying out their activities.

Where the Swedish Tax Agency’s population registration activi- ties are concerned, however, there is reason to transfer some of the regulation governing which data regarding a person that may cur- rently be processed in the population registration database to other legislation. This is because population registration involves estab- lishing a person’s place of residence and registration of certain data about that person. The data that may be registered in connection with population registration is currently determined by the regula- tion of which data that may be processed in the population registra- tion database. We propose that a new substantive provision in the Population Registration Act (1991:481) shall instead specify what data may be registered about a person in connection with population reg- istration. It is proposed that the new provision essentially corre- spond to the regulation of the data that may currently be processed in the population registration database, to the extent that the data is relevant to the population registration.

The Swedish Tax Agency also registers certain data on natural persons assigned a coordination number based on the provisions on what data may be processed in the population registration database. We therefore propose that a new provision also be introduced in the Act (2022:1697) on coordination numbers that corresponds in relevant parts to the current regulation of what data may be processed in the population registration database. Repealing database regulation also entails certain other changes to the acts just mentioned.

SOU 2023:100

Summary

Special categories of personal data, personal data relating to criminal convictions and offences and national identification and coordination numbers

Special categories of personal data refers to data that under the GDPR reveal racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identi- fying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation. The processing of such data is in principle prohibited. However, exceptions can be made where processing is necessary for reasons of substantial public inter- est, on the basis of Union or Member State law, and if certain addi- tional conditions are met. The Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority need to be able to process such data within their respective activities when relevant because of the substantive operational regulation for the agency in question. We propose that government agencies be permitted to process spe- cial categories of personal data if this is necessary with regard to the purpose of the processing.

The GDPR permits personal data processing relating to criminal convictions and offences or related security measures based on Article 6(1) of the GDPR to be carried out under the control of official authority. The Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority need to be able to process this kind of personal data in certain cases. We consider that the process- ing of personal data regarding criminal convictions and offences that the Swedish Tax Agency, Swedish Customs and the Swedish Enforce- ment Authority need to carry out should not be limited or otherwise regulated separately in the new acts.

Furthermore, we make the assessment that there is no need for specific provisions on processing national identification numbers and coordination numbers. Such provisions are contained in the Data Protection Act.

SummarySOU 2023:100

Search restrictions

Searches that reveal and aggregate special categories of personal data pose specific privacy risks, and search restrictions can be an impor- tant and appropriate way to mitigate these risks. We propose that the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act stipulate that, as a general rule, it is prohibited to carry out searches for the purpose of obtaining a sample of individuals based on special categories of personal data. However, the prohibition shall not cover searches car- ried out with a view to obtaining a sample of individuals on the basis of certain special categories of personal data, if the search is necess- ary for the government agencies to perform a task in activities cov- ered by the relevant proposed act. The searches to be exempted from the search prohibition must be adapted to the needs of each agency. The prohibition should also not cover searches in a specific document or in a specific case.

In addition, we propose a special search prohibition in the Population Registration Data Act prohibiting the use of data on certain relationships based on adoption as search terms.

Access to personal data

A basic premise under the GDPR is that personal data should not be disclosed to more people than is necessary for the purpose of the processing. The dissemination of personal data entails a greater risk that the data will be used in a way that violates the privacy of the data subjects.

We propose that provisions be introduced in the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act stipulating that access to personal data must be limited to what each person needs in order to carry out their duties, and that access to personal data must be scrutinised and followed up on regularly.

In the ordinances associated with the new acts, we propose regu- lation whereby each government agency is responsible for ensuring that there are procedures within the agency for allocating, changing, removing, and regularly following up on permissions for personal data access. It shall also be regulated that each government agency is

SOU 2023:100

Summary

responsible for ensuring that there are procedures within the agency to document and regularly scrutinise personal data access.

Electronic disclosure of personal data shall be allowed unless inappropriate

The format of an authorised or prescribed data disclosure, such as whether it should be verbal, hard copy or electronic, for example, is an issue separate from the substantive regulation of the disclosure. The GDPR does not regulate specifically which technical solutions or systems may be used for the disclosure or transfer of personal data. The current national register statutes, on the other hand, contains provisions that specifically regulate the situations in which data may be disclosed electronically to individuals at all (by e-mail, for exam- ple), and the situations in which disclosure may take place to both government agencies and individuals through what is known as direct access.

Direct access is a special form of electronic disclosure in which the disclosing government agency has no control over what data the receiving actor (often another government agency) accesses on each individual occasion. When direct access is active, all data covered by it is considered to have been received by the receiving agency under the principle of public access to official records and may conse- quently be considered public documents of that agency. Direct access thus gives rise to what is known as surplus information and has for this reason been judged to be particularly sensitive from a privacy point of view.

However, technological developments have meant that the dif- ference in terms of privacy between direct access and other forms of fully automated information exchange is no longer significant. More- over, new forms of information exchange can provide the same effi- ciency gains as direct access, without the data made available but not obtained by the receiving government agency becoming part of that agency’s public documents. We assess that most of the privacy risks that formed the basis for previous positions on direct access have now been satisfactorily remedied by the provisions of the GDPR. We therefore assess that the current restrictions on government agen- cies’ ability to disclose data through direct access should not have

Summary

SOU 2023:100

any equivalent in the new data protection acts. Instead, direct access should be equated with other forms of electronic disclosure from a legal perspective.

We propose that electronic disclosure be allowed unless inappro- priate. This means that the Swedish Tax Agency in its taxation and population registration activities, the Swedish Customs Agency and the Swedish Enforcement Authority shall be given the opportunity to determine for themselves the format in which prescribed disclo- sure may take place, taking into account the GDPR and other appli- cable provisions, and after consultation with the Swedish Authority for Privacy Protection, where appropriate.

Provisions on obligations to disclose information shall be moved to specific ordinances on data disclosure

The GDPR requires a legal basis for all personal data processing. In order for a government agency to disclose personal data to a third party, a provision in national or Union law authorising or prescrib- ing the disclosure is generally required. Some disclosures can also be made with reference to the principle of finality. Where data protect- ed by confidentiality is concerned, a provision allowing a breach of the confidentiality is also required for data to be disclosed from the context in which it is classified. The current register statutes for the Swedish Tax Agency, Swedish Customs and the Swedish Enforce- ment Authority contains such provisions stating that the govern- ment agency has an obligation or opportunity to disclose data to other government agencies and individuals under certain circumstan- ces. Such provisions also exist in other legislation and in Union law.

Personal data processing for the purpose of disclosure to a third party raises data protection issues regarding amongst other things the security of the information transfer. However, provisions stating that disclosure of data may or shall take place under certain circum- stances do not constitute data protection provisions. We therefore propose that provisions regulating disclosure not be included in the new data protection legislation for the Swedish Tax Agency’s tax- ation and population registration activities, Swedish Customs and the Swedish Enforcement Authority, and that such provisions in- stead be introduced in new ordinances. These ordinances will also

SOU 2023:100

Summary

contain provisions on government agencies’ right to charge fees in certain cases.

It is proposed that the provisions of the new ordinances essen- tially be equivalent to the current provisions. However, we propose some adjustments to the wording of the provisions, mainly to com- pensate for the proposed repeal of existing regulation regarding when direct access is allowed. To allow for different forms of electronic disclosure, we also propose that the new provisions not concern dis- closures that can only be made at the request of the receiving govern- ment agency. In cases where the current regulation concerns disclo- sure on request, we propose instead combining the new provisions with a prohibition on disclosure on the initiative of the disclosing government agency. This prohibition only concerns the actual dis- closure and aims to prevent spontaneous disclosure without prior contact with the recipient.

Regulation regarding deletion to be replaced by provisions on maximum processing duration

The existing register statutes for the Swedish Tax Agency’s taxation activities, Swedish Customs and the Swedish Enforcement Authority contain provisions on deletion and preservation.

In our view, however, both are concepts that belong primarily to the archival legal framework and should not be used for privacy protection purposes. The basic premise of archival law is that public documents must be preserved. We therefore propose that a clear distinction be made between archival law provisions on the one hand and data protection provisions on the other, and that data protection regulation should not include provisions on deletion.

A fundamental principle of personal data processing under the GDPR is that of storage limitation, i.e. personal data shall be kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed (Article 5(1)(e)). We propose that a provision corre- sponding to the principle of storage limitation be enshrined in law, but that no upper time limit for processing otherwise be specified. As a rule, government agencies must therefore decide for themselves how long the processing of data for a specific purpose is justified.

Summary

SOU 2023:100

However, the Government or the agency designated by the Govern- ment may stipulate maximum time limits for processing for certain purposes if this is required for reasons such as privacy or efficiency.

The provision on the maximum duration of processing only con- cerns purposes that fall within the substantive scope. This means that there is no obstacle to further processing for archiving purposes. When data is processed solely for archiving purposes, the provisions of the archival legislation, in practice being the decisions or regulations of the Swedish National Archives, determine how long data (in- cluded in a public document) should be processed for this purpose.

Individuals’ rights to be restricted in certain cases

The right to object to the processing of personal data is regulated in Article 21 of the GDPR. We propose that the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act stipulate that the right to object under Article 21(1) of the GDPR should not apply to such processing autho- rised by the acts or statutes issued in connection with the acts. This restriction already exists today in the corresponding register acts.

In addition, we propose that a provision be introduced in the Taxation Data Act regulating that when processing personal data on the basis of cooperation under the Act (2012:843) on administrative cooperation in the European Union in the field of taxation, certain provisions on the right to information and access to personal data in the GDPR shall not apply if such restrictions are necessary in view of an important economic or financial interest of the European Union or one of its Member States.

Specific provisions for the Swedish Enforcement Agency on rectification and appeals

There are currently specific provisions on rectification etc. and appeals in the Act on the processing of data in the activities of the Swedish Enforcement Authority. These provisions are justified by the poten- tial impact of being registered with the Authority. We propose that such specific provisions also be introduced in the new Enforcement

SOU 2023:100

Summary

Data Act, albeit with some changes compared to what is applicable today.

The provision on rectification, etc. shall state that, at the request of an individual, the Swedish Enforcement Authority shall promptly rectify, block, or delete such data about the individual that has not been processed in accordance with the above act or related legisla- tion, or that at the time of registration is misleading as to the indi- vidual’s willingness or ability to fulfil their financial obligations. This provision shall not apply to data regarding deceased persons. With respect to legal entities, the provision shall apply only if the data at the time of registration is misleading as to the willingness or ability of the entity to fulfil its financial obligations. If the data has been disclosed to a third party, the Swedish Enforcement Authority shall notify the third party of the measure to rectify, block or delete the data if the individual so requests, or if more significant damage or inconvenience to the individual can be avoided this way. Notification shall not be required if it would involve a disproportionate amount of work.

We also propose that rectification decisions shall continue to be appealable to an administrative court. Leave to appeal will be re- quired for appeals to an administrative court of appeal.

Data analysis and sampling for efficient control activities

We consider that the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority should be given greater oppor- tunities to use data analysis and sampling as tools for more efficient control activities.

Data analysis and sampling are an effective tool in the activities of government agencies that can, for example, facilitate the work on iden- tifying errors. We therefore propose that specific purpose provisions be introduced in the Taxation Data Act, Population Registration Data Act, Customs Data Act and Enforcement Data Act, stipulating that the respective government agencies may process personal data if this is necessary to carry out data analysis and sampling to prevent, prohibit and detect errors in the activities covered by the legislation. The Swedish Enforcement Authority may also process personal data to carry out such analysis and sampling to prevent over-indebted-

Summary

SOU 2023:100

ness. The fact that personal data may be processed to prevent, pro- hibit, and detect errors means that the government agencies are also provided with a clear legal basis for using analysis and sampling to identify various risks of errors before there is a case, and not only when conducting checks after the fact.

To analyse and sample data, government agencies need access to adequate and relevant data, including personal data. Excessive re- strictions of the ability to process data for data analysis and sampling may in practice lead to a situation where the agencies’ opportunities to process personal data determines which phenomena the agencies can focus their control activities on, rather than allowing such acti- vity to focus on the areas in which there is the greatest risk of error or fraud. At the same time, the measures to make control activities more efficient must be balanced against privacy concerns. We pro- pose that the new acts specify that personal data held or collected by the respective government agencies as a result of the activities falling within the scope of each act may be processed for the purpose of data analysis and sampling. The government agencies shall also be allowed to process data provided to them in order to disclose data in accordance with an act or an ordinance. The personal data processed must always be necessary for the purposes specified in the acts. If there are alternative methods for the government agencies to carry out their tasks with the same degree of efficiency that are less inva- sive of privacy, these should be used instead to limit privacy intrusions.

Furthermore, we propose expanded information obligations in relation to the Swedish Tax Agency and Swedish Customs to enable adequate and efficient data analysis and sampling in control activities.

We also propose introducing specific protection and security measures to apply when government agencies carry out data analysis and sampling using personal data. The government agencies will be required to document the balancing of interests between the in- tended outcome of the measure and the intrusion into the individ- ual’s personal privacy. The methods and search terms used to produce the sample shall also be documented. All documentation must enable inspection afterwards. Furthermore, an ordinance shall stipulate that the government agencies are responsible for ensuring that there are procedures within each agency for how sampling models should be designed and how search terms may be used in data analysis and sampling. The general protection and security measures in the

SOU 2023:100

Summary

GDPR, the Data Protection Act and in the proposals for the Taxa- tion Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act with associated ordinances will also apply to the processing of personal data for data analysis and sampling.

Public access and confidentiality

As a result of our proposals for amended provisions regarding search terms in the Swedish Tax Agency’s population registration activities, there is a need for a new confidentiality rule to protect certain data. This is because, unlike today, some summaries may become public documents. For this reason, we propose that in the Swedish Tax Agency’s population registration activities, absolute confidentiality apply to data in a compilation from a recording for automated pro- cessing if it is based on data about place of birth, country of birth, immigration from abroad, citizenship or right of residence. How- ever, this confidentiality shall not apply to data included in such a compilation if it is based on data on citizenship of Sweden, Denmark, Norway, Finland or Iceland, or on citizenship within or outside the European Union (EU citizenship or non-EU citizenship).

We have also identified a need for changes to certain existing con- fidentiality rules and for new confidentiality provisions as a result of our proposals to give government agencies greater opportunities to analyse data and carry out sampling. It is proposed that total confi- dentiality apply to data analysis and sampling to prevent, prohibit and detect errors in the Swedish Tax Agency’s taxation and popu- lation registration activities and in the activities of Swedish Customs and the Swedish Enforcement Authority for data about an individ- ual’s personal or financial circumstances. This confidentiality shall also apply to the Swedish Enforcement Authority’s activities involv- ing data analysis and sampling for the purpose of preventing over- indebtedness.

We also propose that the government agencies be able to classify data on methods, models and risk factors relating to data analysis and sampling to prevent, prohibit and detect errors, if it can be as- sumed that the purpose of such analysis and sampling is counter- acted if the data is disclosed and the analysis and sampling relate to

Summary

SOU 2023:100

the Swedish Tax Agency’s taxation or population registration activi- ties, Swedish Customs’ activities or the Swedish Enforcement Authority’s activities covered by the new acts. It shall also be possi- ble to classify such data in the activities of the Swedish Enforcement Authority as confidential under the Enforcement Data Act if it re- lates to data analysis and sampling for the purpose of preventing over-indebtedness.

Furthermore, some of our proposals mean that other existing con- fidentiality provisions also need to be amended. We therefore pro- pose that the provisions on confidentiality in the Public Access to Information and Secrecy Act (2009:400), referred to below using the Swedish abbreviation OSL, which currently cover activities relating to the maintenance of or extraction from the Swedish Tax Agency’s taxation database, Swedish Customs’ customs database and the Swedish Enforcement Authority’s enforcement and recovery database, be amended. Instead, it should be stipulated that confidentiality applies when maintaining or extracting data from an automated data collec- tion that the respective government agency uses in certain activities referred to in the Taxation Data Act, the Customs Data Act and the Enforcement Data Act. Confidentiality at the government agencies shall not apply if there is a primary confidentiality provision other than Chapter 21, Sections 1, 3, 3a, 5 and 7 of OSL that is applicable to the data when it arises in a case at the Swedish Tax Agency, Swedish Customs or the Swedish Enforcement Authority. The main purpose of these provisions is to ensure confidentiality at another receiving agency that has direct access to data currently processed in the agen- cies’ databases.

The state’s personal address register (SPAR)

The Swedish Tax Agency’s activities regarding the Swedish state’s personal address register, SPAR, are specific and delimited. The acti- vities related to SPAR fulfil the state’s commitment to maintain a high-quality register of population data to meet the need for control of personal data.

The Act on the Swedish state’s personal address register (referred to below as the SPAR Act), and its associated ordinance, regulate both the maintenance of a certain register and the disclosure of data

SOU 2023:100

Summary

from it, including the personal data processing that this entails. The legislation therefore differs from, for example, the regulation of per- sonal data processing in the Swedish Tax Agency’s taxation activities. Several of the general assessments regarding other activities are therefore not relevant to SPAR activities. However, the SPAR legis- lation is in need of modernisation in terms of language, structure and, to some extent, the provisions it should contain.

In our assessment, the need for change is substantial enough to justify repealing the current SPAR Act and the associated ordinance and replacing them with new legislation. The new legislation will have updated wording and clarifications, and the terms and structure will be adapted to other data protection legislation.

We also propose that the new act include a purpose provision such as the ones proposed in the other new data protection acts, as well as certain adjustments to the regulation of personal data respon- sibility for processing under the SPAR Act and ordinance. We pro- pose that provisions on deletion be replaced by provisions on the max- imum duration of processing in relation to the purposes for which data is processed, in line with other data protection regulation. In addition, we propose that individuals’ obligation to report suspected inaccurate data, which is currently regulated by ordinance, shall be regulated in an act. However, we propose that all restrictions on dis- closure from SPAR be made in an ordinance, which means that re- strictions on certain data, currently regulated in an act, should be moved down to ordinance level.

In addition we propose that restrictions in relation to govern- ment agencies’ ability to obtain the same data from the Swedish Tax Agency’s population registration activities be removed.

The Swedish Tax Agency’s marriage register and estate inventory activities

The existing regulation of personal data processing in the Swedish Tax Agency’s marriage register and estate inventory activities is rela- tively modern. In several cases, the regulation contains provisions that correspond to what we propose should apply in the new data pro- tection acts governing the Swedish Tax Agency’s taxation and popu- lation registration activities, Swedish Customs and the Swedish

Summary

SOU 2023:100

Enforcement Authority. For example, there is no regulation of data- bases and there are no detailed purpose provisions.

However, in our view, the current regulation should be adapted in several respects to the proposals we have submitted regarding struc- ture, terminology, and general data protection provisions. Amend- ing the existing legislation would mean amending most of the sec- tions and the consolidated version would appear to be completely reworked. We therefore propose repealing the existing act and its associated ordinance and replacing it with a new act and ordinance. The overall aim of the proposal is to harmonise the design of the new data protection legislation.

In the new act regarding the Swedish Tax Agency’s marriage register and estate inventory activities, we propose certain structural changes compared to the existing act, including harmonising the purpose provisions with other regulation of data protection. We also propose some substantive changes. It is not proposed that the new legislation apply to the processing of data on deceased individuals. Furthermore, we propose that the current restrictions on when the Swedish Tax Agency may process special categories of personal data be replaced by a provision that allows such processing where neces- sary for the purpose of the processing, similar to the proposed word- ing of other regulation in this regard. We also propose that the search restrictions in the new act be harmonised with the corresponding regulation in other data protection acts. This means that the prohi- bition shall apply to searches that aim to achieve a sample of persons based on special categories of personal data. No exception to the pro- hibition for certain categories of data is proposed in this context. However, the prohibition shall not cover searches in a specific document or in a specific case.

We also propose new provisions on access restriction and on the maximum duration of. The provisions correspond to those proposed in other regulation of data protection.

Entry into force

We propose that the proposals enter into force on 1 January 2026. This is based on the assessment that the proposals should enter into force as soon as possible so that they can maximise the efficiency of

SOU 2023:100

Summary

control activities at the Swedish Tax Agency, Swedish Customs, and the Swedish Enforcement Authority. At the same time, we have con- sidered that the proposals are extensive, which requires the custom- ary period of consultation and preparation at the Government Offices of Sweden and giving the relevant government agencies some time to prepare.

Impacts

The purpose of our proposals is to achieve appropriate supplemen- tary data protection regulation that provides individuals with ade- quate privacy protection while enabling the Swedish Tax Agency, Swedish Customs, and the Swedish Enforcement Authority to per- form their tasks essential to society as expressed in the substantive regulation of their respective activities. The proposals to provide government agencies with greater opportunities to carry out data analysis and sampling to prevent, prohibit and detect errors aim to provide agencies with adequate tools to improve the efficiency of their control activities. Our proposals will have implications for indi- vidual privacy. However, in our assessment, the privacy intrusions are justified and proportionate.

Our proposal that government agencies be able to obtain equiv- alent data to that which they can currently obtain from population registration activities (via the Swedish Tax Agency’s population data distribution system, known as Navet) through SPAR will require systems development. Furthermore, we expect our proposals to entail a certain increase in planned training activities at the government agencies. They also impose new requirements on the agencies to develop certain procedures and adhere to a specific documentation requirement when performing data analysis and sampling. Our pro- posals to replace the current rules on deletion with provisions on the maximum period during which personal data may be processed will lead to certain indirect costs for the Swedish National Archives, the Swedish Tax Agency, Swedish Customs and the Swedish Enforce- ment Authority until new agency-specific regulations or decisions on deletion are in place. Overall, our proposals will thus initially entail certain costs for the public sector. Our assessment is that these costs can be covered by the government agencies’ regular appropri-

1 Författningsförslag

1.1Förslag till beskattningsdatalag

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Skatte- verkets beskattningsverksamhet.

Lagen gäller även vid behandling av personuppgifter i Skatteverkets verksamhet enligt

1.lagen (1991:1047) om sjuklön,

2.lagen (2007:324) om Skatteverkets hantering av vissa borgenärs- uppgifter,

3.lagen (2013:948) om stöd vid korttidsarbete,

4.lagen (2020:548) om omställningsstöd, och

5.lagen (2023:230) om förfarande för elstöd till företag.

Lagen gäller endast om behandlingen är helt eller delvis automa- tiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

3 § Skatteverkets verksamhet enligt 2 § första stycket avser

1.fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,

Författningsförslag

SOU 2023:100

2.bestämmande av pensionsgrundande inkomst,

3.fastighetstaxering,

4.revision och annan analys eller kontroll,

5.tillsyn samt lämplighets- och tillståndsprövning och annan lik- nande prövning,

6.fullgörande av förpliktelser som följer av internationella åtag- anden, och

7.annan liknande uppgift som Skatteverket ska utföra.

4 § Bestämmelserna i denna lag gäller inte vid Skatteverkets behand- ling av personuppgifter i Europeiska unionens gemensamma infor- mationssystem.

Förhållandet till annan reglering

5 § Denna lag innehåller bestämmelser som kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har med- delats i anslutning till lagen.

Personuppgiftsansvar

6 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och före- skrifter som har meddelats i anslutning till lagen.

Ändamål

7 § Skatteverket får behandla personuppgifter om det är nödvändigt för

1. att utföra verksamhet enligt 2 §, eller

SOU 2023:100

Författningsförslag

2.att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ända- målen med behandlingen.

8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

9 § Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behand- las på ett sätt som är oförenligt med det ändamål för vilket de sam- lades in.

Känsliga personuppgifter

10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskydds- förordning (känsliga personuppgifter) får behandlas, om det är nöd- vändigt med hänsyn till ändamålet med behandlingen.

Sökbegränsningar

11 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, med- lemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.

Särskilda bestämmelser om dataanalyser och urval

12 § För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas:

1.uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och

Författningsförslag

SOU 2023:100

2.uppgifter som lämnas till Skatteverket för att fullgöra uppgifts- lämnande som sker i överensstämmelse med lag eller förordning.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.

13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.

Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.

All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.

Tillgång till personuppgifter

14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Elektroniskt utlämnande av personuppgifter

15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämp- ligt.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om be- gränsningar av möjligheten att lämna ut personuppgifter elektroniskt.

Längsta tid för behandling

16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.

Författningsförslag

SOU 2023:100

1.2Förslag till folkbokföringsdatalag

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge Skatteverket möjlighet att be- handla personuppgifter på ett ändamålsenligt sätt och att skydda män- niskor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.

Lagen gäller endast om behandlingen är helt eller delvis automa- tiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

3 § Skatteverkets verksamhet enligt 2 § första stycket avser

1.folkbokföring,

2.samordningsnummer,

3.samordnad behandling, kontroll och analys av identifierings- uppgifter för fysiska personer och av andra folkbokföringsuppgifter,

4.framställning av personbevis och andra registerutdrag,

5.aktualisering, komplettering och kontroll av personuppgifter,

6.uttag av urval av personuppgifter, och

7.annan liknande uppgift som Skatteverket ska utföra.

Förhållandet till annan reglering

4 § Denna lag innehåller bestämmelser som kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds-

SOU 2023:100

Författningsförslag

förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har med- delats i anslutning till lagen.

Personuppgiftsansvar

5 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och före- skrifter som har meddelats i anslutning till lagen.

Ändamål

6 § Skatteverket får behandla personuppgifter om det är nödvän- digt för

1.att utföra verksamhet enligt 2 §, eller

2.att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ända- målen med behandlingen.

7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

8 § Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behand- las på ett sätt som är oförenligt med det ändamål för vilket de sam- lades in.

Känsliga personuppgifter

9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförord- ning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Författningsförslag

SOU 2023:100

Sökbegränsningar

10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende.

11 § Det är förbjudet att som sökbegrepp använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bo- satt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption.

Särskilda bestämmelser om dataanalyser och urval

12 § För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas:

1.uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och

2.uppgifter som lämnas till Skatteverket för att fullgöra uppgifts- lämnande som sker i överensstämmelse med lag eller förordning.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.

Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.

All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.

Tillgång till personuppgifter

14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

SOU 2023:100

Författningsförslag

Elektroniskt utlämnande av personuppgifter

15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämp- ligt.

Längsta tid för behandling

16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.

Begränsning av rätten att göra invändningar

17 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

1.Denna lag träder i kraft den 1 januari 2026.

2.Genom lagen upphävs lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.

Författningsförslag

SOU 2023:100

1.3Förslag till tulldatalag

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Tullverkets verksamhet

1.med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter,

2.med övervakning, revision och annan analys eller kontroll,

3.i fråga om förbud och restriktioner i samband med in- och utför- sel av varor och i samband med att varor hänförs till ett tullförfarande,

4.med fullgörande av förpliktelser som följer av internationella åtaganden, och

5.med annan liknande uppgift som Tullverket ska utföra.

Lagen gäller endast om behandlingen är helt eller delvis automa-

tiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

3 § Lagen gäller inte vid behandling av personuppgifter som om- fattas av lagen (2018:1694) om Tullverkets behandling av person- uppgifter inom brottsdatalagens område.

Bestämmelserna i denna lag gäller inte heller vid Tullverkets be- handling av personuppgifter i Europeiska unionens gemensamma in- formationssystem.

Förhållandet till annan reglering

4 § Denna lag innehåller bestämmelser som kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av

SOU 2023:100

Författningsförslag

personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Personuppgiftsansvar

5 § Tullverket är personuppgiftsansvarig för den behandling av per- sonuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.

Ändamål

6 § Tullverket får behandla personuppgifter om det är nödvändigt för

1.att utföra verksamhet enligt 2 §, eller

2.att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ända- målen med behandlingen.

7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Författningsförslag

SOU 2023:100

Känsliga personuppgifter

9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförord- ning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Sökbegränsningar

10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fack- förening, hälsa eller uppgifter om en fysisk persons sexualliv eller sex- uella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.

Särskilda bestämmelser om dataanalyser och urval

11 § För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas:

1.uppgifter som Tullverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och

2.uppgifter som lämnas till Tullverket för att fullgöra uppgifts- lämnande som sker i överensstämmelse med lag eller förordning.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.

12 § När personuppgifter behandlas för att göra dataanalyser och urval ska Tullverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.

Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.

All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.

SOU 2023:100

Författningsförslag

Tillgång till personuppgifter

13 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Elektroniskt utlämnande av personuppgifter

14 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.

Längsta tid för behandling

15 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.

Begränsning av rätten att göra invändningar

16 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

1.Denna lag träder i kraft den 1 januari 2026.

2.Genom lagen upphävs lagen (2001:185) om behandling av upp- gifter i Tullverkets verksamhet.

Författningsförslag

SOU 2023:100

1.4Förslag till kronofogdedatalag

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge Kronofogdemyndigheten möjlig- het att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid så- dan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Krono- fogdemyndighetens verksamhet med

1.utsökning och indrivning,

2.skuldsanering och F-skuldsanering,

3.betalningsföreläggande och handräckning,

4.europeiskt betalningsföreläggande,

5.ansökan om och tillsyn över näringsförbud,

6.tillsyn i konkurs och över rekonstruktörer,

7.att motverka överskuldsättning,

8.analys eller kontroll,

9.fullgörande av förpliktelser som följer av internationella åtagan- den, och

10.annan liknande uppgift som Kronofogdemyndigheten ska ut-

föra.

Lagen gäller endast om behandlingen är helt eller delvis automa- tiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Bestämmelserna i 18 § första stycket 2 och andra stycket och 19 § gäller även vid behandling av uppgifter om juridiska personer.

3 § Bestämmelserna i denna lag gäller inte vid behandling av person- uppgifter i insolvensregistret över skuldsaneringar och F-skuldsaner- ingar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning.

SOU 2023:100

Författningsförslag

Bestämmelserna i denna lag gäller inte heller vid Kronofogde- myndighetens behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.

Förhållandet till annan reglering

5 § De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt för- farande för kvarstad på bankmedel för att underlätta gränsöverskrid- ande skuldindrivning i mål och ärenden av privaträttslig natur gäller i stället för denna lag.

Personuppgiftsansvar

6 § Kronofogdemyndigheten är personuppgiftsansvarig för den be- handling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.

Ändamål

7 § Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för

1.att utföra verksamhet enligt 2 §, eller

2.att göra dataanalyser och urval i syfte att

Författningsförslag

SOU 2023:100

a)förebygga, förhindra och upptäcka fel i den verksamheten, och

b)motverka överskuldsättning.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ända- målen med behandlingen.

8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Känsliga personuppgifter

10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförord- ning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Sökbegränsningar

11 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.

Särskilda bestämmelser om dataanalyser och urval

12 § För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas:

1.uppgifter som Kronofogdemyndigheten förfogar över eller sam- lar in till följd av verksamhet enligt 2 §, och

SOU 2023:100

Författningsförslag

2.uppgifter som lämnas till Kronofogdemyndigheten för att full- göra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.

13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas person- liga integritet.

Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.

All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.

Tillgång till personuppgifter

14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Elektroniskt utlämnande av personuppgifter

15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämp- ligt.

Längsta tid för behandling

16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.

Författningsförslag

SOU 2023:100

Begränsning av rätten att göra invändningar

Rättelse av uppgifter och överklagande

18 § På begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som

1.inte har behandlats i enlighet med denna lag eller anslutande författningar, eller

2.vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förplik- telser.

Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndig- heten underrätta denne om åtgärd enligt första stycket, om den en- skilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse behö- ver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats.

19 § Beslut om rättelse enligt 18 § första stycket får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

1.Denna lag träder i kraft den 1 januari 2026.

2.Genom lagen upphävs lagen (2001:184) om behandling av upp- gifter i Kronofogdemyndighetens verksamhet.

3.Den upphävda lagen gäller dock fortfarande för en begäran om rättelse som har kommit in före ikraftträdandet.

SOU 2023:100

Författningsförslag

1.5Förslag till lag om det statliga personadressregistret

Härigenom föreskrivs följande.

Inledande bestämmelser

1 § För de kontroll- och urvalsändamål som anges i 5 § ska det föras ett statligt personadressregister (SPAR). Registret får användas för elektroniskt utlämnande av uppgifter.

2 § Syftet med denna lag är att ge den myndighet som regeringen utser att ansvara för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Förhållandet till annan reglering

3 § Denna lag innehåller bestämmelser som kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Personuppgiftsansvar

4 § Den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har medde- lats i anslutning till lagen.

Författningsförslag

SOU 2023:100

Ändamål

5 § Uppgifterna i SPAR får behandlas för att

1.aktualisera, komplettera och kontrollera personuppgifter (kon- trolländamål), och

2.ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsändamål).

Registerinnehåll

6 § SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även inne- hålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Följande uppgifter får anges:

1.namn,

2.person- eller samordningsnummer,

3.födelsetid,

4.adress,

5.folkbokföringsort och distrikt,

6.födelsehemort,

7.svenskt medborgarskap,

8.make eller vårdnadshavare,

9.avregistrering enligt 19–22 §§ folkbokföringslagen, med angi- vande av tidpunkt,

10.summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor,

11.ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet),

12.taxeringsvärde för småhusenhet,

13.tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer,

14.tidpunkt för vilandeförklaring av ett samordningsnummer en- ligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen,

SOU 2023:100

Författningsförslag

15.tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och

16.om den enskildes identitet vid tilldelning eller förnyelse av samordningsnummer har styrkts eller gjorts sannolik.

På begäran av en registrerad ska det i SPAR också anges att upp- gifter om denna inte får behandlas vid urvalsdragningar för direkt- reklam enligt 5 § 2.

7 § Uppgifter som avses i 6 § första stycket 1–9 och 13–16 hämtas från Skatteverkets folkbokföringsverksamhet. Övriga uppgifter som avses i 6 § första stycket hämtas från Skatteverkets beskattnings- verksamhet.

Utlämnande av uppgifter

8 § En enskild som begär att en myndighet ska lämna ut person- uppgifter för kontrolländamål eller urvalsändamål ska hänvisas till SPAR, om inte annat följer av lag eller förordning.

9 § Regeringen får meddela föreskrifter om begränsningar av utläm- nande av uppgifter från SPAR.

Sökbegrepp

10 § Regeringen får meddela föreskrifter om begränsningar av de sökbegrepp som får användas vid sökning i SPAR.

Begränsning av rätten att göra invändningar

11 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning.

SOU 2023:100

Författningsförslag

1.6Förslag till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge Skatteverket möjlighet att behand- la personuppgifter på ett ändamålsenligt sätt och att skydda männi- skor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Skatte- verkets äktenskapsregister- och bouppteckningsverksamheter.

Lagen gäller endast om behandlingen är helt eller delvis automa- tiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Förhållandet till annan reglering

Författningsförslag

SOU 2023:100

Personuppgiftsansvar

4 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och före- skrifter som har meddelats i anslutning till lagen.

Ändamål

5 § Skatteverket får behandla personuppgifter om det är nödvän- digt för att utföra verksamhet enligt 2 §.

6 § Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

7 § Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behand- las på ett sätt som är oförenligt med det ändamål för vilket de sam- lades in.

Känsliga personuppgifter

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförord- ning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Sökbegränsningar

9 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende.

SOU 2023:100

Författningsförslag

Tillgång till personuppgifter

10 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Elektroniskt utlämnande av personuppgifter

11 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.

Längsta tid för behandling

12 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.

Begränsning av rätten att göra invändningar

13 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som meddelats i anslutning till lagen.

1.Denna lag träder i kraft den 1 januari 2026.

2.Genom lagen upphävs lagen (2015:898) om behandling av per- sonuppgifter i Skatteverkets äktenskapsregister- och bouppteck- ningsverksamheter.

Författningsförslag

SOU 2023:100

1.7Förslag till lag om ändring i kreditupplysningslagen (1973:1173)

Härigenom föreskrivs att 8 § kreditupplysningslagen (1973:1173) ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

8 §1

En uppgift om en fysisk person ska gallras när det inte längre är nödvändigt att bevara uppgiften med hänsyn till ändamålet med be- handlingen.

En uppgift om en fysisk person som inte är näringsidkare ska, om uppgiften inte gäller skuldsanering eller F-skuldsanering, gallras senast tre år efter den dag då den omständighet inträffade eller det förhål- lande upphörde som uppgiften avser. Om uppgiften rör en begäran om eller ett utlämnande av en kreditupplysning, ska den dock gallras senast ett år efter den dag då begäran framställdes.

En uppgift om skuldsanering ska gallras senast fem år efter den dag då inledandebeslutet meddelades eller, om uppgiften gäller F-skuld- sanering, senast tre år efter den dagen. Om en betalningsplan löper ut senare, ska dock uppgiften gallras senast den dag då planen löper ut.

En uppgift som har inhämtats				En uppgift som har inhämtats
från Kronofogdemyndigheten i				från Kronofogdemyndigheten i
dess verksamhet med indrivning				dess verksamhet med indrivning
och utsökning ska gallras när den				och utsökning ska gallras när den
inte omfattas av undantaget från				inte omfattas av undantaget från
sekretess i		34 kap. 1 §	andra	sekretess i 34 kap. 1 §	andra
stycket offentlighets- och sekre-				stycket offentlighets- och sekre-
tesslagen (2009:400). En uppgift				tesslagen (2009:400). En uppgift
som har inhämtats från Krono-				som har inhämtats från Krono-
fogdemyndigheten ska också gall-				fogdemyndigheten ska också gall-
ras när den har blockerats av				ras när den har blockerats av
Kronofogdemyndigheten			med	Kronofogdemyndigheten	med
stöd	av	3 kap. 3 a §	lagen	stöd av 18 § kronofogdedatalagen
(2001:184) om behandling av upp-				(0000:00).
gifter i	Kronofogdemyndighetens
verksamhet.

1Senaste lydelse 2016:679.

Författningsförslag

SOU 2023:100

1.8Förslag till lag om ändring i lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter

Härigenom föreskrivs att 2 och 15 §§ lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter ska ha följande lydelse.

Nuvarande lydelse			Föreslagen lydelse
		2 §1
Om någon har rätt till ett be-			Om någon har rätt till ett be-
lopp som avses i 1 § och om det			lopp som avses i 1 § och om det
allmänna mot denna person har			allmänna mot denna person har
en fordran, som är registrerad för			en fordran, som är registrerad för
indrivning i utsöknings- och indriv-			indrivning hos Kronofogdemyndig-
ningsdatabasen	enligt	lagen	heten och drivs in enligt bestäm-
(2001:184) om behandling av upp-			melserna i lagen (1993:891) om
gifter i Kronofogdemyndighetens			indrivning av statliga fordringar
verksamhet och drivs in enligt			m.m. ska från beloppet räknas av
bestämmelserna i lagen (1993:891)			så mycket som kan gå till betal-
om indrivning av statliga ford-			ning av fordringen, om inte något
ringar m.m. skall från beloppet			annat följer av vad som nedan sägs.
räknas av så mycket som kan gå			Med det allmännas fordran avses
till betalning av fordringen, om			också förrättningskostnader i
inte något annat följer av vad som			målet enligt 17 kap. 1 § utsök-
nedan sägs. Med det allmännas			ningsbalken. Endast vad som över-
fordran avses också förrättnings-			stiger det allmännas fordran får
kostnader i målet enligt 17 kap.			betalas ut.
1 § utsökningsbalken. Endast vad
som överstiger det allmännas ford-
ran får betalas ut.
		15 §2
Kan för betalning av en i			Kan för betalning av en hos
Kronofogdemyndighetens		utsök-	Kronofogdemyndigheten registrerad
nings- och indrivningsdatabas, regi-			fordran avräkning från belopp som
strerad fordran avräkning från be-			avses i 1 § göras både enligt denna

1Senaste lydelse 2006:702.

2Senaste lydelse 2006:702.

Författningsförslag

SOU 2023:100

1.9Förslag till lag om ändring i folkbokföringslagen (1991:481)

Härigenom föreskrivs i fråga om folkbokföringslagen (1991:481) dels att 1, 26 c, 28 och 31 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
1 §1
Folkbokföring enligt denna	Folkbokföring enligt denna
lag innebär fastställande av en	lag innebär fastställande av en
persons bosättning samt registrer-	persons bosättning samt registrer-
ing av de uppgifter om personen	ing av de uppgifter om personen
som enligt lagen (2001:182) om	som får registreras enligt 1 a §.
behandling av personuppgifter i
Skatteverkets folkbokföringsverk-
samhet får förekomma i folkbok-
föringsdatabasen.

Vigsel, födelse och dödsfall i landet ska registreras även i fråga om en person som inte är eller har varit folkbokförd.

Folkbokföring och sådan regi-	Skatteverket ansvarar för folk-
strering som avses i andra stycket	bokföring och sådan registrering
sker genom Skatteverkets försorg.	som avses i andra stycket.

Bestämmelser om samordningsnummer för den som inte är eller har varit folkbokförd finns i lagen (2022:1697) om samordnings- nummer.

1 a §

Skatteverket får registrera föl- jande uppgifter om en person:

1. personnummer,

2. samordningsnummer,

3. namn,

4. födelsetid,

5. födelsehemort,

6. födelseort och födelseland,

7. adress,

1Senaste lydelse 2022:1698.

100

SOU 2023:100

Författningsförslag

8.folkbokföringsfastighet, lägenhetsnummer, folkbokförings- ort, folkbokföring under särskild rubrik och distrikt,

9.medborgarskap,

10.civilstånd,

11.make, barn, föräldrar, vård- nadshavare och annan vuxen per- son än förälder eller vårdnads- havare hos vilken ett barn under 18 år är bosatt,

12.samband enligt 11 som är grundat på adoption,

13.inflyttning från utlandet,

14.avregistrering enligt 19–

22 §§,

15.gravsättning,

16.personnummer som perso- nen har tilldelats i ett annat nor- diskt land, och

17.uppehållsrätt.

26 c §2

Om en handling som överlämnats enligt 26 b § har ett lagrings- medium där fingeravtryck eller ansiktsbild är sparade, ska inne- havaren på begäran låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen.

När en kontroll enligt första stycket har genomförts, ska finger- avtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.

2Senaste lydelse 2022:1280.

101

Författningsförslag

SOU 2023:100

28 §3

En anmälan enligt 25 eller 26 § ska innehålla följande uppgifter:

1.namn och person- eller samordningsnummer,

2.datum för ändring av bostads- eller postadress,

3.ny bostads- och postadress samt beräknad giltighetstid,

4.registerbeteckning för den fastighet som den nya bostads- adressen avser och, om fastigheten innehåller flera bostadslägenheter med samma belägenhetsadress, lägenhetsnummer som avses i lagen (2006:378) om lägenhetsregister, och

5.vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser.

En anmälan enligt 26 § första stycket ska dessutom innehålla

1.uppgift om födelsetid och medborgarskap,

2.uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess beräknade varaktighet,

3.uppgift om personnummer som personen har tilldelats i ett annat nordiskt land, och

3Senaste lydelse 2022:1280.

4Senaste lydelse 2022:1280.

102

Författningsförslag

SOU 2023:100

1.10Förslag till lag om ändring i lagen (1991:483) om fingerade personuppgifter

Härigenom föreskrivs att 9 § lagen (1991:483) om fingerade person- uppgifter ska ha följande lydelse.

Nuvarande lydelse			Föreslagen lydelse
		9 §1
När ett medgivande att an-			När ett medgivande att an-
vända fingerade personuppgifter			vända fingerade personuppgifter
har upphört att gälla ska Polis-			har upphört att gälla ska Polis-
myndigheten underrätta Skatte-			myndigheten underrätta Skatte-
verket om detta. Verket ska skynd-			verket om detta. Skatteverket ska
samt se till att de fingerade			skyndsamt se till att de fingerade
uppgifterna inte längre används			uppgifterna inte längre används
inom folkbokföringen. Verket ska			inom folkbokföringsverksamheten
göra de ändringar i folkbokför-			och göra de ändringar av regi-
ingsdatabasen	enligt	lagen	strerade uppgifter i folkbokförings-
(2001:182) om behandling av per-			verksamheten som krävs.
sonuppgifter i Skatteverkets folk-
bokföringsverksamhet som krävs.
Sedan Polismyndigheten har			Sedan Polismyndigheten har
underrättat Skatteverket om att			underrättat Skatteverket om att
ett medgivande att använda fin-			ett medgivande att använda fin-
gerade personuppgifter har upp-			gerade personuppgifter har upp-
hört får den enskilde använda de			hört får den enskilde använda de
fingerade uppgifterna		fram till	fingerade uppgifterna fram till
dess verket har registrerat änd-			dess Skatteverket har registrerat
ringarna i folkbokföringsdatabasen			ändringarna i folkbokföringsverk-
men inte för tid därefter.			samheten men inte för tid därefter.

Denna lag träder i kraft den 1 januari 2026.

1Senaste lydelse 2018:687.

104

SOU 2023:100

Författningsförslag

1.11Förslag till lag om ändring i sametingslagen (1992:1433)

Härigenom föreskrivs att 3 kap. 3 § sametingslagen (1992:1433) ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

3 kap.

3 §1

Rösträtt till Sametinget har den som är upptagen i sameröstlängd. I sameröstlängden tas den same upp som anmäler sig till valnämn- den och som är svensk medborgare och på den samiska valdagen fyllt

eller fyller 18 år.
Under de förutsättningar som	Under de förutsättningar som
i andra stycket anges för svenska	i andra stycket anges för svenska
medborgare skall i röstlängden	medborgare ska i röstlängden tas
tas upp även de utlänningar som	upp även de utlänningar som har
enligt folkbokföringsdatabasen en-	varit folkbokförda enligt folkbok-
ligt lagen (2001:182) om behand-	föringslagen (1991:481) i landet
ling av personuppgifter i Skatte-	tre år i följd före valdagen och
verkets folkbokföringsverksamhet	som anmäler sig till valnämnden.
har varit folkbokförda i landet
tre år i följd före valdagen och
som anmäler sig till valnämnden.

Denna lag träder i kraft den 1 januari 2026.

1Senaste lydelse 2003:704.

105

Författningsförslag

SOU 2023:100

1.12Förslag till lag om ändring i lagen (1994:692) om kommunala folkomröstningar

Härigenom föreskrivs att 6 § lagen (1994:692) om kommunala folk- omröstningar ska ha följande lydelse.

Nuvarande lydelse		Föreslagen lydelse
	6 §1
När en kommunal folkomröst-		När en kommunal folkomröst-
ning ska hållas, ska en röstlängd		ning ska hållas, ska en röstlängd
upprättas för varje omröstnings-		upprättas för varje omröstnings-
distrikt. Det är uppgifterna i folk-		distrikt. Det är uppgifterna som
bokföringsdatabasen enligt	lagen	har registrerats i Skatteverkets folk-
(2001:182) om behandling av per-		bokföringsverksamhet och i fastig-
sonuppgifter i skatteförvaltningens		hetsregistret	enligt	lagen
folkbokföringsverksamhet	och i	(2000:224) om fastighetsregister
fastighetsregistret enligt	lagen	30 dagar före dagen för folkom-
(2000:224) om fastighetsregister		röstningen som ska ligga till grund
30 dagar före dagen för folkom-		för uppgifterna i röstlängderna.

röstningen som ska ligga till grund för uppgifterna i röstlängderna.

Uppgifter för framställning av röstlängder och röstkort tillhanda- hålls av den centrala valmyndigheten efter anmälan.

Ska folkomröstning äga rum samtidigt med ett allmänt val eller en nationell folkomröstning, får röstlängderna och röstkorten för den kommunala folkomröstningen samordnas med valet eller den nationella folkomröstningen. I annat fall och för de personer som inte är röstberättigade i det allmänna valet eller den nationella folkomröst- ningen ska kommunen eller regionen framställa röstlängd och upp- rätta röstkort med ledning av registeruppgifterna från den centrala valmyndigheten.

Centrala valmyndigheten har rätt till ersättning för de kostnader som föranleds av den kommunala folkomröstningen.

Denna lag träder i kraft den 1 januari 2026.

1Senaste lydelse 2019:888.

106

SOU 2023:100

Författningsförslag

1.13Förslag till lag om ändring i lagen (1994:1776) om skatt på energi

Härigenom föreskrivs att 4 b kap. 1 § och 4 e kap. 1 § lagen (1994:1776) om skatt på energi ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

4 b kap.

1 §1

I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet:

1.elektroniska administrativa dokument enligt 4 § första stycket,

2.administrativa referenskoder enligt 4 § tredje stycket,

3.uppgifter om ändrad destination enligt 6 §,

4.underrättelser enligt 8 § om att bränsle inte längre ska föras ut från unionens tullområde,

5.mottagningsrapporter enligt 10 §, och

6.exportrapporter enligt 11 §.

Bestämmelser	om behand-	Bestämmelser om	behand-
lingen av uppgifter i det datorise-		lingen av personuppgifter i det
rade systemet finns i lagen		datoriserade systemet	finns i
(2001:181) om	behandling av	beskattningsdatalagen (0000:00).

uppgifter i Skatteverkets beskatt- ningsverksamhet.

När det datoriserade systemet inte är tillgängligt gäller bestäm- melserna i 14–16 §§.

Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare.

4 e kap.

1 §2

I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor:

1.elektroniska förenklade administrativa dokument enligt 3 § första stycket,

1Senaste lydelse 2022:166.

2Senaste lydelse 2022:166.

107

Författningsförslag

SOU 2023:100

2.förenklade administrativa referenskoder enligt 3 § tredje stycket,

3.uppgifter om ändrad destination enligt 5 §, och

4.mottagningsrapporter enligt 6 §.

Bestämmelser om behand-	Bestämmelser om behand-
lingen av uppgifter i det datori-	lingen av personuppgifter i det
serade systemet finns i lagen	datoriserade systemet finns i be-
(2001:181) om behandling av upp-	skattningsdatalagen (0000:00).
gifter i Skatteverkets beskattnings-

verksamhet.

När det datoriserade systemet inte är tillgängligt gäller bestäm- melserna i 9 och 10 §§.

Bestämmelserna i detta kapitel om certifierade avsändare och certi- fierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare.

Denna lag träder i kraft den 1 januari 2026.

108

SOU 2023:100

Författningsförslag

1.14Förslag till lag om ändring i lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m.

Härigenom föreskrivs att 10, 13 och 14 §§ lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
10 §1
Regeringen får meddela andra	Regeringen får meddela andra
föreskrifter om behandling av per-	föreskrifter om behandling av per-
sonuppgifter i Skatteverkets beskatt-	sonuppgifter än de som annars
ningsdatabas och folkbokförings-	gäller enligt
databas, Kronofogdemyndighetens	1. beskattningsdatalagen
utsöknings- och indrivningsdatabas	(0000:00),
samt Tullverkets tulldatabas än	2. folkbokföringsdatalagen
dem som annars gäller.	(0000:00),

3. tulldatalagen (0000:00), och

4. kronofogdedatalagen (0000:00) för verksamhet med ut- sökning och indrivning samt an- sökan om och tillsyn över närings- förbud.

13 §2

Regeringen får överlåta sin be-	Regeringen får överlåta sin be-
fogenhet enligt 9 eller 10 § att	fogenhet enligt 9 eller 10 §§ att
meddela föreskrifter på Skatte-	meddela föreskrifter på
verket eller, beträffande utsök-	1. Skatteverket,
nings- och indrivningsdatabasen,	2. Kronofogdemyndigheten be-
Kronofogdemyndigheten eller, be-	träffande behandling av person-
träffande tulldatabasen, Tullverket.	uppgifter i verksamhet med utsök-
Regeringen får vidare överlåta sin	ning och indrivning samt ansökan
befogenhet enligt 11 § att med-	om och tillsyn över näringsförbud
dela föreskrifter om omprövning

1Senaste lydelse 2006:722.

2Senaste lydelse 2006:722.

109

Författningsförslag

SOU 2023:100

på Skatteverket eller, beträffande	enligt	kronofogdedatalagen
tullar, Tullverket.	(0000:00), eller
	3. Tullverket beträffande be-
	handling av personuppgifter enligt
	tulldatalagen (0000:00).
	Regeringen får vidare över-
	låta sin befogenhet enligt 11 § att
	meddela föreskrifter om om-
	prövning	på Skatteverket eller,
	beträffande tullar, Tullverket.
14 §3
Regeringen får överlåta befog-	Regeringen får överlåta befog-
enhet som regeringen har enligt	enhet som regeringen har enligt
de skatte-, tull-, avgifts- och folk-	de skatte-, tull-, avgifts- och folk-
bokföringsförfattningar samt de	bokföringsförfattningar samt de
författningar om behandling av	författningar om behandling av
personuppgifter och andra upp-	personuppgifter som reglerar för-
gifter som reglerar förhållanden	hållanden som omfattas av denna
som omfattas av denna lag på	lag på
Skatteverket eller, beträffande	1. Skatteverket,
indrivning av fordringar och be-	2. Kronofogdemyndigheten
handling av uppgifter i Krono-	beträffande indrivning av ford-
fogdemyndighetens verksamhet,	ringar och behandling av person-
Kronofogdemyndigheten eller, be-	uppgifter	i Kronofogdemyndig-
träffande tullar och behandling av	hetens verksamhet, eller
uppgifter i Tullverkets verksam-	3. Tullverket beträffande tullar
het, Tullverket.	och behandling av personuppgif-
	ter i Tullverkets verksamhet.

Denna lag träder i kraft den 1 januari 2026.

3Senaste lydelse 2006:722.

110

SOU 2023:100

Författningsförslag

1.15Förslag till lag om ändring i lagen (1999:291) om avgift till registrerat trossamfund

Härigenom föreskrivs att 8 § lagen (1999:291) om avgift till regi- strerat trossamfund ska ha följande lydelse.

Nuvarande lydelse			Föreslagen lydelse
		8 §1
Om staten till följd av behand-			Om staten till följd av behand-
lingen av en uppgift som avses i			lingen av en uppgift som avses i
5 § betalar skadestånd till en per-			5 § betalar skadestånd till en per-
son som är registrerad i beskatt-			son som är registrerad i Skatte-
ningsdatabasen	enligt	lagen	verkets beskattningsverksamhet
(2001:181) om behandling av upp-			ska det trossamfund som lämnat
gifter i Skatteverkets beskatt-			uppgiften ersätta staten i motsvar-
ningsverksamhet skall det tros-			ande utsträckning.
samfund som lämnat uppgiften
ersätta staten i	motsvarande
utsträckning.

Denna lag träder i kraft den 1 januari 2026.

1Senaste lydelsen 2003:726.

111

Författningsförslag

SOU 2023:100

1.16Förslag till lag om ändring i studiestödslagen (1999:1395)

Härigenom föreskrivs i fråga om studiestödslagen (1999:1395) dels att 4 kap. 26 § och 5 kap. 6 a § ska ha följande lydelse,

dels att punkt 20 i ikraftträdande- och övergångsbestämmelserna ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

4kap. 26 §1

Låntagaren ska lämna de uppgifter som är av betydelse för tillämp- ningen av detta kapitel till Centrala studiestödsnämnden.

En låntagare som har fått årsbeloppet nedsatt är skyldig att omedelbart underrätta Centrala studiestödsnämnden, om någon om- ständighet som föranlett nedsättningen inte längre finns.

En låntagare som inte har sin	En låntagare som inte har sin
aktuella adress registrerad i folk-	aktuella adress registrerad i Skatte-
bokföringsdatabasen enligt lagen	verkets folkbokföringsverksamhet
(2001:182) om behandling av per-	ska lämna uppgift om adressen till
sonuppgifter i Skatteverkets folk-	Centrala studiestödsnämnden.
bokföringsverksamhet ska lämna
uppgift om adressen till Centrala
studiestödsnämnden.

5kap.

6 a §2

En återbetalningsskyldig som	En återbetalningsskyldig som
inte har sin aktuella adress regi-	inte har sin aktuella adress regi-
strerad i folkbokföringsdatabasen	strerad i Skatteverkets folkbok-
enligt lagen (2001:182) om behand-	föringsverksamhet ska lämna upp-
ling av personuppgifter i Skatte-	gift om adressen till Centrala
verkets folkbokföringsverksamhet	studiestödsnämnden.
ska lämna uppgift om adressen
till Centrala studiestödsnämnden.

1Senaste lydelsen 2011:859.

2Senaste lydelse 2011:859.

112

För val till riksdagen, region- fullmäktige och kommunfullmäk- tige ska det finnas geografiskt av- gränsade områden för vilka det ska väljas ledamöter till den beslut- ande församling valet gäller (val- kretsar). För val till Europaparla- mentet utgör landet en enda valkrets.

Om inte annat anges ska vid tillämpningen av detta kapitel an- talet röstberättigade vid ett val be- räknas på grundval av uppgifter i Skatteverkets folkbokförings- verksamhet och uppgifter om per- soner som ska tas upp i röstlängden enligt 5 kap. 2 § första stycket. Be- räkningen ska ske på grundval av de uppgifter som finns den 1 mars valåret.

Författningsförslag

SOU 2023:100

1.17Förslag till lag om ändring i vallagen (2005:837)

Härigenom föreskrivs att 4 kap. 1 och 12 §§, 5 kap. 1 § och 6 kap. 8 § vallagen (2005:837) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

4 kap.

1 §1

Om inte annat anges ska vid tillämpningen av detta kapitel an- talet röstberättigade vid ett val be- räknas på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars valåret.

12 §2

Om en kommun har 36 000 personer eller fler som har rösträtt, får kommunen delas in i två eller flera valkretsar.

En kommun som har färre än 36 000 personer som har rösträtt får delas in i valkretsar endast om det finns särskilda skäl för det.

1Senaste lydelse 2019:923.

2Senaste lydelse 2014:1384.

114

Vid val ska den centrala val- myndigheten för varje valdistrikt upprätta en förteckning över dem som är röstberättigade i valet (röst- längd).

Röstlängderna ska grundas på uppgifter i Skatteverkets folkbok- föringsverksamhet, i fastighets- registret enligt lagen (2000:224) om fastighetsregister och uppgif- ter om personer som ska tas upp i röstlängden enligt 2 § första stycket. Röstlängderna ska grundas på de uppgifter som finns 30 dagar före valdagen.

SOU 2023:100Författningsförslag

Antalet röstberättigade ska be-	Antalet röstberättigade ska be-
räknas på grundval av uppgifterna	räknas på grundval av uppgifter i
i folkbokföringsdatabasen enligt	Skatteverkets folkbokföringsverk-
lagen (2001:182) om behandling av	samhet den 1 mars det år beslutet
personuppgifter i Skatteverkets folk-	om valkretsindelning fattas.
bokföringsverksamhet den 1 mars
det år beslutet om valkretsindel-
ning fattas.

En valkrets bör utformas så att den kan beräknas få minst 13 fasta valkretsmandat. Den ska ha en sammanhängande gränslinje, om det inte finns särskilda skäl för något annat.

5kap. 1 §

Vid val skall den centrala val- myndigheten för varje valdistrikt upprätta en förteckning över dem som är röstberättigade i valet (röst- längd).

Röstlängderna skall grundas på de uppgifter som 30 dagar före valdagen finns i folkbokförings- databasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet och i fastighetsregist- ret enligt lagen (2000:224) om fastighetsregister.

6kap. 8 §3

Följande partier som ställer upp i ett val har rätt till valsedlar på statens bekostnad:

1.vid val till riksdagen: parti som vid valet får eller vid något av de två senaste riksdagsvalen har fått mer än 1 procent av rösterna i hela landet eller som ändå är eller genom valet blir representerat i riksdagen,

3Senaste lydelse 2019:923.

115

SOU 2023:100

Författningsförslag

1.18Förslag till lag om ändring i lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar

Härigenom föreskrivs att 6 § lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
6 §
Med ett års tillväxt avses i	Med ett års tillväxt avses i
denna lag produkten av lantbruks-	denna lag produkten av lantbruks-
enhetens skogsmarksareal den	enhetens skogsmarksareal den
1 januari 2005 enligt den beskatt-	1 januari 2005 enligt uppgift som
ningsdatabas som Skatteverket för	har registrerats i Skatteverkets be-
enligt lagen (2001:181) om be-	skattningsverksamhet och det till-
handling av uppgifter i Skatte-	växttal som enligt bilaga 2 till
verkets beskattningsverksamhet	denna lag gäller för det län där
och det tillväxttal som enligt bi-	lantbruksenheten är belägen.

laga 2 till denna lag gäller för det län där lantbruksenheten är be- lägen.

Om lantbruksenheten har bildats efter den 1 januari 2005, beräk- nas tillväxten på enhetens skogsmarksareal vid tidpunkten för en- hetens bildande.

Denna lag träder i kraft den 1 januari 2026.

117

Författningsförslag

SOU 2023:100

1.19Förslag till lag om ändring i lagen (2006:939) om kvalificerade skyddsidentiteter

Härigenom föreskrivs att 4 och 10 §§ lagen (2006:939) om kvalifi- cerade skyddsidentiteter ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

4 §1

I ett beslut om kvalificerad skyddsidentitet får det förordnas

1. att Transportstyrelsen skall	1. att Transportstyrelsen ska
utfärda körkort i den kvalifice-	utfärda körkort i den kvalifice-
rade skyddsidentitetens namn,	rade skyddsidentitetens namn,
2. att andra statliga myndig-	2. att andra statliga myndig-
heter skall utfärda pass eller andra	heter ska utfärda pass eller andra
identitetshandlingar i den kvali-	identitetshandlingar i den kvali-
ficerade skyddsidentitetens namn,	ficerade skyddsidentitetens namn,
eller	eller
3. att Skatteverket skall regi-	3. att Skatteverket ska regi-
strera den kvalificerade skydds-	strera den kvalificerade skydds-
identiteten i folkbokföringsdata-	identiteten i folkbokföringsverk-
basen enligt lagen (2001:182) om	samheten.
behandling av personuppgifter i
Skatteverkets folkbokföringsverk-
samhet.
Ett förordnande enligt första	Ett förordnande enligt första
stycket 1 får meddelas endast för	stycket 1 får meddelas endast för
den som innehar motsvarande kör-	den som innehar motsvarande kör-
kort. I samband med förordnan-	kort. I samband med förordnan-
det får det beslutas att Transport-	det får det beslutas att Transport-

styrelsen eller någon annan	styrelsen eller någon	annan
körkortsmyndighet skall föra in	körkortsmyndighet ska	föra in
uppgifter om körkortet i väg-	uppgifter om körkortet i väg-
trafikregistret.	trafikregistret.
I samband med ett förord-	I samband med ett förord-
nande enligt första stycket 2 får	nande enligt första stycket 2 får
det beslutas att den myndighet	det beslutas att den myndighet
som utfärdar handlingen även skall	som utfärdar handlingen även ska

1Senaste lydelse 2008:1355.

118

SOU 2023:100Författningsförslag

föra in uppgifter om handlingen		föra in uppgifter om handlingen
i det register där handlingar	av	i det register där handlingar	av
det aktuella slaget registreras.		det aktuella slaget registreras.

Ett förordnande enligt första stycket 3 får meddelas endast om åtgärder enligt första stycket 1 eller 2 inte är tillräckliga.

10 §2

När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 1 eller 2 har upphört att gälla, ska körkort, pass eller andra identitetshandlingar som omfattas av

Denna lag träder i kraft den i januari 2026.

2Senaste lydelse 2009:517.

119

Sekretess gäller för uppgift om metoder, modeller och riskfakto- rer som hänför sig till dataanaly- ser och urval i syfte att före- bygga, förhindra och upptäcka fel, om det kan antas att det allmän- nas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör

1. Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) eller 2 § folkbokförings- datalagen (0000:00),

2. Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00), eller

Författningsförslag

SOU 2023:100

1.20Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 17 kap. 1 a §, 22 kap. 1 a och 6 §§, 27 kap. 1, 3, 4, 7, 8 och

10 §§, 34 kap. 2, 3, 4 och 11 §§ och rubriken närmast före 17 kap. 1 a § och 34 kap. 2 § ska ha följande lydelse,

dels att det ska införas fyra nya paragrafer, 22 kap. 1 b §, 27 kap. 2 a och 3 a §§ och 34 kap. 10 b §, och närmast före 34 kap. 10 b § en ny rubrik av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
17 kap.
Dataanalyser och urval i syfte	Dataanalyser och urval i syfte
att förebygga, förhindra och	att förebygga, förhindra och
upptäcka felaktiga uppgifter i	upptäcka fel m.m. i vissa
folkbokföringsverksamheten	verksamheter

1 a §1

Sekretess gäller för uppgift om metoder, modeller och riskfakto- rer som hänför sig till dataanaly- ser och urval i syfte att före- bygga, förhindra och upptäcka felaktiga uppgifter i folkbokförings- verksamheten, om det kan antas att det allmännas syfte med så- dana analyser och urval motverkas om uppgiften röjs.

1Senaste lydelse 2023:162.

120

SOU 2023:100

Författningsförslag

3.Kronofogdemyndighetens verksamhet som avses i 2 § krono- fogdedatalagen (0000:00).

Sekretessen gäller även i verk- samhet som avses i första stycket 3 för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning.

22kap.

1 a §2

Sekretess gäller i verksamhet	Sekretess gäller vid dataanaly-
som avser förande av och uttag ur	ser och urval i syfte att förebygga,
analys- och urvalsdatabasen enligt	förhindra och upptäcka fel i Skatte-
lagen (2001:182) om behandling	verkets verksamhet som avses i 2 §
av personuppgifter i Skatteverkets	folkbokföringsdatalagen (0000:00)
folkbokföringsverksamhet för upp-	för uppgift om en enskilds per-
gift om en enskilds personliga	sonliga eller ekonomiska förhål-
eller ekonomiska förhållanden som	landen.
har tillförts databasen.

För uppgift i en allmän handling gäller sekretessen i högst tjugo år.

1 b §

Sekretess gäller i Skatteverkets verksamhet som avses i 2 § folk- bokföringsdatalagen (0000:00) för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelse- land, inflyttning från utlandet, medborgarskap eller uppehållsrätt.

Sekretessen gäller inte för upp- gift som ingår i en sådan samman- ställning om den grundar sig på upp- gifter om medborgarskap i Sverige, Danmark, Norge, Finland eller

2Senaste lydelse 2023:162.

121

Författningsförslag

SOU 2023:100

Island samt om medborgarskap inom eller utom Europeiska unio- nen (unionsmedborgarskap eller icke unionsmedborgarskap).

För uppgift i en allmän hand- ling gäller sekretessen i högst sjut- tio år.

6 §3

Den tystnadsplikt som följer	Den tystnadsplikt som följer
av 1 § första stycket, 1 a och 2 §§	av 1 § första stycket och 1 a–2 §§
inskränker rätten enligt 1 kap. 1	inskränker rätten enligt 1 kap. 1
och 7 §§ tryckfrihetsförordningen	och 7 §§ tryckfrihetsförordningen
och 1 kap. 1 och 10 §§ yttrande-	och 1 kap. 1 och 10 §§ yttrande-
frihetsgrundlagen att meddela	frihetsgrundlagen att meddela
och offentliggöra uppgifter.	och offentliggöra uppgifter.

27kap. 1 §4

Sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller

ekonomiska förhållanden.
Sekretess gäller vidare
1. i verksamhet som avser för-	1. vid förande av eller uttag ur
ande av eller uttag ur beskattnings-	en automatiserad uppgiftssamling
databasen enligt lagen (2001:181)	som Skatteverket använder i verk-
om behandling av uppgifter i Skatte-	samhet som avses i 2 § beskattnings-
verkets beskattningsverksamhet för	datalagen (0000:00) för uppgift
uppgift om en enskilds person-	om en enskilds personliga eller
liga eller ekonomiska förhållan-	ekonomiska förhållanden,
den som har tillförts databasen,

2.hos kommun eller region för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatterättsnämnden har lämnat

iett ärende om förhandsbesked i en skatte- eller taxeringsfråga, och

3Senaste lydelse 2023:162.

4Senaste lydelse 2022:1685.

122

SOU 2023:100

Författningsförslag

3.hos Försäkringskassan för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatteverket har lämnat i ett ärende om särskild sjukförsäkringsavgift.

Med skatt avses i detta kapitel skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund, skattetillägg, återkallelseavgift, rapporteringsavgift, plattformsavgift och förseningsavgift samt expeditionsavgift och tilläggsavgift enligt lagen (2004:629) om trängselskatt och tilläggsavgift enligt 8 a § lagen (2016:1067) om skatt på kemikalier i viss elektronik. Med verksam- het som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst.

Första och andra styckena	Första och andra styckena
gäller inte om annat följer av 3, 4	gäller inte om annat följer av 3, 4
eller 6 §.	eller 6 §. Andra stycket 1 gäller inte
	heller om det finns en annan pri-
	mär sekretessbestämmelse än 21 kap.
	1, 3, 3 a, 5 och 7 §§ som är tillämp-
	lig på uppgiften när den förekom-
	mer i ett ärende hos Skatteverket.

För uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat tros- samfund gäller dock sekretessen i högst sjuttio år.

2 a §

Sekretess gäller vid dataanaly- ser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatte- verkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds person- liga eller ekonomiska förhållanden.

För uppgift i en allmän hand- ling gäller sekretessen i högst tjugo år.

123

FörfattningsförslagSOU 2023:100

3 §

Sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider

skada eller men.
Motsvarande sekretess gäller	Motsvarande sekretess gäller
i en myndighets verksamhet som av-	vid förande av eller uttag ur en
ser förande av eller uttag ur tull-	automatiserad uppgiftssamling som
databasen enligt lagen (2001:185)	Tullverket använder i verksamhet
om behandling av uppgifter i Tull-	som avses i 2 § tulldatalagen
verkets verksamhet för uppgift som	(0000:00) för uppgift som finns i
har tillförts databasen.	den uppgiftssamlingen.
Första och andra styckena gäl-	Första och andra styckena gäl-
ler inte om annat följer av 6 §.	ler inte om annat följer av 6 §.
	Andra stycket gäller inte heller om
	det finns en annan primär sekre-
	tessbestämmelse än 21 kap. 1, 3,
	3 a, 5 och 7 §§ som är tillämplig på
	uppgiften när den förekommer i ett
	ärende hos Tullverket.

För uppgift i en allmän handling gäller sekretessen i högst tjugo år.

3 a §

Sekretess gäller vid dataanaly- ser och urval i syfte att förebygga, förhindra och upptäcka fel i Tull- verkets verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift om en enskilds personliga eller eko- nomiska förhållanden.

För uppgift i en allmän hand- ling gäller sekretessen i högst tjugo år.

4 §5

Sekretessen enligt 1–3 §§ gäl-	Sekretessen enligt 1, 2 och
ler för uppgift i mål hos domstol,	3 §§ gäller för uppgift i mål hos
om det kan antas att den enskil-	domstol, om det kan antas att den
de lider skada eller men om upp-	enskilde lider skada eller men om

5Senaste lydelse 2011:739.

124

Sekretessen enligt 1, 2, 3 och 4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes kon- kurs.

125

2. lagen (1990:613) om miljö- avgift på utsläpp av kväveoxider vid energiproduktion,

3. förordningen (0000:00) om utlämnande av uppgifter från Skatteverkets beskattningsverksam- het, eller

4. förordningen (0000:00) om utlämnande av uppgifter från Tull- verket.

SOU 2023:100

Författningsförslag

giften röjs. Detsamma gäller upp- gift som med anledning av ett överklagande hos domstol regi- streras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Får en domstol i ett mål från en annan myndighet en sekre- tessreglerad uppgift och saknar uppgiften betydelse i målet, blir

dock sekretessbestämmelsen tillämplig på uppgiften även hos domstolen.

uppgiften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol regi- streras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Får en domstol i ett mål från en annan myndighet en sekre- tessreglerad uppgift och saknar uppgiften betydelse i målet, blir

dock sekretessbestämmelsen tillämplig på uppgiften även hos domstolen.

7 §6

Sekretessen enligt 1, 3 och 4 §§ hindrar inte att uppgift lämnas till en enskild enligt vad som föreskrivs i

1.lag om förfarande vid beskattning,

2.lagen (2001:181) om behand-

ling av uppgifter i Skatteverkets be- skattningsverksamhet,

3. lagen (1990:613) om miljö- avgift på utsläpp av kväveoxider vid energiproduktion, eller

4. förordningen (2001:646) om behandling av uppgifter i Tull- verkets verksamhet.

8 §

Sekretessen enligt 1–4 §§ hind- rar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs.

6Senaste lydelse 2016:883.

Den tystnadsplikt som följer av 1 §, 2 § första stycket och 2 a– 5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihets- förordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

Författningsförslag

SOU 2023:100

Sekretessen enligt 2–4 §§ hind-	Sekretessen enligt 2, 3 och
rar inte att uppgift i ärende enligt	4 §§ hindrar inte att uppgift i
lagen (2007:324) om Skatteverkets	ärende enligt lagen (2007:324) om
hantering av vissa borgenärs-	Skatteverkets hantering av vissa
uppgifter lämnas till en förvaltare	borgenärsuppgifter lämnas till en
i den enskildes konkurs.	förvaltare i den enskildes kon-
	kurs.

Om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utläm- nandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen.

10 §7

Den tystnadsplikt som följer av 1 §, 2 § första stycket och 3– 5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt

1 kap. 1 och 7 §§ tryckfrihets- förordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

34 kap.

Utsöknings- och	Uppgifter i automatiserade
indrivningsdatabasen	uppgiftssamlingar
2 §
Under motsvarande förutsätt-	Under motsvarande förutsätt-
ningar som i 1 § gäller sekretess i	ningar som i 1 § gäller sekretess
verksamhet som avser förande av	vid förande av eller uttag ur en
eller uttag ur utsöknings- och in-	automatiserad uppgiftssamling som
drivningsdatabasen enligt lagen	Kronofogdemyndigheten använder

7Senaste lydelse 2018:1919.

126

SOU 2023:100Författningsförslag

(2001:184) om behandling av upp-	i verksamhet med utsökning och
gifter i Kronofogdemyndighetens	indrivning samt ansökan om och
verksamhet för uppgift om en en-	tillsyn över näringsförbud som av-
skilds personliga eller ekonomiska	ses i 2 § kronofogdedatalagen
förhållanden som har tillförts data-	(0000:00) för uppgift om en en-
basen.	skilds personliga eller ekonomiska
	förhållanden.
	Första stycket gäller inte om det
	finns en annan primär sekretess-
	bestämmelse än 21 kap. 1, 3, 3 a, 5
	och 7 §§ som är tillämplig på upp-
	giften när den förekommer i ett ären-
	de hos Kronofogdemyndigheten.

För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.

3 §

Uppgift i mål, ärende eller	Uppgift som avses i 1 och
verksamhet som avses i 1 och 2 §§	2 §§ och som Kronofogdemyndig-
och som Kronofogdemyndigheten	heten har beslutat att blockera
har beslutat att blockera med	med tillämpning av 18 § krono-
tillämpning av 3 kap. 3 a § lagen	fogdedatalagen (0000:00) omfattas
(2001:184) om behandling av upp-	av sekretess oavsett vad som före-
gifter i Kronofogdemyndighetens	skrivs i nämnda paragrafer. Vid
verksamhet omfattas av sekretess	tillämpning av 1 § andra stycket
oavsett vad som föreskrivs i	ska bortses från sökt verkställig-
nämnda paragrafer. Vid tillämp-	het beträffande vilken uppgiften
ning av 1 § andra stycket ska bort-	blockerats.
ses från sökt verkställighet beträf-
fande vilken uppgiften blockerats.

För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.

4 §

Sekretess gäller, i den utsträck-	Sekretess gäller, i den utsträck-
ning riksdagen har godkänt ett	ning riksdagen har godkänt ett
avtal om detta med en annan stat	avtal om detta med en annan stat

127

Författningsförslag

SOU 2023:100

eller med en mellanfolklig orga-	eller med en mellanfolklig orga-
nisation, hos en myndighet i verk-	nisation, hos en myndighet i verk-
samhet som avses i 1–3 §§ för	samhet som avses i 1–3 och
sådan uppgift om en enskilds per-	10 b §§ för sådan uppgift om en
sonliga eller ekonomiska förhållan-	enskilds personliga eller ekono-
den som myndigheten förfogar	miska förhållanden som myndig-
över på grund av avtalet.	heten förfogar över på grund av
	avtalet.

Om sekretess gäller enligt första stycket, får de sekretessbryt- ande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet.

För uppgift i en allmän handling gäller sekretessen i högst tjugo år.

Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel m.m. i Kronofogdemyndighetens verksamhet

10 b §

Sekretess gäller vid dataanalyser och urval i syfte att förebygga, för- hindra och upptäcka fel samt mot- verka överskuldsättning i Krono- fogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00) för uppgift om en en- skilds personliga eller ekonomiska förhållanden.

För uppgift i en allmän hand- ling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.

128

Författningsförslag

SOU 2023:100

1.21Förslag till lag om ändring i skatteförfarandelagen (2011:1244)

Härigenom föreskrivs att 65 kap. 13 § skatteförfarandelagen (2011:1244) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

65kap. 13 §

Om skatt eller avgift inte betalas i rätt tid, ska kostnadsränta be- räknas från och med dagen efter den dag då beloppet senast skulle ha

betalats.
Kostnadsränta ska beräknas	Kostnadsränta ska beräknas
efter en räntesats som motsvarar	efter en räntesats som motsvarar
basräntan plus 15 procentenheter	basräntan plus 15 procentenheter
till och med den dag då ett beslut	till och med den dag då ett beslut
om att lämna beloppet till Krono-	om att lämna beloppet till Krono-
fogdemyndigheten för indrivning	fogdemyndigheten för indrivning
eller för verkställighet av betal-	eller för verkställighet av betal-
ningssäkring registreras i utsök-	ningssäkring registreras hos Krono-
nings- och indrivningsdatabasen	fogdemyndigheten. Därefter beräk-
enligt lagen (2001:184) om behand-	nas kostnadsräntan efter en ränte-
ling av uppgifter i Kronofogde-	sats som motsvarar basräntan.
myndighetens verksamhet. Därefter
beräknas kostnadsräntan efter en
räntesats som motsvarar basräntan.

Denna lag träder i kraft den 1 januari 2026.

130

SOU 2023:100

Författningsförslag

1.22Förslag till lag om ändring i lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter

Härigenom föreskrivs att 8 § lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

8 §

Om skatten inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats till och med den dag då beloppet betalas.

Kostnadsränta	ska beräknas	Kostnadsränta ska beräknas
efter en räntesats som motsvarar		efter en räntesats som motsvarar
basräntan enligt 65 kap. 3 § skatte-		basräntan enligt 65 kap. 3 § skatte-
förfarandelagen (2011:1244) plus		förfarandelagen (2011:1244) plus
15 procentenheter till och med den		15 procentenheter till och med den
dag då ett beslut om att lämna		dag då ett beslut om att lämna
beloppet till Kronofogdemyndig-		beloppet till Kronofogdemyndig-
heten för indrivning registreras		heten för indrivning registreras
i utsöknings- och indrivningsdata-		hos Kronofogdemyndigheten. Där-
basen enligt lagen (2001:184) om		efter beräknas kostnadsräntan med
behandling av uppgifter i Krono-		en räntesats som motsvarar bas-
fogdemyndighetens	verksamhet.	räntan enligt 65 kap. 3 § skatte-
Därefter beräknas kostnadsräntan		förfarandelagen.
med en räntesats som motsvarar
basräntan enligt 65 kap. 3 § skatte-

förfarandelagen.

Om skatt ska betalas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska kostnadsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag. Kostnadsränta ska beräknas till och med den dag då betalning senast ska ske. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen.

Om det finns synnerliga skäl, ska beskattningsmyndigheten be- sluta om befrielse från kostnadsränta.

Om skatt ska tillgodoräknas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska intäktsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag till och med den dag

131

Författningsförslag

SOU 2023:100

1.24Förslag till lag om ändring i kommunallagen (2017:725)

Härigenom föreskrivs att 5 kap. 6 § kommunallagen (2017:725) ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

5 kap.

6 §

Vid tillämpningen av 5 § ska	Vid tillämpningen av 5 § ska
antalet röstberättigade beräknas	antalet röstberättigade beräknas
på grundval av uppgifterna i folk-	på grundval av de uppgifter som
bokföringsdatabasen enligt lagen	har registrerats i Skatteverkets folk-
(2001:182) om behandling av per-	bokföringsverksamhet den 1 mars
sonuppgifter i Skatteverkets folk-	året före valåret.
bokföringsverksamhet den 1 mars
året före valåret.

Denna lag träder i kraft den 1 januari 2026.

134

SOU 2023:100

Författningsförslag

1.25Förslag till lag om ändring i lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område

Härigenom föreskrivs att 2 kap. 6 § och rubriken närmast före 2 kap. 6 § lagen (2018:1696) om Skatteverkets behandling av person- uppgifter inom brottsdatalagens område ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 kap.

BeskattningsdatabasenSökning i

beskattningsverksamheten

6 §
I lagen (2001:181) om behand-	I	beskattningsdatalagen
ling av uppgifter i Skatteverkets	(0000:00) finns bestämmelser om
beskattningsverksamhet finns be-	hur personuppgifter får behandlas
stämmelser om beskattningsdata-	i Skatteverkets beskattningsverk-
basen. Vid sökning i beskattnings-	samhet. Vid sökning i beskattnings-
databasen som görs för att utföra	verksamheten som görs för att ut-
en uppgift som anges i 1 § får	föra en uppgift som anges i 1 §
endast uppgift om namn, per-	får endast uppgift om namn, per-
sonnummer eller samordnings-	sonnummer eller samordnings-
nummer användas.	nummer användas.

Denna lag träder i kraft den 1 januari 2026.

135

Författningsförslag

SOU 2023:100

1.26Förslag till lag om ändring i lagen (2022:155) om tobaksskatt

Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:155) om tobaksskatt ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

5 kap.

2 §

I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet:

1.elektroniska administrativa dokument enligt 4 § första stycket,

2.administrativa referenskoder enligt 4 § tredje stycket,

3.uppgifter om ändrad destination enligt 6 §,

4.underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde,

5.mottagningsrapporter enligt 10 §, och

6.exportrapporter enligt 11 §.

Bestämmelser om behand-	Bestämmelser om behand-
lingen av uppgifter i det datorise-	lingen av personuppgifter i det dato-
rade systemet finns i lagen	riserade systemet finns i beskatt-
(2001:181) om behandling av upp-	ningsdatalagen (0000:00).
gifter i Skatteverkets beskattnings-
verksamhet.

När det datoriserade systemet inte är tillgängligt gäller bestäm- melserna i 14–16 §§.

Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare.

8 kap.

2 §

I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor:

1.elektroniska förenklade administrativa dokument enligt 4 § första stycket,

2.förenklade administrativa referenskoder enligt 4 § tredje stycket,

3.uppgifter om ändrad destination enligt 6 §, och

136

Författningsförslag

SOU 2023:100

1.27Förslag till lag om ändring i lagen (2022:156) om alkoholskatt

Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:156) om alkoholskatt ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

5 kap.

2 §

I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet:

1.elektroniska administrativa dokument enligt 4 § första stycket,

2.administrativa referenskoder enligt 4 § tredje stycket,

3.uppgifter om ändrad destination enligt 6 §,

4.underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde,

5.mottagningsrapporter enligt 10 §, och

6.exportrapporter enligt 11 §.

Bestämmelser om behand-	Bestämmelser om behand-
lingen av uppgifter i det datorise-	lingen av personuppgifter i det dato-
rade systemet finns i lagen	riserade systemet finns i beskatt-
(2001:181) om behandling av upp-	ningsdatalagen (0000:00).
gifter i Skatteverkets beskattnings-
verksamhet.

När det datoriserade systemet inte är tillgängligt gäller bestäm- melserna i 14–16 §§.

Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare.

8 kap.

2 §

I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor:

1.elektroniska förenklade administrativa dokument enligt 4 § första stycket,

2.förenklade administrativa referenskoder enligt 4 § tredje stycket,

3.uppgifter om ändrad destination enligt 6 §, och

138

Författningsförslag

SOU 2023:100

1.28Förslag till lag om ändring i lagen (2022:856) om omställningsstudiestöd

Härigenom föreskrivs att 45 § lagen (2022:856) om omställnings- studiestöd ska ha följande lydelse.

Nuvarande lydelse		Föreslagen lydelse
	45 §
Den som är återbetalnings-		Den som är återbetalnings-
skyldig för återkrav och som inte		skyldig för återkrav och som inte
har sin aktuella adress registrerad		har sin aktuella adress registrerad
i folkbokföringsdatabasen	enligt	i Skatteverkets folkbokförings-
lagen (2001:182) om behandling		verksamhet ska lämna uppgift om
av personuppgifter i Skatteverkets		adressen till Centrala studiestöds-
folkbokföringsverksamhet	ska	nämnden.

lämna uppgift om adressen till Centrala studiestödsnämnden.

Denna lag träder i kraft den 1 januari 2026.

140

SOU 2023:100

Författningsförslag

1.29Förslag till lag om ändring i lagen (2022:1697) om samordningsnummer

Härigenom föreskrivs att 1 kap. 2 §, 2 kap. 4 § och 4 kap. 1 och 2 §§ lagen (2022:1697) om samordningsnummer ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

1 kap.

2 §

Skatteverket beslutar i ärenden enligt denna lag.

Uppgifter om personer som har	Skatteverket får registrera föl-
tilldelats samordningsnummer regi-	jande uppgifter om en person som
streras i folkbokföringsdatabasen en-	har tilldelats samordningsnummer:
ligt lagen (2001:182) om behand-	1. samordningsnummer,
ling av personuppgifter i Skatte-	2. personnummer,
verkets folkbokföringsverksamhet.	3. namn,
	4. födelsetid,
	5. medborgarskap,
	6. födelseort och födelseland
	7. kontaktadress,
	8. om personens identitet är
	styrkt, sannolik eller osäker,
	9. tidpunkt för när vilandeför-
	klaring kan komma att ske enligt
	3 kap. 2 § 1,
	10. vilandeförklaring	enligt
	3 kap. 2 §, med angivande av om för-
	klaringen skett med stöd av punkt 1
	eller 2 i den paragrafen, och

11. tidpunkt för när en person har avlidit.

Bestämmelser om folkbokföring och personnummer finns i folk- bokföringslagen (1991:481).

2kap. 4 §

Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck

141

Författningsförslag

SOU 2023:100

och ansiktsbild i digitalt format för att kontrollera att dessa mot- svarar dem som finns i handlingen.

När en kontroll enligt första stycket har genomförts, ska finger- avtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.

4 kap.

1 §

En myndighet ska underrätta	En myndighet ska underrätta
Skatteverket om det kan antas	Skatteverket om det kan antas
att en uppgift i folkbokförings-	att en uppgift som får registreras
databasen om någon som har till-	om någon som har tilldelats ett
delats ett samordningsnummer	samordningsnummer är oriktig
är oriktig eller ofullständig.	eller ofullständig.

En sådan underrättelse behöver inte lämnas om särskilda skäl talar mot det.

Skyldigheten i första stycket gäller inte för Skatteverkets brotts- bekämpande verksamhet. Den gäller inte heller i fråga om uppgifter

som omfattas av sekretess enligt	24 kap. 8 § offentlighets- och
sekretesslagen (2009:400).
2 §
Om en person med ett sam-	Om en person med ett sam-
ordningsnummer har en kontakt-	ordningsnummer har en kontakt-
adress registrerad i folkbokförings-	adress registrerad, ska han eller
databasen, ska han eller hon an-	hon anmäla ändringar av adres-
mäla ändringar av adressen till	sen till Skatteverket.
Skatteverket.

Anmälningsskyldigheten gäller inte om samordningsnumret är vilande eller personen omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.

Denna lag träder i kraft den 1 januari 2026.

142

SOU 2023:100

Författningsförslag

1.30Förslag till beskattningsdataförordning

Härigenom föreskrivs följande.

Allmänna bestämmelser

1 § I denna förordning finns bestämmelser som kompletterar be- skattningsdatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen.

Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.

Tillgång till personuppgifter

2 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörig- heter för åtkomst till personuppgifter.

3 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till per- sonuppgifter.

Särskilda rutiner vid dataanalyser och urval

4 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får an- vändas vid dataanalyser och urval.

Rutiner vid elektroniskt utlämnande

5 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av person- uppgifter sker på ett godtagbart sätt från integritetssynpunkt.

Längsta tid för behandling

6 § Skatteverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.

143

SOU 2023:100

Författningsförslag

1.31Förslag till folkbokföringsdataförordning

Härigenom föreskrivs följande.

Allmänna bestämmelser

1 § I denna förordning finns bestämmelser som kompletterar folk- bokföringsdatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen.

Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.

Tillgång till personuppgifter

2 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörig- heter för åtkomst till personuppgifter.

3 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till per- sonuppgifter.

Särskilda rutiner vid dataanalyser och urval

4 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.

Rutiner vid elektroniskt utlämnande

Längsta tid för behandling

6 § Skatteverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.

145

SOU 2023:100

Författningsförslag

1.32Förslag till tulldataförordning

Härigenom föreskrivs följande.

Allmänna bestämmelser

1 § I denna förordning finns bestämmelser som kompletterar tull- datalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen.

Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.

Tillgång till personuppgifter

2 § Tullverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörig- heter för åtkomst till personuppgifter.

3 § Tullverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till person- uppgifter.

Särskilda rutiner vid dataanalyser och urval

4 § Tullverket ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.

Rutiner vid elektroniskt utlämnande

5 § Tullverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av person- uppgifter sker på ett godtagbart sätt från integritetssynpunkt.

Längsta tid för behandling

6 § Tullverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.

147

SOU 2023:100

Författningsförslag

1.33Förslag till kronofogdedataförordning

Härigenom föreskrivs följande.

Allmänna bestämmelser

1 § I denna förordning finns bestämmelser som kompletterar krono- fogdedatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen.

Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.

Tillgång till personuppgifter

2 § Kronofogdemyndigheten ansvarar för att det inom myndig- heten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.

3 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åt- komst till personuppgifter.

Särskilda rutiner vid dataanalyser och urval

4 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sök- begrepp får användas vid dataanalyser och urval.

Rutiner vid elektroniskt utlämnande

5 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.

Längsta tid för behandling

6 § Kronofogdemyndigheten får meddela föreskrifter om att person- uppgifter längst får behandlas under en viss tid.

149

SOU 2023:100

Författningsförslag

1.34Förslag till förordning om det statliga personadressregistret

Härigenom föreskrivs följande.

Allmänna bestämmelser

1 § I denna förordning finns bestämmelser som kompletterar lagen (0000:00) om det statliga personadressregistret.

Ansvarig myndighet

2 § Skatteverket ansvarar för SPAR.

SPAR-nämnden

3 § Skatteverkets beslut i frågor som avses i 10 § och 13 § första stycket denna förordning ska fattas av en särskild nämnd inom myndigheten, SPAR-nämnden. Om det finns skäl för det, får Skatte- verket bestämma att nämnden ska fatta beslut även i annat enskilt ärende enligt lagen (0000:00) om det statliga personadressregistret eller denna förordning.

Närmare bestämmelser om nämnden, dess ledamöter och nämn- dens beslutsförhet finns i 27–29 §§ förordningen (2017:154) med instruktion för Skatteverket.

Avgifter

4 § Användningen av SPAR får vara avgiftsbelagd.

Elektroniskt utlämnande av uppgifter

5 § Uppgifter från Skatteverkets beskattningsverksamhet får endast lämnas ut till Polismyndigheten, Säkerhetspolisen och Tullverket.

6 § Uppgifter om födelsehemort och svenskt medborgarskap får endast lämnas ut till myndigheter.

151

Författningsförslag

SOU 2023:100

7 § Uppgifter om adress och folkbokföringsort för en person under 16 år får till enskilda endast lämnas ut för kontrolländamål en- ligt 5 § 1 lagen (0000:00) om det statliga personadressregistret.

8 § Uppgifter om make eller vårdnadshavare får endast lämnas ut till

1.myndigheter,

2.banker,

3.kreditmarknadsföretag,

4.försäkringsföretag,

5.tjänstepensionsföretag,

6.fondbolag,

7.AIF-förvaltare,

8.värdepappersbolag,

9.betalningsinstitut,

10.institut för elektroniska pengar,

11.kreditupplysningsföretag,

12.pensionsstiftelser,

13.inrättningar för detaljhandel med läkemedel som bedrivs med tillstånd enligt 2 kap. 1 § lagen (2009:366) om handel med läkemedel,

14.enskilda huvudmän enligt 2 kap. 5 § skollagen (2010:800),

15.privata vårdgivare enligt 1 kap. 3 § patientdatalagen (2008:355),

16.sådana företag som på uppdrag av försäkringsföretag, tjänste- pensionsföretag eller pensionsstiftelser administrerar försäkringar, pensioner eller liknande utfästelser, och

17.föreningar och stiftelser om uppgifterna behövs i samband med släktforskning.

9 § Uppgifter om att en registrerad har begärt att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2 lagen (0000:00) om det statliga personadressregistret får endast lämnas ut om den registrerade har samtyckt till det.

Bruttoavisering

10 § Efter beslut av Skatteverket får vissa uppgifter som rör samt- liga personer i SPAR lämnas ut för kontrolländamål enligt 5 § 1 lagen (0000:00) om det statliga personadressregistret (bruttoavisering). Bruttoavisering får avse uppgifter för en viss period om ändring av

152

SOU 2023:100

Författningsförslag

namn, personnummer, födelsetid, adress, folkbokföringsort och make eller vårdnadshavare samt avregistrering från folkbokföringen.

Bruttoavisering får endast medges den som i sin verksamhet regel- mässigt behandlar uppgifter om en betydande del av befolkningen och fortlöpande behöver uppdatera dessa. För sådant utlämnande gäller att uppgifter om personer som inte har direkt samband med mot- tagarens verksamhet ska gallras i omedelbar anslutning till uppdater- ingen.

Informationsskyldighet vid utlämnande för direktreklam

11 § Vid utlämnande av uppgifter om namn och adress för direkt- reklam enligt 5 § 2 lagen (0000:00) om det statliga personadress- registret ska Skatteverket se till att den som hämtar uppgifterna ur SPAR informerar de registrerade om att uppgifterna hämtats ur SPAR och om adress dit de kan vända sig i frågor rörande SPAR.

Sökbegrepp

12 § För kontrolländamål enligt 5 § 1 lagen (0000:0) om det stat- liga personadressregistret får endast följande uppgifter användas som sökbegrepp:

1.namn,

2.person- eller samordningsnummer,

3.födelsetid,

4.adress, och

5.folkbokföringsort och distrikt.

Uppgifter om adress, folkbokföringsort och distrikt får dock en- dast användas i kombination med uppgift om namn.

13 § För urvalsändamål enligt 5 § 2 lagen (0000:00) om det statliga personadressregistret får endast följande uppgifter användas som sökbegrepp, om inte annat sägs i tredje eller fjärde stycket:

1.person- eller samordningsnummer,

2.födelsetid,

3.adress,

4.folkbokföringsort och distrikt,

5.make eller vårdnadshavare,

153

Författningsförslag

SOU 2023:100

6.avregistrering enligt 19–22 §§ folkbokföringslagen (1991:481), med angivande av tidpunkt,

7.summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor,

8.ägare av småhusenhet eller lantbruksenhet med småhus på tomt- mark samt uppgift om kommun (belägenhet), och

9.taxeringsvärde för småhusenhet.

Uppgifter enligt första stycket 7 och 9 ska ordnas i klasser på det sätt som Skatteverket beslutar.

Uppgifter om barn yngre än åtta veckor och uppgifter enligt 7–9 om en person under 18 år får inte användas som sökbegrepp vid en behandling enligt första stycket.

Uppgifter om avregistrering på grund av dödsfall enligt 19 § folk- bokföringslagen får användas som sökbegrepp vid en behandling en- ligt första stycket tidigast fyra veckor efter dödsfallet.

Statistiska bearbetningar

14 § Uppgifter enligt 6 § första stycket lagen (0000:00) om det statliga personadressregistret får även behandlas för statistiska be- arbetningar med de sökbegrepp som är tillåtna enligt 13 §, om resul- taten redovisas i en avidentifierad form.

Längsta tid för behandling

15 § För kontroll- och urvalsändamål enligt 5 § lagen (0000:00) om det statliga personadressregistret får följande uppgifter behandlas som längst tre år efter det att en ny, motsvarande uppgift registrerades:

1.namn,

2.person- eller samordningsnummer,

3.födelsetid,

4.adress,

5.folkbokföringsort och distrikt,

6.födelsehemort,

7.svenskt medborgarskap,

8.make eller vårdnadshavare, och

154

SOU 2023:100

Författningsförslag

9.tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer.

16 § För kontroll- och urvalsändamål enligt 5 § lagen (0000:00) om det statliga personadressregistret får följande uppgifter behand- las som längst till när en ny, motsvarande uppgift registreras:

1.summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor,

2.ägare av småhusenhet eller lantbruksenhet med småhus på tomt- mark samt uppgift om kommun (belägenhet), och

3.taxeringsvärde för småhusenhet.

17 § Om en person avregistreras från folkbokföringen, en person med ett samordningsnummer avlider eller ett samordningsnummer förklaras vilande, får uppgifter enligt 6 § lagen (0000:00) om det stat- liga personadressregistret behandlas för kontroll- och urvalsändamål enligt 5 § samma lag som längst tre år efter det att uppgiften om avregistreringen, dödsfallet eller vilandeförklaringen registrerades i SPAR.

Uppgifter om den som avregistrerats som utflyttad enligt 20 § folkbokföringslagen (1991:481) får dock behandlas för sådana ända- mål som längst fem år efter det att uppgiften om avregistreringen regi- strerades i SPAR, om inte den utflyttade dessförinnan anmält ett fort- satt behov av att uppgifterna står kvar i registret. En sådan anmälan måste därefter göras vart femte år för att uppgifterna ska få fortsätta behandlas. Har tidsfristen för hur länge uppgifterna får behandlas löpt ut, får de efter anmälan åter behandlas i SPAR.

Rätt att meddela föreskrifter

18 § Skatteverket får meddela föreskrifter om

1.giltighetstid för Skatteverkets beslut enligt lagen (0000:00) om det statliga personadressregistret och denna förordning,

2.giltighetstid för användning av uppgifter som har lämnats ut för urvalsändamål, och

3.villkor för säkerhet och hantering vid utlämnande av uppgifter ur SPAR.

155

SOU 2023:100

Författningsförslag

1.35Förslag till förordning om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter

Härigenom föreskrivs följande.

Allmänna bestämmelser

1 § I denna förordning finns bestämmelser som kompletterar lagen (0000:00) om dataskydd för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Ord och uttryck i förordningen har samma betydelse som i lagen.

Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.

Tillgång till personuppgifter

2 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörig- heter för åtkomst till personuppgifter.

3 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till per- sonuppgifter.

Rutiner vid elektroniskt utlämnande

4 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av person- uppgifter sker på ett godtagbart sätt från integritetssynpunkt.

Längsta tid för behandling

5 § Skatteverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.

157

SOU 2023:100

Författningsförslag

1.36Förslag till förordning om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

1 § Denna förordning innehåller föreskrifter om utlämnande av upp- gifter från Skatteverkets beskattningsverksamhet i vissa fall.

Bestämmelser som avser Skatteverkets utlämnande av uppgifter finns även i andra författningar.

2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § beskattningsdatalagen (0000:00).

3 § Skatteverket får ta ut avgifter för att lämna ut uppgifter. Rätten att ta ut avgifter får dock inte innebära en inskränkning i

1.rätten att ta del av och mot fastställd avgift få kopia eller ut- skrift av en allmän handling enligt tryckfrihetsförordningen, eller

2.en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

4 § Skatteverket fastställer avgifter för utlämnande av uppgifter enligt denna förordning eller annan författning. En avgift ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning.

2 kap. Utlämnande till enskilda

1 § Om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon närstående lider men om uppgiften röjs får följande uppgifter lämnas ut till en enskild:

1.namn och personnummer,

2.organisationsnummer, namn, företagsnamn och juridisk form samt i fråga om handelsbolag och andra juridiska personer sådana

159

Författningsförslag

SOU 2023:100

uppgifter om huvudkontor och säte som avses i 67 kap. 8 § skatte- förfarandelagen (2011:1244),

3.registrering enligt skatteförfarandelagen samt särskilt registre- rings- eller redovisningsnummer,

4.på vilket sätt den preliminära skatten ska betalas för en fysisk person,

5.registrering av skyldighet att göra skatteavdrag eller betala arbets- givaravgifter,

6.slag av näringsverksamhet,

7.beslut om likvidation, förenklad avveckling eller konkurs,

8.om en fysisk eller juridisk person är godkänd som skattebefriad förbrukare enligt lagen (1994:1776) om skatt på energi eller lagen (2022:156) om alkoholskatt och i sådana fall från vilken tidpunkt, samt vad godkännandet omfattar.

9.om en fysisk eller juridisk person är godkänd som registrerad avsändare enligt lagen om skatt på energi, lagen (2022:155) om tobaks- skatt eller lagen om alkoholskatt och i sådana fall från vilken tid- punkt, och

10.om en distansförsäljare enligt 10 kap. lagen om tobaksskatt har ställt säkerhet för skatten på de varor som sänds från det andra EU-landet.

2 § I den utsträckning det behövs för beräkning eller kontroll av arbetslöshetsersättning enligt lagen (1997:238) om arbetslöshets- försäkring ska följande uppgifter lämnas ut till arbetslöshetskassorna:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardekla- ration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

3 kap. Utlämnande till andra verksamheter inom Skatteverket

Skatteverkets brottsbekämpande verksamhet

1 § I den utsträckning det behövs i verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet ska följande upp- gifter lämnas ut till Skatteverkets brottsbekämpande verksamhet:

160

SOU 2023:100

Författningsförslag

1.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare,

3.registrering för skatter och avgifter,

4.underlag för fastställande av skatter och avgifter,

5.bestämmande av skatter och avgifter,

6.revision och annan kontroll av skatter och avgifter,

7.uppgifter som behövs för handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,

8.yrkanden och grunder i ett ärende, och

9.beslut, betalning, redovisning och övriga åtgärder i ett ärende.

Skatteverkets folkbokföringsverksamhet

2 § I den utsträckning det behövs för handläggning av ärenden eller kontroll av uppgifter i folkbokföringsverksamheten ska följande upp- gifter lämnas ut till Skatteverkets folkbokföringsverksamhet:

1.en fysisk persons identitet, medborgarskap, bosättning och familje- förhållanden,

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare,

3.registrering för skatter och avgifter,

4.underlag för fastställande av skatter och avgifter,

5.bestämmande av skatter och avgifter,

6.underlag för fastighetstaxering, och

7.beslut, betalning, redovisning och övriga åtgärder i ett ärende.

Skatteverkets verksamhet med det statliga personadressregistret

3 § I den utsträckning det behövs i verksamhet enligt lagen (0000:00) om det statliga personadressregistret ska följande uppgifter lämnas ut till Skatteverkets verksamhet med det statliga personadress- registret:

1.summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor,

2.ägare av småhusenhet eller lantbruksenhet med småhus på tomt- mark samt uppgift om kommun (belägenhet), och

3.taxeringsvärde för småhusenhet.

161

Författningsförslag

SOU 2023:100

Skatteverkets verksamhet för evenemangsstöd

4 § I den utsträckning det behövs för handläggning enligt förord- ningen (2021:816) om statligt stöd för vissa planerade evenemang som inte kunnat genomföras med anledning av begränsningar som beslutats för att förhindra spridning av sjukdomen covid-19 ska följande uppgifter lämnas ut till Skatteverkets verksamhet för evene- mangsstöd:

1.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, och

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare.

Utlämnande på eget initiativ

5 § Utlämnande av uppgifter enligt 1, 2 och 4 §§ får inte ske på initia- tiv av Skatteverkets beskattningsverksamhet.

4. kap. Utlämnande till Kronofogdemyndigheten

1 § I den utsträckning det behövs i Kronofogdemyndighetens verk- samhet ska följande uppgifter lämnas ut till Kronofogdemyndigheten:

1.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare, och

3.registrering för skatter och avgifter.

2 § Uppgifter som anges i 3 § ska lämnas ut till Kronofogdemyndig- heten i den utsträckning det behövs för

1.verksamhet med skuldsanering eller F-skuldsanering,

2.verksamhet med utsökning eller indrivning, eller

3.handläggning av ärenden om tillsyn över näringsförbud.

3 § Följande uppgifter ska lämnas ut enligt 2 §:

1.underlag för fastställande av skatter och avgifter,

2.bestämmande av skatter och avgifter,

3.uppgifter som behövs för handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,

162

SOU 2023:100

Författningsförslag

4.yrkanden och grunder i ett ärende, och

5.beslut, betalning, redovisning och övriga åtgärder i ett ärende.

4 § Uppgifter som anges i 3 § 1 och 2 ska även lämnas ut till Krono- fogdemyndigheten i den utsträckning det behövs för handläggning av en begäran om inhämtande av bankkontoinformation enligt Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur.

Utlämnande på eget initiativ

5 § Utlämnande av uppgifter enligt 1–4 §§ får inte ske på initiativ av Skatteverket.

5 kap. Utlämnande till Tullverket

1 § Uppgifter som anges i 2 § ska lämnas ut till Tullverket i den utsträckning det behövs för

1.handläggning av ärenden om skyldighet att betala tull eller andra avgifter enligt tullagstiftningen,

2.handläggning av ärenden om skyldighet att betala skatt för vara vid import,

3.handläggning av ärenden om skattskyldighet enligt

a)lagen (1994:1776) om skatt på energi,

b)lagen (2016:1067) om skatt på kemikalier i viss elektronik,

c)lagen (2018:696) om skatt på vissa nikotinhaltiga produkter,

d)lagen (2020:32) om skatt på plastbärkassar,

e)lagen (2022:155) om tobaksskatt, eller

f)lagen (2022:156) om alkoholskatt,

4.verksamhet med utbyte av information i punktskattefrågor en- ligt i rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om admi- nistrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004,

5.kontrollverksamhet, eller

6.dataanalyser och urval.

163

Författningsförslag

SOU 2023:100

2 § Följande uppgifter ska lämnas ut enligt 1 §:

1.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare,

3.registrering för skatter och avgifter,

4.underlag för fastställande av skatter och avgifter,

5.bestämmande av skatter och avgifter,

6.yrkanden och grunder i ett ärende, och

7.beslut, betalning, redovisning och övriga åtgärder i ett ärende.

3 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Tullverket:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardekla- ration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

4 § Uppgifter och handlingar som ingår i det datoriserade system som avses i artikel 1 i Europaparlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om för- flyttningar och kontroller av punktskattepliktiga varor ska lämnas ut till Tullverket.

Utlämnande på eget initiativ

5 § Utlämnande av uppgifter enligt 1–4 §§ får inte ske på initiativ av Skatteverket.

6 kap. Utlämnande till Försäkringskassan

1 § Uppgifter som anges i 2 § ska lämnas ut till Försäkringskassan, i den utsträckning det behövs för

1.beräkning eller kontroll av sjukpenninggrundande inkomst,

2.fördelning av ålderspensionsavgifter,

164

SOU 2023:100

Författningsförslag

3.fastställande av underhållsstöd och betalningsskyldighet för så- dant stöd enligt socialförsäkringsbalken,

4.beräkning och kontroll av bostadsbidrag enligt socialförsäk- ringsbalken,

5.beräkning av betalningsskyldighet enligt 8 § andra stycket lagen (2004:1237) om särskild sjukförsäkringsavgift,

6.beräkning och kontroll av bostadstillägg enligt socialförsäkrings- balken, eller

7.beräkning av ersättning för sjuklönekostnad enligt 17 eller 17 d § lagen (1991:1047) om sjuklön.

2 § Följande uppgifter ska lämnas ut enligt 1 §:

1.uppgifter enligt 19 kap. 11, 13 och 14 §§ socialförsäkrings- balken, med undantag av 13 § tredje stycket,

2.uppgifter om inkomst som anges i 97 kap. 2, 4, 5, 11 och 13 §§ socialförsäkringsbalken, med undantag av 5 § tredje stycket och 13 § första stycket 1–3,

3.uppgifter om fastighet, ägarandel, fastighetsbeteckning, adress och bostadsyta,

4.uppgifter om avgiftsunderlag enligt 2 kap. 24 § socialavgifts- lagen (2000:980) och om därpå belöpande arbetsgivaravgifter enligt 2 kap. socialavgiftslagen, skatt enligt 1 § lagen (1990:659) om löne- avgift och avgift enligt 1 § lagen (1994:1920) om allmän löneavgift som beräknats för arbetsgivare under ett kalenderår,

5.uppgifter om avdrag för avsättning till periodiseringsfond och expansionsfond enligt 30 och 34 kap. inkomstskattelagen (1999:1229) samt om återföring av sådana avdrag,

6.uppgifter om schablonintäkt enligt 47 kap. 11 b § inkomst- skattelagen,

7.uppgifter om samtliga intäkts- och kostnadsposter i inkomsts- lagen tjänst och kapital,

8.uppgifter om överskott eller underskott i inkomstslaget när- ingsverksamhet, och

9.uppgifter om sjuklönekostnad enligt 17 b § första stycket lagen (1991:1047) om sjuklön.

3 § I den utsträckning det behövs för beräkning och kontroll av ersättning enligt förordningen (2022:807) om statlig ersättning för arbete i etableringsjobb ska följande uppgifter ska lämnas ut till

165

Författningsförslag

SOU 2023:100

Försäkringskassan:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardekla- ration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

Utlämnande på eget initiativ

4 § Utlämnande av uppgifter enligt 3 § får inte ske på initiativ av Skatteverket.

7 kap. Utlämnande till Migrationsverket

1 § Uppgifter som anges i 2 § ska lämnas ut till Migrationsverket i den utsträckning det behövs för handläggning av ansökningar om eller kontroll av

1.uppehållstillstånd enligt 5 kap. 5 § första stycket 1, 10 eller 15 a § utlänningslagen (2005:716) och arbetstillstånd enligt 6 kap. 2 § första stycket samma lag,

2.uppehållstillstånd enligt 5 kap. 5 § andra stycket och 10 a § ut- länningslagen,

3.uppehålls- och arbetstillstånd för högkvalificerad anställning (EU-blåkort) enligt 6 a kap. utlänningslagen,

4.tillstånd för företagsintern förflyttning (ICT-tillstånd) eller ICT-tillstånd för rörlighet för längre vistelse enligt 6 b kap. utlän- ningslagen, eller

5.tillstånd för säsongsarbete enligt 6 c kap. utlänningslagen.

2 § Följande uppgifter ska lämnas ut enligt 1 §:

1.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare,

3.registrering för skatter och avgifter,

4.underlag för fastställande av skatter och avgifter,

166

SOU 2023:100

Författningsförslag

5.bestämmande av skatter och avgifter, och

6.beslut, betalning, redovisning och övriga åtgärder i ett ärende.

3 § I den utsträckning det behövs för beräkning eller kontroll av dagersättning enligt lagen (1994:137) om mottagande av asylsökande m.fl. ska följande uppgifter lämnas ut till Migrationsverket:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardekla- ration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

Utlämnande på eget initiativ

4 § Utlämnande av uppgifter enligt 1 och 2 §§ får inte ske på initia- tiv av Skatteverket.

8 kap. Utlämnande till brottsbekämpande myndigheter

Ekobrottsmyndigheten

1 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Ekobrottsmyndigheten:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardekla- ration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatte- förfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

Kustbevakningen

2 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Kustbevakningen:

167

Författningsförslag

SOU 2023:100

1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklara- tion eller förenklad arbetsgivardeklaration som avses i 26 kap. skatte- förfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

Polismyndigheten

3 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska föl- jande uppgifter lämnas ut till Polismyndigheten:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklara- tion eller förenklad arbetsgivardeklaration som avses i 26 kap. skatte- förfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

4 § I den utsträckning det behövs för inspektioner för att kontrol- lera anställning av utlänningar som inte har rätt att vistas i Sverige en- ligt artikel 14 i Europaparlamentets och rådets direktiv 2009/52/EG av den 18 juni 2009 om minimistandarder för sanktioner och åtgärder mot arbetsgivare för tredjelandsmedborgare som vistas olagligt ska uppgifter ska lämnas ut till Polismyndigheten.

Säkerhetspolisen

5 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Säkerhetspolisen:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardekla- ration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatte- förfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

168

SOU 2023:100

Författningsförslag

Åklagarmyndigheten

6 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Åklagarmyndigheten:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklara- tion eller förenklad arbetsgivardeklaration som avses i 26 kap. skatte- förfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

Utlämnande på eget initiativ

7 § Utlämnande av uppgifter enligt 1–6 §§ får inte ske på initiativ av Skatteverket.

9 kap. Utlämnande till domstolar, Rättshjälpsmyndigheten och Rättshjälpsnämnden

Allmänna domstolar

1 § I den utsträckning det behövs för påföljdsbestämning eller be- räkning och kontroll av återbetalningsskyldighet, avgift eller ersätt- ning i mål eller ärende i domstol ska följande uppgifter lämnas ut till allmän domstol:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklara- tion eller förenklad arbetsgivardeklaration som avses i 26 kap. skatte- förfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

Rättshjälpsmyndigheten

2 § I den utsträckning det behövs för beräkning och kontroll av återbetalningsskyldighet, avgift eller ersättning i fråga om rättshjälp och rådgivningsavgift ska följande uppgifter lämnas ut till Rättshjälps- myndigheten:

169

Författningsförslag

SOU 2023:100

1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklara- tion eller förenklad arbetsgivardeklaration som avses i 26 kap. skatte- förfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

Rättshjälpsnämnden

3 § I den utsträckning det behövs för beräkning och kontroll av återbetalningsskyldighet, avgift eller ersättning i fråga om rättshjälp och rådgivningsavgift ska följande uppgifter lämnas ut till Rättshjälps- nämnden:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklara- tion eller förenklad arbetsgivardeklaration som avses i 26 kap. skatte- förfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

Utlämnande på eget initiativ

4 § Utlämnande av uppgifter enligt 1–3 §§ får inte ske på initiativ av Skatteverket.

10 kap. Utlämnande till Statistiska centralbyrån

1 § Uppgifter som anges i 2 § ska lämnas ut till Statistiska central- byrån i den utsträckning det behövs för

1.framställning av officiell statistik enligt lagen (2001:99) om den officiella statistiken,

2.beräkning av bidrag och avgifter enligt lagen (2004:773) om kommunalekonomisk utjämning,

3.förande av centrala företagsregistret, eller

4.förande av registret över kontrolluppgifter.

170

SOU 2023:100

Författningsförslag

2 § Följande uppgifter ska lämnas ut enligt 1 §:

1.namn, personnummer, organisationsnummer, samt särskilt regi- strerings- och redovisningsnummer,

2.hemortskommun och församling,

3.personnummer för make eller annan med vilken sambeskatt- ning sker,

4.kontrolluppgifter och uppgifter per betalningsmottagare i en arbetsgivardeklaration avseende inkomstslagen tjänst och kapital, pensionsförsäkring, pensionssparkonto och tjänstepensionsavtal,

5.andra kontrolluppgifter än sådana som anges i 4,

6.intäkts- och kostnadsposter i varje inkomstslag i beslut om slut- lig skatt i fråga om statlig och kommunal inkomstskatt,

7.allmänna avdrag,

8.antal dagar för vilka sjöinkomst har erhållits,

9.tillgångar och skulder,

10.beslut om beskattning när det gäller sådan skatt eller avgift som avses i 56 kap. 3 § skatteförfarandelagen (2011:1244), dock inte skälen för beslutet,

11.beslut om fastighetstaxering, dock inte skälen för beslutet,

12.skatteavdrag, socialavgifter och särskild löneskatt, mervärdes- skatt och preliminär skatt samt sådana uppgifter om näringsverksamhet som avses i 31 kap. 7 och 10 §§ och 33 kap. 6 § skatteförfarandelagen samt 6 kap. 9, 11 och 12 §§ skatteförfarandeförordningen (2011:1261),

13.kommunalt skatteunderlag,

14.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,

15.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare,

16.registrering och betalningar enligt skatteförfarandelagen, upp- gifter om beslut om konkurs eller likvidation, uppgifter om antal lämnade kontrolluppgifter och uppgifter per betalningsmottagare i en arbetsgivardeklaration samt uppgift om överskott och underskott

iinkomstslagen näringsverksamhet och kapital,

17.fastighetsägare och annan innehavare av fast egendom, om ägd andel, fastighetsbeteckning, taxeringsvärde, omräknat delvärde, be- skattningsnatur, typ av fång, tidpunkt för fånget och betald ersättning,

18.bouppteckningar och dödsboanmälningar, och

19.för enkla bolag, bolagsmännens och bolagens personnummer eller organisationsnummer.

171

Författningsförslag

SOU 2023:100

3 § I den utsträckning som det behövs för förande av den databas som avses i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna ska uppgifter om organisationsnum- mer och uppgifter från resultat- och balansräkningar på begäran av Riksbanken lämnas ut till Statistiska centralbyrån.

Utlämnande på eget initiativ

4 § Utlämnande av uppgifter enligt 1–3 §§ får inte ske på initiativ av Skatteverket.

11 kap. Utlämnande till övriga myndigheter

Arbetsförmedlingen

1 § Uppgifter som anges i 2 § ska lämnas ut till Arbetsförmedlingen i den utsträckning det behövs för

1.handläggning av ärenden inom den arbetsmarknadspolitiska verksamheten, eller

2.kontroll av stöd till arbetsgivare enligt

a)förordningen (2013:1157) om stöd för yrkesintroduktions- anställningar,

b)förordningen (2017:462) om särskilda insatser för personer med funktionsnedsättning som medför nedsatt arbetsförmåga,

c)förordningen (2018:42) om särskilt anställningsstöd, eller

d)förordningen (2018:43) om stöd för nystartsjobb.

2 § Följande uppgifter ska lämnas ut enligt 1 §:

1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklara- tion eller förenklad arbetsgivardeklaration som avses i 26 kap. skatte- förfarandelagen (2011:1244),

2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och

3.uppgift om den redovisningsperiod som deklarationen avser.

172

SOU 2023:100

Författningsförslag

Centrala studiestödsnämnden

3 § Uppgifter som anges i 4 § ska lämnas ut till Centrala studie- stödsnämnden i den utsträckning det behövs för

1.kontroll av ansökningar om uppskov med betalning av studie- medelsavgifter i fråga om studiestöd och av ansökningar om avskriv- ning av studieskuld,

2.kontroll av ansökningar om studiestöd, om nedsättning av års- belopp och om avskrivning av studielån samt fastställande av års- belopp,

3.kontroll av ärenden om återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar, eller

4.kontroll av ärenden om återbetalning av körkortslån.

4 § Följande uppgifter ska lämnas ut enligt 3 §:

1.överskott och underskott i inkomstslagen tjänst, näringsverksam- het och kapital,

2.arbetsinkomster enligt 67 kap. 6 § första stycket inkomstskatte- lagen (1999:1229),

3.nettoomsättning enligt deklarationsbilaga för enskilda närings- idkare samt för delägare i handelsbolag och kommanditbolag, och

4.registrering i sjömansregistret.

Inspektionen för socialförsäkringen

5 § I den utsträckning det behövs för systemtillsyn och effekti- vitetsgranskning enligt 2 § första stycket 3 och 3 § förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen ska uppgifter lämnas ut till Inspektionen för socialförsäkringen.

Inspektionen för vård och omsorg

6 § I den utsträckning det behövs för tillståndsgivning eller tillsyn avseende yrkesmässig enskild verksamhet som omfattas av 7 kap. 1 § socialtjänstlagen (2001:453) eller 23 § lagen (1993:387) om stöd och service till vissa funktionshindrade ska uppgifter som är hänförliga till underskott på ett sådant skattekonto som avses i 61 kap. 1 § skatte-

173

Författningsförslag

SOU 2023:100

förfarandelagen (2011:1244) lämnas ut till Inspektionen för vård och omsorg.

Kammarkollegiet

7 § I den utsträckning det behövs för handläggning enligt lagen (2022:850) om grundläggande omställnings- och kompetensstöd ska följande uppgifter lämnas ut till Kammarkollegiet:

1.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare,

3.registrering för skatter och avgifter,

4.underlag för fastställande av skatter och avgifter, och

5.beslut, betalning, redovisning och övriga åtgärder i ett ärende.

Länsstyrelserna

8 § Uppgifter som anges i 9 § ska lämnas ut till en länsstyrelse i den utsträckning det behövs för handläggning enligt

1.förordningen (2020:893) om omsättningsstöd till enskilda när- ingsidkare för mars–juli 2020,

2.förordningen (2021:143) om omsättningsstöd till enskilda när- ingsidkare,

3.förordningen (2021:208) om omsättningsstöd till handelsbolag,

eller

4.förordningen (2021:273) om statligt stöd när vissa lokalhyres- gäster fått rabatt på hyran under 2021.

9 § Följande uppgifter ska lämnas ut enligt 8 §:

1.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare,

3.registrering för skatter och avgifter,

4.underlag för fastställande av skatter och avgifter,

5.bestämmande av skatter och avgifter, och

174

SOU 2023:100

Författningsförslag

6.uppgifter som behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2020:548) om omställnings- stöd eller för handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag.

Myndigheten för tillväxtpolitiska utvärderingar och analyser

10 § I den utsträckning det behövs för undersökningar av statliga stödinsatser inom regionalpolitik, regional tillväxtpolitik eller inno- vationspolitik ska följande uppgifter lämnas ut till Myndigheten för tillväxtpolitiska utvärderingar och analyser:

1.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare,

3.registrering för skatter och avgifter,

4.underlag för fastställande av skatter och avgifter,

5.bestämmande av skatter och avgifter,

6.yrkanden och grunder i ett ärende,

7.beslut, betalning, redovisning och övriga åtgärder i ett ärende,

och

8.uppgifter som behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2020:548) om omställningsstöd eller för handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag.

Pensionsmyndigheten

11 § Uppgifter som anges i 12 § ska lämnas ut till Pensionsmyndig- heten i den utsträckning det behövs för

1.pensionsberäkning,

2.beräkning av inkomstindex, eller

3.beräkning och kontroll av bostadstillägg och äldreförsörjnings-

stöd.

175

Författningsförslag

SOU 2023:100

12 § Följande uppgifter ska lämnas ut enligt 11 §:

1.pensionsgrundande inkomst med delbelopp,

2.pensionsgrundande inkomst, utan den begränsning som anges

i59 kap. 4 § andra stycket socialförsäkringsbalken, efter avdrag för allmän pensionsavgift,

3.tjänstepension som har redovisats i kontrolluppgifter och som avser personer som är födda 1937 eller tidigare för vilka lagen (1991:586) om särskild inkomstskatt för utomlands bosatta har tillämpats, och

4.samtliga intäkts- och kostnadsposter i inkomstslagen tjänst och kapital, och överskott eller underskott i inkomstslaget näringsverk- samhet.

Statens tjänstepensionsverk

13 § Uppgifter om inkomster som är pensionsgrundande enligt 59 kap. socialförsäkringsbalken ska lämnas ut till Statens tjänstepensionsverk i den utsträckning det behövs för beräkning och kontroll av

1.pensionsersättning och särskild pensionsersättning enligt statligt kollektivavtal om trygghetsfrågor,

2.pension enligt statligt kollektivavtal om särskild pension för yrkesofficerare, eller

3.inkomstgaranti eller motsvarande förmåner för den som har varit statsråd och för vissa arbetstagare som har innehaft statlig chefs- anställning.

Tillväxtverket

14 § I den utsträckning det behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2021:937) om ny anmälan om avstämning av stöd vid korttidsarbete ska följande upp- gifter lämnas ut till Tillväxtverket:

1.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare,

3.registrering för skatter och avgifter,

4.underlag för fastställande av skatter och avgifter, och

5.bestämmande av skatter och avgifter.

176

Författningsförslag

SOU 2023:100

1.37Förslag till förordning om utlämnande av uppgifter från Skatteverkets folkbokföringsverksamhet

Härigenom föreskrivs följande.

Allmänna bestämmelser

1 § Denna förordning innehåller föreskrifter om Skatteverkets ut- lämnande av uppgifter i vissa fall.

Bestämmelser som avser Skatteverkets utlämnande av uppgifter finns även i andra författningar.

2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § folkbokföringsdatalagen (0000:00).

3 § Skatteverket får ta ut avgifter för att lämna ut uppgifter. Rätten att ta ut avgifter får dock inte innebära en inskränkning i

1.rätten att ta del av och mot fastställd avgift få kopia eller ut- skrift av en allmän handling enligt tryckfrihetsförordningen, eller

4 § Skatteverket fastställer avgifterna för att lämna ut uppgifter enligt denna förordning eller annan författning.

En avgift ska tas ut när uppgifter lämnas ut för aktualisering, kom- plettering och kontroll av personuppgifter, eller uttag av urval av per- sonuppgifter. När uppgifter lämnas ut i andra fall får en avgift tas ut.

Statliga myndigheter, med undantag för affärsverken, är fria från sådana avgifter som avses i andra stycket när uppgifter lämnas ut elektroniskt.

5 § Formulär för personbevis och andra utdrag av uppgifter fast- ställs av Skatteverket.

178

SOU 2023:100

Författningsförslag

Utlämnande av uppgifter till enskilda

6 § I den utsträckning det behövs för aktualisering, komplettering, kontroll eller uttag av urval av personuppgifter får följande uppgifter lämnas ut till Svenska kyrkan:

1.uppgifter som anges i 1 a § folkbokföringslagen (1991:481), och

2.uppgifter som anges i 1 kap. 2 andra stycket lagen (2022:1697) om samordningsnummer.

7 § I den utsträckning det behövs för aktualisering, komplettering, kontroll eller uttag av urval av personuppgifter får uppgifter om en nordisk medborgare som är folkbokförd i Sverige lämnas ut till en central registreringsmyndighet för folkbokföring i det nordiska land personen är medborgare i.

Skatteverkets underrättelseskyldighet

8 § Statistiska centralbyrån ska underrättas när registrering har skett beträffande

1.födelse av dödfött barn,

2.adoption,

3.avregistrering som försvunnen,

4.invandring eller utvandring, eller

5.annan person än förälder eller vårdnadshavare som barn under 18 år är bosatt hos.

Underrättelse om födelse av dödfött barn ska lämnas snarast. I öv- rigt ska underrättelse lämnas vid tidpunkt som Skatteverket bestäm- mer efter samråd med Statistiska centralbyrån.

9 § Socialnämnden ska snarast underrättas när

1.ett barn har folkbokförts eller registrerats enligt 1 § andra stycket folkbokföringslagen (1991:481) och faderskapet eller föräldraskapet enligt 1 kap. 9 § föräldrabalken till barnet inte följer av 1 kap. 1 §, 9 § första stycket eller 11 a § föräldrabalken eller annan lag,

2.gemensam vårdnad om barn har registrerats efter en anmälan enligt 6 kap. 4 § andra stycket 2 föräldrabalken,

3.ett barn saknar registrerad vårdnadshavare, eller

4.sekretessmarkering i fråga om ett barn har registrerats.

179

Författningsförslag

SOU 2023:100

Om modern vid barnets födelse är myndig och folkbokförd, in- träder skyldigheten att enligt första stycket 1 underrätta socialnämn- den om att ett barn har folkbokförts först 15 dagar efter barnets födelse, förutsatt att faderskapet eller föräldraskapet enligt 1 kap. 9 § föräldrabalken till barnet då inte har fastställts.

Underrättelse enligt första och andra styckena ska lämnas till socialnämnden i den kommun där barnet är folkbokfört eller, om barnet inte är folkbokfört, till socialnämnden i den kommun där barnet har fötts.

10 § Försäkringskassan och Pensionsmyndigheten ska underrättas när registrering skett beträffande

1.adoption, eller

2.annan person än förälder eller vårdnadshavare som barn under 18 år är bosatt hos.

11 § Socialstyrelsen ska underrättas när uppgift om ingivare och utfärdare av dödsbevis registrerats.

12 § Närmare föreskrifter om innehållet i underrättelser som avses

i8–11 §§ meddelas av Skatteverket efter samråd med berörda cen- trala myndigheter.

Skatteverkets uppgiftsskyldighet

13 § I den utsträckning det behövs för Skatteverkets verksamhet enligt lagen (0000:00) om det statliga personadressregistret ska föl- jande uppgifter lämnas ut till Skatteverkets verksamhet med det stat- liga personadressregistret:

1.namn,

2.person- eller samordningsnummer,

3.födelsetid,

4.adress,

5.folkbokföringsort och distrikt,

6.födelsehemort,

7.svenskt medborgarskap,

8.make eller vårdnadshavare,

180

Författningsförslag

SOU 2023:100

1.38Förslag till förordning om utlämnande av uppgifter från Tullverket

Härigenom föreskrivs följande.

Allmänna bestämmelser

1 § Denna förordning innehåller föreskrifter om Tullverkets utläm- nande av uppgifter i vissa fall.

Bestämmelser som avser Tullverkets utlämnande av uppgifter finns även i andra författningar.

2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § tulldatalagen (0000:00).

3 § Tullverket får ta ut avgifter för att lämna ut uppgifter. Rätten att ta ut avgifter får dock inte innebära en inskränkning i

1.rätten att ta del av och mot fastställd avgift få kopia eller ut- skrift av en allmän handling enligt tryckfrihetsförordningen, eller

Vid tillämpning av tullagstiftningen får Tullverket bara ta ut av- gifter i enlighet med artikel 52 i Europaparlamentets och rådets för- ordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex.

4 § Tullverket fastställer avgifter för utlämnande av uppgifter enligt denna förordning eller annan författning. En avgift ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning.

Utlämnande till enskilda

5 § Till en ekonomisk aktör, som är registrerad hos en tullmyndig- het i enlighet med artikel 9 i Europaparlamentets och rådets förord- ning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en

182

SOU 2023:100

Författningsförslag

tullkodex, får de uppgifter lämnas ut som aktören behöver för att kunna fullgöra sina förpliktelser enligt tullagstiftningen som den definieras i 1 kap. 3 § tullagen (2016:253).

Utlämnande till Tullverkets brottsbekämpande verksamhet

6 § I den utsträckning det behövs i Tullverkets brottsbekämpande verksamhet ska uppgifter lämnas ut till de enheter inom Tullverket som arbetar med brottsbekämpande verksamhet.

Utlämnande till Skatteverket

7 § I den utsträckning det behövs i Skatteverkets verksamhet ska uppgifter som rör import eller export av varor lämnas ut till Skatte- verket.

8 § I den utsträckning det behövs för kontrollverksamhet avseende mervärdesskatt vid import eller för handläggning av ärenden ska föl- jande uppgifter lämnas ut till Skatteverket:

1.en fysisk persons identitet och bosättning,

2.en juridisk persons identitet, säte, firmatecknare och andra företrädare,

3.registrering för skatter och avgifter,

4.underlag för tull, annan skatt och avgifter,

5.bestämmande av tull, annan skatt och avgifter,

6.yrkanden och grunder i ett ärende, och

7.beslut, betalning, redovisning och övriga åtgärder i ett ärende.

9 § Tullverket ska skriftligen underrätta Skatteverket, om

1. det finns anledning att anta att någon

a)på annat sätt än muntligen har lämnat eller kommer att lämna en oriktig uppgift till Skatteverket, eller

b)inte har lämnat eller inte kommer att lämna mervärdesskatte- deklaration, kontrolluppgift eller annan föreskriven uppgift till Skatte- verket, och

2. det därigenom finns risk för att mervärdesskatt undandras eller felaktigt tillgodoräknas eller betalas tillbaka.

183

Författningsförslag

SOU 2023:100

Av underrättelsen ska det framgå vilka omständigheter som ligger till grund för antagandet enligt första stycket 1.

Utlämnande till övriga myndigheter

10 § I den utsträckning det behövs i mottagarens verksamhet ska uppgifter som rör import eller export av varor lämnas ut till följande myndigheter:

–Arbetsmiljöverket,

–Boverket,

–Elsäkerhetsverket,

–Folkhälsomyndigheten,

–Havs- och vattenmyndigheten,

–Kemikalieinspektionen,

–Kommerskollegium,

–Konsumentverket,

–Kronofogdemyndigheten,

–Livsmedelsverket,

–Läkemedelsverket,

–Myndigheten för press, radio och tv,

–Myndigheten för samhällsskydd och beredskap,

–Naturvårdsverket,

–Post- och telestyrelsen,

–Skogsstyrelsen,

–Statens energimyndighet,

–Statens jordbruksverk,

–Statistiska centralbyrån,

–Strålsäkerhetsmyndigheten,

–Styrelsen för ackreditering och teknisk kontroll,

–Sveriges riksbank, och

–Transportstyrelsen.

11 § I den utsträckning det behövs i Inspektionen för strategiska produkters verksamhet ska uppgifter som rör export av varor lämnas ut till inspektionen.

12 § I den utsträckning det behövs i Säkerhetspolisens verksamhet ska uppgifter som rör export av varor lämnas ut till Säkerhetspolisen.

184

Författningsförslag

SOU 2023:100

1.39Förslag till förordning om utlämnande

av uppgifter från Kronofogdemyndigheten

Härigenom föreskrivs följande.

Allmänna bestämmelser

1 § Denna förordning innehåller föreskrifter om utlämnande av upp- gifter från Kronofogdemyndigheten i vissa fall.

Bestämmelser som avser Kronofogdemyndighetens utlämnande av uppgifter finns även i andra författningar.

2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § kronofogdedatalagen (0000:00).

3 § Kronofogdemyndigheten får ta ut avgifter för att lämna ut upp- gifter.

Rätten att ta ut avgifter får dock inte innebära en inskränkning i

1.rätten att ta del av och mot fastställd avgift få kopia eller ut- skrift av en allmän handling enligt tryckfrihetsförordningen, eller

4 § Kronofogdemyndigheten fastställer avgifter för utlämnande av uppgifter enligt denna förordning eller annan författning. En avgift ska inte tas ut när uppgifter lämnas ut till annan myndighet och ut- lämnandet följer av en skyldighet i lag eller förordning.

Utlämnande till Skatteverket

5 § I den utsträckning det behövs för Skatteverkets handläggning av ärenden eller dataanalyser och urval ska följande uppgifter lämnas ut till Skatteverket:

1.en fysisk persons identitet, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, firmatecknare och andra före- trädare,

186

SOU 2023:100

Författningsförslag

3.en enskilds ekonomiska förhållanden,

4.näringsförbud,

5.egendom som berörs i ett mål,

6.yrkanden och grunder i ett mål eller ärende, och

7.beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende.

6 § I den utsträckning det behövs för handläggning av ärenden eller kontroll av uppgifter i folkbokföringsverksamheten ska följande upp- gifter lämnas ut till Skatteverket:

1.adress och andra kontaktuppgifter,

2.genomförd avhysning, utmätning och delgivning, och

3.tillgångar i utlandet.

Utlämnande till Tullverket

7 § I den utsträckning det behövs för Tullverkets handläggning av ärenden ska följande uppgifter lämnas ut till Tullverket:

1.en fysisk persons identitet, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, firmatecknare och andra före- trädare,

3.en enskilds ekonomiska förhållanden,

4.näringsförbud,

5.egendom som berörs i ett mål,

6.yrkanden och grunder i ett mål eller ärende, och

7.beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende.

Utlämnande till Säkerhetspolisen

8 § I den utsträckning det behövs för handläggning av ärenden om särskild personutredning enligt 3 kap. 17 § säkerhetsskyddslagen (2018:585) ska följande uppgifter lämnas ut till Säkerhetspolisen:

1.en fysisk persons identitet, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, firmatecknare och andra före- trädare,

3.en enskilds ekonomiska förhållanden,

4.näringsförbud,

187

SOU 2023:100

Författningsförslag

1.40Förslag till förordning om ändring i kungörelsen (1950:431) med vissa föreskrifter angående taxering och debitering av skatt vid ändring i kommunal indelning, m.m.

Härigenom föreskrivs att 3 § kungörelsen (1950:431) med vissa före- skrifter angående taxering och debitering av skatt vid ändring i kom- munal indelning, m.m. ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
3 §1
Om en del av en kommun	Om en del av en kommun
genom ändring i den kommunala	genom ändring i den kommunala
indelningen överförs till en annan	indelningen överförs till en annan
kommun, bildar en egen kommun	kommun, bildar en egen kommun
eller ingår i en nybildad kommun,	eller ingår i en nybildad kommun,
har kommunstyrelsen i den kom-	har kommunstyrelsen i den kom-
mun till vilken kommundelen hör	mun till vilken kommundelen hör
enligt den nya indelningen, att	enligt den nya indelningen, att
från den motsvarande myndig-	från den motsvarande myndig-
heten i den förstnämnda kommu-	heten i den förstnämnda kommu-
nen på begäran erhålla de till denna	nen på begäran få de till denna
myndighet överlämnade uppgif-	myndighet överlämnade uppgif-
terna från Skatteverkets beskatt-	terna från Skatteverkets beskatt-
ningsdatabas och förvaltnings-	ningsverksamhet och förvaltnings-
rättens domar angående ändring	rättens domar angående ändring
av taxering av fastighet för året	av taxering av fastighet för året
närmast före det, då indelnings-	närmast före det, då indelnings-
ändringen träder i kraft.	ändringen träder i kraft.
Vad i första stycket sägs skall	Vad i första stycket sägs ska
tillämpas också om en kommun i	tillämpas också om en kommun i
sin helhet införlivas med en	sin helhet införlivas med en
annan kommun eller ingår i en	annan kommun eller ingår i en
nybildad kommun.	nybildad kommun.

Denna förordning träder i kraft den 1 januari 2026.

1Senaste lydelse 2009:873.

189

Domstol, åklagarmyndighet, Polismyndigheten, Säkerhets- polisen och Kustbevakningen har rätt att för utredning om brott få utdrag ur folkbokföringsverksam- heten om en viss person. Skatte- verket utformar formulär för så- dana utdrag efter samråd med Åklagarmyndigheten.

Författningsförslag

SOU 2023:100

1.41Förslag till förordning om ändring i förordningen (1967:502) om utdrag ur folkbokföringsdatabasen för utredning om brott

Härigenom föreskrivs att rubriken till förordningen (1967:502) om utdrag ur folkbokföringsdatabasen för utredning om brott1 samt 1 § ska ha följande lydelse.

Nuvarande lydelse

Förordning om utdrag ur folkbokföringsdatabasen för utredning om brott

Föreslagen lydelse

Förordning om utdrag ur folkbokföringsverksamheten för utredning om brott

1 §2

Domstol, åklagarmyndighet, Polismyndigheten, Säkerhets- polisen och Kustbevakningen har rätt att för utredning om brott få utdrag ur folkbokföringsdatabasen om en viss person. Skatteverket utformar formulär för sådana ut- drag efter samråd med Åklagar- myndigheten.

Denna förordning träder i kraft den 1 januari 2026.

1Senaste lydelse av förordningens rubrik 2019:85.

2Senaste lydelse 2019:85.

190

Om indrivning av böter har avbrutits utan att böterna har bli- vit fullt betalda och om det enligt Kronofogdemyndighetens be- dömning finns anledning att anta att böterna ska förvandlas, ska Kronofogdemyndigheten skynd- samt sända en redogörelse för förhållandet till åklagare som är behörig att föra talan om böter- nas förvandling. Redogörelsen ska innehålla upplysningar om den bötfällde och hans eller hennes förmåga att betala böterna samt utdrag från Kronofogdemyn- dighetens verksamhet med utsök- ning och indrivning samt ansökan om och tillsyn över näringsförbud. Redogörelsen upprättas enligt for- mulär som fastställs av Krono- fogdemyndigheten efter samråd med Åklagarmyndigheten.

Om böterna betalas helt eller delvis, sedan handlingarna har sänts till åklagaren men innan rätten har meddelat slutligt be- slut i målet, ska Kronofogde- myndigheten genast underrätta åklagaren.

191

SOU 2023:100

Författningsförslag

1.42Förslag till förordning om ändring i bötesverkställighetsförordningen (1979:197)

Härigenom föreskrivs att 17 § bötesverkställighetsförordningen (1979:197) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

17 §1

Om indrivning av böter har avbrutits utan att böterna har bli- vit fullt betalda och om det enligt Kronofogdemyndighetens be- dömning finns anledning att anta att böterna skall förvandlas, skall Kronofogdemyndigheten skynd- samt sända en redogörelse för förhållandet till åklagare som är behörig att föra talan om böter- nas förvandling. Redogörelsen skall innehålla upplysningar om den bötfällde och hans förmåga att betala böterna samt utdrag ur utsöknings- och indrivningsdata- basen. Redogörelsen upprättas en- ligt formulär som fastställs av Kronofogdemyndigheten efter samråd med Åklagarmyndigheten.

Om böterna betalas helt eller delvis, sedan handlingarna har sänts till åklagaren men innan rätten har meddelat slutligt be- slut i målet, skall Kronofogde- myndigheten genast underrätta åklagaren.

1Senaste lydelse 2006:1199.

Författningsförslag

SOU 2023:100

Uppgift om att handlingarna	Uppgift om att handlingarna
har översänts till åklagaren och	har översänts till åklagaren och
vilken dag detta har skett skall	vilken dag detta har skett ska
föras in i utsöknings- och indriv-	registreras hos Kronofogdemyndig-
ningsdatabasen. Utfärdar Krono-	heten. Utfärdar Kronofogdemyn-
fogdemyndigheten därefter nytt	digheten därefter nytt utdrag från
utdrag ur utsöknings- och indriv-	Kronofogdemyndighetens verksam-
ningsdatabasen, skall även upp-	het med utsökning och indrivning
gift om detta föras in i databasen.	samt ansökan om och tillsyn över
På grund av ett sådant utdrag får	näringsförbud, ska även uppgift om
inte någon åtgärd vidtas för böt-	detta registreras. På grund av ett
ernas förvandling utan att sam-	sådant utdrag får inte någon åt-
tycke lämnas av den åklagare till	gärd vidtas för böternas förvand-
vilken utdrag först sänts.	ling utan att samtycke lämnas av
	den åklagare till vilken utdrag
	först sänts.

Bestämmelserna i denna paragraf tillämpas inte i fråga om en böt- fälld, som inte har kunnat anträffas eller som vistas utomlands.

Denna förordning träder i kraft den 1 januari 2026.

192

193

SOU 2023:100

Författningsförslag

1.43Förslag till förordning om ändring i utsökningsförordningen (1981:981)

Härigenom föreskrivs att 1 kap. 3 och 5 §§ utsökningsförordningen (1981:981) ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

1 kap.

3 §1

När bestämmelser i utsök-	När bestämmelser i utsök-
ningsbalken, som innebär att sök-	ningsbalken, som innebär att sök-
anden kan begära, medge eller	anden kan begära, medge eller
bestrida något, skall tillämpas i	bestrida något, ska tillämpas i
allmänna mål och åtgärden inte	allmänna mål och åtgärden inte
sker vid sammanträde, anses åt-	sker vid sammanträde, anses åt-
gärden ha vidtagits först när den	gärden ha vidtagits först när den
har registrerats i utsöknings- och	har registrerats hos Kronofogde-
indrivningsdatabasen eller sedan	myndigheten eller sedan anteck-
anteckning om den har gjorts i	ning om den har gjorts i proto-
protokoll eller på annan hand-	koll eller på annan handling i
ling i målet.	målet.
5 §2
Kronofogdemyndigheten skall	Kronofogdemyndigheten ska
registrera enskilda mål i utsök-	registrera enskilda mål och föra
nings- och indrivningsdatabasen	dagbok i varje mål. Därvid ska
samt föra dagbok i varje mål. Där-	följande uppgifter registreras:
vid skall sådana uppgifter som av-	1. en fysisk persons identitet,
ses i 2 kap. 5 § lagen (2001:184)	bosättning och familjeförhållanden,
om behandling av uppgifter i	2. en juridisk persons identitet,
Kronofogdemyndighetens verksam-	säte, firmatecknare och andra före-
het registreras.	trädare,
	3. en enskilds ekonomiska för-
	hållanden,
	4. näringsförbud,
	5. egendom som berörs i ett mål,

1Senaste lydelse 2001:593.

2Senaste lydelse 2006:879.

SOU 2023:100

Författningsförslag

1.44Förslag till förordning om ändring i förordningen (1984:692) om det allmänna företagsregistret

Härigenom föreskrivs att 3, 10 och 22 §§ förordningen (1984:692) om det allmänna företagsregistret ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §1

I 2 § 3 avses sådana fysiska personer eller dödsbon

1.som hos Skatteverket har registrerats för mervärdesskatt enligt 7 kap. 1 § skatteförfarandelagen (2011:1244),

2.som enligt 10 kap. 2 § skatteförfarandelagen ska göra skatte- avdrag, dock inte

– sådana enskilda arbetsgivare eller dödsbon som bara har arbets- tagare som är anställda för arbete i arbetsgivarens eller dödsboets hushåll

– enskilda arbetsgivare som i	– enskilda arbetsgivare som i
beskattningsdatabasen enligt lagen	Skatteverkets beskattningsverk-
(2001:181) om behandling av upp-	samhet har antecknats som tillfäl-
gifter i Skatteverkets beskattnings-	liga arbetsgivare eller som annars
verksamhet har antecknats som	inte bedriver någon näringsverk-
tillfälliga arbetsgivare eller som	samhet,
annars inte bedriver någon när-
ingsverksamhet,

3.som efter beslut om debitering av preliminär skatt enligt 55 kap. 2 § skatteförfarandelagen ska betala F-skatt eller särskild A-skatt för inkomst av näringsverksamhet enligt inkomstskattelagen (1999:1229).

10 §2

För det allmänna företags-	För det allmänna företags-
registret ska det på begäran lämnas	registret ska det på begäran lämnas
uppgifter till Statistiska central-	uppgifter till Statistiska central-
byrån från nedan angivna register	byrån från nedan angivna myn-
enligt följande:	digheter och register enligt följande:

1Senaste lydelse 2011:1443.

2Senaste lydelse 2018:1809.

195

FörfattningsförslagSOU 2023:100

1. Beskattningsdatabasen enligt	1. Skatteverkets beskattnings-
lagen (2001:181) om behandling	verksamhet
av uppgifter i Skatteverkets be-
skattningsverksamhet

–organisations- eller personnummer

–fysisk persons namn

–företagsnamn samt markering om det finns flera företagsnamn

–juridisk form

–län och kommun där styrelsen har sitt säte eller – i fråga om handelsbolag och enskild näringsidkare – där bolagets huvudkontor är beläget eller näringsidkaren är folkbokförd

–postadress

– antal anställda hos den som	– antal anställda hos den som
har nyregistrerats i beskattnings-	har nyregistrerats i Skatteverkets
databasen	beskattningsverksamhet

–besöksadress

–markering om den registrerade driver sin verksamhet på flera arbetsställen

–binäringar inklusive tilläggsnummer och verksamhetsbenämning, om sådan finns, i fråga om den som har registrerats som redovis- ningsskyldig för mervärdesskatt

–huvudnäringsgren

–tidigare organisations- eller personnummer (vid ombildning och vissa överlåtelser)

–statusmarkeringar

–tidpunkt för registrering av uppgifterna

2. Bolagsverkets aktiebolagsregister

–aktiebolags särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk

3. Bolagsverkets europabolagsregister

–europabolags särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk

4. Bolagsverkets europakooperativsregister

–europakooperativs särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk

5. Bolagsverkets handelsregister

–enskild näringsidkares eller handelsbolags särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk

196

SOU 2023:100

Författningsförslag

6. Lantbruksregistret vid Jordbruksverket

–uppgifter som ska registreras om den som driver jordbruk, skogs- bruk, trädgårdsodling eller som håller djur.

22 §3

Den som hos Skatteverket be-	Den som hos Skatteverkets be-
gär att få uppgifter ur beskatt-	skattningsverksamhet begär att få
ningsdatabasen för ett sådant ända-	ut uppgifter för ett sådant ända-
mål som avses i 4 § och som lika	mål som avses i 4 § och som lika
väl kan tillgodoses genom det all-	väl kan tillgodoses genom det all-
männa företagsregistret skall hän-	männa företagsregistret ska hän-
visas till detta register.	visas till detta register.

Denna förordning träder i kraft den 1 januari 2026.

3Senaste lydelse 2003:937.

197

Begäran om handräckning för indrivning ska innehålla utred- ning om att de i 15 § lagen (1990:314) om ömsesidig hand- räckning i skatteärenden angivna förutsättningarna för handräck- ning föreligger.

Till begäran ska fogas det be- slut på vilket anspråket grundas i original eller kopia. Om det föl- jer av överenskommelse med den främmande staten får till begäran i stället fogas utdrag ur restlängd eller från Kronofogdemyndighetens verksamhet med utsökning och in- drivning samt ansökan om och tillsyn över näringsförbud eller annan handling där grunden för anspråket framgår.

Författningsförslag

SOU 2023:100

1.45Förslag till förordning om ändring i förordningen (1990:320) om ömsesidig handräckning i skatteärenden

Härigenom föreskrivs att 10 § förordningen (1990:320) om ömse- sidig handräckning i skatteärenden ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

10 §1

Begäran om handräckning för indrivning skall innehålla utred- ning om att de i 15 § lagen (1990:314) om ömsesidig hand- räckning i skatteärenden angivna förutsättningarna för handräck- ning föreligger.

Till begäran skall fogas det be- slut på vilket anspråket grundas i original eller kopia. Om det föl- jer av överenskommelse med den främmande staten får till begäran i stället fogas utdrag ur restlängd eller utsöknings- och indrivnings- databasen eller annan handling där grunden för anspråket framgår.

Denna förordning träder i kraft den 1 januari 2026.

1Senaste lydelse 2006:767.

198

SOU 2023:100

Författningsförslag

1.46Förslag till förordning om ändring i förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m.

Härigenom föreskrivs att 1 § förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

1 §1

Denna förordning innehåller bestämmelser om statlig ersättning till kommuner och regioner för mottagande av och insatser för skydds- behövande och vissa andra utlänningar som avses i 3 § och som före utgången av november 2010 först togs emot i en kommun.

Denna förordning träder i kraft den 1 januari 2026.

1Senaste lydelse 2019:1010.

199

Författningsförslag

SOU 2023:100

1.47Förslag till förordning om ändring i folkbokföringsförordningen (1991:749)

Härigenom föreskrivs i fråga om folkbokföringsförordningen (1991:749)

dels att rubriken närmast före 4 § ska lyda ”Folkbokföring under särskild rubrik och distrikt”,

dels att det ska införas en ny paragraf, 4 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	4 a §
	Vilket distrikt som ska anges
	för en person avgörs av den perso-
	nens belägenhetsadress på den fas-
	tighet där personen är folkbokförd
	med stöd av 6 § folkbokförings-
	lagen (1991:481). Med distrikt av-
	ses här detsamma som i 2 § förord-
	ningen (2015:493) om distrikt.

Denna förordning träder i kraft den 1 januari 2026.

200

SOU 2023:100

Författningsförslag

1.48Förslag till förordning om ändring i förordningen (1991:1339) om betalningsföreläggande och handräckning

Härigenom föreskrivs att 14, 16 och 17 §§ förordningen (1991:1339) om betalningsföreläggande och handräckning ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
14 §1
Kronofogdemyndigheten får	Kronofogdemyndigheten får
meddela föreskrifter om hur dag-	meddela föreskrifter om hur dag-
bok i målen skall föras i betal-	bok i målen ska föras.
ningsföreläggande- och handräck-
ningsdatabasen.

Ilagen (2001:184) om be- handling av uppgifter i Kronofogde- myndighetens verksamhet regleras vilka uppgifter som får behandlas

idatabasen.

16 §2

Om ett mål skall överlämnas	Om ett mål ska överlämnas
till en tingsrätt eller en annan	till en tingsrätt eller en annan
myndighet med stöd av 36 § lagen	myndighet med stöd av 36 § lagen
(1990:746) om betalningsföreläg-	(1990:746) om betalningsföreläg-
gande och handräckning eller efter	gande och handräckning eller efter
ansökan om återvinning, skall	ansökan om återvinning, ska
Kronofogdemyndigheten lämna	Kronofogdemyndigheten lämna
över alla handlingar i målet in-	över alla handlingar i målet in-
klusive delgivningsbevis. Vid be-	klusive delgivningsbevis. Vid be-
hov skall Kronofogdemyndigheten	hov ska Kronofogdemyndigheten
därvid ur betalningsföreläggande-	därvid ta fram utskrift av ansökan,
och handräckningsdatabasen som	förelägganden, beslut, utslag, dag-
förs enligt lagen (2001:184) om	bok och andra uppgifter som kan
behandling av uppgifter i Krono-	vara av betydelse för den fort-
fogdemyndighetens verksamhet ta	satta handläggningen. Handling-

1Senaste lydelse 2006:770.

2Senaste lydelse 2006:770.

201

Författningsförslag

SOU 2023:100

fram utskrift av ansökan, före-	arna ska sedan ingå i den mot-
lägganden, beslut, utslag, dagbok	tagande myndighetens akt.
och andra uppgifter som kan vara
av betydelse för den fortsatta
handläggningen. Handlingarna
skall sedan ingå i den mottagande
myndighetens akt.

Första stycket gäller även när ett utslag överklagas till tingsrätten.

	17 §3
Om en uppgift i ett mål om		Om en uppgift i ett mål om
betalningsföreläggande eller hand-		betalningsföreläggande eller hand-
räckning har lämnats ut till ett		räckning har lämnats ut till ett
kreditupplysningsföretag,	ska	kreditupplysningsföretag, ska
Kronofogdemyndigheten genast		Kronofogdemyndigheten genast
underrätta kreditupplysnings-		underrätta	kreditupplysnings-
företaget om uppgiften blockeras		företaget om uppgiften blockeras
med stöd av 3 kap. 3 a §	lagen	med stöd	av 18 § kronofogde-
(2001:184) om behandling av upp-		datalagen (0000:00).
gifter i Kronofogdemyndighetens
verksamhet.

1.Denna förordning träder i kraft den 1 januari 2026.

2.Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.

3Senaste lydelse 2008:275.

202

SOU 2023:100

Författningsförslag

1.49Förslag till förordning om ändring i bostadsbidragsförordningen (1993:739)

Härigenom föreskrivs att 1 b § bostadsbidragsförordningen (1993:739) ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

1 b §1

Centrala studiestödsnämnden ska på begäran lämna Försäkrings- kassan uppgifter om utbetalda studiemedel i form av studiebidrag, utom när det gäller den del som avser tilläggsbidrag. Uppgifterna ska lämnas på medium för automatiserad behandling.

Bestämmelser om skyldighet	Bestämmelser om skyldighet
att lämna uppgifter från beskatt-	att lämna uppgifter från Skatte-
ningsdatabasen finns i förordning-	verkets beskattningsverksamhet
en (2001:588) om behandling av	finns i förordningen (0000:00) om
uppgifter i Skatteverkets beskatt-	utlämnande av uppgifter från
ningsverksamhet.	Skatteverkets beskattningsverk-
	samhet.

Denna förordning träder i kraft den 1 januari 2026.

1Senaste lydelse 2008:870.

203

Författningsförslag

SOU 2023:100

1.50Förslag till förordning om ändring i fastighetstaxeringsförordningen (1993:1199)

Härigenom föreskrivs i fråga om fastighetstaxeringsförordningen (1993:1199)1

dels att 2 kap. 5 § och 7 kap. 3 § ska upphöra att gälla, dels att 1 A kap. 1 § och 2 kap. 4 § ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

1 A kap.

1 §2

Sådana överlåtelser som avses i	Lagfarna köp av hela eller delar
2 § 8 förordningen (2001:588) om	av fastigheter samt fastighetsregler-
behandling av uppgifter i Skatte-	ingar vid vilka mer än två hektar
verkets beskattningsverksamhet och	åkermark, betesmark och skogs-
som kvarstår efter gallring enligt	mark överförs från en fastighet till
2 och 3 §§ tas upp på förteck-	en annan och där frivillig överens-
ningar över representativa över-	kommelse om likviden föreligger,
låtelser. Sådana överlåtelser som	och som kvarstår efter gallring
gallrats enligt 3 § ska tas upp på	enligt 2 och 3 §§, tas upp på för-
förteckningar över bortgallrade	teckningar över representativa
överlåtelser.	överlåtelser. Sådana överlåtelser
	som gallrats enligt 3 § ska tas upp
	på förteckningar över bortgallrade
	överlåtelser.

Beträffande fastighetsregleringar gäller första stycket endast om mer än fyra hektar överförts från en fastighet till en annan och be- byggelse saknas på den överförda marken.

2kap. 4 §3

Bestämmelserna i 20 kap. 5 § skatteförfarandeförordningen (2011:1261) gäller i tillämpliga delar i fråga om uppgifter i fastighets- deklarationer och andra handlingar, som enligt bestämmelserna i fas-

1Senaste lydelse av

2kap. 5 § 2004:281

7kap. 3 § 2003:963.

2Senaste lydelse 2018:1097.

3Senaste lydelse 2011:1266.

204

Kronofogdemyndigheten ska registrera följande uppgifter som behövs i verksamheten:

1. en fysisk persons identitet, bo- sättning och familjeförhållanden,

2. en juridisk persons identitet, säte, firmatecknare och andra före- trädare,

3. en enskilds ekonomiska för- hållanden,

4. näringsförbud,

5. egendom som berörs i ett mål,

Författningsförslag

SOU 2023:100

1.51Förslag till förordning om ändring i indrivningsförordningen (1993:1229)

Härigenom föreskrivs att 12, 18 och 24 §§ indrivningsförordningen (1993:1229) ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
12 §1
Kronofogdemyndigheten skall	Kronofogdemyndigheten ska
registrera en ansökan om indriv-	registrera en ansökan om indriv-
ning i utsöknings- och indriv-	ning.
ningsdatabasen.
18 §2
Kronofogdemyndigheten skall	Kronofogdemyndigheten ska
skyndsamt registrera uppgifter	skyndsamt registrera uppgifter
om influtna medel i utsöknings-	om influtna medel. Detsamma
och indrivningsdatabasen. Det-	gäller sådana uppgifter som har
samma gäller sådana uppgifter som	lämnats till Kronofogdemyndig-
har lämnats till Kronofogdemyn-	heten enligt 8 eller 9 §§.
digheten enligt 8 eller 9 §.

24 §3

Kronofogdemyndigheten skall i utsöknings- och indrivnings- databasen registrera sådana upp- gifter som avses i 2 kap. 5 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och som behövs i verk- samheten.

1Senaste lydelse 2006:773.

2Senaste lydelse 2006:773.

3Senaste lydelse 2006:773.

206

Författningsförslag

SOU 2023:100

1.52Förslag till förordning om ändring i förordningen (1995:238) om totalförsvarsplikt

Härigenom föreskrivs att 3 kap. 3 § förordningen (1995:238) om total- försvarsplikt ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

3 kap.

3 §1

Skatteverket ska underrätta	Skatteverket ska underrätta
Totalförsvarets plikt- och pröv-	Totalförsvarets plikt- och pröv-
ningsverk om de ändringar i folk-	ningsverk om de ändringar som
bokföringsdatabasen enligt lagen	görs av registrerade uppgifter i folk-
(2001:182) om behandling av per-	bokföringsverksamheten som är av
sonuppgifter i Skatteverkets folk-	betydelse för inskrivning eller
bokföringsverksamhet som är av	redovisning av dem som är skyl-
betydelse för inskrivning eller	diga att mönstra eller som skri-
redovisning av dem som är skyl-	vits in för värnplikt eller civilplikt
diga att mönstra eller som skri-	eller i utbildningsreserven.
vits in för värnplikt eller civil-
plikt eller i utbildningsreserven.

Denna förordning träder i kraft den 1 januari 2026.

1Senaste lydelse 2020:1280.

208

SOU 2023:100

Författningsförslag

1.53Förslag till förordning om ändring i förordningen (2000:308) om fastighetsregister

Härigenom föreskrivs att 64, 72 och 74 §§ förordningen (2000:308) om fastighetsregister ska ha följande lydelse.

Nuvarande lydelse			Föreslagen lydelse
		64 §1
I taxeringsuppgiftsdelen skall			I taxeringsuppgiftsdelen ska
redovisas uppgifter från beskatt-			redovisas uppgifter från Skatte-
ningsdatabasen	enligt	lagen	verkets beskattningsverksamhet
(2001:181) om behandling av upp-			såvitt avser
gifter i Skatteverkets beskatt-
ningsverksamhet såvitt avser
1. taxeringsvärden och övriga			1. taxeringsvärden och övriga
uppgifter som enligt fastighets-			uppgifter som enligt fastighets-
taxeringslagen (1979:1152) skall			taxeringslagen (1979:1152) ska
redovisas i beslut om fastighets-			redovisas i beslut om fastighets-
taxering, samt			taxering, samt

2.fastighetsägare eller tomträttshavare och ägare till hus på ofri grund med uppgift om person- eller organisationsnummer, namn och postadress.

Uppgifter enligt första stycket	Uppgifter enligt första stycket
skall avse förhållandena året när-	ska avse förhållandena året när-
mast före det år då uppgiften hålls	mast före det år då uppgiften hålls
tillgänglig i fastighetsregistret.	tillgänglig i fastighetsregistret.
Taxeringsuppgiftsdelen får	Taxeringsuppgiftsdelen får
även innehålla uppgift enligt första	även innehålla uppgift enligt första
stycket 1 som avser förhållandena	stycket 1 som avser förhållandena
för annat år än det år som avses i	för annat år än det år som avses i
andra stycket. En sådan uppgift	andra stycket. En sådan uppgift
skall redovisas skild från uppgift	ska redovisas skild från uppgift
enligt andra stycket och innehålla	enligt andra stycket och innehålla
en anmärkning om det kalender-	en anmärkning om det kalender-
år som den avser.	år som den avser.

1Senaste lydelse 2003:1014.

209

Sedan en underrättelse som avses i 74 § har kommit in, ska Lantmäteriet snarast möjligt i fastighetsregistret föra in de upp- gifter som avses i 64 § första stycket och 67 §. Införingen av uppgifter från Skatteverkets beskatt- ningsverksamhet ska med beak- tande av 64 § andra stycket ske senast i samband med årsskifte. Om det med stöd av 64 § tredje stycket redovisas ytterligare upp- gifter i registret, får Lantmäteriet föra in dessa vid den tidpunkt som bestäms av Lantmäteriet efter samråd med Skatteverket.

Författningsförslag

SOU 2023:100

72 §2

Sedan en underrättelse som avses i 74 § har kommit in, ska Lantmäteriet snarast möjligt i fastighetsregistret föra in de upp- gifter som avses i 64 § första stycket och 67 §. Införingen av uppgifter från beskattningsdata- basen ska med beaktande av 64 § andra stycket ske senast i sam- band med årsskifte. Om det med stöd av 64 § tredje stycket redo- visas ytterligare uppgifter i regist- ret, får Lantmäteriet föra in dessa vid den tidpunkt som bestäms av Lantmäteriet efter samråd med Skatteverket.

	74 §3
Skatteverket ska på upptag-		Skatteverket ska elektroniskt
ning för automatiserad behand-		underrätta Lantmäteriet om de
ling underrätta Lantmäteriet om		uppgifter från Skatteverkets be-
de uppgifter från beskattnings-		skattningsverksamhet som behövs
databasen enligt lagen (2001:181)		för	att fastighetsregistret	ska
om behandling av uppgifter i Skatte-		kunna tillföras uppgifter enligt
verkets beskattningsverksamhet		64 § första stycket.
som behövs för att fastighets-
registret ska kunna tillföras upp-
gifter enligt 64 § första stycket.
Skatteverket ska underrätta		Skatteverket ska underrätta
Lantmäteriet om de uppgifter från		Lantmäteriet om de uppgifter från
folkbokföringsdatabasen	enligt	Skatteverkets folkbokföringsverk-
lagen (2001:182) om behandling		samhet och från beskattnings-
av personuppgifter i Skatteverkets		verksamheten som behövs för att
folkbokföringsverksamhet	och	fastighetsregistret ska kunna till-
från beskattningsdatabasen	som	föras	uppgifter enligt 53	och
behövs för att fastighetsregistret		67 §§.

2Senaste lydelse 2008:687.

3Senaste lydelsen 2011:60.

210

Författningsförslag

SOU 2023:100

1.54Förslag till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration

Härigenom föreskrivs att 2 § förordningen (2003:766) om behand- ling av personuppgifter inom socialförsäkringens administration ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §1

Utöver de fall som anges i 114 kap. 15 § första stycket social- försäkringsbalken får för de ändamål som avses i det stycket och med beaktande av de begränsningar som anges i samma stycke samt i 11 och 12 §§ samma kapitel, i socialförsäkringsdatabasen behandlas upp- gifter i en handling som kommit in i ett ärende och sådana uppgifter i en handling, som upprättats i ett ärende, som är nödvändiga för ären- dets handläggning samt uppgifter om

1.kön,

2.civilstånd,

3.medborgarskap,

4.födelseort,

5.studiemedel och andra ekonomiska förhållanden,

6.värnpliktstjänstgöring, utbildning, yrke och arbetsuppgifter,

7.arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i,

8.preliminärskatt, inkomstbeskattning och fastighetstaxering,

9.hyra för hyreslägenhet eller avgift för bostadsrättslägenhet,

10.uppgifter i och formerna för ansökningar eller anmälningar,

11.förekomsten av begäran om förhandsprövning enligt lagen (2008:145) om statligt tandvårdsstöd eller enligt föreskrifter som med- delats med stöd av lagen samt koder för de tandvårdsåtgärder som begäran avser,

13.åtgärdskoder enligt förordningen (2008:193) om statligt tand- vårdsstöd,

15.patientavgifter och tandvårdsersättningar,

16.tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,

1Senaste lydelse 2018:461.

212

SOU 2023:100

Författningsförslag

17.nedsatt arbetsförmåga,

18.förmåns- eller ersättningsrelaterad information i intyg och utlåtanden av läkare eller annan intygsgivare,

19.förmåns- eller ersättningsrelaterad information i rehabiliter- ingsutredningar eller andra utredningar i rehabiliteringsärenden samt rehabiliteringsplaner,

20.arten av, kostnaderna och tidpunkterna för föreslagna, plane- rade och vidtagna rehabiliteringsåtgärder,

21.leverantörer av produkter och tjänster inom rehabiliterings- området,

22.vårdgivare,

23.remisser,

24.läkaren som utfärdat intyg eller utlåtanden som ligger till grund för beslutet om ersättning,

25.diagnoser,

26.förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 97 kap. 18 § andra stycket och 27 § andra stycket socialförsäkringsbalken,

27.bevakningsanledningar,

28.frågor om återbetalningsskyldighet har uppkommit,

29.anledningen till att ett ärende har avslutats,

30.avgöranden av domstol, Försäkringskassan eller Pensionsmyndig- heten som är av betydelse för enskilda ärenden i fråga om uppgifter om utgången, de bestämmelser som har tillämpats och om avgöran- det har överklagats,

31.beslut i ärenden,

32.att den registrerade får eller har rätt till ersättning enligt för- ordningen (2017:819) om ersättning till deltagare i arbetsmarknads- politiska insatser,

34.registrerade som får eller har fått vård eller försörjning helt eller

delvis på det allmännas bekostnad,
35. den registrerade från ut-	35. den registrerade från
söknings- och indrivningsdata-	Kronofogdemyndighetens verksam-
basen,	het med utsökning och indrivning
	samt ansökan om och tillsyn över
	näringsförbud,

36.att den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

213

SOU 2023:100

Författningsförslag

1.55Förslag till förordning om ändring i förordningen (2007:789) om Skatteverkets hantering av vissa borgenärsuppgifter

Härigenom föreskrivs att 6 § förordningen (2007:789) om Skatte- verkets hantering av vissa borgenärsuppgifter ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6 §

Skatteverket ska underrätta Kronofogdemyndigheten om det hos verket, i fråga om en fordran som överlämnats för verkställighet till Kronofogdemyndigheten, har uppkommit fråga om

1.ackord,

2.nedsättning av fordran enligt 5 § första stycket lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,

3.åtgärder för att en gäldenär ska försättas i konkurs eller an- sökan om likvidation eller företagsrekonstruktion,

4.talan om betalningsansvar för någon annans skulder till det all- männa,

5.preskriptionsförlängning, eller

6.förordnande av boutredningsman enligt 19 kap. 1 § ärvdabalken. Skatteverket ska också, i den utsträckning det behövs, hålla Krono-

fogdemyndigheten informerad om den fortsatta handläggningen i en

fråga som avses i första stycket.
Underrättelse enligt första	Underrättelse enligt första
stycket ska lämnas senast då ett	stycket ska lämnas senast då ett
ärende registrerats i beskattnings-	ärende registrerats i Skatteverkets
databasen enligt lagen (2001:181)	beskattningsverksamhet.
om behandling av uppgifter i
Skatteverkets beskattningsverk-
samhet.

Denna förordning träder i kraft den 1 januari 2026.

215

Författningsförslag

SOU 2023:100

1.56Förslag till förordning om ändring i förordningen (2008:892) om europeiskt betalningsföreläggande

Härigenom föreskrivs att 12, 14 och 15 §§ förordningen (2008:892) om europeiskt betalningsföreläggande ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
12 §
Kronofogdemyndigheten får	Kronofogdemyndigheten får
meddela föreskrifter om hur dag-	meddela föreskrifter om hur dag-
bok i målen ska föras i betalnings-	bok i målen ska föras.
föreläggande- och handräcknings-
databasen.
I lagen (2001:184) om behand-
ling av uppgifter i Kronofogde-
myndighetens verksamhet regleras
vilka uppgifter som får behandlas
i databasen.
14 §1
Om ett mål överlämnas till en	Om ett mål överlämnas till en
domstol med stöd av 10 § lagen	domstol med stöd av 10 § lagen
(2008:879) om europeiskt betal-	(2008:879) om europeiskt betal-
ningsföreläggande, ska Kronofog-	ningsföreläggande, ska Kronofog-
demyndigheten lämna över alla	demyndigheten lämna över alla
handlingar i målet inklusive delgiv-	handlingar i målet inklusive delgiv-
ningsbevis. Vid behov ska Krono-	ningsbevis. Vid behov ska Krono-
fogdemyndigheten ta fram utskrift	fogdemyndigheten ta fram utskrift
av ansökan, förelägganden, beslut,	av ansökan, förelägganden, beslut,
dagbok och andra uppgifter som	dagbok och andra uppgifter som
kan vara av betydelse för den	kan vara av betydelse för den
fortsatta handläggningen ur den	fortsatta handläggningen. Hand-
betalningsföreläggande- och hand-	lingarna ska sedan ingå i den mot-
räckningsdatabas som förs enligt	tagande domstolens akt.
lagen (2001:184) om behandling
av uppgifter i Kronofogdemyndig-
hetens verksamhet. Handlingarna

1Senaste lydelse 2017:415.

216

SOU 2023:100Författningsförslag

ska sedan ingå i den mottagande domstolens akt.

15 §
Om en uppgift i ett mål om	Om en uppgift i ett mål om
europeiskt betalningsföreläggande	europeiskt betalningsföreläggande
har lämnats ut till ett kreditupp-	har lämnats ut till ett kreditupp-
lysningsföretag, ska Kronofogde-	lysningsföretag, ska Kronofogde-
myndigheten genast underrätta	myndigheten genast underrätta
kreditupplysningsföretaget om	kreditupplysningsföretaget om
uppgiften blockeras med stöd av	uppgiften blockeras med stöd av
3 kap. 3 a § lagen (2001:184) om	18 §	kronofogdedatalagen
behandling av uppgifter i Krono-	(0000:00).
fogdemyndighetens verksamhet.

1.Denna förordning träder i kraft den 1 januari 2026.

217

För Försäkringskassan och Pensionsmyndigheten finns be- stämmelser om skyldighet att lämna uppgifter till Inspektionen för socialförsäkringen i 5 a § för- ordningen (2003:766) om be- handling av personuppgifter inom socialförsäkringens administra- tion. För Skatteverket finns mot- svarande bestämmelser i 11 kap. 5 § förordningen (0000:00) om utlämnande av uppgifter från Skatteverkets beskattningsverk- samhet.

Författningsförslag

SOU 2023:100

1.57Förslag till förordning om ändring i förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen

Härigenom föreskrivs att 2 § förordningen (2009:602) med instruk- tion för Inspektionen för socialförsäkringen ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §1

Inspektionen för socialförsäkringen ska utöva systemtillsyn över och utföra effektivitetsgranskning av den verksamhet som bedrivs av

1.Försäkringskassan,

2.Pensionsmyndigheten, i de delar som inte står under Finans- inspektionens tillsyn, och

3.Skatteverket, i de delar som avser beslut om pensionsgrundande inkomst.

För Försäkringskassan och Pensionsmyndigheten finns be- stämmelser om skyldighet att lämna uppgifter till Inspektionen för socialförsäkringen i 5 a § för- ordningen (2003:766) om be- handling av personuppgifter inom socialförsäkringens administra- tion. För Skatteverket finns mot- svarande bestämmelser i 7 b § förordningen (2001:588) om be- handling av uppgifter i Skatte- verkets beskattningsverksamhet.

Denna förordning träder i kraft den 1 januari 2026.

1Senaste lydelse 2009:1203.

218

SOU 2023:100

Författningsförslag

1.58Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs att 2 § offentlighets- och sekretessförord- ningen (2009:641) ska ha följande lydelse.

Nuvarande lydelse

2 §1 Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400).

Myndighet	Handlingar som innehåller
	sekretessreglerade uppgifter
	och som inte behöver registreras

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Tullverket	– handlingar som rör klarering av
	varor och transportmedel,
	– handlingar som innehåller bok-
	ningsuppgifter inhämtade från
	transportföretag, och
	– handlingar som ingår i informa-
	tionssystemet om transporter av
	sprit och cigaretter
åklagarmyndigheter	– utdrag ur folkbokföringsdatabasen,

–utdrag ur belastningsregistret, misstankeregistret och register enligt lagen (2018:1693) om polisens behandling av person- uppgifter inom brottsdatalagens område,

–utdrag ur vägtrafikregistret, och

–rekvisitioner av sådana utdrag

–– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

1Senaste lydelse 2022:652.

219

FörfattningsförslagSOU 2023:100

Föreslagen lydelse

2 §2 Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 5 kap. 1 § offent- lighets- och sekretesslagen (2009:400).

Myndighet	Handlingar som innehåller
	sekretessreglerade uppgifter
	och som inte behöver registreras

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Tullverket	– handlingar som rör klarering av
	varor och transportmedel,
	– handlingar som innehåller bok-
	ningsuppgifter inhämtade från
	transportföretag, och
	– handlingar som ingår i informa-
	tionssystemet om transporter av
	sprit och cigaretter
åklagarmyndigheter	– utdrag från folkbokföringsverk-
	samheten,
	– utdrag ur belastningsregistret,
	misstankeregistret och register
	enligt lagen (2018:1693) om
	polisens behandling av person-
	uppgifter inom brottsdatalagens
	område,
	– utdrag ur vägtrafikregistret, och
	– rekvisitioner av sådana utdrag

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Denna förordning träder i kraft den 1 januari 2026.

2Senaste lydelse 2022:652.

220

SOU 2023:100

Författningsförslag

1.59Förslag till förordning om ändring i förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar

Härigenom föreskrivs att 6 § förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
6 §1
För utlänningar som har varit	För utlänningar som har varit
registrerade vid en mottagnings-	registrerade vid en mottagnings-
enhet hos Migrationsverket eller	enhet hos Migrationsverket eller
som har beviljats uppehållstillstånd	som har beviljats uppehållstillstånd
enligt 5 kap. 2 § utlänningslagen	enligt 5 kap. 2 § utlänningslagen
(2005:716) ska tidpunkten då ut-	(2005:716) ska tidpunkten då ut-
länningen först togs emot i en	länningen först togs emot i en
kommun anses vara den dag då	kommun anses vara den dag då
han eller hon faktiskt togs emot	han eller hon faktiskt togs emot
i kommunen. För övriga utlän-	i kommunen. För övriga utlän-
ningar som omfattas av 5–5 b §§	ningar som omfattas av 5–5 b §§
ska tidpunkten då utlänningen	ska tidpunkten då utlänningen
först togs emot i en kommun an-	först togs emot i en kommun an-
ses vara då han eller hon folkbok-	ses vara då han eller hon folkbok-
fördes i kommunen enligt uppgift	fördes i kommunen enligt folkbok-
i folkbokföringsdatabasen enligt	föringslagen (1991:481).
lagen (2001:182) om behandling
av personuppgifter i Skatteverkets
folkbokföringsverksamhet.

Denna förordning träder i kraft den 1 januari 2026.

1Senaste lydelse 2017:487.

221

Skatteverket ska på begäran av Energimyndigheten lämna ut uppgifter om införsel av bränslen från annan medlemsstat i Euro- peiska unionen från det datorise- rade system som avses i artikel 1 i Europaparlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om förflyttningar och kon- troller av punktskattepliktiga varor, om uppgifterna behövs för kon- troll och tillsyn enligt lagen (2012:806) om beredskapslagring av olja och denna förordning.

SOU 2023:100

Författningsförslag

1.61Förslag till förordning om ändring i förordningen (2012:873) om beredskapslagring av olja

Härigenom föreskrivs att 27 § förordningen (2012:873) om bered- skapslagring av olja ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

27 §

Skatteverket ska på begäran av Energimyndigheten lämna ut uppgifter om införsel av bränslen från annan medlemsstat i Euro- peiska unionen från det system som avses i 2 kap. 4 a § lagen (2001:181) om behandling av upp- gifter i Skatteverkets beskattnings- verksamhet, om uppgifterna be- hövs för kontroll och tillsyn enligt lagen (2012:806) om beredskaps- lagring av olja och denna förord- ning.

Denna förordning träder i kraft den 1 januari 2026.

223

Författningsförslag

SOU 2023:100

1.62Förslag till förordning om ändring i förordningen (2015:493) om distrikt

Härigenom föreskrivs att 4 § förordningen (2015:493) om distrikt ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
4 §
Lantmäteriet ska överföra di-	Lantmäteriet ska överföra di-
striktsindelningen med tillhörande	striktsindelningen med tillhörande
belägenhetsadresser ur fastighets-	belägenhetsadresser ur fastighets-
registret till Skatteverket i den ut-	registret till Skatteverket i den ut-
sträckning det behövs för redo-	sträckning det behövs för redo-
visningen av uppgift om distrikt	visningen av uppgift om distrikt
i folkbokföringsdatabasen.	i folkbokföringsverksamheten.

Denna förordning träder i kraft den 1 januari 2026.

224

Författningsförslag

SOU 2023:100

1.64Förslag till förordning om ändring i skuldsaneringsförordningen (2016:689)

Härigenom föreskrivs att 3 och 13 §§ skuldsaneringsförordningen (2016:689) ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
3 §
Kronofogdemyndigheten ska	Kronofogdemyndigheten ska
registrera varje ärende i skuldsaner-	registrera varje ärende.
ingsdatabasen.
I lagen (2001:184) om behand-
ling av uppgifter i Kronofogde-
myndighetens verksamhet finns
bestämmelser om vilka uppgifter
som får behandlas i databasen.
13 §
Kronofogdemyndigheten ska	Kronofogdemyndigheten ska
i skuldsaneringsdatabasen fortlöp-	fortlöpande registrera vilka in-
ande registrera vilka inbetalningar	betalningar och utbetalningar av
och utbetalningar av medel som	medel som görs, vilken ränta som
görs, vilken ränta som kapitalise-	kapitaliseras, vilken avgift som tas
ras, vilken avgift som tas ut, vilka	ut, vilka åtgärder som utförs och
åtgärder som utförs och vad som	vad som i övrigt förekommer med
i övrigt förekommer med anled-	anledning av det som har bestämts
ning av det som har bestämts om	om gäldenärens skyldighet att
gäldenärens skyldighet att betala	betala till myndigheten.
till myndigheten.

Denna förordning träder i kraft den 1 januari 2026.

226

SOU 2023:100

Författningsförslag

1.65Förslag till förordning om ändring i förordningen (2017:154) med instruktion för Skatteverket

Härigenom föreskrivs att 27 och 38 §§ förordningen (2017:154) med instruktion för Skatteverket ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
27 §
I förordningen (1998:1234) om	I förordningen (0000:00) om
det statliga personadressregistret	det statliga personadressregistret
(SPAR) finns bestämmelser om	(SPAR) finns bestämmelser om
att Skatteverkets beslut i frågor om	att Skatteverkets beslut i frågor om
SPAR i vissa fall ska fattas av en sär-	SPAR i vissa fall ska fattas av en sär-
skild nämnd (SPAR-nämnden).	skild nämnd (SPAR-nämnden).

38 §

Skatteverket ska disponera intäkter från avgifter som myndig- heten tar ut enligt bestämmelser som finns i

1.lagen (2009:1289) om prissättningsbesked vid internationella transaktioner,

2.förordningen (2015:904) om identitetskort för folkbokförda i Sverige,

3. lagen	(2001:181) om be-	3. förordningen (0000:00) om
handling av uppgifter i Skatte-		utlämnande	av	uppgifter		från
verkets beskattningsverksamhet,		Skatteverkets	beskattningsverk-
		samhet,
4. lagen (2001:182) om behand-		4. förordningen (0000:00) om
ling av personuppgifter i Skatte-		utlämnande	av	uppgifter		från
verkets folkbokföringsverksam-		Skatteverkets folkbokföringsverk-
het,		samhet,
5. förordningen (2015:905) om		5. förordningen (0000:00) om
behandling	av personuppgifter i	dataskydd i Skatteverkets äkten-
Skatteverkets äktenskapsregister-		skapsregister- och bouppteck-
och bouppteckningsverksamheter,		ningsverksamheter,
6. förordningen (1998:1234)		6. förordningen			(0000:00)
om det statliga personadress-		om det statliga personadress-
registret, och		registret, och

7. förordningen (2017:120) om personnamn.

227

SOU 2023:100

Författningsförslag

1.66Förslag till förordning om ändring i förordningen (2018:759) om ekonomiska föreningar

Härigenom föreskrivs att 2 kap. 28 § förordningen (2018:759) om ekonomiska föreningar ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2kap. 28 §

Till en ansökan om förenklad avveckling enligt 18 kap. 1 § lagen (2018:672) om ekonomiska föreningar ska det bifogas

1.en kopia av föreningsstämmans protokoll tillsammans med föreningens medlemsförteckning samt dokumentation som utvisar styrelseledamöternas och i förekommande fall den verkställande direktörens samtycke enligt 18 kap. 2 § i den lagen,

2. ett utdrag från Kronofogde-	2. ett utdrag från Kronofogde-
myndighetens utsöknings- och	myndighetens verksamhet med ut-
indrivningsdatabas och betalnings-	sökning och indrivning, ansökan
föreläggande- och handräcknings-	om och tillsyn över näringsförbud
databas, som vid inlämnandet inte	samt betalningsföreläggande och
får vara äldre än en månad, och	handräckning, som vid inlämnan-
	det inte får vara äldre än en månad,
	och

3.ett intyg från Skatteverket, som vid inlämnandet inte får vara äldre än en månad, om att föreningen inte är betalningsskyldig för skatter eller avgifter och att det inte heller kan antas att sådan betal- ningsskyldighet kommer att beslutas.

Ansökan ska innehålla en försäkran på heder och samvete av samt- liga styrelseledamöter och i förekommande fall den verkställande direk- tören om att föreningen

1.inte har några skulder och att sådana, enligt vad de känner till, inte kommer att uppkomma, och

2.enligt stadgarna inte är skyldig att gå i likvidation.

Denna förordning träder i kraft den 1 januari 2026.

229

Författningsförslag

SOU 2023:100

1.67Förslag till förordning om ändring i vägtrafikdataförordningen (2019:382)

Härigenom föreskrivs att 2 kap. 2 § vägtrafikdataförordningen (2019:382) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 kap.

2 §

Transportstyrelsen ansvarar för att uppgifterna enligt 1 § förs in om inte annat följer av andra eller tredje stycket eller av föreskrifter som har meddelats med stöd av 8 kap. 1 § 2.

Polismyndigheten ska föra in uppgifter om

1.undanröjande av betalningsskyldighet och rättelse av parker- ingsanmärkning enligt bilaga 1 avsnitt 3.3,

2.tillstånd att använda vissa polisiära kännetecken på motorfordon enligt bilaga 1 avsnitt 2.3,

3.omhändertagande av körkort, körkortstillstånd, traktorkort och förarbevis enligt bilaga 2 avsnitt 2.1, och

4.anmälan enligt 7 kap. 9 § 3 körkortsförordningen (1998:980) enligt bilaga 2 avsnitt 2.2.

Skatteverket ska föra in vissa	Skatteverket ska föra in vissa
uppgifter från beskattningsdata-	uppgifter från beskattningsverk-
basen och vissa andra uppgifter	samheten och vissa andra upp-
som är av betydelse för Transport-	gifter som är av betydelse för
styrelsens uppdrag i vägtrafik-	Transportstyrelsens uppdrag i väg-
registret. Det avser uppgifter en-	trafikregistret. Det avser uppgif-
ligt bilaga 1 avsnitt 2.3, 4 och 6	ter enligt bilaga 1 avsnitt 2.3, 4
som behövs för Transportstyrel-	och 6 som behövs för Transport-
sens handläggning och uppgifter	styrelsens handläggning och upp-
om beslut som Skatteverket fattar,	gifter om beslut som Skatteverket
enligt	fattar, enligt

1.vägtrafikskattelagen (2006:227),

2.lagen (2004:629) om trängselskatt,

3.lagen (1997:1137) om vägavgift för vissa tunga fordon, och

4.lagen (2006:228) med särskilda bestämmelser om fordonsskatt.

Denna förordning träder i kraft den 1 januari 2026.

230

Författningsförslag

SOU 2023:100

1.69Förslag till förordning om ändring i förordningen (2022:807) om statlig ersättning för arbete i etableringsjobb

Härigenom föreskrivs att 26 § förordningen 2022:807) om statlig ersättning för arbete i etableringsjobb ska ha följande lydelse.

Nuvarande lydelse		Föreslagen lydelse
	26 §
Försäkringskassan	ska före	Försäkringskassan	ska före
varje utbetalning kontrollera mot		varje utbetalning kontrollera mot
inhämtade uppgifter från Skatte-		inhämtade uppgifter från Skatte-
verkets beskattningsdatabas hur		verkets beskattningsverksamhet hur
mycket utbetalad lön som arbets-		mycket utbetalad lön som arbets-
givaren har redovisat för den aktu-		givaren har redovisat för den aktu-
ella arbetstagaren den	aktuella	ella arbetstagaren den	aktuella
månaden.		månaden.

Försäkringskassan ska därefter betala ut den statliga ersättningen i enlighet med Arbetsförmedlingens beslut om rätt till ersättning och det som anges i 15 §.

Denna förordning träder i kraft den 1 januari 2026.

232

Skatteverket får på eget initia- tiv tilldela samordningsnummer för registrering i beskattnings- verksamheten.

SOU 2023:100

Författningsförslag

1.70Förslag till förordning om ändring i förordningen (2023:363) om samordningsnummer

Härigenom föreskrivs att 2 och 5 §§ förordningen (2023:363) om samordningsnummer ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §

Samordningsnummer får tilldelas efter ansökan av den enskilde eller på begäran av en statlig myndighet eller en enskild utbildnings- anordnare som har tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, om myndigheten eller utbild- ningsanordnaren i sin verksamhet behöver ett samordningsnummer för en person.

Skatteverket får på eget initia- tiv tilldela samordningsnummer för registrering i beskattnings- databasen.

5 §

Samordningsnummer enligt 2 kap. 6 § lagen (2022:1697) om sam- ordningsnummer får endast tilldelas för

1.registrering i register som förs enligt lagen (1998:620) om belast- ningsregister, lagen (1998:621) om misstankeregister och lagen (2018:1693) om polisens behandling av personuppgifter inom brotts- datalagens område,

2.annan behandling av uppgifter enligt lagen om polisens be- handling av personuppgifter inom brottsdatalagens område eller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter, eller i övrigt inom rättsväsendets informationssystem,

3.Migrationsverkets behandling av personuppgifter med stöd av utlänningsdatalagen (2016:27) när det gäller personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl.,

4. registrering i beskattnings-	4. registrering i Skatteverkets
databasen, eller	beskattningsverksamhet, eller

5.Försäkringskassans behandling av personuppgifter med stöd av 114 kap. socialförsäkringsbalken.

Denna förordning träder i kraft den 1 januari 2026.

233

2Utredningens uppdrag och arbete

2.1Utredningens uppdrag

Regeringen beslutade den 3 november 2021 kommittédirektiv om att ge en särskild utredare i uppdrag att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov (dir. 2021:104). Utredaren fick även i uppdrag att se över förutsätt- ningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. Utredningstiden förlängdes genom tilläggsdirek- tiv den 16 februari 2023 (dir. 2023:24). Kommittédirektiven finns bifogade i betänkandet som bilaga 1 och bilaga 2.

Skatteverkets, Tullverkets och Kronofogdemyndighetens person- uppgiftsbehandling regleras i ett flertal olika registerförfattningar. De registerförfattningar som gäller i vissa delar av Skatteverkets verk- samhet och som omfattas av vårt uppdrag är lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och den tillhörande förordningen (2001:588), lagen (2001:182) om behand- ling av personuppgifter i Skatteverkets folkbokföringsverksamhet och den tillhörande förordningen (2001:589), lagen (1998:527) om det statliga personadressregistret och den tillhörande förordningen (1998:1234) samt lagen (2015:898) om behandling av personuppgif- ter i Skatteverkets äktenskapsregister- och bouppteckningsverksam- heter och den tillhörande förordningen (2015:905).

När det gäller befintlig reglering av Tullverkets och Kronofogde- myndighetens personuppgiftsbehandling omfattar vårt uppdrag lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och den tillhörande förordningen (2001:646) samt lagen (2001:184) om

235

Utredningens uppdrag och arbete

SOU 2023:100

behandling av uppgifter i Kronofogdemyndighetens verksamhet och den tillhörande förordningen (2001:590).

Det ligger inte inom ramen för vårt uppdrag att analysera behovet av ändringar i de registerförfattningar som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter, dvs. lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets be- handling av personuppgifter inom brottsdatalagens område.

Uppdraget att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar innebär enligt våra direktiv att reglerna bör vara flexibla och anpassade efter såväl den tek- niska utvecklingen som den EU-rättsliga dataskyddsregleringen. I upp- draget ligger även att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag. En översyn av registerförfattning- arnas struktur och terminologi ingår också i uppdraget. En utgångs- punkt för uppdraget i den del det avser myndigheternas möjligheter att göra dataanalyser och urval är att det ska finnas ett tydligt rätts- ligt stöd för myndigheternas arbete med sådana verktyg. Reglerna behöver dessutom vara teknikneutrala och flexibla samt ge myndig- heterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt. Inom ramen för vårt upp- drag ska vi noga väga myndigheternas behov av att behandla person- uppgifter mot den enskildes rätt till skydd för sin personliga integ- ritet. I uppdraget ingår att lämna nödvändiga författningsförslag.

Bland de frågor som vi enligt direktiven särskilt ska undersöka kan nämnas att ta ställning till om juridiska personer ska omfattas av registerförfattningarna och att se över tillämpningsområdet i övrigt. Vi ska också ta ställning till om det finns ett behov av en utvidgad ändamålsreglering för att den ska vara anpassad till den tekniska ut- vecklingen och om ändamålsregleringen kan vara mindre detaljerad, t.ex. när det gäller de sekundära ändamålsbestämmelserna.

Andra frågor vi ska ta ställning till är om regleringen av utläm- nande av uppgifter är väl avvägd eller om det finns behov av föränd- ringar, varvid behovet av skydd för den personliga integriteten ska beaktas. Vi ska också ta ställning till om nuvarande regler om elek- troniskt utlämnande är utformade på ett ändamålsenligt sätt. Vidare ska vi ta ställning till om dagens bestämmelser om sökbegränsningar är ändamålsenligt utformade och om myndigheternas nuvarande be- stämmelser om bevarande och gallring är ändamålsenliga, vilket inne-

236

SOU 2023:100

Utredningens uppdrag och arbete

fattar om gallringsbestämmelserna bör ersättas med regler om längsta tid som personuppgifter får behandlas. Det ingår också i uppdraget att analysera hur frågan om gallring av uppgifter lämpligen kan regle- ras i de fall någon av de berörda myndigheterna tillgängliggör upp- gifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna.

När det gäller uppdraget att se över förutsättningarna för de be- rörda myndigheterna att använda dataanalyser och urval ingår att ana- lysera och bedöma lämpligheten och utformningen av en reglering som innebär en utökad möjlighet att göra dataanalyser och urval. Vi ska också kartlägga vilken information som behövs för att möjlig- göra adekvata analyser och urval och föreslå hur tillgång till sådan information bör ges samt bedöma om det finns behov av ändringar i sekretessbestämmelserna eller nya sekretessbestämmelser och då även beakta insynsintresset. Det ingår även i uppdraget att bedöma vilka regler kring bevarande och gallring som ska gälla för de uppgifter som behandlas och hur gjorda analyser och urval ska dokumenteras för att tillgodose såväl myndigheternas verksamhetsbehov som be- hovet av att möjliggöra kontroller av arbetet med analyser och urval i efterhand. Slutligen ska vi säkerställa behovet av skydd för den per- sonliga integriteten och att EU:s dataskyddsreglering följs samt lämna nödvändiga författningsförslag.

Om det bedöms nödvändigt får vi ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas.

2.2Utredningens arbete

Utredningsarbetet påbörjades i december 2022 och har bedrivits på sedvanligt sätt med regelbundna sammanträden med expertgruppen. Sammantaget har vi genomfört sex protokollförda möten med utred- ningens experter under 2022 och tre under 2023.

Utöver sammanträdena med samtliga experter har sekretariatet haft särskilt mycket kontakt med Skatteverket, Tullverket och Krono- fogdemyndigheten. Som ett led i arbetet har studiebesök gjorts hos myndigheterna för att inhämta information om myndigheternas nu- varande arbete med de frågor som vi ska utreda och om vilka behov som kan förutses uppstå i framtiden.

237

Utredningens uppdrag och arbete

SOU 2023:100

Sekretariatet har haft samråd och dialog med Tullbefogenhets- utredningen (Fi 2021:04), Utredningen om inrättande av Utbetalnings- myndigheten (Fi 2022:01), Fastighetsregisterlagsutredningen (Ju 2022:09), Utredningen om ett effektivt straffrättsligt skydd för statliga stöd till företag (Fi 2022:02) och 2022 års skatteförfarande- utredning – åtgärder mot fusk och arbetslivskriminalitet (Fi 2022:16). Därutöver har sekretariatet haft möte med företrädare för Integritets- skyddsmyndigheten under den del av arbetet då utredningen inte har haft någon expert från den myndigheten.

Under utredningens gång har vi särskilt hållit oss informerade om beredningen av förslagen i betänkandet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga ut- betalningar från välfärdssystemen (SOU 2020:35) samt betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57). Vissa av förslagen i dessa utredningar har numera lett till lagstiftning, se vidare nedan. Vi har också hållit oss informe- rade om bl.a. beredningen av Försäkringskassans och Pensions- myndighetens hemställan i en promemoria om ändringar i 114 kap. SFB och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration, vilken nu har lett till för- slag i propositionen En ny dataskyddsreglering på socialförsäkrings- området1, och förslagen i promemorian Utökat informationsutbyte.2

Tidigare statliga utredningar och myndigheters rapporter har varit viktiga i vårt arbete.

2.3Avgränsningar

Utredningens direktiv framgår av avsnitt 2.1 och bilaga 1 och 2 till betänkandet. Där anges att vårt uppdrag inte omfattar att analysera behovet av ändringar i de registerförfattningar som gäller i Skatte- verkets respektive Tullverkets brottsbekämpande verksamheter. När

vii betänkandet endast talar om Skatteverket och Tullverket avses därför inte myndigheternas brottsbekämpande verksamheter.

Skatteverkets verksamhet med Statens personadressregister (SPAR) och Skatteverkets äktenskapsregister- och bouppteckningsverksam- heter behandlas i betänkandet som utgångspunkt avskilt från Skatte-

1Se prop. 2023/24:29.

2Se Ds 2022:13. Förslagen i promemorian har remissbehandlats.

238

SOU 2023:100

Utredningens uppdrag och arbete

verkets beskattningsverksamhet och folkbokföringsverksamhet. I den mån så inte görs framgår det av de enskilda kapitlen eller avsnitten. När vi i betänkandet endast talar om Skatteverket avses därför gene- rellt sett myndighetens beskattningsverksamhet och folkbokförings- verksamhet.

2.4Vissa arbeten som har bedrivits parallellt med utredningen

2.4.1Utbetalningsmyndigheten

Förslag som Utredningen om samordning av statliga utbetalningar från välfärdssystemen har lämnat i betänkandet SOU 2020:35 har numera lett till lagstiftning och till att en ny myndighet, Utbetalnings- myndigheten, ska inleda sin verksamhet den 1 januari 2024.3 Bland annat har en ny lag om den myndighetens personuppgiftsbehandling beslutats, lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten med tillhörande förordning (2023:463). Författningarna träder i kraft den 1 januari 2024.

Utbetalningsmyndigheten har bl.a. i uppdrag att förebygga, för- hindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Myndigheten ska också göra dataanalyser och urval, genomföra in- ledande och fördjupade granskningar enligt lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetalningar och admini- strera ett system med transaktionskonto enligt lagen (2023:454) om transaktionskonto vid Utbetalningsmyndigheten.4 Vidare har det in- förts en ny lag, lagen (2023:456) om skyldighet att lämna uppgifter till Utbetalningsmyndigheten, som även den träder i kraft den 1 janu- ari 2024. I lagen finns bestämmelser om att de myndigheter vars utbetalningar ska administreras via systemet med transaktionskonto enligt lagen om transaktionskonto vid Utbetalningsmyndigheten ska lämna de uppgifter till Utbetalningsmyndigheten som den behöver för att administrera utbetalningarna, däribland Skatteverket.5 Vidare ska Skatteverket på begäran av Utbetalningsmyndigheten lämna vissa uppgifter i den utsträckning som uppgifterna behövs för Utbetalnings-

3Se prop. 2022/23:34, bet. 2022/23:FiU35, rskr. 2022/23:266.

41 och 2 §§ förordningen (2023:461) med instruktion för Utbetalningsmyndigheten.

52 § lagen om skyldighet att lämna uppgifter till Utbetalningsmyndigheten och 2 § lagen om transaktionskonto vid Utbetalningsmyndigheten.

239

Utredningens uppdrag och arbete

SOU 2023:100

myndighetens dataanalyser och urval.6 Det finns också bestämmelser om att statliga myndigheter, däribland Skatteverket, Tullverket och Kronofogdemyndigheten, på begäran av Utbetalningsmyndigheten ska lämna uppgifter som avser en namngiven fysisk eller juridisk person som behövs vid en fördjupad granskning enligt lagen om Utbetalnings- myndighetens granskning av utbetalningar.7

Regeringen har också gett en särskild utredare i uppdrag att lämna förslag och vidta nödvändiga åtgärder i syfte att förbereda och genom- föra bildandet av Utbetalningsmyndigheten (Fi 2022:01). Utredaren ska föreslå hur Utbetalningsmyndighetens instruktion och regler- ingsbrev ska utformas, bemanna myndigheten och vidta de ytterligare åtgärder som krävs för att myndigheten ska kunna inleda sin verksam- het den 1 januari 2024. Den utredningen har lämnat förslag löpande och uppdraget ska slutredovisas senast den 31 december 2023.

Vissa av de förslag som avser Utbetalningsmyndigheten har varit av relevans för delar av vårt uppdrag, särskilt för den del som rör för- utsättningarna för Skatteverket, Tullverket och Kronofogdemyndig- heten att använda dataanalyser och urval i kontrollverksamhet. Vi har därför följt och beaktat det arbete som bedrivits parallellt med vårt arbete.

2.4.2Skatteverkets folkbokföringsverksamhet

Förslag som presenterades i betänkandet Om folkbokföring, samord- ningsnummer och identitetsnummer (SOU 2021:57) har resulterat i ny lagstiftning som syftar till att stärka kvaliteten i folkbokföringen.8 Bland annat har ändringar i folkbokföringslagen (1991:481) och lagen om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet beslutats som innebär en stärkt identitetskontroll vid bl.a. anmälan om inflyttning till Sverige. Skatteverket har bl.a. getts möj- lighet att kontrollera biometriska uppgifter som finns lagrade i de handlingar som ska överlämnas vid kontrollen och den som är före- mål för identitetskontroll ska vara skyldig att på begäran låta Skatte- verket ta fingeravtryck och en ansiktsbild. Lagändringarna om bio- metriska uppgifter, fingeravtryck och ansiktsbild trädde i kraft den

67 och 8 §§ lagen om skyldighet att lämna uppgifter till Utbetalningsmyndigheten.

79 § lagen om skyldighet att lämna uppgifter till Utbetalningsmyndigheten.

8Se prop. 2021/22:217, bet. 2021/22:SkU28, rskr. 2021/22:372.

240

SOU 2023:100

Utredningens uppdrag och arbete

1 september 2023 medan övriga lagar trädde i kraft den 1 september 2022.

Även förslag om ett stärkt system för samordningsnummer har numera lett till lagstiftning.9 Det innebär bl.a. att lagen (2022:1697) om samordningsnummer har införts. Genom ändringarna har Skatte- verket tagit över ansvaret för identitetskontroller vid tilldelning av samordningsnummer. Vidare gjordes vissa ändringar i lagen om be- handling av personuppgifter i Skatteverkets folkbokföringsverksam- het, bl.a. i fråga om att lagen numera också gäller vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitets- kontroller enligt den nya lagen om samordningsnummer. De nu aktu- ella lagändringarna trädde i kraft den 1 september 2023.

Vidare har regeringens förslag om bättre möjligheter för Skatte- verket att göra dataanalyser och urval i folkbokföringsverksamheten införlivats i lagstiftningen.10 Lagändringar gjordes därmed i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksam- het och offentlighets- och sekretesslagen (2009:400). Dessa lagänd- ringar trädde i kraft den 1 maj 2023.

2.5Betänkandets disposition

Vårt betänkande är indelat i 20 kapitel. I kapitel 1 redovisar vi våra för- fattningsförslag och i kapitel 2 vårt uppdrag och dess genomförande. Kapitel 3 och 4 innehåller redogörelser för gällande rätt om data- skydd och sekretess samt för Skatteverkets, Tullverkets och Krono- fogdemyndighetens verksamheter som är aktuella för vårt uppdrag.

I kapitel 5 presenterar vi våra utgångspunkter för en modern och ändamålsenlig kompletterande dataskyddsreglering. I kapitel 6 redo- visas våra förslag om att det ska införas nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten och att de nuvarande registerförfattningarna samtidigt ska upphävas.

I kapitel 7 behandlas våra förslag till vad vi har valt att kalla för allmänna bestämmelser om personuppgiftsbehandling. Det rör bl.a. bestämmelser i de nya lagarna om lagarnas syften, tillämpningsområ- den, förhållande till annan reglering, personuppgiftsansvar, tillgången till personuppgifter och enskildas rättigheter. Kapitel 8 avser ända-

9Se prop. 2021/22:276, bet. 2022/23:SkU4, rskr. 2022/23:40.

10Se prop. 2022/23:41, bet. 2022/23:SkU8, rskr. 2022/23:156.

241

Utredningens uppdrag och arbete

SOU 2023:100

målsbestämmelser och kapitel 9 den nuvarande databasregleringen som vi föreslår ska utmönstras. I kapitel 10 finns våra förslag och bedömningar som rör reglering av vissa särskilda kategorier av per- sonuppgifter, nämligen känsliga personuppgifter, uppgifter om lag- överträdelser samt person- och samordningsnummer.

I kapitel 11 redovisas våra bedömningar och förslag till ny regler- ing av elektroniskt utlämnande från myndigheterna. Kapitel 12 inne- håller våra överväganden och förslag till reglering av gallring och längsta tid för behandling av personuppgifter.

I kapitel 13 finns våra förslag till en ny reglering av uppgiftsläm- nande från Skatteverket, Tullverket och Kronofogdemyndigheten, som vi föreslår ska hållas åtskild från dataskyddsregleringen.

I kapitel 14 föreslår vi reglering som syftar till att utöka Skatte- verkets, Tullverkets och Kronofogdemyndighetens möjligheter att göra dataanalyser och urval.

Frågor om offentlighet och sekretess och våra förslag inom detta område redogör vi för i kapitel 15.

Kapitel 16 och 17 innehåller våra bedömningar och förslag till reglering av det statliga personadressregistret, SPAR, respektive Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.

I kapitel 18 finns en redovisning av våra bedömningar och förslag i fråga om ikraftträdande- och övergångsbestämmelser.

De avslutande kapitlen, kapitel 19 och 20, innehåller en konse- kvensutredning och författningskommentarer.

242

3Gällande rätt – dataskydd och sekretess

3.1Inledning

Rätten till skydd av personuppgifter är en dimension av den grund- läggande rätten till respekt för privatlivet, som regleras i flera inter- nationella konventioner till skydd för de mänskliga rättigheterna. Skyddet för privatlivet omfattar vitt skilda aspekter av en persons liv och begreppet kan inte ges någon uttömmande definition.1 Utöver skydd för en persons bostad och kommunikationer garanterar dock denna rättighet bl.a. ett skydd för den personliga integriteten, en rätt till självbestämmande och en rätt till personlig utveckling.

Den snabba tekniska utvecklingen och framväxten av informa- tionssamhället har medfört en alltmer omfattande behandling av per- sonuppgifter och annan data, inom såväl offentlig som privat sektor. Om personuppgifter behandlas för ett annat ändamål än vad som av- setts eller om de hanteras av någon som inte borde ha tillgång till upp- gifterna kan det utgöra ett oönskat intrång i den personliga integri- teten. Automatiserad behandling av personuppgifter kan dessutom innebära särskilda risker ur ett integritetsperspektiv eftersom tekni- ken gör det möjligt att på ett enkelt sätt både samla in, sammanställa och sprida stora mängder information.

Någon entydig definition av begreppet personlig integritet är svår att finna. Möjligen kan kränkningar av den personliga integriteten sägas utgöra intrång i den fredade sfär som den enskilde bör vara till- försäkrad och där oönskade intrång bör kunna avvisas.2 Behovet av en ändamålsenlig reglering av offentliga och privata aktörers hanter-

1Se Europadomstolens uttalanden i t.ex. López Ribalda m.fl. mot Spanien, mål nr 1874/13 och 8567/13, dom den 17 oktober 2019 och Breyer mot Tyskland, mål nr 50001/12, dom den 30 janu- ari 2020.

2Prop. 2005/06:173, Översyn av personuppgiftslagen, s. 15 och prop. 2009/10:80, En reformerad grundlag, s. 175.

243

Gällande rätt – dataskydd och sekretess

SOU 2023:100

ing av personuppgifter, med goda möjligheter att motverka oberät- tigad behandling, kan sägas ha ökat parallellt med framväxten av det digitaliserade samhället.

Skatteverket, Tullverket och Kronofogdemyndigheten hanterar stora mängder allmänna handlingar och uppgifter som ofta rör en- skilda fysiska personer. Offentlighetsprincipen innebär att enskilda har rätt till insyn i den offentliga verksamheten genom att ta del av allmänna handlingar och uppgifter om de inte är sekretessbelagda. Ut- över de regelverk som syftar till att skydda enskildas personliga integ- ritet finns bestämmelser om sekretess och tystnadsplikt som ger skydd mot spridning av uppgifter om enskilda. I svensk rätt betraktas be- stämmelser om sekretess och tystnadsplikt som en viktig del av det nationella skyddet för personuppgifter.3

I detta kapitel redogörs för den allmänna regleringen av skyddet för den personliga integriteten och behandling av personuppgifter som är av betydelse för vårt uppdrag. Vidare redogör vi översiktligt för vad som allmänt gäller för sekretess och tystnadsplikt, sekretess mellan myndigheter och relevant sekretessreglering som gäller i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter.

3.2Den personliga integriteten och dataskydd

3.2.1FN:s allmänna förklaring och konvention

Det internationella arbetet för mänskliga rättigheter tar sin utgångs- punkt i den allmänna förklaring om de mänskliga rättigheterna som FN antog 1948. I artikel 12 anges att ingen får utsättas för godtyck- ligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Vidare anges att var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. FN:s allmänna förklaring om de mänskliga rättigheterna ses till stora delar som ett uttryck för sedvanerättsliga regler.

Sverige har anslutit sig till FN:s konvention om medborgerliga och politiska rättigheter, som i artikel 17 upprepar innehållet i artikel 12 i den allmänna förklaringen. Konventionen är bindande för anslutna stater.

3Prop. 2021/22:272, Statens stöd till trossamfund samt demokrativillkor vid stöd till civilsamhället, s. 133.

244

SOU 2023:100

Gällande rätt – dataskydd och sekretess

3.2.2Europakonventionen och dataskyddskonventionen

Europakonventionen4 är inkorporerad i svensk rätt och gäller som lag. Lag eller annan föreskrift får inte meddelas i strid med Sveriges åtaganden på grund av Europakonventionen (2 kap. 19 § regerings- formen, RF). Artikel 8 i Europakonventionen stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demo- kratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyg- gande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Artikel 8 ålägger följaktligen stater en förpliktelse att avstå från att göra oproportionerliga intrång i rätten till respekt för privat- och familjelivet. Behandling av person- uppgifter faller ofta inom bestämmelsens tillämpningsområde.5

Europarådets ministerkommitté antog 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av person- uppgifter (dataskyddskonventionen), som Sverige och även övriga medlemsstater i EU har ratificerat. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter. Dess innehåll kan ses som en precisering av skyddet vid användning av automatiserad behandling av personuppgifter enligt artikel 8 i Europakonventionen.6

Dataskyddskonventionen tar sikte på behandling av personuppgif- ter i automatiserade personregister och automatiserad personuppgifts- behandling i allmän och enskild verksamhet. Enligt konventionen ska personuppgifter inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet. Vissa kategorier av per- sonuppgifter får inte behandlas genom automatiserad databehandling om inte den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt upp- gifter om brott.

4Europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

5Se t.ex. Europadomstolens dom i s. och Marper mot Förenade kungariket, mål nr 30562/04 och 30566/04, dom den 4 december 2008.

6Prop. 2016/17:91, Tullbrottsdatalag, s. 24.

245

Gällande rätt – dataskydd och sekretess

SOU 2023:100

Mot bakgrund av bl.a. den tekniska utvecklingen sedan 1981 har konventionen genomgått en översyn i syfte att modernisera och för- bättra den.7 Ändringarna har ännu inte trätt i kraft.

3.2.3EU-stadgan om de grundläggande rättigheterna

EU:s medlemsstater har antagit Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan) som, sedan Lissabon- fördragets ikraftträdande i december 2009, är rättsligt bindande för EU-institutionerna och medlemsstaterna när de tillämpar unions- rätten.8 Enligt artikel 7 i EU-stadgan har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och kommunikationer. Av arti- kel 8 i EU-stadgan framgår vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Uppgifterna ska be- handlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikeln gäller vidare att var och en har rätt att få tillgång till in- samlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

3.2.4Regeringsformen

Den personliga integriteten skyddas av regeringsformen. Av mål- sättningsstadgandet i 1 kap. 2 § RF följer att det allmänna ska värna den enskildes privat- och familjeliv. Målsättningsstadgandet anger ett viktigt mål för den samhälleliga verksamheten, men är inte rättsligt bindande för det allmänna. I 2 kap. RF finns däremot rättsligt bind- ande föreskrifter om grundläggande fri- och rättigheter. I 2 kap. 2 § RF föreskrivs att ingen får av det allmänna tvingas att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hän- seende. Vidare anges i 2 kap. 3 § RF att ingen svensk medborgare får utan samtycke antecknas i ett allmänt register enbart på grund av sin politiska åskådning. Av 2 kap. 6 § andra stycket RF framgår att var och en är gentemot det allmänna skyddad mot betydande intrång i den per-

7Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 223).

8Jfr prop. 2007/08:168, Lissabonfördraget, s. 58–59.

246

SOU 2023:100

Gällande rätt – dataskydd och sekretess

sonliga integriteten, om det sker utan samtycke och innebär övervak- ning eller kartläggning av den enskildes personliga förhållanden.

3.2.5EU:s dataskyddsförordning

Allmänt om EU:s dataskyddsförordning

EU:s dataskyddsförordning9 utgör sedan den började tillämpas den 25 maj 2018 en generell reglering för behandling av personuppgifter inom EU. Förordningen ersatte 1995 års dataskyddsdirektiv.10 Data- skyddsförordningen är direkt tillämplig i medlemsstaterna och gäller före nationell rätt. Samtidigt både förutsätter och medger dataskydds- förordningen kompletterande nationella bestämmelser av olika slag.

Dataskyddsförordningen innehåller bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter. Förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis sker på automatisk väg och på annan behandling än automatisk av person- uppgifter som ingår i eller kommer att ingå i ett register.11 Förord- ningen syftar till att skydda fysiska personers grundläggande rättig- heter och friheter, särskilt deras rätt till skydd av personuppgifter. Enligt dataskyddsförordningen får det fria flödet av personuppgifter inom unionen varken begränsas eller förbjudas av skäl som rör skyd- det för fysiska personer med avseende på behandlingen av person- uppgifter.12

Behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma ut- rikes- och säkerhetspolitiken omfattas inte av dataskyddsförordning- ens tillämpningsområde.13 Inte heller sådan personuppgiftsbehand- ling som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll

9Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

10Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

11Artikel 2.1.

12Artikel 1.

13Skäl 16 till dataskyddsförordningen.

247

Gällande rätt – dataskydd och sekretess

SOU 2023:100

omfattas av dataskyddsförordningen.14 Vidare gäller dataskyddsförord- ningen inte heller för behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den all- männa säkerheten.15 Sådan behandling regleras i stället i det s.k. data- skyddsdirektivet16 som i Sverige kompletteras av brottsdatalagen (2018:1177) och brottsdataförordningen (2018:1202).

I dataskyddsförordningen anges de principer som ska gälla vid be- handling av personuppgifter (kapitel 2), den registrerades rättigheter (kapitel 3), den personuppgiftsansvariges och dennes eventuella biträ- des, det s.k. personuppgiftsbiträdets, skyldigheter m.m. (kapitel 4) och det som ska gälla vid överföring av personuppgifter till tredjeländer eller internationella organisationer (kapitel 5). I förordningen finns också bestämmelser om oberoende tillsynsmyndigheter (kapitel 6) och deras samarbete och åtgärder som de ska vidta för att förordningen ska tillämpas på ett enhetligt sätt (kapitel 7). Vidare finns bestämmel- ser om rättsmedel, ansvar och sanktioner (kapitel 8), särskilda behand- lingssituationer (kapitel 9) och delegerade befogenheter (kapitel 10).

Nedan följer en beskrivning av för vårt uppdrag centrala delar av dataskyddsförordningen.

Personuppgifter

Personuppgifter definieras i dataskyddsförordningen som varje upp- lysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidenti- fikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska ekonomiska, kul- turella eller sociala identitet.17 Dataskyddsförordningen gäller inte vid

14Artikel 2.2 c.

15Artikel 2.2 d.

16Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga på- följder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

17Artikel 4.1.

248

SOU 2023:100

Gällande rätt – dataskydd och sekretess

behandling av uppgifter om avlidna personer.18 Den gäller inte heller uppgifter om juridiska personer.19 Däremot utgör avidentifierade indi- viddata, där nyckeln till identifiering finns bevarad, personuppgifter i dataskyddsförordningens mening.20

Behandling

Begreppet behandling är enligt dataskyddsförordningen en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsätt- ningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lag- ring, bearbetning eller ändring, framtagning, läsning, användning, ut- lämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller för- störing.21

Grundläggande principer

För all behandling av personuppgifter enligt dataskyddsförordningen gäller ett antal grundläggande principer. Principerna framgår av arti- kel 5.1. Det är den personuppgiftsansvarige som ska ansvara för och kunna visa att de grundläggande principerna efterlevs, vilket framgår av artikel 5.2 (den s.k. ansvarsprincipen). Principerna är följande.

a)Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)De ska vara adekvata, relevanta och inte för omfattande i förhål- lande till de ändamål för vilka de behandlas (uppgiftsminimering).

18Skäl 27 till dataskyddsförordningen.

19Artikel 1 och skäl 14 till dataskyddsförordningen.

20Artikel 4.1 och skäl 26 till dataskyddsförordningen.

21Artikel 4.2.

249

Gällande rätt – dataskydd och sekretess

SOU 2023:100

d)De ska vara korrekta och om nödvändigt uppdaterade. Alla rim- liga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behand- las raderas eller rättas utan dröjsmål (korrekthet).

e)De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskap- liga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tek- niska och organisatoriska åtgärder som krävs enligt dataskydds- förordningen genomförs för att säkerställa den registrerades rättig- heter och friheter (lagringsminimering).

f)De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olycks- händelse, med användning av lämpliga tekniska eller organisato- riska åtgärder (integritet och konfidentialitet).

Rättslig grund

För att behandling av personuppgifter över huvud taget ska vara laglig enligt dataskyddsförordningen krävs att något av de villkor som anges i artikel 6.1 i förordningen är uppfyllda. Det innebär att en behandling inte är tillåten om den inte vilar på en rättslig grund enligt dataskyddsförordningen.

De rättsliga grunder som i huvudsak aktualiseras för myndigheter är behandling som är nödvändig för att fullgöra en rättslig förplik- telse som åvilar den personuppgiftsansvarige och behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, artikel 6.1 e och c.

När det i dataskyddsförordningen hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstift- ningsakt antagen av ett parlament. Den rättsliga grunden eller lagstift- ningsåtgärden bör dock vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med

250

SOU 2023:100

Gällande rätt – dataskydd och sekretess

rättspraxis vid Europeiska unionens domstol och Europeiska dom- stolen för de mänskliga rättigheterna.22

Dataskyddsförordningen medför inte något krav på en särskild lag för varje enskild behandling, utan det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att ut- föra en uppgift av allmänt intresse eller som ett led i myndighets- utövning.23

Den grund för behandlingen som avser rättslig förpliktelse, upp- gift av allmänt intresse eller myndighetsutövning ska fastställas i enlighet med unionsrätten, eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt bestämmelsen om uppgift av allmänt intresse eller myndighetsutöv- ning, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att an- passa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges be- handling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Unionsrätten eller med- lemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.24 En- ligt dataskyddsförordningen är det alltså lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myn- digheternas behandling av personuppgifter.25

Det unionsrättsliga begreppet nödvändigt har inte samma strikta innebörd som det svenska ordet nödvändigt, dvs. att någonting abso- lut fordras eller inte kan underlåtas. Nödvändighetsrekvisitet i arti- kel 7 i 1995 års dataskyddsdirektiv har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Trots att en arbetsuppgift skulle kunna utföras utan att personuppgifter behandlas på visst sätt kan

22Skäl 41 till dataskyddsförordningen.

23Skäl 45 till dataskyddsförordningen.

24Artikel 6.3.

25Skäl 47 till dataskyddsförordningen.

251

Gällande rätt – dataskydd och sekretess

SOU 2023:100

behandlingen anses nödvändig om den innebär effektivitetsvinster.26 Det bör i dagsläget mer eller mindre regelmässigt anses vara nödvän- digt att använda tekniska hjälpmedel och därmed behandla person- uppgifter på automatisk väg, eftersom en manuell informations- hantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.27

Finalitetsprincipen

Som redan nämnts ska personuppuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare be- handlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 b i dataskyddsförordningen). Bestämmelsen ger uttryck för den s.k. finalitetsprincipen. Denna princip medger att uppgifter behandlas för andra ändamål än insamlingsändamålen under förutsättning att dessa ändamål inte är oförenliga med det ursprungliga ändamålet, men förbjuder annan vidarebehandling av uppgifterna.

I artikel 6.4 i dataskyddsförordningen anges att om en behandling för andra ändamål än det ändamål för vilket personuppgifterna sam- lades in inte grundar sig på den registrerades samtycke eller på unions- rätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bl.a. beakta följande:

a)Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behand- lingen.

b)Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgifts- ansvarige.

c)Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida

26EU-domstolens dom den 16 december 2008 i mål C-524/06, Heinz Huber mot Bundes- republik Deutschland och prop. 2017/18:105, Ny dataskyddslag, s. 46–47.

27Prop. 2017/18:105, Ny dataskyddslag, s. 47.

252

SOU 2023:100

Gällande rätt – dataskydd och sekretess

personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.

d)Eventuella konsekvenser för registrerade av den planerade fort- satta behandlingen.

e)Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Om en personuppgiftsbehandling är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan med- lemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som för- enlig och laglig.28 Tillåtligheten av en vidarebehandling kan alltså säkerställas genom nationell lagstiftning som reglerar när sådan vid- arebehandling ska vara tillåten.29 Om behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den per- sonuppgiftsansvarige tillåtas att behandla personuppgifterna ytter- ligare, oavsett om detta är förenligt med ändamålen eller inte.30

Känsliga personuppgifter m.m.

För behandling av vissa särskilda kategorier av uppgifter, s.k. käns- liga personuppgifter, gäller stränga krav. Som huvudregel är behand- ling av personuppgifter som avslöjar ras eller etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning förbjuden enligt artikel 9.1 dataskyddsförordningen.

Det finns vissa undantag från förbudet mot behandling av käns- liga personuppgifter. Förbudet ska exempelvis inte tillämpas om be- handlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken

28Skäl 50 till dataskyddsförordningen.

29Jfr artikel 6.3 andra stycket.

30Skäl 50 till dataskyddsförordningen.

253

Gällande rätt – dataskydd och sekretess

SOU 2023:100

ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmel- ser om lämpliga och särskilda åtgärder för att säkerställa den regi- strerades grundläggande rättigheter och intressen, vilket framgår av artikel 9.2 g.

Vad gäller behandlingen av genetiska eller biometriska uppgifter, eller uppgifter om hälsa, får medlemsstaterna behålla eller införa ytter- ligare villkor och begränsningar.31

Det finns även särskilda bestämmelser om behandling av person- uppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. Behandling av sådana personuppgifter enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder för de registrerades rättigheter och friheter fast- ställs. Ett fullständigt register över fällande domar i brottmål får en- dast föras under kontroll av en myndighet.32 Om en uppgift om en fällande dom i brottmål eller lagöverträdelse som innefattar brott även utgör en känslig personuppgift, gäller därutöver de särskilda krav som gäller för behandling av sådana uppgifter.

De registrerades rättigheter

Dataskyddsförordningen innehåller ett antal rättigheter för de enskilda vars personuppgifter behandlas (de registrerade). Den registrerade har rätt att få omfattande information från den personuppgiftsansvarige. Informationen och kommunikationen ska vara klar och tydlig och de villkor som ska gälla för utövandet av den registrerades rättigheter ska vara klara och tydliga.33 Informationen som ska tillhandahållas om personuppgifterna samlas in från den registrerade är bl.a. ändamålen med den behandling för vilken personuppgifterna är avsedda och den rättsliga grunden för behandlingen.34 Om den personuppgiftsansvar- ige avser att ytterligare behandla uppgifterna för ett annat syfte än för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra

31Artikel 9.4.

32Artikel 10.

33Artikel 12.

34Artikel 13.1 c.

254

SOU 2023:100

Gällande rätt – dataskydd och sekretess

syfte, om den registrerade inte redan förfogar över informationen.35 Om information inte erhållits från den registrerade gäller som utgångs- punkt samma krav på information om bl.a. ändamålen och den rätts- liga grunden för behandlingen.36 Undantag görs dock bl.a. för erhål- lande eller utlämnande av uppgifter som uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.37

Den registrerade kan också begära registerutdrag med informa- tion om bl.a. vilka kategorier av uppgifter som behandlas om honom eller henne.38 Vidare har den registrerade rätt att begära att få upp- gifter rättade eller raderade eller att behandlingen ska begränsas.39 Den registrerade har också rätt att göra invändningar mot personuppgifts- behandling som grundar sig på bl.a. artikel 6.1 e.40

Den registrerade ska även ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profi- lering, om beslutet har rättsliga följder eller på liknande sätt i betyd- ande grad påverkar den registrerade.41

De rättigheter som tillkommer de registrerade kan begränsas under vissa förutsättningar.42 I unionsrätten eller en medlemsstats nationella rätt ska det nämligen vara möjligt att införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt sam- hälle. En begränsning av den registrerades rättigheter får dock inte ske av vilken anledning som helst. Den måste ha som syfte att säker- ställa någon av de mål som anges i dataskyddsförordningen, bl.a. unio-

35Artikel13.3 och 13.4.

36Artikel 14.

37Artikel 14.5 c.

38Artikel 15.

39Artiklarna 16–18.

40Artikel 21.1.

41Artikel 22. Profilering innebär varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetspresta- tioner, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar, se artikel 4.4.

42Artikel 23.1.

255

Gällande rätt – dataskydd och sekretess

SOU 2023:100

nens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet eller en tillsyns-, inspektions- eller regler- ingsfunktion som, även i enstaka fall, har samband med sådan myn- dighetsutövning.43

Alla begränsande lagstiftningsåtgärder ska innehålla specifika be- stämmelser åtminstone, när så är relevant, avseende bl.a. ändamålen med behandlingen eller kategorierna av behandling, omfattningen av de införda begränsningarna och skyddsåtgärder för att förhindra miss- bruk eller olaglig tillgång eller överföring.44

Säkerhet m.m.

Allmänt om säkerhet vid behandling av personuppgifter

Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas. Redan av de grundläggande principerna för personuppgiftsbehandling framgår att personuppgifter ska behand- las på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot för- lust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f).

Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstater- nas nationella rätt.45

Med beaktande av den senaste utvecklingen, genomförandekostna- derna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisato- riska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i

43Artikel 23.1 e och h.

44Artikel 23.2 a, c och d.

45Artikel 29.

256

SOU 2023:100

Gällande rätt – dataskydd och sekretess

förhållande till risken.46 Säkerhetsåtgärder som kan aktualiseras är bl.a. pseudonymisering och kryptering av personuppgifter och ett förfar- ande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa be- handlingens säkerhet.47

Inbyggt dataskydd och dataskydd som standard

Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska perso- ners rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder som ska vara utformade för ett effektivt genomförande av dataskyddsprinciper och för integrering av de nödvändiga skyddsåtgär- derna i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas.48 Den personuppgifts- ansvarige ska vidare genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgif- ter, behandlingens omfattning, tiden för deras lagring och deras till- gänglighet. Framför allt ska dessa åtgärder säkerställa att person- uppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.49

Konsekvensbedömning

Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyd-

46Artikel 32.1.

47Artikel 32.1 a och d.

48Artikel 25.1.

49Artikel 25.2.

257

Gällande rätt – dataskydd och sekretess

SOU 2023:100

det av personuppgifter.50 En sådan konsekvensbedömning kan aktua- liseras bl.a. vid behandling i stor omfattning av känsliga person- uppgifter enligt artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, som av- ses i artikel 10.51 Konsekvensbedömningen ska göras i syfte att be- döma den höga riskens sannolikhetsgrad och allvar samt dess ursprung och bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska risken, säkerställa personuppgiftsskyd- det och visa att dataskyddsförordningen efterlevs.52 En konsekvens- bedömning bör särskilt vara tillämplig på storskalig uppgiftsbehand- ling med syftet att behandla betydande mängder uppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer innebära en hög risk.53

Om behandling enligt de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagan- det av denna rättsliga grund, krävs ingen konsekvensbedömning, om inte medlemsstaterna anser det nödvändigt att utföra en sådan be- dömning före behandlingen.54

Möjligheten till kompletterande lagstiftning

En EU-förordning är i alla delar bindande och direkt tillämplig i med- lemsstaternas nationella rätt och ska därmed inte implementeras.55 Dataskyddsförordningen är dock utformad på ett sådant sätt att för- ordningen till viss del både förutsätter och medger nationell data- skyddsreglering som kompletterar förordningens bestämmelser. För- ordningen har därmed i vissa delar en direktivliknande karaktär.

Dataskyddsförordningen medger att medlemsländerna behåller eller inför mer specifika bestämmelser för att anpassa bestämmelserna i

50Artikel 35.1.

51Artikel 35.3 b.

52Skäl 90 till dataskyddsförordningen.

53Skäl 91 till dataskyddsförordningen.

54Artikel 35.10.

55Jfr artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt.

258

SOU 2023:100

Gällande rätt – dataskydd och sekretess

förordningen, med hänsyn till behandling för att efterleva bestäm- melserna om rättslig förpliktelse samt uppgift av allmänt intresse eller myndighetsutövning som rättslig grund. Medlemsstaterna får även fastställa specifika krav för uppgiftsbehandlingen och andra åt- gärder för att säkerställa en laglig och rättvis behandling.56 Den rätts- liga grunden ska dessutom fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvar- ige omfattas av.57

I skälen till dataskyddsförordningen anges också att om förord- ningen föreskriver förtydliganden eller begränsningar av dess bestäm- melser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.58 Möj- ligheten att anta kompletterande dataskyddsbestämmelser på natio- nell nivå medför även en möjlighet för medlemsstaterna att i viss mån anpassa förordningens bestämmelser till den nationella kontexten.59

Dataskyddsförordningens förhållande till offentlighetsprincipen

Bestämmelserna i dataskyddsförordningen ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen, TF, eller yttrandefrihetsgrundlagen (1 kap. 7 § lagen [2018:218] med kom- pletterande bestämmelser till EU:s dataskyddsförordning, härefter benämnd dataskyddslagen, och artikel 85 i dataskyddsförordningen). Dataskyddsförordningen medför inte heller några begränsningar av rätten att ta del av allmänna handlingar.60 Den svenska offentlighets- principen ges därmed företräde framför rätten till skydd av person- uppgifter enligt dataskyddsförordningen. Detta innebär bl.a. att den svenska regleringen om allmänna handlingars offentlighet och rätten att ta del av allmänna handlingar i 2 kap. TF ska tillämpas framför bestämmelserna i dataskyddsförordningen.61

56Artikel 6.2.

57Artikel 6.3.

58Skäl 8 till dataskyddsförordningen.

59Se t.ex. artiklarna 6.2 och 23.

60Artikel 86 i dataskyddsförordningen.

61Jfr prop. 2017/18:105, Ny dataskyddslag, s. 40–43.

259

Gällande rätt – dataskydd och sekretess

SOU 2023:100

3.2.6Dataskyddslagen

Allmänt om dataskyddslagen

I Sverige kompletteras dataskyddsförordningen av dataskyddslagen och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. Lagen med tillhörande förordning för- tydligar under vilka förutsättningar personuppgifter får behandlas med stöd av dataskyddsförordningen. Genom dataskyddslagen upp- hävdes personuppgiftslagen (1998:204), som genomförde 1995 års dataskyddsdirektiv.

Dataskyddslagen är subsidiär i förhållande till annan lag eller för- ordning, vilket innebär att avvikande bestämmelser i registerförfatt- ningar och annan kompletterande dataskyddsreglering har företräde.62 Lagen innehåller bl.a. bestämmelser om rättslig grund för behandling av personuppgifter, behandling av känsliga personuppgifter och be- gränsningar av vissa rättigheter och skyldigheter samt om arkiv och statistik.

Dataskyddslagens förarbeten om rättslig grund

Allmänt om rättslig grund vid myndigheters personuppgiftsbehandling

I dataskyddslagens förarbeten gjordes flera överväganden om tolk- ningen av centrala delar i dataskyddsförordningen, bl.a. avseende de krav som ställs i relation till den rättsliga grund för behandling som i huvudsak är aktuell för myndigheter. Regeringens bedömning var sammanfattningsvis att dataskyddsförordningens krav på att den grund för behandling som vanligtvis aktualiseras för myndigheter ska vara fastställd i enlighet med unionsrätten eller den nationella rätten inte innebär ett krav på att själva behandlingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, uppgiften av all- mänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen. Den rättsliga förpliktelsen, uppgiften av allmänt in- tresse respektive myndighetsutövningen är enligt regeringen fast- ställd i enlighet med svensk rätt, om den följer av författning eller beslut som har meddelats i enlighet med regeringsformens bestäm- melser.63

621 kap. 6 § dataskyddslagen.

63Prop. 2017/18:105, Ny dataskyddslag, s. 48.

260

SOU 2023:100

Gällande rätt – dataskydd och sekretess

Vad ska fastställas i unionsrätten eller nationell rätt?

Regeringen konstaterade att av ordalydelsen i artikel 6.3 första stycket64 framgår att det som ska fastställas i unionsrätten eller natio- nell rätt är den grund för behandling som avses i artikel 6.1 c och e. Det krävs alltså inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rätts- liga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet.65

Vad menas med att grunden för behandlingen ska vara fastställd?

Dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd utgjorde enligt regeringen inte någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. Lega- litetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Principen är grundlagsfäst genom 1 kap. 1 § RF och inne- bär att myndigheters maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Det borde inte förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser.66

Kraven på proportionalitet i artikel 6.3 motsvarar enligt reger- ingen det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Enligt 2 kap. 19 § RF gäller att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europa- konventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av all- mänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt.67 Kravet att nationell rätt ska uppfylla ett mål av

64I artikel 6.3 första stycket i dataskyddsförordningen anges att den grund för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

65Prop. 2017/18:105, Ny dataskyddslag, s. 49.

66Prop. 2017/18:105, Ny dataskyddslag, s. 50.

67Prop. 2017/18:105, Ny dataskyddslag, s. 50.

261

Gällande rätt – dataskydd och sekretess

SOU 2023:100

allmänt intresse och vara proportionell mot det legitima mål som eftersträvas måste i första hand anses riktat mot lagstiftaren och andra som har befogenhet att fastställa rättsliga förpliktelser, uppgifter av allmänt intresse, samt myndighetsutövning, och inte till person- uppgiftsansvariga eller personuppgiftsbiträden.68

Av skäl 41 till förordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Även detta var enligt regeringen ett uttryck för legalitetsprincipen och utgjorde således inte någon nyhet inom den svenska offentliga förvaltningen. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgif- ter ska anses vara nödvändig måste enligt regeringen bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär.69

Hur fastställs en rättslig grund i enlighet med svensk rätt?

Föreskrifter ska meddelas av riksdagen genom lag bl.a. om föreskrif- terna avser förhållandet mellan enskilda och det allmänna under för- utsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga och ekonomiska förhål- landen.70 Regeringen får dock, efter bemyndigande från riksdagen, meddela sådana föreskrifter i en förordning.71 Normgivningskompe- tensen kan även vidaredelegeras till en myndighet eller en kommun.72 När det gäller föreskrifter som är gynnande för den enskilde får regeringen, inom ramen för sin restkompetens, meddela föreskrifter om åtgärder utan stöd av ett bemyndigande från riksdagen.73

Under regeringen lyder de statliga förvaltningsmyndigheter som inte är myndigheter under riksdagen. Regeringen styr dessa myndig- heter genom regeringsbeslut och genom att med stöd av restkompe- tensen meddela föreskrifter. Det kommunala självstyret innebär att

68Prop. 2017/18:105, Ny dataskyddslag, s. 54.

69Prop. 2017/18:105, Ny dataskyddslag, s. 51.

708 kap. 2 § RF.

718 kap. 3 § RF.

728 kap. 9 och 10 §§ RF.

738 kap. 7 § RF.

262

SOU 2023:100

Gällande rätt – dataskydd och sekretess

fullmäktige har visst utrymme att styra de kommunala myndigheter- nas verksamhet genom reglementen.74

EU-rättsakter gäller här i landet med den verkan som följer av EU-fördragen. Det innebär att även unionsrätten har stöd i svensk lag, t.ex. i fråga om förpliktelser, myndighetsutövning och uppgifter av allmänt intresse som följer av direkt tillämpliga EU-förordningar eller som meddelas med stöd av sådana förordningar. En rättslig grund är fastställd i enlighet med svensk rätt om den följer av en författning eller beslut som meddelats i enlighet med regeringsformens bestäm- melser. Som en följd av den svenska arbetsmarknadsmodellen kan en rättslig grund även följa av kollektivavtal.75

Bestämmelser om rättslig grund i dataskyddslagen

Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får be- handlas med stöd av artikel 6.1 c i dataskyddsförordningen, om be- handlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författ- ning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Bestämmelsen har sin grund i artikel 6.3 första stycket i dataskyddsförordningen. Enligt artikeln måste en rätts- lig förpliktelse vara fastställd i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för behandling av per- sonuppgifter. Paragrafen är avsedd att ge vägledning för rättstillämp- ningen i Sverige och tydliggör att förpliktelsen måste vara fastställd i enlighet med gällande rätt, men behöver inte framgå direkt av en författning. Vidare kan en rättslig förpliktelse enligt svensk rätt även följa av till exempel regeringsbeslut, myndighetsbeslut eller dom. Med lag jämställs EU-förordningar.76

Enligt 2 kap. 2 § dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Bestämmelsen har sin grund i artikel 6.3 första

74Prop. 2017/18:105, Ny dataskyddslag, s. 51.

75Prop. 2017/18:105, Ny dataskyddslag, s. 51–52.

76Prop. 2017/18:105, Ny dataskyddslag, s. 188–189.

263

Gällande rätt – dataskydd och sekretess

SOU 2023:100

stycket i dataskyddsförordningen där det anges att en uppgift av allmänt intresse respektive myndighetsutövning måste fastställas i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för behandling av personuppgifter. Paragrafen är av- sedd att ge vägledning för rättstillämpningen i Sverige. Bestämmel- sen tydliggör att uppgiften inte måste framgå direkt av en författning. Uppgifter av allmänt intresse kan enligt svensk rätt även följa av be- slut som har meddelats med stöd av lag eller annan författning. Till exempel kan en sådan uppgift tilldelas en statlig myndighet eller ett statligt bolag genom ett regeringsbeslut. Vidare tydliggörs att myn- dighetsutövning utgör en rättslig grund för behandling av person- uppgifter bara om myndighetsutövningen sker enligt lag eller annan författning. Begreppet myndighetsutövning ska tolkas och tillämpas på samma sätt som enligt dataskyddsförordningen. Det som i Sverige brukar anses som myndighetsutövning borde omfattas av begreppet.77

3.2.7Särskilda nationella registerförfattningar

Allmänt om registerförfattningar

Utöver den allmänna dataskyddsregleringen i form av dataskydds- förordningen och dataskyddslagen finns det i svensk rätt en stor mängd specialförfattningar, s.k. registerförfattningar, som reglerar framför allt myndigheters behandling av personuppgifter. Register- författningarna utgör ett komplement till den allmänna regleringen och förekommer både i form av lag och förordning. Syftet med register- författningarna är att anpassa regleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra av- vägningar mellan behovet av effektivitet i berörd verksamhet och be- hovet av skydd för den enskildes personliga integritet.78

Särskilda registerförfattningar blir ofta aktuella inom verksam- heter där stora mängder personuppgifter hanteras. Det finns dock ett flertal myndigheter som saknar registerförfattning och där enbart den generella dataskyddsregleringen tillämpas.

Registerförfattningar kan sägas konkretisera ramarna för person- uppgiftsbehandlingen och den kompletterande regleringen kan sägas

77Prop. 2017/18:105, Ny dataskyddslag, s. 189–190.

78Prop. 2015/16:65, Utlänningsdatalag, s. 21.

264

SOU 2023:100

Gällande rätt – dataskydd och sekretess

ange de yttersta ramarna för vilka ändamål en myndighet över huvud taget får samla in och använda uppgifter.79

Registerförfattningars innehåll

Registerförfattningar och annan kompletterande dataskyddsregler- ing är ofta uppbyggda på så sätt att de inledande bestämmelserna anger författningens tillämpningsområde, exempelvis en viss verksam- het inom en viss myndighet, och förhållande till annan reglering, pri- märt dataskyddsförordningen och dataskyddslagen. De allra flesta registerförfattningar innehåller därefter ändamålsbestämmelser.

Ändamålsbestämmelserna brukar delas upp i primära och sekun- dära ändamål. Bestämmelserna om primära ändamål avser behovet av att behandla personuppgifter i myndighetens egen verksamhet och anger för vilka ändamål inom lagens tillämpningsområde myndig- heten får samla in personuppgifter. Uttrycket samlas in är ett begrepp som inte särskilt definieras i dataskyddsförordningen. Det får dock antas avse de olika tillvägagångssätt som, i en vid bemärkelse, medför att uppgifter kommer in till myndigheten. Begreppet träffar alltså inte enbart de situationer när uppgifter kommer till myndigheten efter myndighetens egen begäran, utan även andra situationer som inne- bär att en myndighet får tillgång till personuppgifter, exempelvis ge- nom att en enskild på eget initiativ lämnar in en handling av något slag till myndigheten.80 En primär ändamålsbestämmelse kan t.ex. ange att uppgifter får behandlas för tillhandahållande av information som behövs hos en myndighet för en viss uppgift som ankommer på myn- digheten.

Bestämmelserna om sekundära ändamål reglerar hur personuppgif- ter som redan har samlats in och behandlas i verksamheten för de pri- mära ändamålen får vidarebehandlas. I de sekundära ändamålsbestäm- melserna ges ofta en uppräkning över vissa vanligt förekommande ändamål för utlämnande till andra myndigheter. Utöver detta anges ofta att uppgifter får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och att uppgifter även får behandlas för andra ändamål, under förutsättning att upp-

79Prop. 2017/18:95, Ny dataskyddslag, s. 54.

80Öman, Dataskyddsförordningen (GDPR) m.m. – en kommentar, (27 september 2023, Ver- sion 2B, JUNO), kommentaren till artikel 5 under rubriken Led b – Ändamålsbegränsning.

265

Gällande rätt – dataskydd och sekretess

SOU 2023:100

gifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Det är även vanligt förekommande att registerförfattningarna inne- håller särskilda bestämmelser om bl.a. personuppgiftsansvar, behand- ling av känsliga personuppgifter, förbud mot vissa sökningar, samt begränsningar av tillgången till personuppgifter.

Flera registerförfattningar innehåller också en reglering av vilka uppgifter som får behandlas för vilka ändamål, vilka uppgifter som får användas gemensamt i en databas, samt villkor för olika former av elek- troniskt utlämnande av uppgifter, exempelvis genom direktåtkomst.

Inte sällan finns det förordningar som kompletterar registerlagarna. I förordningarna ges då ofta mer detaljerade bestämmelser, exempel- vis om vilka uppgifter som får behandlas i vilken kontext, eller vilka uppgifter som får lämnas ut till vem samt i vilken elektronisk form detta får ske. I förordningarna kan det även finnas andra begräns- ningar.

3.2.8Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar

Skatteverket

Skattedatabaslagen med tillhörande förordning

Vid behandling av personuppgifter i Skatteverkets beskattnings- verksamhet tillämpas lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen, och för- ordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen.

Skattedatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde skatteregisterlagen (1980:343) att gälla. Vid tidpunk- ten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och personuppgiftslagen. Skattedatabaslagen har sedan dess ändrats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskydds- förordning som innebar att personuppgiftslagen upphävdes.81

81Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.

266

SOU 2023:100

Gällande rätt – dataskydd och sekretess

Skattedatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. beskattningsdata- basen (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.).

Lagen är tillämplig vid behandling av personuppgifter i Skatte- verkets beskattningsverksamhet och i verkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete, lagen (1991:1047) om sjuklön och lagen (2020:548) om omställningsstöd samt vid hand- läggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, om behandlingen är helt eller delvis automati- serad eller om uppgifterna ingår i eller är avsedda att ingå i en struk- turerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa av lagens bestäm- melser gäller även vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 §).

Termer och uttryck som används i lagen har samma betydelse och tillämpningsområde som i inkomstskattelagen (1999:1229) (1 kap. 1 a §). Skattedatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§).

Lagen innehåller bestämmelser om s.k. primära och sekundära ända- mål. Uppgifter får enligt de primära ändamålen behandlas för att till- handahålla information som behövs hos Skatteverket för bl.a. fast- ställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, bestämmande av pensions- grundande inkomst, fastighetstaxering, revision och annan analys- eller kontrollverksamhet och fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande (1 kap. 4 §).

Enligt de s.k. sekundära ändamålen får uppgifter som behandlas enligt de primära ändamålen i 1 kap. 4 § även behandlas för att till- handahålla information som behövs i författningsreglerad verksam- het hos någon annan än Skatteverket för bl.a. fastställande av under- lag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter, för utsökning, indrivning, skuldsanering och F-skuldsanering och för att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd. Uppgifter får också behandlas för att tillhandahålla information som behövs i Skatte- verkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, och för att fullgöra upp-

267

Gällande rätt – dataskydd och sekretess

SOU 2023:100

giftslämnande som sker i överensstämmelse med lag eller förordning. Vidare får uppgifter behandlas för andra ändamål, under förutsätt- ning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitets- principen (1 kap. 5 §).

Det är Skatteverket som är personuppgiftsansvarigt för den be- handling av personuppgifter som verket ska utföra (1 kap. 6 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskydds- förordning (känsliga personuppgifter) och uppgifter om lagöverträdel- ser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av beskattningsdatabasen (1 kap. 7 §).

Uppgifter som Skatteverket behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har av- slutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 8 §).

Den samling uppgifter som med hjälp av automatiserad behand- ling används gemensamt i verksamheten utgör beskattningsdatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som om- fattas av verksamhet enligt vissa av de primära ändamålen. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i beskattningsdatabasen (2 kap. 3–4 a §§). Vidare finns regler om enskilds rätt att ta del av uppgifter från databasen och vilka uppgifter som då får lämnas ut (2 kap. 5 §). Det finns också bestämmelser om vilka uppgifter i databasen som får lämnas ut till en enskild på medium för automatiserad behandling (2 kap. 6 §). Vilken direktåtkomst som är tillåten till beskattningsdatabasen fram- går av lagen (2 kap. 7–9 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i beskattningsdatabasen (2 kap. 10 §). Uppgifter och handlingar som finns i beskattnings- databasen ska som utgångspunkt gallras senast sju år efter utgången av det kalenderår då den beskattningsperiod som uppgifterna eller handlingarna kan hänföras till gick ut. (2 kap. 11 §). Det finns även ytterligare särskilda regler om gallring av uppgifter och handlingar som finns i databasen (2 kap. 12–13 §§). Vidare får Skatteverket ta ut

268

SOU 2023:100

Gällande rätt – dataskydd och sekretess

avgifter för att lämna ut uppgifter ur beskattningsdatabasen enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 13 §).

Två rättigheter enligt EU:s dataskyddsförordning har inskränkts genom skattedatabaslagen. Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13 och 15–19 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen (3 kap. 3 a §). Vidare gäller inte artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar vid sådan be- handling som är tillåten enligt skattedatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 1 §).

I skattedatabasförordningen finns ytterligare bestämmelser om Skatteverkets behandling av personuppgifter. Förordningen inne- håller bl.a. bestämmelser om definitioner, uppgifter som får behand- las i beskattningsdatabasen, utlämnande av uppgifter till myndigheter och andra organ, utlämnande av uppgifter till enskilda på medium för automatiserad behandling, utlämnande av uppgifter till Europeiska kommissionen, direktåtkomst för enskilda, bevarande och gallring av uppgifter i beskattningsdatabasen och avgifter.

Folkbokföringsdatabaslagen med tillhörande förordning

Vid behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet tillämpas lagen (2001:182) om behandling av person- uppgifter i Skatteverkets folkbokföringsverksamhet, folkbokför- ingsdatabaslagen, och förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbok- föringsdatabasförordningen.

Folkbokföringsdatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde lagen (1990:1536) om folkbokföringsregister och lagen (1995:743) om aviseringsregister att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och per- sonuppgiftslagen. Folkbokföringsdatabaslagen har sedan dess änd-

269

Gällande rätt – dataskydd och sekretess

SOU 2023:100

rats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s data- skyddsförordning som innebar att personuppgiftslagen upphävdes.82 Folkbokföringsdatabaslagen är indelad i fyra kapitel som inne- håller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. folk- bokföringsdatabasen (2 kap.), analys- och urvalsdatabasen (2 a kap.)

och enskildas rättigheter (3 kap.).

Lagen är tillämplig vid behandling av personuppgifter i Skatte- verkets folkbokföringsverksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller också vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen (2022:1697) om samordningsnummer. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om avlidna (1 kap. 1 §).

Folkbokföringsdatabaslagen kompletterar EU:s dataskyddsförord- ning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§).

Lagen innehåller bestämmelser om s.k. primära och sekundära ända- mål. Uppgifter får enligt de primära ändamålen behandlas för att till- handahålla information som behövs för bl.a. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, handläggning av folkbokförings- ärenden, fullgörande av underrättelseskyldighet enligt lag eller förord- ning, aktualisering, komplettering och kontroll av personuppgifter och uttag av urval av personuppgifter (1 kap. 4 § första stycket). Uppgif- ter får också behandlas för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upp- täcka felaktiga uppgifter i folkbokföringsverksamheten (1 kap. 4 a §).

Enligt de s.k. sekundära ändamålen får uppgifter även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Insamlade uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (1 kap. 4 § andra stycket).

Skatteverket och varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet ut-

82Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.

270

SOU 2023:100

Gällande rätt – dataskydd och sekretess

för enligt lagen (1 kap. 5 §). När det gäller personuppgifter som av- ses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgif- ter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Så- dana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av folkbokföringsdatabasen (1 kap. 6 §).

Vidare finns regler om att när en kontroll enligt 26 b och 26 c §§ folkbokföringslagen (1991:481) eller enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer har genomförts, ska fingeravtryck och an- siktsbilder samt de biometriska uppgifter som har tagits fram omedel- bart förstöras (1 kap. 7 §).

Den samling uppgifter som med hjälp av automatiserad behand- ling används gemensamt i verksamheten för de ändamål som anges i 1 kap. 4 § utgör folkbokföringsdatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som har tilldelats personnum- mer eller samordningsnummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i folkbokföringsdatabasen (2 kap. 3–5 §§). Det finns också bestäm- melser om vilka uppgifter i databasen som får lämnas ut till enskilda på medium för automatiserad behandling (2 kap. 6 §). Vilken direkt- åtkomst som är tillåten till folkbokföringsdatabasen framgår av lagen (2 kap. 8 och 9 §§). Det finns också begränsningar för vilka sök- begrepp som får användas vid sökningar i folkbokföringsdatabasen (2 kap. 10 och 11 §§). Vidare får Skatteverket ta ut avgifter för att lämna ut uppgifter ur folkbokföringsdatabasen enligt de närmare före- skrifter som meddelas av regeringen (2 kap. 12 §).

I folkbokföringsverksamheten ska det också finnas en samling per- sonuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § angivna ändamålen (analys- och urvalsdatabas) (2 a kap. 1 §). I analys- och urvalsdatabasen får uppgifter om de personer som uppgifter får behandlas om i folk- bokföringsdatabasen behandlas (2 a kap. 2 §). Det finns bestämmel- ser om vilka uppgifter som får behandlas i analys- och urvalsdatabasen (2 a kap. 3 §). Det finns också bestämmelser om vilka sökbegrepp som får användas vid sökning i databasen (2 a kap. 4 §). Vidare finns ett särskilt dokumentationskrav som innebär att metoder för att ta

271

Gällande rätt – dataskydd och sekretess

SOU 2023:100

fram urval och sökbegrepp som används vid sökningar i analys- och urvalsdatabasen ska dokumenteras på ett sådant sätt att de kan kon- trolleras i efterhand (2 a kap. 5 §). Uppgifter som behandlas i analys- och urvalsdatabasen får inte behandlas under en längre tid än som behövs med hänsyn till ändamålet med behandlingen. Uppgifterna får dock aldrig behandlas under en längre tid än tre år från den tid- punkt när de tillfördes databasen (2 a kap. 6 §).

En rättighet enligt EU:s dataskyddsförordning har inskränkts genom folkbokföringsdatabaslagen. Artikel 21.1 i EU:s dataskydds- förordning om rätten att göra invändningar gäller inte vid sådan be- handling som är tillåten enligt folkbokföringsdatabaslagen eller före- skrifter som har meddelats i anslutning till lagen (3 kap. 1 §).

I folkbokföringsdatabasförordningen finns ytterligare bestämmel- ser om Skatteverkets behandling av personuppgifter inom folkbokför- ingsverksamheten. Förordningen innehåller bl.a. bestämmelser om definitioner, Skatteverkets skyldighet att behandla uppgifter, vilka uppgifter som får behandlas i folkbokföringsdatabasen respektive ana- lys- och urvalsdatabasen, underrättelser som Skatteverket ska lämna, personbevis, utlämnande av uppgifter till enskilda på medium för automatiserad behandling, direktåtkomst för enskilda och avgifter.

Lagen om det statliga personadressregistret med tillhörande förordning

Statens personadressregister, SPAR, är ett offentligt register som omfattar alla personer som är folkbokförda i Sverige, både svenska och utländska medborgare. I registret ingår även personer som har fått samordningsnummer och vars identitet är fastställd. Skatteverket är huvudman och personuppgiftsansvarig för SPAR sedan den 1 janu- ari 2009.

Av lagen (1998:527) om det statliga personadressregistret, SPAR- lagen, framgår att för vissa ändamål ska det med hjälp av automatise- rad behandling föras ett statligt personadressregister (SPAR). Registret får användas av myndigheter och enskilda (1 §). SPAR-lagen kom- pletteras av förordningen (1998:1234) om det statliga personadress- registret, SPAR-förordningen.

SPAR-lagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (2 §).

272

SOU 2023:100

Gällande rätt – dataskydd och sekretess

I lagen finns bestämmelser om registerändamål. Uppgifterna i SPAR får behandlas för att aktualisera, komplettera och kontrollera personuppgifter och för att ta ut uppgifter om namn och adress ge- nom urvalsdragning för direktreklam, opinionsbildning eller sam- hällsinformation eller annan därmed jämförlig verksamhet (3 §).

Vidare har en rättighet enligt EU:s dataskyddsförordning in- skränkts genom SPAR-lagen. Artikel 21.1 i EU:s dataskyddsförord- ning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt SPAR-lagen eller föreskrifter som har med- delats i anslutning till lagen. Det finns också en upplysning om att bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i dataskyddsförordningen (3 a §).

Lagen innehåller bestämmelser om vilka uppgifter SPAR får inne- hålla (4 och 5 §§). Det finns också bestämmelser om utlämnande av uppgifter till enskilda samt till vissa myndigheter (6 och 7 §§). Slut- ligen anges i lagen att regeringen får föreskriva om begränsningar av sökbegreppen för SPAR (8 §).

ISPAR-förordningen finns ytterligare bestämmelser om SPAR. Där anges bl.a. att Skatteverket är personuppgiftsansvarigt för SPAR. Driften av SPAR får vara förlagd till servicebyråer. Vidare finns regler om den s.k. SPAR-nämnden, inhämtande av uppgifter till verk- samheten med SPAR, utlämnande av uppgifter i elektronisk form, informationsskyldighet, sökbegrepp, statistiska sammanställningar och gallring.

Lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter med tillhörande förordning

Vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter tillämpas lagen (2015:898) om be- handling av personuppgifter i Skatteverkets äktenskapsregister- och bo- uppteckningsverksamheter, ÄrBu-lagen, och förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, ÄrBu-förordningen.

Syftet med lagen är att ge Skatteverket möjlighet att behandla per- sonuppgifter på ett ändamålsenligt sätt i verkets äktenskapsregister- och bouppteckningsverksamheter och att skydda människor mot att

273

Gällande rätt – dataskydd och sekretess

SOU 2023:100

deras personliga integritet kränks vid en sådan behandling (1 §). Lagen gäller vid behandling av personuppgifter i Skatteverkets äktenskaps- register- och bouppteckningsverksamheter. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgif- terna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställ- ning enligt särskilda kriterier. Vissa bestämmelser gäller även vid be- handling av uppgifter om avlidna (2 §).

ÄrBu-lagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (3 §).

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket utför (5 §).

I lagen regleras tillåtna primära och sekundära ändamål. Person- uppgifter får behandlas om det behövs i Skatteverkets äktenskaps- register- och bouppteckningsverksamheter. Personuppgifter får också behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgif- terna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (6 §).

När det gäller personuppgifter som avses i artikel 9.1 i EU:s data- skyddsförordning (känsliga personuppgifter) får sådana uppgifter be- handlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning (7 §). Vidare finns regler om begränsningar av sökbegrepp som får användas (8 §).

Personuppgifter får enligt lagen lämnas ut på medium för automa- tiserad behandling om det inte är olämpligt (9 §).

Vidare har rättighet enligt EU:s dataskyddsförordning inskränkts genom ÄrBu-lagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt ÄrBu-lagen eller föreskrifter som har meddelats i an- slutning till lagen (10 §). Slutligen finns bestämmelser om att reger- ingen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om avgifter för utlämnande av uppgifter (11 §).

I ÄrBu-förordningen finns bestämmelser bl.a. om att Skatteverket får meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling, att

274

SOU 2023:100

Gällande rätt – dataskydd och sekretess

Skatteverket får besluta om avgifter för utlämnande av uppgifter samt att Riksarkivet får, efter att ha inhämtat synpunkter från Skatteverket, meddela föreskrifter om vilka uppgifter och handlingar som ska gallras.

Tullverket

I svensk rätt regleras den del av Tullverkets behandling av person- uppgifter som omfattas av vårt uppdrag i lagen (2001:185) om behand- ling av uppgifter i Tullverkets verksamhet, tulldatabaslagen, och för- ordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen.

Tulldatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde tullregisterlagen (1990:137) att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och per- sonuppgiftslagen. Tulldatabaslagen har sedan dess ändrats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskydds- förordning som innebar att personuppgiftslagen upphävdes.83

Tulldatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. tulldatabasen (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.).

Lagen är tillämplig vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad sam- ling av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om juridiska personer (1 kap. 1 §).

Tulldatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§).

Lagen innehåller bestämmelser om s.k. primära och sekundära ändamål. Uppgifter får enligt de primära ändamålen behandlas för att tillhandahålla information som behövs hos Tullverket för bl.a. bestäm- mande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, för övervakning, revision och annan analys- eller kon- trollverksamhet och för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande (1 kap. 4 §).

83Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.

275

Gällande rätt – dataskydd och sekretess

SOU 2023:100

Enligt de s.k. sekundära ändamålen får uppgifter som behandlas enligt de primära ändamålen i 1 kap. 4 § även behandlas för att till- handahålla information som behövs i författningsreglerad verksam- het hos någon annan än Tullverket för bl.a. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter. Uppgifter får också behandlas för att tillhanda- hålla information som behövs i Tullverkets brottsbekämpande verk- samhet enligt 2 kap. 1 § lagen (2018:1694) om Tullverkets behand- ling av personuppgifter inom brottsdatalagens område och för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Vidare får uppgifter behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oför- enligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (1 kap. 5 §).

Det är Tullverket som är personuppgiftsansvarigt för behandling av personuppgifter (1 kap. 6 §). När det gäller personuppgifter som av- ses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgif- ter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av tulldatabasen (1 kap. 7 §).

Uppgifter som Tullverket behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har av- slutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 8 §).

Den samling uppgifter som med hjälp av automatiserad behand- ling används gemensamt i verksamheten utgör tulldatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som omfattas av verksamhet enligt vissa av de primära ändamålen. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i tulldatabasen (2 kap. 3 och 4 §§). Vidare finns regler om vilka uppgifter i databasen som får lämnas ut till en enskild på medium för automatiserad behandling (2 kap. 5 §). Vilken direkt- åtkomst som är tillåten till tulldatabasen framgår av lagen (2 kap. 7 och 8 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i tulldatabasen (2 kap. 9 §). Uppgifter och

276

SOU 2023:100

Gällande rätt – dataskydd och sekretess

handlingar som finns i tulldatabasen ska som utgångspunkt gallras senast sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i databasen första gången (2 kap. 10 § första stycket). Vidare får Tullverket ta ut avgifter för att lämna ut uppgif- ter ur tulldatabasen enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 11 §).

En rättighet enligt EU:s dataskyddsförordning har inskränkts ge- nom tulldatabaslagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt tulldatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 1 §).

Itulldatabasförordningen finns ytterligare bestämmelser om Tull- verkets behandling av personuppgifter. Förordningen innehåller bl.a. bestämmelser om definitioner, tullidentifikationsnummer, Tullverkets uppgiftsskyldighet, utlämnande av uppgifter på medium för automa- tiserad behandling, direktåtkomst för enskilda, gallring och avgifter.

Kronofogdemyndigheten

Allmänt om Kronofogdemyndighetens registerförfattningar

I svensk rätt regleras Kronofogdemyndighetens behandling av person- uppgifter i lagen (2001:184) om behandling av uppgifter i Kronofogde- myndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), och förordningen (2001:590) om behandling av uppgifter i Kronofogde- myndighetens verksamhet, kronofogdedatabasförordningen.

Kronofogdedatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde utsökningsregisterlagen (1986:617) och lagen (1991:876) om register för betalningsföreläggande och handräck- ning att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och personuppgiftslagen. Kronofogdedatabaslagen har sedan dess ändrats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskyddsförordning som innebar att personuppgifts- lagen upphävdes.84

Kronofogdedatabaslagen skiljer sig från Skatteverkets och Tull- verkets registerförfattningar på så sätt att den reglerar fyra olika data- baser med separata ändamål för respektive databas. Det är vidare i

84Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.

277

Gällande rätt – dataskydd och sekretess

SOU 2023:100

databasregleringen som tillåtna primära och sekundära ändamål anges, och inte i de allmänna bestämmelserna.

Allmänna bestämmelser i kronofogdedatabaslagen

Kronofogdedatabaslagen är indelad i tre kapitel som innehåller all- männa bestämmelser (1 kap.), bestämmelser om Kronofogdemyndig- hetens databaser (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.).

Lagen är tillämplig vid behandling av personuppgifter i Krono- fogdemyndighetens verksamhet med utsökning och indrivning, skuld- sanering, F-skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verk- samhet som särskilt åligger Kronofogdemyndigheten, om behand- lingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas dock inte vid behandling av personuppgif- ter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 §).

Kronofogdedatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§). De avvikande bestämmelser om behandling av person- uppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöver- skridande skuldindrivning i mål och ärenden av privaträttslig natur ska tillämpas i stället för kronofogdedatabaslagen (1 kap. 3 a §).

I lagen anges vidare att uppgifter får behandlas för de ändamål som anges för respektive databas (1 kap. 4 §). Vidare föreskrivs att Kronofogdemyndigheten är personuppgiftsansvarig för den behand- ling som myndigheten skall utföra (1 kap. 5 §).

När det gäller personuppgifter som avses i artikel 9.1 i EU:s data- skyddsförordning (känsliga personuppgifter) och uppgifter om lag- överträdelser som innefattar brott, domar i brottmål, straffproces- suella tvångsmedel eller administrativa frihetsberövanden får sådana

278

SOU 2023:100

Gällande rätt – dataskydd och sekretess

uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller regler- ing av myndighetens databaser (1 kap. 6 §).

Uppgifter som Kronofogdemyndigheten behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ären- det har avslutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 7 §).

De samlingar uppgifter som med hjälp av automatiserad behand- ling används gemensamt i verksamheten utgör utsöknings- och indriv- ningsdatabasen, betalningsföreläggande- och handräckningsdatabasen, skuldsaneringsdatabasen och konkurstillsynsdatabasen (2 kap. 1, 7, 13 och 19 §§). I respektive databas får uppgifter behandlas för vissa angivna primära och sekundära ändamål.

Utsöknings- och indrivningsdatabasen

I utsöknings- och indrivningsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för bl.a. verkställighet eller annan åt- gärd som särskilt åligger Kronofogdemyndigheten enligt utsöknings- balken eller annan författning, indrivning av statliga fordringar m.m., ansökan om och tillsyn över näringsförbud, förebyggande av över- skuldsättning och information om skuldsanering och F-skuldsaner- ing och för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för att tillhanda- hålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för bl.a. avräkning vid åter- betalning av skatter och avgifter, kvittning vid utbetalning av bidrag, planering, samordning och uppföljning av revision och annan kon- trollverksamhet vid beskattning och tulltaxering och utredningar vid bestämmande och betalning av skatter, tullar och avgifter. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i över- ensstämmelse med lag eller förordning, och för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oför- enligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (2 kap. 2 och 3 §§). Det finns även bestämmelser

279

Gällande rätt – dataskydd och sekretess

SOU 2023:100

om vilka uppgifter som får behandlas i utsöknings- och indrivnings- databasen (2 kap. 4 och 5 §§) samt särskilda regler om gallring i den databasen (2 kap. 6 §).

Betalningsföreläggande- och handräckningsdatabasen

I betalningsföreläggande- och handräckningsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Krono- fogdemyndighetens verksamhet för bl.a. handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalnings- föreläggande och tillhandahållande av utslag i mål om betalnings- föreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för bl.a. att till- handahålla information som behövs i författningsreglerad verksam- het hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra ända- mål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 8 och 9 §§). Det finns även bestämmelser om vilka upp- gifter som får behandlas i utsöknings- och indrivningsdatabasen (2 kap. 10 och 11 §§) samt särskilda regler om gallring i den data- basen (2 kap. 12 §).

Skuldsaneringsdatabasen

I skuldsaneringsdatabasen får uppgifter behandlas för att tillhanda- hålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggning av ärenden om skuldsanering och F- skuldsaner- ing och förebyggande av överskuldsättning. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för bl.a. att tillhandahålla information som behövs i författningsreglerad verksam- het hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra

280

SOU 2023:100

Gällande rätt – dataskydd och sekretess

ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna sam- lades in (2 kap. 14 och 15 §§). Det finns även bestämmelser om vilka uppgifter som får behandlas i skuldsaneringsdatabasen (2 kap. 16 och 17 §§) samt särskilda regler om gallring i den databasen (2 kap. 18 §).

Konkurstillsynsdatabasen

I konkurstillsynsdatabasen får uppgifter behandlas för att tillhanda- hålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggningen av konkurstillsynsärenden, ärenden om till- syn över rekonstruktörer och mål enligt lönegarantilagen (1992:497) och förebyggande av överskuldsättning och information om skuld- sanering och F-skuldsanering. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för att bl.a. tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering. Upp- gifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 20 och 20 a §§). Det finns även bestämmelser om vilka uppgifter som får behandlas i konkurstillsynsdatabasen (2 kap. 21 och 22 §§) samt särskilda regler om gallring i den databasen (2 kap. 23 §).

Gemensamma bestämmelser för databaserna

I kronofogdedatabaslagen finns vissa gemensamma bestämmelser för databaserna. Det finns regler som rör elektroniska handlingar (2 kap. 24 §) och utlämnande av uppgifter till enskilda på medium för automatiserad behandling (2 kap. 25 §). Det finns också en be- stämmelse om att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (2 kap.

26§).

Vilken direktåtkomst som är tillåten till databaserna framgår av

lagen (2 kap. 27 och 28 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i databaserna (2 kap. 29 §). Vidare får Kronofogdemyndigheten får ta ut avgifter för att lämna ut

281

Gällande rätt – dataskydd och sekretess

SOU 2023:100

uppgifter ur en databas enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 30 §).

Enskildas rättigheter

En rättighet enligt EU:s dataskyddsförordning har inskränkts genom kronofogdedatabaslagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt kronofogdedatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 3 §).

Vidare finns en särskild bestämmelse om rättelse, blockering och utplåning av sådana uppgifter som inte har behandlats i enlighet med lagen eller anslutande författningar eller som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. En särskild bestämmelse om överklagande finns för så- dana beslut (3 kap. 3 a och 4 §§).

Kronofogdedatabasförordningen

I kronofogdedatabasförordningen finns ytterligare bestämmelser om Kronofogdemyndighetens behandling av personuppgifter. Förord- ningen innehåller bl.a. bestämmelser om definitioner, vilka uppgifter som får behandlas i databaserna, uppgiftsskyldigheter, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling, avgifter och gallring.

3.3Sekretess och tystnadsplikt

3.3.1Allmänna handlingar hos myndigheterna

Reglering av allmänna handlingars offentlighet finns i 2 kap. TF. Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller upp- fattas på annat sätt.85 En handling är allmän, om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet.86

852 kap. 3 § TF.

862 kap. 4 § TF.

282

SOU 2023:100

Gällande rätt – dataskydd och sekretess

En upptagning anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myn- digheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock förvarad hos myndigheten endast om myndigheten kan göra samman- ställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 2 kap. 7 § TF.87 Regleringen innebär att om en myndighet har s.k. direktåtkomst till uppgifter hos en annan myndighet blir de handlingar som åtkomsten omfattar allmänna handlingar även hos den mottagande myndigheten. En sammanställning anses dock inte förvarad hos myndigheten om sammanställningen innehåller person- uppgifter och myndigheten enligt lag eller förordning saknar befo- genhet att göra sammanställningen tillgänglig.88 Om det finns sök- begränsningar eller sökförbud i en tillämplig registerförfattning anses en sammanställning, exempelvis baserad på en kategori av uppgifter som bedöms vara känsliga, därmed inte förvarad hos myndigheten.

När en handling delas inom en myndighet blir den allmän först om detta sker mellan två självständiga organ.89 Omständigheter som brukar anses ha betydelse för om en verksamhetsdel uppfyller själv- ständighetskriteriet är bl.a. om verksamheten självständigt förvaltar viss egendom, har viss handlingsfrihet inom en angiven ekonomisk ram eller i övrigt kan vidta vissa faktiska åtgärder självständigt och på eget ansvar.90

3.3.2Allmänt om sekretess och tystnadsplikt

Reglering av sekretess

Bestämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400), OSL. Sekretess definieras som ett förbud att röja en upp- gift, vare sig det sker muntligen, genom utlämnande av en allmän hand- ling eller på något annat sätt.91 Gäller förbud enligt offentlighets- och sekretesslagen mot att röja en uppgift, får uppgiften inte heller i

872 kap. 6 § TF.

882 kap. 7 § TF.

892 kap. 11 § TF.

90Prop. 1975/76:160, om nya grundlagsbestämmelser angående allmänna handlingars offent- lighet, s. 151–152, RÅ 1993 ref. 20 och RÅ 1987 ref. 28. Av HFD 2013 ref. 40 följer att orga- nets förhållande till myndighetsledningen kan vara av särskild betydelse.

913 kap. 1 § OSL.

283

Gällande rätt – dataskydd och sekretess

SOU 2023:100

övrigt utnyttjas utanför den verksamhet för vilken den är sekretess- reglerad.92 De uppgifter som sekretessbestämmelserna ska skydda är viss slags information med visst innehåll. Syftet är dock att en sekre- tessreglering inte ska innebära en större begränsning i offentlighets- principen än vad som är nödvändigt för att värna det intresse som sekretessen är avsedd att skydda, jfr 2 kap. 2 § TF.

Sekretessens föremål, räckvidd och styrka

En sekretessbestämmelse består i regel av tre grundläggande rekvisit, dvs. förutsättningar för bestämmelsens tillämplighet. Dessa tre rekvi- sit anger sekretessens föremål, sekretessens räckvidd och sekretes- sens styrka.93

Sekretessens föremål är information med visst innehåll som anges i lagen genom ordet uppgift tillsammans med en mer eller mindre långtgående precisering av uppgiftens art. En sekretessbestämmelses räckvidd bestäms genom att det t.ex. anges att sekretess gäller i verk- samhet eller i ärende av ett visst slag eller vid viss myndighet, i samt- liga fall för vissa uppgifter.94 Vissa sekretessbestämmelser gäller dock utan att räckvidden är begränsad till viss verksamhet, ärende eller myndighet. Sådana bestämmelser finns t.ex. i 21 kap. OSL.

När det gäller sekretessens styrka bestäms denna med hjälp av s.k. skaderekvisit, dvs. villkor som i regel för sekretess kräver sannolik- het i det särskilda fallet för skada av viss art om en uppgift lämnas ut.95 Vid sekretessbestämmelser med ett rakt skaderekvisit är utgångs- punkten att uppgifterna är offentliga och att sekretess endast gäller om det kan antas att viss skada uppstår om uppgiften i det enskilda fallet lämnas ut. Skadebedömningen ska i dessa fall i huvudsak göras med utgångspunkt i själva uppgiften. Avgörande för om sekretess gäller är om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyd- das genom bestämmelsen.96 Vissa bestämmelser innehåller ett kvali-

927 kap. 1 § OSL.

93Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 72 och Ds 2016:2, Några frågor om offentlighet och sekretess, s. 39.

94Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 72–73.

95Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 78.

96Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 80.

284

SOU 2023:100

Gällande rätt – dataskydd och sekretess

ficerat rakt skaderekvisit, dvs. det krävs särskilt mycket för att sekre- tessen ska gälla.97

Om en sekretessbestämmelse innehåller ett omvänt skaderekvisit innebär det att sekretess som huvudregel gäller för uppgiften. Vid så- dana skaderekvisit gäller sekretess om det inte står klart att en upp- gift kan röjas utan att viss skada uppstår. I praktiken innebär detta att tillämparen ofta inte kan lämna ut en uppgift som omfattas av en sådan sekretessregel utan att ha kännedom om mottagarens identitet och om dennes avsikter med uppgiften.98

Vidare kan sekretessen vara absolut, dvs. sekretessbestämmelsen saknar skaderekvisit. Sekretess gäller då utan någon skadeprövning om uppgifterna begärs ut.

För att en enskild person ska lida skada eller men krävs att uppgif- terna är hänförliga till en viss individ. Det innebär att avidentifierade uppgifter i princip kan lämnas ut utan hinder av sekretess.99

Tystnadsplikten

En uppgift för vilken sekretess gäller enligt offentlighets- och sekre- tesslagen får inte röjas för enskilda eller för andra myndigheter, om inte annat anges i offentlighets- och sekretesslagen eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till.100 Ett förbud mot att röja vissa uppgifter som behandlas vid en myndighet träffar både myndigheten som sådan och dess personal.101 Om en upp- gift är sekretessbelagd får den som utgångspunkt inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessregle- rad.102

Otillåtet röjande av en sekretessbelagd uppgift är straffsanktionerat som brott mot tystnadsplikt.103 Avgörande för straffansvar är att en person röjer en uppgift som han eller hon är skyldig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller för- behåll som har meddelats med stöd av lag eller annan författning.

97Ds 2016:2, Några frågor om offentlighet och sekretess, s. 40.

98Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 82.

99Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84.

1008 kap. 1 § OSL.

1012 kap. 1 § OSL.

1027 kap. 1 § OSL.

10320 kap. 3 § brottsbalken.

285

Gällande rätt – dataskydd och sekretess

SOU 2023:100

En grundprincip är att personen själv kan bestämma över de upp- gifter som rör honom eller henne och därmed också kan välja att efter- ge sekretessen.104 En person kan följaktligen lämna sitt samtycke till att en sekretesskyddad uppgift lämnas till annan person eller myn- dighet. I sådana fall utgör utlämnandet inte ett otillåtet röjande.

Några regler om sekretess som gäller oavsett sammanhang

Som nämns ovan finns det vissa sekretessbestämmelser som gäller oavsett i vilken verksamhet eller vid vilken myndighet uppgiften före- kommer. Exempelvis gäller sekretess enligt 21 kap. 1 § OSL för upp- gift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjuk- domar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon när- stående till denne kommer att lida betydande men om uppgiften röjs. Sekretessen gäller dock inte för uppgift som tas in i beslut.

Sekretess gäller vidare enligt 21 kap. 3 § OSL inom alla myndig- heter för uppgift om en enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadig- varande eller tillfälligt, den enskildes telefonnummer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kon- takt med denne samt för motsvarande uppgifter om den enskildes anhöriga, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs.

Sekretess gäller även i mål eller ärende vid domstol eller annan myndighet där en part har skyddad folkbokföring enligt 16 § folk- bokföringslagen för uppgift som lämnar upplysning om var den parten bor stadigvarande eller tillfälligt, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men. Detsamma gäller om uppgiften tillsammans med annan uppgift i målet eller ärendet bidrar till sådan upplysning.105

Enligt 21 kap. 5 § OSL gäller sekretess för uppgift som rör en ut- länning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som

10412 kap. 2 § OSL.

10521 kap. 3 a § OSL.

286

SOU 2023:100

Gällande rätt – dataskydd och sekretess

föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar.

En grundläggande sekretessbestämmelse, som också gäller oavsett sammanhang, innehåller en direkt koppling till det generella regel- verket om dataskydd. Enligt 21 kap. 7 § OSL gäller sekretess för per- sonuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med bl.a. EU:s dataskyddsförordning eller dataskyddslagen. Bestämmelsen gäller när myndigheter lämnar ut personuppgifter, oavsett i vilket sammanhang personuppgifterna förekommer. De situationer som kan aktualisera bestämmelsen är exempelvis vid s.k. massuttag eller selekterade uttag.106

Några sekretessbrytande regler som gäller oavsett sammanhang

Bestämmelsen om nödvändigt utlämnande i 10 kap. 2 § OSL innebär att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. För att denna sekre- tessbrytande regel ska aktualiseras krävs dock att det är en nödvändig förutsättning för fullgörandet av ett visst åliggande som en myndig- het har, att en sekretessbelagd uppgift lämnas ut.107

Sekretess hindrar inte att en enskild eller en myndighet som är part i ett mål eller ärende hos domstol eller annan myndighet och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt in- tresse är av synnerlig vikt att sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska myndigheten på annat sätt lämna parten upp- lysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan all- varlig skada för det intresse som sekretessen ska skydda. Sekretess hindrar aldrig att en part i ett mål eller ärende tar del av en dom eller ett beslut i målet eller ärendet.108

Ibland kan den risk för skada som hindrar ett utlämnande undan- röjas genom ett förbehåll som inskränker den enskildes rätt att lämna

106Prop. 2017/18:105, Ny dataskyddslag, s. 135–136 och JO:s beslut 2013-08-28 (dnr 4171-2011).

107Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 465.

10810 kap. 3 § OSL.

287

Gällande rätt – dataskydd och sekretess

SOU 2023:100

uppgiften vidare eller utnyttja den.109 En myndighet kan då lämna uppgiften till den enskilde med ett sådant förbehåll.

Den s.k. generalklausulen stadgar att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.110 Bestämmelsen möjliggör informationsutbyte mellan myndigheter av uppgifter som omfattas av sekretess i fall då det sak- nas uttryckliga sekretessbrytande regler. Generalklausulen gäller dock inte om det rör sådan sekretess som förekommer inom vissa särskilda områden, bl.a. inom socialtjänsten och hälso- och sjukvården.111 Den gäller inte heller om utlämnandet strider mot lag eller förordning.112 Det innebär att om det t.ex. i lag har föreskrivits att en viss myndig- het på vissa angivna villkor kan få ta del av hemliga uppgifter hos en annan myndighet, kommer det inte i fråga att, när de angivna vill- koren inte är uppfyllda, lämna ut uppgifterna med stöd av general- klausulen i stället.113

Konkurrens mellan flera sekretessbestämmelser

Om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i offentlighets- och sekretesslagen (7 kap. 3 § OSL).

Bestämmelsen reglerar alltså vilken sekretessregel som ska ha före- träde i de fall flera sekretessbestämmelser är tillämpliga på samma upp- gift, s.k. konkurrens mellan sekretessbestämmelser.

Undantag från huvudregeln i 7 kap. 3 § OSL finns i 11 kap. 8 § OSL. Där anges att bl.a. den sekretessbestämmelse som avses i 11 kap. 4 § OSL inte ska tillämpas på en uppgift när det finns en annan pri- mär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ till skydd för samma intresse som är tillämplig på uppgiften hos den mottag- ande myndigheten. I 11 kap. 4 § OSL anges att om en myndighet hos

10910 kap. 14 § OSL.

11010 kap. 27 § första stycket OSL.

11110 kap. 27 § andra stycket OSL.

11210 kap. 27 § tredje stycket OSL.

113Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 328.

288

SOU 2023:100

Gällande rätt – dataskydd och sekretess

en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekre- tessreglerad, blir sekretessbestämmelsen tillämplig även hos den mot- tagande myndigheten. Det gäller dock inte en uppgift som ingår i ett beslut hos den mottagande myndigheten.

3.3.3Sekretess mellan myndigheter och mellan självständiga verksamhetsgrenar inom en myndighet

Allmänt om sekretess mellan och inom myndigheter

Om en viss uppgift hos en myndighet är skyddad av en sekretess- bestämmelse gäller sekretesskyddet även i förhållande till andra myn- digheter. Sekretessen gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra.114 Exempelvis gäller föreskriven sekretess mellan Skatte- verkets beskattningsverksamhet och folkbokföringsverksamhet. Sekre- tess hindrar dock inte att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning.115 Det är en generell regel som medför att sekretessen mellan myndigheter ger vika för upp- gifter som omfattas av uppgiftsskyldighet. Bestämmelsen är tillämp- lig både när det gäller att lämna uppgifter mellan olika myndigheter och mellan självständiga verksamhetsgrenar inom en och samma myn- dighet.

Överföring av sekretess m.m.

Sekretesskyddet som följer av en sekretessregel följer som huvud- regel inte med en uppgift när den lämnas från en myndighet till en annan. Det beror bl.a. på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset. Detta intresse måste i varje sammanhang vägas mot intresset av insyn i myn- digheternas verksamhet. Offentlighetsintresset kan alltså kräva att upp- gifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda myn-

1148 kap. 2 § OSL.

11510 kap. 28 § OSL.

289

Gällande rätt – dataskydd och sekretess

SOU 2023:100

digheten. Det finns alltså ingen generell bestämmelse om överföring av sekretess mellan myndigheter.116

Det finns dock särskilda bestämmelser om överföring av sekretess. Vid överföring av sekretess görs det skillnad mellan primära och sekun- dära sekretessbestämmelser. En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa internt, exempelvis de sekretessregler för respektive myndighet som redogörs för nedan.117 En bestämmelse om överföring av sekretess innebär att en sekretessbestämmelse som är tillämplig på en uppgift hos en myn- dighet (primär sekretess) ska tillämpas på uppgiften även av en annan myndighet som uppgiften lämnas till (sekundär sekretess). Om en sekretessreglerad uppgift lämnas från en myndighet till en annan myn- dighet gäller alltså sekretess för uppgiften hos den mottagande myndig- heten bara om sekretess följer antingen av en primär sekretessbestäm- melse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Motsvarande gäller om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myndighet.118 Om ingen av dessa förutsättningar är uppfyllda blir uppgiften alltså offentlig hos den mottagande myndig- heten.

Exempelvis finns en bestämmelse om överföring av sekretess som enbart gäller i en specifik situation i 11 kap. 4 § OSL, vilken avser direktåtkomst. Vid direktåtkomst gäller enligt denna bestämmelse sekretessen hos ursprungsmyndigheten som huvudregel även hos den mottagande myndigheten.119 Motsvarande gäller bl.a. om en myndig- het i verksamhet som avser tillsyn eller revision får en sekretessregle- rad uppgift från en annan myndighet, samt för uppgifter som för forsk- ningsändamål överlämnas från en myndighet till en annan.120

Myndigheters informationsskyldighet

En myndighet ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL). Skyldigheten

116Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 75–76 och prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 15.

117Se avsnitten 3.3.4–3.3.6.

1187 kap. 2 § OSL.

119Undantag finns dock i 11 kap. 8 § OSL.

12011 kap. 1 och 3 §§ OSL.

290

SOU 2023:100

Gällande rätt – dataskydd och sekretess

anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter (jfr 8 § förvaltningslagen [2017:900], FL). Enligt Högsta förvaltningsdomstolens uttalanden i rättsfallet HFD 2021 ref. 10 står ett sådant utlämnande inte i strid med finalitets- principen.

En skyldighet att lämna personuppgifter till en annan myndighet kan finnas reglerad i lag eller förordning. Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om en sådan uppgiftsskyldig- het följer av lag eller förordning, vilket framgår av 10 kap. 28 § OSL.

3.3.4Sekretess inom Skatteverket

Skattesekretess

Beskattningsverksamheten har en sådan fristående ställning inom Skatteverket att den utgör en självständig verksamhetsgren. Detta innebär att en sekretessbelagd uppgift hos beskattningsverksamheten inte får röjas för en annan självständig verksamhetsgren inom myn- digheten om det inte är särskilt föreskrivet i lag. I 27 kap. OSL regle- ras skattesekretessen inom Skatteverket.

Enligt 27 kap. 1 § första stycket OSL gäller sekretess i verksam- het som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för upp- gift om en enskilds personliga eller ekonomiska förhållanden. Be- stämmelsen avser det som brukar kallas skattesekretess. Sekretessen är enligt bestämmelsen absolut.

Sekretess gäller vidare i verksamhet som avser förande av eller ut- tag ur beskattningsdatabasen enligt skattedatabaslagen för uppgift om en enskilds personliga eller ekonomiska förhållanden som har till- förts databasen (27 kap. 1 § andra stycket 1 OSL). Detta brukar kallas för databassekretess. Bestämmelsen gäller också hos Kronofogde- myndigheten och Tullverket eftersom dessa myndigheter har direkt- åtkomst till vissa uppgifter i beskattningsdatabasen. Även enligt denna bestämmelse är sekretessen absolut.121

Sekretess gäller enligt 27 kap. 2 § första stycket OSL för uppgifter om enskildas personliga eller ekonomiska förhållanden som före- kommer i vissa andra ärenden. Det rör sig bl.a. om särskilt ärende om revision eller annan kontroll i fråga om skatt, ärende om kom-

121Närmare redogörelser för databassekretessen finns i avsnitt 15.5.

291

Gällande rätt – dataskydd och sekretess

SOU 2023:100

pensation för återbetalning av skatt, ärende om anstånd med erläg- gande av skatt och ärende om kassaregister enligt skatteförfarande- lagen (2011:1244). I dessa ärenden råder absolut sekretess.

Enligt 27 kap. 2 § andra stycket OSL gäller sekretess i ärende en- ligt lagen om Skatteverkets hantering av vissa borgenärsuppgifter för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Denna bestäm- melse föreskriver alltså ett omvänt skaderekvisit.

Sekretessen enligt 27 kap. 2 § gäller inte i fråga om beslut i vissa ärenden.122

I 27 kap. 6 § finns undantag från sekretessen i bl.a. 1 §. Sekretessen gäller inte beslut varigenom skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs. Sekretes- sen gäller dock om beslutet meddelas i ärende om förhandsbesked i taxerings- eller skattefråga, beskattning av utländska experter, forskare eller andra nyckelpersoner när beslutet har fattats av Forskarskatte- nämnden, trängselskatt, eller prissättningsbesked vid internationella transaktioner. I beslut varigenom trängselskatt bestäms eller under- lag för bestämmande av sådan skatt fastställs gäller sekretessen dock endast för uppgift om vilken betalstation eller kontrollpunkt bilen har passerat och tidpunkten för denna passage.

I 27 kap. 7 § anges bl.a. att sekretessen enligt 1 § inte hindrar att uppgift lämnas till en enskild enligt vad som föreskrivs i lag om förfar- ande vid beskattning eller lagen om behandling av uppgifter i Skatte- verkets beskattningsverksamhet.

Sekretess vid internationellt informationsutbyte

Vid internationellt informationsutbyte gäller olika sekretessbestäm- melser beroende på om det är Sverige som bistår en annan stat genom att lämna ut information, eller om Sverige i stället är mottagare av information från en annan stat. Sekretess kan också gälla till skydd för myndighetens kontroll i ett ärende om handräckning.

Samma regler om sekretess i beskattningsverksamheten som gäller nationellt gäller även i ärenden om handräckning eller bistånd som en svensk myndighet lämnar åt en myndighet eller något annat organ

122Se 27 kap. 2 § tredje stycket OSL.

292

SOU 2023:100

Gällande rätt – dataskydd och sekretess

i den andra staten eller inom den mellanfolkliga organisationen. En förutsättning är att riksdagen har godkänt ett avtal om detta och att biståndet lämnas i en sådan verksamhet som motsvarar den som av- ser bl.a. bestämmande av skatt. Uppgifter som förekommer i ett så- dant ärende blir dock inte sekretessbelagda direkt genom de grund- läggande reglerna om skattesekretess. Om uppgiften lämnas ut för att användas i en verksamhet som motsvarar den verksamhet som av- ses i 27 kap. 1 § första stycket OSL eller i ett sådant kontrollärende som avses i 27 kap. 2 § första stycket 1 OSL i den mottagande staten, eller hos den mellanfolkliga organisationen, gäller dock sekretessen enligt de bestämmelserna för uppgifterna.123

När Skatteverket i stället är mottagare av uppgifterna kommer upp- gifter om enskilds personliga eller ekonomiska förhållanden att om- fattas av sekretess enligt de grundläggande reglerna om skattesekre- tess beroende på i vilket ärende handräckningen är begärd. Absolut sekretess kommer att gälla för sådana uppgifter.124

Sekretess inom folkbokföringsverksamheten

I likhet med beskattningsverksamheten har folkbokföringsverksam- heten en så fristående ställning inom Skatteverket att den utgör en egen självständig verksamhetsgren.

Uppgifter om hela Sveriges befolkning registreras i folkbokförings- databasen och de flesta uppgifter där är normalt sett offentliga. I vissa fall kan dock en del av uppgifterna om enskildas personliga förhål- landen vara sekretessbelagda. Enligt 22 kap. 1 § första stycket 1 OSL gäller nämligen sekretess för uppgift om en enskilds personliga för- hållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser folkbokföringen eller annan liknande registrering av befolkningen. Sekretessen gäller med ett kvalificerat rakt skaderekvisit. Sekretessen kan alltså gälla för olika kategorier av uppgifter men också för uppgifter som på grund av spe- ciella omständigheter i det enskilda fallet är skyddsvärda. Sekretess gäller även i sådan verksamhet för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att

12327 kap. 5 § första stycket OSL.

12427 kap. 5 § andra stycket OSL.

293

Gällande rätt – dataskydd och sekretess

SOU 2023:100

den enskilde eller någon närstående till denne lider men (22 kap. 1 § andra stycket OSL). För sådana uppgifter gäller alltså ett omvänt skade- rekvisit.

De uppgifter inom folkbokföringsverksamheten som vanligen är offentliga är de som anses som harmlösa.125 Det är bl.a. uppgifter om namn, adress, personnummer och civilstånd. De uppgifter i folkbok- föringsverksamheten som normalt är sekretessbelagda är de som van- ligtvis anses som känsliga.126 Det kan t.ex. vara uppgifter om ändrad könstillhörighet, s.k. börd (t.ex. adoptioner inom Sverige) och för- valtarskap.

För uppgifter om personer som löper risk att utsättas för förföl- jelse eller våld kan sekretess med ett omvänt skaderekvisit gälla till följd av s.k. skyddad folkbokföring och fingerade personuppgifter. Enligt 22 kap. 1 § gäller sekretess i ärende om skyddad folkbokför- ing enligt folkbokföringslagen och i ärende enligt lagen (1991:483) om fingerade personuppgifter för uppgift om en enskilds personliga för- hållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. I 22 kap. 3 § OSL finns en särskild bestämmelse om överföring av sekretess som föreskriver att om en myndighet får en uppgift som är sekretessregle- rad i 2 § från en myndighet som handlägger ärenden som avses där, blir 2 § tillämplig på uppgiften även hos den mottagande myndigheten.

Efter ansökan kan en person få sina uppgifter i folkbokföringen skyddade genom att en sekretessmarkering förs in i folkbokföringen. En sekretessmarkering är dock enbart en varningssignal och har ingen självständig betydelse. Markeringen överförs till de myndighetsregister som aviseras från folkbokföringsverksamheten.

Vidare gäller sekretess i ärende om byte av namn för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs.127 Bestämmelsen har alltså ett kvalificerat rakt skade- rekvisit. Sekretess gäller vidare hos Skatteverket i ärende enligt lagen (2005:130) om dödförklaring för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Sekretessen gäller inte beslut i ärende (22 kap. 4 a § OSL).

125Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 210–211.

126Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 211.

12722 kap. 4 § OSL.

294

SOU 2023:100

Gällande rätt – dataskydd och sekretess

Får Skatteverket i ärende som avses i 22 kap. 4 a § OSL från en annan myndighet en uppgift som är sekretessreglerad till skydd för enskilds personliga förhållanden, blir sekretessbestämmelsen tillämplig på uppgiften även hos Skatteverket. Sekretessen gäller inte beslut i ärende.128

Sekretessen inom folkbokföringsverksamheten ska inte kunna kringgås genom att uppgifterna får en mer vidsträckt offentlighet i andra register som omfattar befolkningen. Därför gäller reglerna i

22kap. 1 § OSL också för annan liknande registrering av befolkningen (t.ex. SPAR) och i annan verksamhet som avser registrering av en betydande del av befolkningen när regeringen har föreskrivit det (se

6§ offentlighets- och sekretessförordningen [2009:641], OSF).

Sekretess i äktenskapsregister- och bouppteckningsverksamheterna

Det finns inga specifika sekretessregler som gäller för uppgifter i äkten- skapsregistret eller i bouppteckningsverksamheten. Dessa uppgifter är därför ofta offentliga. Sekretessregler som ändå kan bli aktuella för dessa uppgifter är sådana som är gemensamma för alla myndigheter.

Sekretess i det statliga personadressregistret (SPAR)

SPAR har organisatoriskt en så fristående ställning inom Skatteverket att det utgör en egen självständig verksamhetsgren. SPAR innehåller folkbokförings- och beskattningsuppgifter som hämtas från folkbok- förings- respektive beskattningsdatabasen. Uppgifterna lämnas elek- troniskt till SPAR med stöd av en sekretessbrytande bestämmelse.129

Uppgifterna som förs över till SPAR skyddas av sekretess i folkbok- förings- respektive beskattningsverksamheten. De tillämpliga bestäm- melserna i de verksamheterna är i första hand folkbokföringssekre- tessen och skattesekretessen.130 Det finns ingen särskild bestämmelse om överföring av sekretess för uppgifterna, vilket innebär att sekre- tessen inte följer med uppgifterna när de förs över till SPAR. För att uppgifterna ska omfattas av sekretess krävs därmed att de omfattas av en primär sekretessbestämmelse som gäller i den aktuella verksam-

12822 kap. 4 b § OSL.

1294 § SPAR-förordningen.

13022 kap. 1 § OSL och 27 kap. 1 § OSL.

295

Gällande rätt – dataskydd och sekretess

SOU 2023:100

heten. SPAR anses dock vara en sådan annan liknande registrering av befolkningen som träffas av folkbokföringssekretessen vilket innebär att de folkbokföringsuppgifter som behandlas inom verksamheten med SPAR är sekretessreglerade på samma sätt som inom folkbok- föringsverksamheten. Även de uppgifter som hämtas in till SPAR från beskattningsdatabasen är sekretessreglerade med stöd av folkbokför- ingssekretessen. Beskattningsuppgifterna i SPAR får i elektronisk form bara lämnas ut till Polismyndigheten, Säkerhetspolisen och Tull- verket.131

3.3.5Sekretess inom Tullverket

av skatt eller fastställande av underlag för bestämmande av Sekretess gäller enligt 27 kap. 1 § OSL i verksamhet som avser bestämmande skatt eller som avser fastighetstaxering för uppgift om en enskilds per- sonliga eller ekonomiska förhållanden. Med skatt avses enligt 27 kap. 1 § tredje stycket OSL bl.a. tull och annan indirekt skatt.

Enligt 27 kap. 2 § första stycket OSL gäller sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden i bl.a. särskilt ärende om revision eller annan kontroll i fråga om skatt samt annan verksamhet som avser tullkontroll och som inte omfattas av 1 §.

I 27 kap. 3 § första stycket OSL föreskrivs att sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. I andra stycket anges att motsvarande sekretess gäller i en myndighets verk- samhet som avser förande av eller uttag ur tulldatabasen enligt tulldata- baslagen för uppgift som har tillförts databasen, s.k. databassekretess.132

Enligt bestämmelsen gäller sekretess med ett omvänt skaderekvi- sit, dvs. det finns en presumtion för sekretess. Sekretessen inom Tullverket är alltså inte lika stark som skatte- och databassekretessen inom Skatteverket. Databassekretessen som omfattar tulldatabasen gäller även andra myndigheter än Tullverket som har tillgång till tull- databasen genom direktåtkomst.

Enligt 27 kap. 6 § OSL gäller inte sekretessen uppgifter i vissa be- slut, bl.a. beslut varigenom skatt bestäms. I 27 kap. 7 § första stycket 4 OSL anges bl.a. att sekretessen enligt 3 § inte hindrar att uppgift

1317 § lagen (1998:527) om det statliga personadressregistret.

132Närmare redogörelser för databassekretessen finns i avsnitt 15.5.

296

SOU 2023:100

Gällande rätt – dataskydd och sekretess

lämnas till en enskild enligt vad som föreskrivs i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet.

Sekretess gäller även, i den utsträckning regeringen meddelar före- skrifter om det, bl.a. i en statlig myndighets verksamhet som består i tillståndsgivning eller tillsyn med avseende på handel för uppgift om en enskilds affärs- eller driftförhållanden om det kan antas att den enskilde lider skada om uppgiften röjs.133 Det omfattar bl.a. tillstånds- givning och tillsyn enligt tullagen (2016:253).134

3.3.6Sekretess inom Kronofogdemyndigheten

Allmänt om sekretess inom Kronofogdemyndigheten

Inför att den rikstäckande Kronofogdemyndigheten skulle inrättas var bedömningen att de olika verksamheterna verkställighet, summa- risk process, konkurstillsyn och skuldsanering var självständiga verk- samhetsgrenar varför det ansågs råda sekretess dem emellan.135 I dag gör dock Kronofogdemyndigheten en annan bedömning, bl.a. mot bakgrund av myndighetens omorganisering sedan dess. Någon sekre- tess enligt OSL anses därmed inte gälla mellan myndighetens olika verksamhetsgrenar. Bedömningen innebär att handlingar och uppgif- ter kan utväxlas mellan olika delar av myndigheten utan hinder av sekretess och utan att handlingarna därigenom blir allmänna.

Även om det i dag inte finns någon bestämmelse i offentlighets- och sekretesslagen som bedöms hindra att en personuppgift delas mellan medarbetare inom Kronofogdemyndigheten kan det dock strida mot myndighetens registerförfattning att ta del av uppgifter som en medarbetare inte behöver i arbetet. Av myndighetens registerförfatt- ning framgår nämligen att tillgången till personuppgifter ska begrän- sas till vad var och en behöver för att kunna fullgöra sina arbets- uppgifter (2 kap. 26 § KFMdbL).

Eftersom Kronofogdemyndighetens beslut till stor del utgör myn- dighetsutövning mot enskilda har intresset av allmän insyn i verksam- heten ansetts vara betydande.136 Trots det nyss sagda finns det ett flertal regler som medför att uppgifter som myndigheten hanterar

13330 kap. 23 § OSL.

1349 § 1 OSF, samt punkt 48 i bilagan till OSF.

135Prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 146–148.

136Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 288.

297

Gällande rätt – dataskydd och sekretess

SOU 2023:100

skyddas av sekretess. Den huvudsakliga sekretessreglering som avser Kronofogdemyndighetens verksamhetsområden finns i 34 kap. OSL.

Summarisk process

Det finns inga särskilda sekretessregler som gäller för uppgifter inom Kronofogdemyndighetens verksamhet med summarisk process, dvs. bland annat handläggning av mål om betalningsföreläggande och hand- räckning. Dessa uppgifter är därför ofta offentliga. Sekretessregler som ändå kan bli aktuella för dessa uppgifter är sådana som är gemen- samma för alla myndigheter.

Utsökning och indrivning m.m.

Uppgifter om enskilda inom verksamheten med verkställighet och indrivning är oftast skyddade av sekretess. Enligt 34 kap. 1 § första stycket OSL gäller sekretess hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (2014:836) om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men. Bestämmelsen innehåller alltså ett om- vänt skaderekvisit, varför det föreligger en presumtion för sekretess i dessa ärendetyper. Sekretessen gäller dock inte uppgift om förpliktelse som avses med den sökta verkställigheten i ett pågående mål, eller i ett avslutat mål, om verkställighet för någon annan förpliktelse söks inom två år eller om verkställighet tidigare sökts och uppgiften inte är äldre än två år (34 kap. 1 § andra stycket OSL). Sekretessen gäller inte heller beslut i mål eller ärende (34 kap. 1 § femte stycket OSL).

Under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur utsöknings- och indriv- ningsdatabasen enligt kronofogdedatabaslagen för uppgift om en en- skilds personliga eller ekonomiska förhållanden som har tillförts data- basen, s.k. databassekretess (34 kap. 2 § OSL).137 Även enligt denna bestämmelse gäller alltså sekretess med ett omvänt skaderekvisit.

I3 kap. 3 a § KFMdbL stadgas en möjlighet för Kronofogde- myndigheten att besluta om bl.a. blockering av sådana uppgifter som

137Närmare redogörelser för databassekretessen finns i avsnitt 15.5.

298

SOU 2023:100

Gällande rätt – dataskydd och sekretess

inte har behandlats i enlighet med den lagen eller anslutande författ- ningar eller är missvisande i fråga om vilja eller förmåga att uppfylla ekonomiska förpliktelser. I 34 kap. 3 § OSL föreskrivs att uppgift i mål, ärende eller verksamhet som avses i 1 och 2 §§ och som Krono- fogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § KFMdbL omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. En- ligt denna bestämmelse gäller alltså absolut sekretess för uppgifterna.

Skuldsanering och F-skuldsanering

Enligt 34 kap. 6 § OSL gäller sekretess hos Kronofogdemyndigheten eller domstol i ärende om skuldsanering eller F-skuldsanering för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Sekretessen gäller inte beslut i ärende. Bestämmelsen innehåller alltså ett rakt skaderekvisit, dvs. det råder presumtion för offentlighet.

Tillsyn i konkurs

Sekretess gäller hos tillsynsmyndigheten i konkurs och över rekon- struktörer, dvs. Kronofogdemyndigheten, för uppgift om en enskilds affärs- eller driftförhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs (34 kap. 7 § OSL). Bestämmelsen innehåller ett rakt skaderekvisit. Sekretessen hindrar dock inte att uppgift lämnas till en enskild enligt vad som föreskrivs i konkurslagen (1987:672).138

Vidare gäller sekretess hos tillsynsmyndigheten i konkurs och över rekonstruktörer för uppgift som gäller misstanke om brott och som rör en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon när- stående till denne lider skada eller men (34 kap. 8 § OSL). Här gäller alltså ett omvänt skaderekvisit.

13834 kap. 10 § OSL.

299

Gällande rätt – dataskydd och sekretess

SOU 2023:100

Delgivning

Sekretess gäller i verksamhet som avser delgivning enligt delgivnings- lagen (2010:1932) eller bistånd med sådan delgivning för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs (22 kap. 5 § OSL). Bestämmelsen innehåller alltså ett rakt skaderekvisit.

Vissa internationella sekretessregler inom

Kronofogdemyndigheten

I 34 kap. 1 a § OSL anges att under motsvarande förutsättningar som i 1 § gäller sekretess hos Kronofogdemyndigheten för uppgift om en enskilds personliga eller ekonomiska förhållanden i mål och ärenden om inhämtning av bankkontoinformation enligt Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrät- tande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur.

Vidare gäller sekretess, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig orga- nisation, hos en myndighet i verksamhet som avses i 1–3 §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Om sådan sekretess gäller, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet.139

I 34 kap. 9 § anges att om sekretess gäller enligt 7 §, får de sekre- tessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtal som ingåtts med en utländsk myndig- het eller ett utländskt organ.

Utöver dessa bestämmelser finns i 34 kap. 10 a § en sekretess- bestämmelse som reglerar sekretess vid internationellt samarbete i fråga om underhållsskyldighet.

13934 kap. 4 § OSL.

300

SOU 2023:100

Gällande rätt – dataskydd och sekretess

3.3.7Sekretess inom de brottsbekämpande verksamheterna

Skatteverkets och Tullverkets brottsbekämpande verksamheter

Inom Skatteverkets och Tullverkets brottsbekämpande verksamheter gäller särskilda sekretessregler till skydd för verksamheten.140 Dessa bestämmelser behandlas inte närmare här eftersom vårt uppdrag inte omfattar myndigheternas brottsbekämpande verksamheter.

Den brottsbekämpande verksamheten vid Skatteverket har en sådan organisatoriskt självständig ställning att en uppgift som träffas av sekre- tess inte får röjas för en annan verksamhetsgren inom myndigheten om det inte är särskilt föreskrivet i lag.141 Verksamheten har även en särskild registerförfattning.142 Också för Tullverket gäller en särskild registerförfattning för den brottsbekämpande verksamheten.143 Till skillnad från Skatteverket har dock den brottsbekämpande verksam- heten hos Tullverket inte ansetts utgöra en självständig verksamhets- gren.144

I 35 kap. OSL finns sekretessbestämmelser till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott, m.m. För att skydda enskilda som är föremål för brottsutredningar finns regler om sekretess för uppgift om enskilds personliga och ekonomiska för- hållanden. Sekretess gäller bl.a. i förundersökning i brottmål och i myndigheternas brottsbekämpande verksamhet i övrigt för att före- bygga, uppdaga, utreda eller beivra brott.145 Sekretessen gäller med ett omvänt skaderekvisit vilket innebär att utgångspunkten är sekretess. En uppgift får alltså bara lämnas ut om det står klart att uppgiften kan röjas utan att den enskilda eller någon närstående till denne lider skada eller men. Sekretess med omvänt skaderekvisit gäller även för uppgift i de register som förs med stöd av de tillämpliga register- författningarna eller som annars behandlas av myndigheterna.146 För Tullverkets del gäller dessutom absolut sekretess för uppgifter i regis- ter över strafförelägganden samt föreläggande om ordningsbot.147

140Jfr 18 kap. OSL som rör sekretess till skydd främst för intresset att förebygga eller beivra brott.

141Jfr 8 kap. 2 § OSL.

142Lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område.

143Lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område.

144Jfr prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 100–

14535 kap. 1 § första stycket 1 och 4 OSL.

14635 kap. 1 § första stycket 7 och 9 OSL.

14735 kap. 4 § första stycket 1 OSL.

301

Gällande rätt – dataskydd och sekretess

SOU 2023:100

Sekretessen till skydd för enskilda som är föremål för brottsutred- ningar gäller dock inte för bl.a. beslut om att åtal ska väckas, beslut om att en förundersökning inte ska inledas samt beslut om att en förundersökning ska läggas ned.148

Myndighetssamverkan mot viss organiserad brottslighet

Lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss orga- niserad brottslighet gäller vid särskilt beslutad samverkan mellan myn- digheter för att förebygga, förhindra eller upptäcka brottslig verk- samhet som är av allvarlig eller omfattande karaktär, och bedrivs i organiserad form eller systematiskt av en grupp individer (1 §). De myndigheter som är skyldiga att lämna eller får ta emot uppgifter enligt lagen är bl.a. Skatteverket, Tullverket och Kronofogdemyndigheten.149

Inom ramen för samverkan enligt lagen ska en myndighet trots sekretess lämna uppgift till en annan myndighet om det behövs för den mottagande myndighetens deltagande i samverkan. En uppgift ska inte lämnas om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgif- ten lämnas ut (2 §).

Lagen gäller endast vid särskilt beslutad myndighetsöverskridande samverkan på det s.k. underrättelsestadiet. Den är dock inte tillämp- lig när myndigheter mer sporadiskt tar kontakt med varandra eller endast tillfälligt samarbetar kring någon specifik fråga.150

14835 kap. 6 § 1 OSL.

1493 § lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet och för- ordningen (2016:775) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet.

150Prop. 2015/16:167, Informationsutbyte vid samverkan mot organiserad brottslighet, s. 24–31.

302

4 Myndigheternas verksamheter

4.1Skatteverket

Inledning

Skatteverket är en av Sveriges största myndigheter. Myndighetens verksamhet berör i princip alla som är bosatta i Sverige, alla svenska medborgare och företag med verksamhet i Sverige. Även personer som inte är bosatta i landet men som har tillgångar eller inkomster härifrån berörs av Skatteverkets verksamhet. Verksamheten vid myn- digheten är omfattande och regleras i ett mycket stort antal författ- ningar samt av unionsrätten.

I Skatteverkets huvudsakliga uppdrag ingår att fastställa och ta ut skatter och andra avgifter så att en riktig uppbörd kan säkerställas, ansvara för frågor om fastighetstaxering, folkbokföring, personnamn, registrering av bouppteckningar och äktenskapsregistret samt att vara borgenär åt staten.

Uppdraget omfattar även att bekämpa brott och att utfärda iden- titetskort för folkbokförda. Vår översyn omfattar inte dock inte Skatte- verkets brottsbekämpande verksamhet och inte heller Skatteverkets identitetskortsverksamhet, varför någon beskrivning av dessa verksam- heter inte görs nedan.

Skatteverkets uppdrag styrs bl.a. av förordningen (2017:154) med instruktion för Skatteverket och genom regeringens årliga regler- ingsbrev och andra regeringsbeslut. Alla uppdrag framgår dock inte av instruktionen. Exempel på detta är Skatteverkets verksamhet en- ligt lagen om (2022:272) om konto- och värdefackssystem och med det statliga personadressregistret, SPAR (se nedan).

303

Myndigheternas verksamheter

SOU 2023:100

Instruktionen

Skatteverkets övergripande uppdrag beskrivs i förordningen med instruktion för Skatteverket.

Skatteverket ska fastställa och ta ut skatter, socialavgifter och andra avgifter så att en riktig uppbörd kan säkerställas. Skatteverket ska även fastställa rättvisande taxeringsvärden på fastigheter så att korrekt underlag finns för skatteberäkning och andra ändamål (1 §).

Skatteverket ansvarar för frågor om folkbokföring och person- namn. Uppgifterna i folkbokföringen ska spegla befolkningens bosätt- ning, identitet och familjerättsliga förhållanden så att olika samhälls- funktioner får ett korrekt underlag för beslut och åtgärder (2 §).

Skatteverket utfärdar identitetskort för folkbokförda i Sverige (3 §). Vidare ansvarar Skatteverket för registrering av bouppteckningar och handläggning av ärenden enligt 16 kap. ärvdabalken (4 §). Skatteverket ansvarar också för äktenskapsregistret och för registreringsärenden enligt 16 kap. äktenskapsbalken (5 §).

Till Skatteverkets uppgifter hör vidare att förebygga och mot- verka ekonomisk brottslighet, medverka i brottsutredningar som rör vissa brott samt att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten (6 §).

Skatteverket ansvarar för vissa borgenärsuppgifter (7 §) och ska fastställa pensionsgrundande inkomst (8 §).

Skatteverket ska bestyrka skriftliga uppgifter om sökandens eko- nomiska förhållanden vid ansökan om fri rättshjälp hos Europa- domstolen för de mänskliga rättigheterna (9 §).

Skatteverket ska bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och företag som Skatteverket (10 §). Myn- digheten ska också tillhandahålla behovsanpassad, lättillgänglig och kvalificerad information och service till allmänhet och företag (11 §). Skatteverket är vidare beredskapsmyndighet och sektorsansvarig myn- dighet enligt förordningen (2022:524) om statliga myndigheters bered- skap (12 a §).

Av förordningen med instruktion för Skatteverket framgår även bl.a. att myndigheten snarast ska informera Regeringskansliet (Finans- departementet) om viktiga frågor som uppkommer i verksamheten och som bör komma till regeringens kännedom (13 §). Instruktionen innehåller även bestämmelser om samverkan, myndighetens ledning,

304

SOU 2023:100

Myndigheternas verksamheter

delegering och organisation (15–22 §§), samt om särskilda organ inom myndigheten (23–36 §§).

Regleringsbrevet

Genom regleringsbrevet beslutar regeringen bl.a. om Skatteverkets uppdrag, mål och återrapporteringskrav.

Av regleringsbrevet för budgetåret 2023 (dnr Fi2022/03445) fram- går bl.a. följande.

Skatteverket ska bidra till att säkerställa finansieringen av den offentliga sektorn och bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för både allmänhet och företag samt motverka brottslighet.

Skillnaden mellan de teoretiskt riktiga och de fastställda beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt. Skatteverket ska vart fjärde år bedöma skattefelets storlek och i vilken grad skattefelet har förändrats. Nästa bedömning ska lämnas i års- redovisningen för 2025. Skatteverket ska redovisa resultatet av genom- förda analyser för att utöka underlaget för kommande bedömning av skattefelet.

Uppgifterna i folkbokföringen ska hålla en hög kvalitet och folk- bokföringsfelet ska vara så litet som möjligt. Skatteverket ska be- döma folkbokföringsfelets storlek och redovisa vilka åtgärder som har vidtagits för att öka kvaliteten i folkbokföringen. Skatteverket ska särskilt beskriva hur fel förebyggs och vilka åtgärder som vidta- gits för att stärka möjligheterna att utifrån riskbedömningar prio- ritera arbetet med att minska felen.

Skatteverket ska även redovisa hur resurserna i huvudsak har pri- oriterats till olika områden där kontrollerna kan uppnå bästa möjliga effekt och områden där risk för fel och fusk är hög. Skatteverket ska också redovisa och analysera kontrollverksamhetens resultat avse- ende t.ex. förändrade skattebeslut och regelefterlevnad.

Beskattningsverksamheten

Beskattningsverksamheten är omfattande och inom verksamheten tillämpas ett stort antal författningar som exempelvis reglerar skatt- skyldighet, förfarandet vid fastställande av underlag för och bestäm-

305

Myndigheternas verksamheter

SOU 2023:100

mande av skatter och avgifter samt bestämmande av pensionsgrund- andande inkomst. Inom beskattningsverksamheten ryms också punkt- skatter på t.ex. alkohol och cigaretter. Även verksamheterna med s.k. rot- och rutavdrag ingår i verksamheten. Fastighetstaxeringen utgör en särskild del av beskattningsverksamheten. Målet med denna är att fastställa och tillhandahålla information om taxeringsvärde för landets fastigheter. Några av de författningar som reglerar Skatteverkets upp- gifter inom beskattningsverksamheten är följande.

I inkomstskattelagen (1999:1229) finns bl.a. bestämmelser om kommunal och statlig inkomstskatt. I lagen finns bestämmelser om bl.a. skattskyldighet för fysiska och juridiska personer, vad som ska tas upp i olika inkomstslag, om fåmansföretag och om allmänna av- drag och beräkning av skatt.

I skatteförfarandelagen (2011:1244) finns bestämmelser om för- farandet vid uttag av skatter och avgifter. I lagen finns bestämmelser om bl.a. kontrolluppgifter i olika inkomstslag, Skatteverkets skyldighet att utreda och kommunicera, om revision, om andra myndigheters skyldighet att lämna uppgifter till Skatteverket, om olika tvångsåtgär- der, om särskilda avgifter och om beslut om skatter och avgifter m.m.

I bl.a. socialavgiftslagen (2000:980) och lagen (1994:1920) om all- män löneavgift finns bestämmelser om arbetsgivares skyldighet att betala arbetsgivaravgifter och allmän löneavgift.

I mervärdesskattelagen (2023:200) finns bestämmelser om mer- värdesskatt. I lagen finns bestämmelser om vilka transaktioner som är föremål för mervärdesskatt, om beskattningsbara personer, om beskattningsbara transaktioner mot ersättning, om vem som är betal- ningsskyldig och om transaktioner som medför avdragsrätt eller rätt till återbetalning. Bestämmelser om mervärdesskatt finns även i rådets direktiv 2006/112/EG av den 28 november 2006 om ett gemensamt system för mervärdesskatt och i rådets genomförandeförordning (EU) nr 282/2011 av den 15 mars 2011 om fastställande av tillämp- ningsföreskrifter för direktiv 2006/112/EG om ett gemensamt system för mervärdesskatt.

I fastighetstaxeringslagen (1979:1152) finns bestämmelser om fas- tighetstaxering. I lagen finns bl.a. bestämmelser om skatte- och av- giftsplikt, om deklarationsskyldighet, om riktvärden för byggnader och mark av olika beskaffenhet och om allmän, förenklad och sär- skild fastighetstaxering.

306

SOU 2023:100

Myndigheternas verksamheter

Skatteverket har på beskattningsområdet ett omfattande informa- tionsutbyte med myndigheter i andra länder både utom och inom EU. Informationsutbytet regleras bl.a. genom EU-förordningar, EU-direktiv, konventioner och mellanstatliga avtal. Ett exempel är rådets direktiv 2011/16/EU av den 15 februari 2011 om administra- tivt samarbete i fråga om beskattning som införlivas genom lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Varefter har det införts fler bestämmelser i dir- ektivet som införlivas genom ytterligare särskilda lagar, t.ex. genom lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet. Samarbetet mellan stater som gäller bestämda fys- iska eller juridiska personers beskattning brukar delas in i olika typer. Olika typer av samarbete är bl.a. informationsutbyte på begäran, auto- matiskt informationsutbyte, spontant informationsutbyte, närvaro vid skatteutredning i annat land, samtidiga kontroller och gemen- samma revisioner. Indelningen grundas på hur samarbetet praktiskt går till, inte vad uppgifterna handlar om eller vilka bestämmelser sam- arbetet grundar sig på. Alla rättsakter om administrativt samarbete ger inte stöd för alla typer av samarbete.

Folkbokföringsverksamheten

Folkbokföringens huvudsakliga uppgift är att tillhandahålla infor- mation som speglar befolkningens bosättning, identitet och familje- rättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Inom folkbokföringsverksamheten tillämpas ett flertal olika författningar som exempelvis reglerar för- utsättningarna för folkbokföring och tilldelning av samordningsnum- mer dvs. en identitetsbeteckning för den som inte är eller har varit folkbokförd i Sverige. Inom folkbokföringsverksamheten ingår även bl.a. prövning av ärenden om personnamn, hindersprövning enligt äktenskapsbalken samt utfärdande av intyg för gravsättning eller kre- mering. Några av de författningar som reglerar Skatteverkets uppgifter inom folkbokföringsverksamheten är följande.

I folkbokföringslagen (1991:481) finns bestämmelser om folkbok- föring. I lagen finns bl.a. bestämmelser om när och hur folkbokför- ing ska ske, skyddad folkbokföring, personnummer, avregistrering

307

Myndigheternas verksamheter

SOU 2023:100

från folkbokföringen, anmälningar och ansökningar samt utredning och kontroll.

I lagen (2022:1697) om samordningsnummer finns bestämmelser om samordningsnummer. Lagen innehåller även bestämmelser om personnummer som före år 2000 tilldelats utan samband med folk- bokföring. I lagen finns bl.a. bestämmelser om förfarandet vid till- delning av samordningsnummer, identitetskontroll, ändringar av registrerade identitetsuppgifter samt underrättelse- och anmälnings- skyldighet.

I lagen (2016:1013) om personnamn finns bestämmelser om för- värv och ändring av personnamn. I lagen finns bl.a. bestämmelser om byte och ändring av namn, särskilt skydd för efternamn, internatio- nella förhållanden samt förfarandet vid Skatteverket.

SPAR-verksamheten

Skatteverket ansvarar för statens personadressregister, SPAR, sedan 2009. SPAR, är ett offentligt register som bl.a. får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats samordningsnummer och som har styrkt sin iden- titet eller gjort identiteten sannolik. Syftet med SPAR är att lämna ut uppgifter elektroniskt till myndigheter och enskilda under förut- sättning att mottagaren uppfyller vissa villkor. SPAR-verksamheten regleras i lagen (1998:527) om det statliga personadressregistret och den tillhörande förordningen (1998:1234).

Äktenskapsregister- och bouppteckningsverksamheterna

Äktenskapsregisterverksamheten omfattar förandet av äktenskaps- registret och handläggning av registreringsärenden enligt 16 kap. äktenskapsbalken. Bouppteckningsverksamheten omfattar registrer- ingen av bouppteckningar och förvaring av dödsboanmälningar samt handläggning av vissa andra typer av ärenden enligt 16 kap. ärvda- balken. Skatteverkets uppgifter som behörig myndighet för utfärd- ande av europeiska arvsintyg enligt Europaparlamentets och rådets förordning (EU) nr 650/2012 av den 4 juli 2012 om behörighet, till- lämplig lag, erkännande och verkställighet av domar samt godkännande och verkställighet av officiella handlingar i samband med arv och om

308

SOU 2023:100

Myndigheternas verksamheter

inrättandet av ett europeiskt arvsintyg ingår också i boupptecknings- verksamheten.

Vissa övriga uppgifter som Skatteverket har

Skatteverket är borgenär för statens fordringar. Det innebär att det är Skatteverket som bevakar statens fordringar i en konkurs. Om det blir aktuellt är det också Skatteverket som, för statens räkning, an- söker om att en gäldenär ska försättas i konkurs. Inom ramen för rollen som borgenär för statens fordringar företräder Skatteverket de flesta övriga statliga myndigheter när en skuld till staten ska betalas. Skatteverket företräder också staten vid företagsrekonstruktioner, skuldsaneringar, likvidationer, ackord och preskriptionsförlängningar. Skatteverkets uppgifter i samband med uppdraget att vara borgenär åt staten regleras i lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter. I lagen finns bestämmelser om bl.a. Skatte- verkets skyldighet att göra en utredning om gäldenärens ekonomiska förhållanden och om Skatteverkets befogenheter att fatta vissa be- slut och ansöka om att en gäldenär försätts i konkurs.

Skatteverket hanterar ärenden om stöd vid korttidsarbete, dvs. stöd till arbetsgivare som har tillfälliga och allvarliga ekonomiska svårig- heter för lönekostnader kopplade till korttidsarbete för anställda. Bestämmelser om korttidsstöd finns i lagen (2013:948) om stöd vid korttidsarbete. I lagen finns bl.a. bestämmelser om beräkning av och ansökan om preliminärt stöd, återbetalningsskyldighet och kontroll.

Mellan 2020 och 2022 har Skatteverket hanterat ärenden om om- ställningsstöd, dvs. ekonomiskt stöd till företag vars nettoomsätt- ning har minskat i större omfattning till följd av spridningen av sjuk- domen covid-19 Bestämmelser om omställningsstöd finns i lagen (2020:548) om omställningsstöd och tillhörande förordningar. I lagen finns bl.a. bestämmelser om handläggningen av en ansökan om om- ställningsstöd, om utredning och kontroll, om kontrollbesök, om bevissäkring och om företrädaransvar.

Skatteverket handlägger ärenden om elstöd, dvs. ekonomiskt stöd som kan ges till företag för att mildra effekterna av höga elpriser. Bestämmelser om elstöd finns i lagen (2023:230) om förfarande för elstöd till företag och den tillhörande förordningen (2023:233). I lagen finns bl.a. bestämmelser om tillgodoräknande och utbetal-

309

Myndigheternas verksamheter

SOU 2023:100

ning av stöd, om återbetalning och återkrav, och om indrivning, verkställighet och preskription.

4.2Tullverket

Inledning

Tullverket har i uppdrag att fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas. Tullverket är också den myndighet som övervakar och kontrollerar trafiken till och från Sverige så att bestämmelser om in- och utförsel följs. Tullverket har även ett brottsbekämpande uppdrag. Vår översyn omfattar inte Tull- verkets brottsbekämpande verksamhet varför någon mer ingående beskrivning av denna verksamhet inte görs nedan.

Tullverkets uppdrag styrs av förordningen (2016:1332) med in- struktion för Tullverket och genom regeringens årliga regleringsbrev och andra regeringsbeslut. Av 1 kap. 2 § tullförordningen (2016:287) framgår dessutom att Tullverket ska utföra de uppgifter som en tull- myndighet eller en behörig myndighet har enligt Europaparlamen- tets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (tullkodexen) och de förordningar som meddelas med stöd av den förordningen, om inget annat sägs i lag eller förordning.

Instruktionen

Tullverkets övergripande uppdrag beskrivs i förordningen med in- struktion för Tullverket.

Tullverket ska fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas (1 §).

Tullverket ska övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs (2 §).

Tullverket ska förebygga och motverka brottslighet i samband med in- och utförsel av varor. Tullverket ska även delta i det myn- dighetsgemensamma arbetet mot den grova och organiserade brotts- ligheten (3 §).

Till Tullverkets uppgifter hör vidare att bedriva viss utrednings- och åklagarverksamhet i fråga om brott mot bestämmelser om in-

310

SOU 2023:100

Myndigheternas verksamheter

och utförsel av varor (4 §). Tullverket ska även bedriva viss verk- samhet i fråga om rattfylleribrott (5 §).

Tullverket ska tillhandahålla information och god service så att allmänheten och företag har goda förutsättningar för att kunna fatta långsiktiga och hållbara beslut (6 §). Tullverket ska bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och före- tag som Tullverket (7 §).

Myndigheten är vidare behörig myndighet enligt lagen (2017:244) om kontroller och inspektioner på plats av europeiska byrån för be- drägeribekämpning, när det gäller vissa utpekade kontroller och in- spektioner (8 a §). Tullverket är också beredskapsmyndighet enligt förordningen (2022:524) om statliga myndigheters beredskap (8 b §).

Av förordningen med instruktion för Tullverket framgår även bl.a. att myndigheten snarast ska informera Regeringskansliet (Finans- departementet) om viktiga frågor som uppkommer i verksamheten och som bör komma till regeringens kännedom (9 §).

Bestämmelser om myndighetens ledning och organisation finns i 11–17 §§.

Regleringsbrevet

Genom regleringsbrevet beslutar regeringen bl.a. om Tullverkets upp- drag, mål och återrapporteringskrav.

Av regleringsbrevet för budgetåret 2023 (dnr Fi2022/03445) fram- går bl.a. följande.

Tullverkets verksamhet ska bidra till att säkerställa finansieringen av den offentliga sektorn och bidra till ett väl fungerande samhälle för allmänhet och företag samt motverka brottslighet.

Skillnaden mellan de teoretiskt riktiga och de fastställda beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt. Tull- verket ska bedöma skattefelets storlek och i vilken grad skattefelet har förändrats.

Ambitionsnivån avseende att förhindra smuggling av narkotika, vapen och explosiva varor liksom att förhindra storskalig eller fre- kvent illegal införsel av alkohol och tobak ska öka. Tullverket ska redovisa resultatet av kontrollverksamheten avseende smuggling av narkotika, vapen och explosiva varor samt storskalig eller frekvent

311

Myndigheternas verksamheter

SOU 2023:100

illegal införsel av alkohol och tobak. Av redovisningen ska det även framgå hur myndigheten har balanserat insatserna inom dessa om- råden mot insatser på övriga risk- och restriktionsområden, hur ambi- tionsnivån ökat samt vilka överväganden som gjorts.

Tullverket ska enligt regleringsbrevet vidare redovisa hur myn- digheten har stärkt arbetet med att förebygga brottslighet i samband med in- och utförsel av varor. Tullverket ska också redovisa effek- terna av myndighetens utökade möjligheter att ingripa mot brott, t.ex. när det gäller stöldgods som är på väg att föras ut ur landet.

Tullverkets verksamhet

Unionsrätten

Tullverkets uppgifter framgår av ett flertal författningar och i mycket hög utsträckning av unionsrätten. Inom EU är tullagstiftningen till stor del harmoniserad.

Kärnan i EU:s gemensamma tullagstiftning utgörs av tullkodexen, som fastställer de allmänna regler och förfaranden som ska tillämpas på varor som förs in i eller ut ur EU:s tullområde. Tullkodexen är direkt tillämplig i alla 27 medlemsstater. Förordningen kompletteras av stöd- jande lagstiftning i form av olika tillämpningsföreskrifter. Det finns exempelvis en kompletteringsförordning1 och en genomförande- förordning2 som anger närmare bestämmelser avseende vissa stad- ganden i tullkodexen samt syftar till att säkerställa likartade villkor för implementeringen av kodexen i alla medlemsstater.

Tullkodexen innehåller bestämmelser om bl.a. tullagstiftningens tillämpningsområde, definitioner, tullmyndigheternas uppgifter samt personers rättigheter och skyldigheter enligt tullagstiftningen. Det finns även bestämmelser om exempelvis förfarandet vid beslut enligt tullagstiftningen, sanktioner, överklagande, kontroll av varor, bevar- ande av dokument och elektroniska system.

Tullmyndigheterna ska enligt tullkodexen bl.a. ha det primära an- svaret för att övervaka unionens internationella handel. Därutöver ska

1Kommissionens delegerade förordning (EU) 2015/2446 av den 28 juli 2015 om kompletter- ing av Europaparlamentets och rådets förordning (EU) nr 952/2013 vad gäller närmare regler avseende vissa bestämmelser i unionens tullkodex.

2Kommissionens genomförandeförordning (EU) 2015/2447 av den 24 november 2015 om närmare regler för genomförande av vissa bestämmelser i Europaparlamentets och rådets för- ordning (EU) nr 952/2013 om fastställande av en tullkodex för unionen.

312

SOU 2023:100

Myndigheternas verksamheter

Tullmyndigheterna vidare inrätta åtgärder med syfte bl.a. att skydda unionens och dess medlemsstaters ekonomiska intressen, att säker- ställa unionens och dess invånares säkerhet och skydd, samt skyddet av miljön, vid behov i nära samarbete med andra myndigheter. Vidare ska Tullmyndigheterna inrätta åtgärder med syfte att bevara en lämplig balans mellan tullkontroll och underlättande av laglig handel.

Tullmyndigheterna ska vid EU:s yttre gränser kontrollera efter- levnaden av mer än 60 olika EU-rättsakter med särskilda restriktio- ner och krav inom olika politikområden, däribland hälsa och säkerhet, miljöskydd, fiskeri och jordbruk, marknadsövervakning och produkt- överensstämmelse samt kulturarv.3

Tullagen

Tullagen (2016:253) innehåller bestämmelser som kompletterar det unionsrättsliga regelverket. Lagen innehåller bl.a. bestämmelser om Tullverkets skyldighet att tillhandahålla information till andra myn- digheter och bevarande av uppgifter. Tullagen innehåller även när- mare reglering av förfarandet vid exempelvis tullövervakning vid in- försel och utförsel av varor, olika former av tullkontroll, samt regler om sanktioner, åtgärder vid nöd eller olycka, och om delgivning.

Inregränslagen

Tullverket har befogenhet att utföra kontroller avseende vissa sär- skilt angivna varor, bl.a. narkotika, vapen, krigsmateriel, kultur- föremål, vissa djur och djurprodukter samt vissa hälsofarliga varor som förs in eller ut ur Sverige från eller till ett annat EU-land. I lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot annat land inom Europeiska unionen, inregränslagen, finns bestämmelser om sådana kontroller. I lagen finns bl.a. bestämmelser om skyldighet för enskilda att lämna uppgifter och visa handlingar, om vilka ut- rymmen, föremål och försändelser en tulltjänsteman får undersöka samt under vilka omständigheter Tullverket får omhänderta varor.

3Regeringskansliet, Faktapromemoria, Förordning om en kontaktpunkt för tullen i EU, 2020/21:FPM40, s. 2.

313

Myndigheternas verksamheter

SOU 2023:100

Lagen om punktskattekontroller

Tullverket har rätt att under vissa förutsättningar kontrollera och omhänderta bl.a. skattepliktiga alkohol- och tobaksvaror för att utreda om skatt ska betalas i Sverige, samt att fatta beslut om skatt. I lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter finns bestämmelser om förfarandet. I lagen finns bl.a. bestämmelser om vilka dokument, utrymmen och försändelser Tullverket får undersöka, om enskildas skyldighet att legitimera sig och uppvisa dokument samt under vilka omständigheter Tullverket får omhänderta varor.

4.3Kronofogdemyndigheten

Inledning

Kronofogdemyndigheten är den myndighet i Sverige som har i upp- drag att se till att den som har rätt att få betalt får det. Det kan vara myndigheter, kommuner, företag eller privatpersoner som ansöker om hjälp med att få betalt. Kronofogdemyndigheten ger även stöd till den som ska betala sina skulder och ser till att betalningar sker på ett rättssäkert sätt.

Myndighetens uppgifter är främst att fastställa och verkställa krav, exempelvis genom att driva in skulder efter beslut om att någon är skyldig att betala, eller genom att genomföra vräkningar. Myndig- heten beslutar också om skuldsanering och utövar tillsyn över kon- kursförvaltare och rekonstruktörer. Myndigheten har även vissa gräns- överskridande uppdrag som härrör ur internationell samverkan kring bland annat underhållsskyldighet, handräckning i skatteärenden och verkställighet av olika beslut. Dessutom får myndigheten kontinu- erligt allt fler uppgifter som är relaterade till arbetet med att mot- verka gängkriminalitet.

Kronofogdemyndighetens uppdrag styrs bl.a. av förordningen (2016:1333) med instruktion för Kronofogdemyndigheten och genom regeringens årliga regleringsbrev och andra regeringsbeslut.

314

SOU 2023:100

Myndigheternas verksamheter

Instruktionen

Kronofogdemyndighetens övergripande uppdrag beskrivs i förord- ningen med instruktion för Kronofogdemyndigheten.

Kronofogdemyndighetens huvudsakliga uppgifter är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsaner- ing samt tillsyn i konkurs och tillsyn över rekonstruktörer (1 §).

Kronofogdemyndigheten ska verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas (2 §).

Myndigheten har även i uppdrag att tillhandahålla information och god service så att allmänhet och företag har goda förutsättningar för att kunna fatta långsiktiga och hållbara beslut (3 §).

Myndigheten ska förebygga och motverka ekonomisk brottslig- het samt delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten (4 §).

Vidare ska Kronofogdemyndigheten bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kost- nadseffektivt och enkelt för såväl allmänhet och företag som Krono- fogdemyndigheten (5 §).

Kronofogdemyndigheten ska snarast informera Regeringskansliet (Finansdepartementet) om viktiga frågor som uppkommer i verksam- heten och som bör komma till regeringens kännedom (7 §).

Kronofogdemyndigheten ska tillsammans med Skatteverket be- stämma den gemensamma utvecklingen och användningen av admi- nistrativt och tekniskt stöd inom Skatteverket (8 §).

Bestämmelser om myndighetens ledning och organisation samt om kronofogdar finns i 9–16 §§.

Regleringsbrevet

Genom regleringsbrevet beslutar regeringen bl.a. om Kronofogde- myndighetens uppdrag, mål och återrapporteringskrav.

Av regleringsbrevet för budgetåret 2023 (dnr Fi2022/03445) fram- går bl.a. följande.

Kronofogdemyndigheten ska bidra till att säkerställa finansieringen av den offentliga sektorn och bidra till ett väl fungerande samhälle för allmänhet och företag samt motverka brottslighet. Allmänhet och företag ska ha förtroende för Kronofogdemyndighetens verksam-

315

Myndigheternas verksamheter

SOU 2023:100

het och alla ska ges samma möjligheter och villkor vid kontakter med myndigheten.

Kronofogdemyndigheten har tillförts tillfälliga medel under 2021– 2023 för att digitalisera och automatisera verksamheten.

Kronofogdemyndighetens verksamhet

Betalningsföreläggande och handräckning

Kronofogdemyndigheten ansvarar för betalningsföreläggande och handräckning, dvs. att företag eller privatpersoner kan ansöka om att få ett krav på betalning eller annan förpliktelse fastställt. Myndig- heten har i uppdrag att pröva ansökningar och meddela beslut, s.k. utslag. Myndigheten hanterar också bl.a. ansökningar om vanlig hand- räckning, exempelvis rörande vräkning, och särskild handräckning som till exempel kan innebära ansökan om att någon ska lämna annans byggnad eller mark. I lagen (1990:746) om betalningsföreläggande och handräckning finns bl.a. bestämmelser om ansökningsprocessen, om föreläggande för svaranden att yttra sig, om kostnader i målet och om återvinning. I lagen (2008:879) om europeiskt betalningsföreläggande finns kompletterande nationella bestämmelser om handläggning av ansökningar om europeiska betalningsförelägganden (enligt Europa- parlamentets och rådets förordning (EG) nr 1896/2006 om införande av ett europeiskt betalningsföreläggande).

Utsökning och indrivning

Kronofogdemyndighetens uppgifter med utsökning och indrivning, dvs att använda tvång för att ta i anspråk någons egendom eller lön för betalning av en fastställd skuld, eller att verkställa bl.a. en skyl- dighet att flytta från ett visst utrymme eller en skyldighet att fullgöra eller underlåta något, regleras i huvudsak i utsökningsbalken. Krono- fogdemyndigheten handlägger ärenden från två typer av ingivare: staten, regioner och kommuner (allmänna mål) respektive företag och privatpersoner (enskilda mål). I allmänna mål företräds sökan- den av Kronofogdemyndigheten.

I utsökningsbalken finns bl.a. bestämmelser om förfarandet hos Kronofogdemyndigheten, om utmätning, om exekutiv försäljning,

316

SOU 2023:100

Myndigheternas verksamheter

om annan verkställighet och om kostnader. I lagen (1993:891) om indrivning av statliga fordringar m.m. finns bestämmelser som gäller särskilt vid handläggning hos Kronofogdemyndigheten av allmänna mål om verkställighet enligt utsökningsbalken.

Skuldsanering

Kronofogdemyndigheten fattar beslut om skuldsanering och F-skuld- sanering. Skuldsanering innebär att en person som är svårt skuldsatt kan få hela eller delar av sina skulder avskrivna. En skuldsanering på- går vanligtvis fem år och personen har under den tiden en betalnings- plan. Ett beslut om skuldsanering kan ändras om det sker oförutsedda och väsentliga förändringar i den skuldsattes ekonomi. Ett sådant be- slut kan också upphävas om personen inte betalar enligt betalnings- planen, har förfarit illojalt eller fått en väsentligt förbättrad ekonomi. I skuldsaneringslagen (2016:675) finns bl.a. bestämmelser om villkor för skuldsanering, vad en ansökan ska innehålla, om Kronofogde- myndighetens kontroll, om handläggningen och om innehållet i en skuldsanering. I lagen (2016:676) om skuldsanering för företagare finns bestämmelser om en särskild form av skuldsanering för före- tagare och närstående till företagare (F-skuldsanering). I lagen finns bl.a. bestämmelser liknande de som finns i skuldsaneringslagen.

Tillsyn

Kronofogdemyndigheten är tillsynsmyndighet i konkursförfarandet och har i detta sammanhang uppdrag att ha tillsyn över konkurs- förvaltaren. I konkurslagen (1987:672) finns bestämmelser om Krono- fogdemyndighetens tillsynsuppdrag.

Myndigheten är också tillsynsmyndighet för rekonstruktörer en- ligt lagen (2022:964) om företagsrekonstruktion.

Enligt lagen (2014:836) om näringsförbud är Kronofogdemyndig- heten också tillsynsmyndighet avseende meddelade näringsförbud.

Ilagen om näringsförbud finns bl.a. bestämmelser om myndighetens rätt att begära att den som har näringsförbud lämnar uppgifter av betydelse för att klarlägga hur han eller hon försörjer sig, söka upp vederbörande i bostaden och vidta utrednings- och spaningsåtgärder som är befogade för att klarlägga hur den som har näringsförbud

317

Myndigheternas verksamheter

SOU 2023:100

försörjer sig. Kronofogdemyndigheten får i detta sammanhang även förelägga tredje man att lämna uppgifter om sina ekonomiska före- havanden med en person som har näringsförbud

Kreditupplysningsinformation

Kreditupplysning regleras i kreditupplysningslagen (1973:1173) och tillhandahålls av kreditupplysningsföretag med tillstånd från Integ- ritetsskyddsmyndigheten. Med kreditupplysning avses uppgifter, om- dömen eller råd som lämnas till ledning för bedömning av någon annans kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hän- seende (2 §). Genom kreditupplysningarna får exempelvis kredit- givare kännedom om en kredittagares betalningsvilja och betalnings- förmåga.

Kronofogdemyndigheten lämnar löpande ut information till före- tag som har tillstånd att bedriva kreditupplysning. Myndighetens utlämnande av information utgör inte kreditupplysningsverksamhet enligt kreditupplysningslagen.

Motverkande av överskuldsättning

Kronofogdemyndigheten arbetar strategiskt med att hjälpa männi- skor att undvika ekonomiska problem och att ta sig ur överskuld- sättning. Barn och unga vuxna är en prioriterad målgrupp. Detta sker inom arbetet med att motverka överskuldsättning.

318

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

Behovet av några gemensamma utgångspunkter

I syfte att fullgöra vårt uppdrag har vi inledningsvis studerat myndig- heternas uppgifter som framgår av nationell rätt och unionsrätten, samt deras organisation och verksamhet. Vi har även fördjupat oss i den befintliga allmänna och kompletterande dataskyddsregleringen, dvs. EU:s dataskyddsförordning1 och lagen (2018:218) med kompletter- ande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) samt bestämmelser om offentlighet och sekretess (se avsnitt 3.2).

Vi har också haft en tät kontakt med Skatteverket, Tullverket och Kronofogdemyndigheten för att kartlägga deras respektive uppfatt- ningar om vilka behov som föreligger ur ett myndighetsperspektiv, ut- ifrån ramen för vårt uppdrag. Behovsinventeringen har av naturliga skäl utgått från myndigheternas respektive uppgifter och verksamheter. De uppgivna behoven skiljer sig därför åt på flera punkter. Vissa syn- punkter har dock varit genomgående och gemensamma för samtliga tre myndigheter. Exempelvis uppfattas dagens reglering som omodern och dåligt anpassad till digitaliseringen av myndigheternas verksam- het. Dagens reglering uppfattas även i flera fall som omotiverat hind- rande, utan att några uppenbara fördelar för skyddet av enskildas personliga integritet uppnås.

Vår bedömning är att omfattningen av vårt uppdrag starkt talar för att några gemensamma utgångspunkter bör formuleras utifrån de aspekter som är gemensamma för samtliga verksamheter. Samman- fattningsvis kan det gemensamma behovet hos myndigheterna sägas vara att dataskyddsregleringen anpassas till rådande rättsliga och tek- niska förutsättningar för personuppgiftsbehandling. Detta motsvarar också vårt uppdrag enligt våra direktiv.

Behoven som myndigheterna har gett uttryck för är förvisso inte desamma för samtliga verksamheter. För Skatteverkets äktenskaps- register- och bouppteckningsverksamheter, samt Skatteverkets SPAR- verksamhet är behoven av förändring mindre, eller av annan karaktär. De utgångspunkter vi behöver formulera bör dock vara giltiga även för dessa verksamheter.

320

SOU 2023:100

Utgångspunkter för en modern och ändamålsenlig …

5.2Utgångspunkter för en ändamålsenlig och modern kompletterande dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten

5.2.1Den kompletterande dataskyddsregleringen ska utgöra ett adekvat integritetsskydd

Vår bedömning: En utgångspunkt för vårt arbete bör vara att den kompletterande dataskyddsregleringen ska omfatta de bestämmel- ser som krävs för att den ska kunna utgöra ett adekvat skydd för enskildas personliga integritet.

Skälen för vår bedömning

Att uppgifter om enskildas personliga förhållanden måste åtnjuta ett skydd i en rättsstat framgår av skyddsreglering för den personliga integ- riteten både i regeringsformen och i olika internationella rättsakter (se avsnitt 3.2). Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.2 Var och en är vidare gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.3 Var och en har dessutom rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.4 Respekten för individens självbestämmande och integritet är alltså grundläggande i en demokrati och inte enbart en dataskyddsrättslig fråga.5 En självklar utgångspunkt för vårt arbete bör därför vara ett en- skilda har ett berättigat intresse av att erbjudas skydd för information om sina personliga förhållanden.6

Grundläggande rättigheter kan vara absoluta eller möjliga att be- gränsa under vissa förutsättningar. Några av de absoluta grundläg- gande rättigheterna i svensk rätt är att ingen får dömas till dödsstraff eller utsättas för kroppsstraff.7 Rätten till skydd för personuppgifter

2Artikel 8.1 Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02).

32 kap. 6 § andra stycket RF.

4Artikel 8.1 Europeiska konventionen om skydd för de mänskliga rättigheterna.

5Prop. 2022/23:34, Utbetalningsmyndigheten, s. 161.

6Jfr prop. 2009/10:80, En reformerad grundlag, s. 175.

72 kap. 4, 5 och 20 §§ RF.

321

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

och mot betydande intrång i den personliga integriteten är dock inte en absolut rättighet. Liksom rätten till skydd för privat- och familje- liv, hem och korrespondens kan rätten till skydd för personuppgifter och mot betydande intrång i den personliga integriteten begränsas.8 Enligt dataskyddsförordningen måste rätten till skydd för person- uppgifter förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen.9 Proportionalitetsprincipen innebär att åtgärder ska vara lämpliga och nödvändiga för att uppnå det önskade resultatet, och inte innebära en orimlig börda för den enskilde i förhållande till det eftersträvade målet. Proportionalitetsprincipen framgår också av regeringsformen och i

olika internationella rättsakter.10

Inom sina respektive verksamheter behandlar Skatteverket, Tull- verket och Kronofogdemyndigheten i dag en mycket stor mängd upp- gifter om enskilda. Det rör sig såväl om behandling av uppgifter som bör uppfattas som mycket privata, exempelvis om hälsa, tillhörighet i trossamfund och privatekonomi, som om behandling av uppgifter som typiskt sett är mindre skyddsvärda, exempelvis om någons adress. Myndigheterna har förvisso ett legitimt behov av att behandla per- sonuppgifter i syfte att utföra den verksamhet som riksdagen eller regering beslutat eller som krävs enligt unionsrätten. De uppgifts- samlingar som förekommer inom myndigheternas verksamheter kan dock innebära att uppgifterna är tillgängliga för myndigheterna på sådant sätt att behandlingen kan sägas innebära att enskilda kart- läggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.11

I den kompletterande dataskyddsregleringen bör myndigheterna därför ges möjlighet att utföra personuppgiftsbehandling endast i den utsträckning det är proportionerligt i förhållande till enskildas berät- tigade intresse av skydd för information om sina personliga förhål- landen. Det innebär att den kompletterande dataskyddsregleringen inte bör möjliggöra annan personuppgiftsbehandling än sådan som kan antas leda till att myndigheterna kan utföra sin verksamhet enligt tillämplig lagstiftning. Dataskyddsregleringen bör inte heller möjlig-

82 kap. 21 § RF.

9Skäl 4 till dataskyddsförordningen.

10Se 2 kap. 21 § regeringsformen och exempelvis artikel 5.4 i Fördraget om europeiska unionen och fördraget om europeiska unionens funktionssätt (2016/C 202/01) och artikel 52.1 i Euro- peiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02).

11Prop. 2009/10:80, En reformerad grundlag, s. 175.

322

SOU 2023:100

Utgångspunkter för en modern och ändamålsenlig …

göra sådan personuppgiftsbehandling som är mer omfattande än vad som behövs för att myndigheterna ska kunna utföra sin verksamhet, eller sådan behandling som inte står i ett rimligt förhållande till det intrång i den personliga integriteten som behandlingen innebär.

En utgångspunkt för vårt arbete bör följaktligen vara att den kom- pletterande dataskyddsregleringen ska omfatta de bestämmelser som krävs för den ska kunna utgöra ett adekvat skydd för enskildas per- sonliga integritet.

5.2.2EU:s dataskyddsförordning utgör i dag den primära rättskällan i dataskyddsfrågor

Vår bedömning: En utgångspunkt för vårt arbete bör vara att EU:s dataskyddsförordning i dag är den primära dataskyddsrätts- liga rättskällan.

Skälen för vår bedömning

Myndigheterna ska tillämpa dataskyddsförordningen

De flesta författningar som omfattas av vår översyn kom till i samband med eller som en konsekvens av att personuppgiftslagen (1998:204), PUL, infördes. När dataskyddsförordningen började tillämpas ersatte den 1995 års dataskyddsdirektiv,12 som på generell nivå hade genom- förts i svensk rätt genom personuppgiftslagen, personuppgiftsförord- ningen (1998:1191) och dåvarande Datainspektionens föreskrifter.

För att säkerställa att EU-lagstiftningen ger samma skydd för alla medborgare inom hela EU har bestämmelser som finns i en EU-förord- ning företräde framför nationella lagar.13 Dataskyddsförordningen ska alltså tillämpas av enskilda och myndigheter precis som om be- stämmelserna i förordningen hade funnits i en svensk författning. Det innebär att den primära regleringen avseende personuppgiftsbehand- ling inom svenska myndigheter i dag finns i dataskyddsförordningen.

12Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

13Se bl.a. EU-domstolens dom den 15 juli 1964, Flaminio Costa mot E.N.E.L., mål 6/64.

323

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

En mer omfattande dataskyddsreglering

Dataskyddsförordningen innebär i många avseenden en förändring i förhållande till personuppgiftslagen och 1995 års dataskyddsdirektiv, och ställer framför allt högre krav på personuppgiftsansvariga myn- digheter än tidigare.

I artikel 5.1 anges de grundläggande principerna för behandling, vilka även angavs i 1995 års dataskyddsdirektiv och personuppgifts- lagen.14 De grundläggande principerna innebär bl.a. att personuppgif- ter enbart får behandlas för särskilda och berättigade ändamål, att uppgifterna inte senare får behandlas på ett sätt om är oförenligt med insamlingsändamålen, att behandlingen inte får omfatta fler uppgifter än nödvändigt och att den inte får pågå längre än nödvändigt. Av artikel 5.2 i dataskyddsförordningen framgår att det är den person- uppgiftsansvarige som ska ansvara för och kunna visa att de grund- läggande principerna efterlevs.

För att behandling av personuppgifter över huvud taget ska vara laglig enligt dataskyddsförordningen krävs att något av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllda. Av 10 § f PUL, liksom av artikel 7 i 1995 års dataskyddsdirektiv, fram- gick att även offentliga aktörer kunde behandla personuppgifter på grund av sitt s.k. berättigade intresse. Enligt dataskyddsförordningen kan en myndighet som utgångspunkt inte behandla personuppgifter på den grunden. Myndigheter kan i stället som utgångspunkt bara behandla personuppgifter om det är nödvändigt för att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutöv- ning, (artikel 6.1 c och e).

Enligt dataskyddsförordningen ska dessutom den grund för be- handling som avses i artikel 6.1 c och e fastställas i enlighet med unions- rätten eller den medlemsstats nationella rätt som den personuppgifts- ansvarige omfattas av (artikel 6.3). Något motsvarande krav på att grunden för en myndighets personuppgiftsbehandling skulle vara fast- ställd i unionsrätten eller den nationella rätten fanns inte i 1995 års dataskyddsdirektiv eller i personuppgiftslagen. Det har därför ansetts möjligt att med stöd av 10 § d PUL utföra behandling av person- uppgifter som var nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om den rättsliga grunden inte var fastställd i författ-

14Artikel 6 i 1995 års dataskyddsdirektiv och 9 § personuppgiftslagen.

324

SOU 2023:100

Utgångspunkter för en modern och ändamålsenlig …

ning eller liknande. Dataskyddsförordningens bestämmelser om rätts- lig grund innebär däremot att bl.a. förpliktelser och uppgifter av allmänt intresse inte kan åberopas som rättsliga grunder för behand- ling av personuppgifter om den rättsliga grunden inte är fastställd i unionsrätten eller medlemsstatens nationella rätt.15

Vid behandling som omfattas av artikel 6.1 c och e ska enligt arti- kel 6.3 också syftet med behandlingen fastställas i den rättsliga grun- den eller, i fråga om behandling enligt punkten 6.1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den per- sonuppgiftsansvariges myndighetsutövning. Artikel 6.3 ställer också krav på att, i fråga om den rättsliga grunden för personuppgiftsbehand- ling, unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Dataskyddsförordningen innehåller dessutom ett stort antal be- stämmelser om olika förhållanden kopplade till dataskydd. Bestäm- melserna i förordningen rör alltså inte enbart grundläggande principer för behandling och vilken rättslig grund för behandling som måste föreligga. I förordningen finns även utförliga bestämmelser avseende den personuppgiftsansvariges ansvar att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att per- sonuppgiftsbehandling utförs i enlighet med förordningens bestäm- melser (artikel 24), bygga in dataskydd i de tekniska systemen för att rent teknisk säkerställa att de grundläggande principerna följs (arti- kel 25), och att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå (artikel 32). Det finns även förfaranderegler om konsekvensbedömningar och samråd med de nationella tillsynsmyndigheterna vid behandling som kan innebära särskilt hög risk för de registrerade (artiklarna 35 och 36), förfarande- regler vid gemensamt personuppgiftsansvar (artikel 26) och om per- sonuppgiftsbiträden (artikel 28).

Dataskyddsförordningen innehåller dessutom ett flertal utförliga bestämmelser om enskilda rättigheter, bl.a. avseende rätt till infor- mation om ändamålen med den behandling som utförs (kapitel III), samt bestämmelser om gränsöverskridande behandling av person- uppgifter till tredjeland (kapitel V). Ytterligare en skillnad mellan dataskyddsförordningen och 1995 års dataskyddsdirektiv är att till-

15Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 42.

325

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

synsmyndigheternas befogenheter har stärkts genom dataskydds- förordningen, jfr artikel 58 i dataskyddsförordningen och arti- kel 28.3 i direktivet. I Sverige är det Integritetsskyddsmyndigheten, IMY, som är tillsynsmyndighet. Genom dataskyddsförordningens bestämmelser om administrativa rättsmedel, ansvar och sanktioner (kapitel VIII) har IMY möjlighet att bl.a. påföra en myndighet admi- nistrativa sanktionsavgifter på upp till motsvarande 10 000 000 kro- nor om behandlingen strider mot de grundläggande principerna i dataskyddsförordningen, som kravet på att personuppgifter bara får samlas in för berättigade ändamål. Ett annat exempel är om den regi- strerade inte får sina rättigheter tillgodosedda, som rätten till infor- mation och rättelse (artikel 83.5 och 6 kap. 2 § andra stycket lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning, dataskyddslagen).

Totalt innehåller dataskyddsförordningen 99 artiklar som i många fall är mycket omfångsrika. Artiklarna kompletteras vidare av 173 beaktandeskäl. Europeiska dataskyddsstyrelsen, EDPB, en paraply- organisation som sammanför de nationella dataskyddsmyndighet- erna, publicerar dessutom bl.a. riktlinjer och rekommendationer som tydliggör den närmare innebörden av dataskyddsförordningens be- stämmelser.

Behovet av sektorsspecifik dataskyddsreglering har minskat

Dataskyddsförordningen baseras till stor del på 1995 års dataskydds- direktivs struktur och innehåll men innebär även en rad förändringar. Dataskyddsförordningen som till skillnad från direktivet ska tillämpas på precis samma sätt som vore den en svensk lag utgör en mer om- fattande dataskyddsreglering än 1995 års direktiv och personuppgifts- lagen gjorde. Framför allt innebär dataskyddsförordningen att det i dag finns begränsningar av Skatteverkets, Tullverkets och Krono- fogdemyndighetens möjligheter att behandla personuppgifter som inte förelåg innan förordningen började tillämpas i maj 2018. I dag finns det också högre krav på att myndigheterna ska vidta ett flertal olika åtgärder för att kunna säkerställa bl.a. lämplig säkerhet för de person- uppgifter som får behandlas, och en möjlighet för IMY att besluta om administrativa sanktionsavgifter.

326

SOU 2023:100

Utgångspunkter för en modern och ändamålsenlig …

Trots att dataskyddsförordningen närmast är heltäckande i data- skyddsrättsliga frågor både förutsätter och medger förordningen natio- nella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Enligt förordningen finns det alltså möjlighet att i nationell rätt behålla eller införa kompletterande dataskydds- reglering. I några fall ger förordningen utrymme för undantag eller kompletteringar avseende en särskild typ av verksamhet, se artikel 9.2 g om känsliga personuppgifter och artikel 23 om möjligheterna att begränsa tillämpningsområdet för vissa skyldigheter och rättigheter. I andra fall ges medlemsstaterna möjlighet att fastställa mer specifika villkor för att anpassa bestämmelserna i förordningen för att säker- ställa en laglig och rättvis behandling, vilket framgår av artikel 6.2 och

6.3andra stycket. Principen om unionsrättens företräde innebär dock att en bestämmelse i en sektorsspecifik författning endast får tillämpas om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt.

För att avgöra i vilken utsträckning det är nödvändigt med regler- ing som kompletterar dataskyddsförordningen inom en viss sektor krävs överväganden som tar hänsyn till de omständigheter som före- ligger i den aktuella verksamheten. Inom offentlig verksamhet kan det exempelvis förekomma synnerligen integritetskänslig behandling där det kan uppfattas vara nödvändigt med kompletterande reglering för att åstadkomma ett adekvat integritetsskydd. Ett exempel är Rätts- medicinalverkets elimineringsdatabas där dna-prov från både anställda och andra personer behandlas.16 Att dataskyddsförordningen sedan maj 2018 är den primära rättskällan i dataskyddsfrågor innebär dock att det redan finns en tydlig reglering av dataskyddsrättsliga frågor som alla, såväl myndigheter som privata ekonomiska aktörer och orga- nisationer, som behandlar personuppgifter måste iaktta. Mot den bak- grunden bedömer vi att det inte längre finns samma generella behov som tidigare av att i sektorsspecifik dataskyddsreglering begränsa eller tydliggöra vilken personuppgiftsbehandling som får förekomma inom en myndighet, i syfte att upprätthålla ett adekvat integritetsskydd. Vilken behandling som får förekomma inom en myndighet begrän- sas nämligen redan av dataskyddsförordningen.

16Jfr 6–7 §§ lag (2020:422) om Rättsmedicinalverkets elimineringsdatabas.

327

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

5.2.3Dataskyddsförordningens dubbla syfte

Vår bedömning: En utgångspunkt för vårt arbete bör vara att dataskyddsförordningens syfte inte enbart är att skapa ett starkt skydd för den personliga integriteten, utan även att skapa en en- hetlig och likvärdig nivå för integritetsskyddet inom unionen.

Skälen för vår bedömning

En sammanhängande ram för dataskyddet inom unionen

I skäl 6 till dataskyddsförordningen anges att den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter, och att tekniken gör det möjligt för bl.a. offentliga myndigheter att i sitt arbete använda sig av personuppgif- ter i en helt ny omfattning. Dessa förändringar kräver enligt skäl 7 en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. I skäl 9 till dataskyddsförordningen kon- stateras att 1995 års dataskyddsdirektiv inte har kunnat förhindra bris- tande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgif- ter kan enligt skäl 9 förhindra det fria flödet av personuppgifter och därför bl.a. hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgif- ter inom den inre marknaden behövs, enligt skäl 13, en förordning som bl.a. ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgifts- ansvariga och personuppgiftsbiträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndig- heterna i olika medlemsstater effektivt.

328

SOU 2023:100

Utgångspunkter för en modern och ändamålsenlig …

Dataskyddsförordningens dubbla syften bör beaktas

Ett av de huvudsakliga syftena med dataskyddsförordningen är att åstadkomma en harmonisering av dataskyddsregleringen inom unionen för att undanröja hindren för det fria flödet av personuppgifter inom EU. Det avser inte enbart ekonomiska aktörer utan även myndig- heter. Enligt vår mening är det därför angeläget att förordningens be- stämmelser inte tolkas på ett mer begränsande sätt i Sverige än i andra medlemsstater.17 Det avser särskilt bedömningen av i vilken utsträck- ning det är nödvändigt eller lämpligt att med stöd av bl.a. artikel 6.2 och 6.3 andra stycket fastställa mer specifika villkor för eller begräns- ningar av myndigheters personuppgiftsbehandling i syfte att anpassa bestämmelserna i förordningen för att säkerställa en laglig och rättvis behandling.

I avsnitt 5.2.2 har vi bedömt att betydelsen av sektorspecifik data- skyddsreglering för att upprätthålla ett adekvat integritetsskydd har minskat efter att dataskyddsförordningen började tillämpas. Förord- ningens dubbla syfte talar ytterligare för att kompletterande data- skyddsreglering bör övervägas noga och enbart avvika från vad som annars hade gällt enligt dataskyddsförordningen om det framstår som nödvändigt för att tillskapa ett adekvat integritetsskydd. Den kom- pletterande dataskyddsregleringen bör under alla förhållanden inte hindra myndigheterna att utföra sina uppgifter enligt unionsrätten eller att utföra sin verksamhet som regleras i den nationella rätten.

5.2.4Överväganden i samband med införandet av dataskyddslagen

Vår bedömning: De överväganden som gjordes i samband med data- skyddslagens tillkomst bör utgöra en utgångspunkt för vårt arbete.

Skälen för vår bedömning

I Sverige kompletteras dataskyddsförordningen av dataskyddslagen. I dataskyddslagen finns bestämmelser som förtydligar dataskydds- förordningens bestämmelser bl.a. i fråga om den rättsliga grund för

17Jfr prop. 2017/18:105, Ny dataskyddslag s. 99.

329

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

personuppgiftsbehandling som är aktuell för myndigheter. Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kol- lektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Av 2 kap. 2 § samma lag framgår att personuppgif- ter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.

I dataskyddslagens förarbeten finns dessutom en utförlig beskriv- ning av bestämmelsernas innebörd och de överväganden som reger- ingen gjort i frågan om hur dataskyddsförordningens krav på den rättsliga grunden ska tolkas på ett generellt plan (se avsnitt 3.2.6). De överväganden och bedömningar som regeringen gav uttryck för i data- skyddslagens förarbeten är av naturliga skäl generella, eftersom data- skyddslagen kompletterar dataskyddsförordningen på ett generellt plan. Regeringen bedömde exempelvis att risken för att myndigheter på ett generellt plan inte skulle kunna behandla personuppgifter med stöd av dataskyddsförordningen om inte kompletterande lagstiftning infördes var mycket liten, eftersom det inte borde förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknade stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser.18

I fråga om den svenska rätten på ett generellt plan kunde anses uppfylla dataskyddsförordningens krav på proportionalitet (arti- kel 6.3 andra stycket) konstaterade regeringen att kravet motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rätts- stat. Regeringen konstaterade även att genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna hade Europakonventionen inkorporerats i svensk rätt. Regeringen påpekande också att enligt

2kap. 19 § regeringsformen får lagar och andra föreskrifter inte med- delas i strid med Sveriges åtaganden enligt Europakonventionen. En- ligt regeringen borde det därför vara mycket ovanligt att svensk rätt

18Prop. 2017/18:105, Ny dataskyddslag, s. 50.

330

SOU 2023:100

Utgångspunkter för en modern och ändamålsenlig …

inte uppfyller Europakonventionens krav. Mot den bakgrund borde utgångspunkten enligt regeringen vara att även dataskyddsförord- ningens motsvarande krav är uppfyllt i fråga om de rättsliga förplik- telser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Enligt regeringen behövde den personuppgiftsansvarige därmed inte göra någon proportionalitets- bedömning avseende regleringen av den rättsliga grunden för behand- lingen, utan kunde utgå från att svensk rätt uppfyller detta krav.19

Skatteverket, Tullverket och Kronofogdemyndigheten har sedan en lång tid sektorspecifika dataskyddsregleringar. Även om den kom- pletterande dataskyddsregleringen i dag innehåller bestämmelser om frågor som inte utgör dataskydd, exempelvis arkivrättsliga frågor som rör gallring och bevarande, innehåller den främst bestämmelser som avser myndigheternas automatiserade behandling av personuppgifter. Myndigheternas verksamhet och uppdrag regleras i stället i den natio- nella rätten och unionsrätten. Enligt vår bedömning är den komplet- terande dataskyddsregleringen därför inte av en sådan karaktär att regeringens uttalanden i förarbetena till dataskyddslagen, avseende kraven på proportionalitet och att den rättsliga grunden ska vara fast- ställd, inte kan utgöra en utgångspunkt för vårt arbete. De övervägan- den som gjordes i samband med dataskyddslagens tillkomst bör där- för utgöra en utgångspunkt för vårt arbete.

5.2.5Teknikneutral reglering

Vår bedömning: En utgångpunkt för vårt arbete bör vara att den kompletterande dataskyddsregleringen inte ska innehålla bestäm- melser som förutsätter eller förhindrar användandet av någon befintlig eller framtida teknisk lösning.

Skälen för vår bedömning

Digitaliseringen av myndigheternas verksamhet

De nuvarande registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, SPAR-verksamheten, Tullverket och Kronofogdemyndigheten kom till i samband med att person-

19Prop. 2017/18:105, Ny dataskyddslag, s. 50.

331

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

uppgiftslagen infördes, eller för att anpassa den dåvarande regleringen av automatiserad personuppgiftsbehandling till personuppgiftlagen.20 När personuppgiftslagen trädde i kraft i oktober 1998 var den elek- troniska förvaltningen fortfarande i början av sin uppbyggnad.21 De flesta registerförfattningar som omfattas av vår översyn kom alltså till under en period då digitaliserad informationshantering inom den offentliga förvaltningen fortfarande var ett komplement till analog informationshantering.

I dag är digital informationshantering i stället en självklarhet och huvudregel inom den offentliga sektorn. Ärenden handläggs elektro- niskt och inom myndigheternas verksamhet fattas beslut i stor ut- sträckning med olika digitala beslutsstöd. Enskilda och andra myn- digheter kommunicerar vidare med Skatteverket, Tullverket och Kronofogdemyndigheten på elektronisk väg i stor omfattning. Inom unionsrätten finns vidare krav på att vissa digitala lösningar används i det unionsgemensamma samarbetet. Exempelvis är utgångspunkten inom det unionsrättsliga tullsamarbetet att all informationshanter- ing ska vara digital. Det gäller både avseende informationsöverföring mellan privata aktörer och tullmyndigheterna, men även vid utbyte av information mellan myndigheterna inom EU.22 Arbetet med att öka effektiviteten i myndigheternas verksamhet och samverkan mellan myndigheterna samt att ge medborgarna en förbättrad service är dess- utom i princip helt inriktat på att det ska ske på elektronisk väg.23 I dag är digital informationshantering alltså inte längre en avgränsad del av myndigheternas verksamhet som utförs åtskild från verksamheten i övrigt, som var fallet när den befintliga kompletterande dataskydds- regleringen infördes. I dag är digital informationshantering i stället helt integrerad i myndigheternas verksamhet och det går inte att sär- skilja den digitala informationshanteringen från verksamheten i sig.

Regeringen har uttalat att det i dagsläget mer eller mindre regel- mässigt bör anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ

20Jfr dir. 1998:2, Översyn av skatteförvaltningens och exekutionsväsendets registerförfattningar, s. 4–5, samt dir. 1996:43, Vissa frågor avseende de centrala person-, företags- och fastighetsdata- registren, s. 9.

21Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 54–55.

22Se avdelning IX i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 okto- ber 2013 om fastställande av en tullkodex för unionen.

23SOU 2015:39, Myndighetsdatalag, s. 175.

332

SOU 2023:100

Utgångspunkter för en modern och ändamålsenlig …

för vare sig myndigheter eller företag.24 Regeringen har också sedan länge haft det uttalade målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.25 Regeringen har 2018 uttalat att målet för digitaliseringen av den offentliga förvaltningen bl.a. är en enklare vardag för medborgare och högre kvalitet och effektivitet i verksamheten. Vidare har regeringen gjort bedömningen att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakter med privatpersoner och företag, samtidigt som säker- heten och skyddet för den personliga integriteten ska säkerställas.26 I budgetpropositionen för 2023 har regeringen uttalat att det behövs en ambitionshöjning för att nå sagda mål. Sverige konstateras prestera över snittet i EU, men placerar sig efter de ledande länderna när det kommer till att använda digitaliseringens möjligheter, särskilt inom offentlig sektor. Regeringen har i sammanhanget påpekat att det fak- tum att flera andra länder lyckas bättre än Sverige trots sämre förut- sättningar, visar på att Sverige ännu inte lyckats använda digitaliser- ingens möjligheter fullt ut.27 Regeringen har även uttalat att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt.28

Teknikneutralitet är en förutsättning för en ändamålsenlig dataskyddsreglering

Skyddet för fysiska personer bör enligt skäl 15 till dataskyddsförord- ningen vara teknikneutralt och inte beroende av den teknik som an- vänds. Frågan om vad som egentligen avses med en teknikneutral re- glering inte har dock inte ett självklart svar. En sådan reglering kan vara neutral i den bemärkelsen att den inte pekar ut att en viss teknisk lös- ning ska användas, t.ex. e-post eller vanligt brev. Även en reglering som förefaller teknikneutral har dock ofta utformats med utgångspunkt i kommunikationssätt eller informationshantering i former som i dag inte längre används, eller endast används i begränsad omfattning. Det kan röra sig om att regleringen styr att viss information ska överföras från en aktör till en annan, exempelvis genom att förutsätta att en begäran inleder ett förfarande. Sådana bestämmelser kan visserligen

24Prop. 2017/18:105, Ny dataskyddslag, s. 47.

25Budgetpropositionen för 2012, prop. 2011/12:1 utg. omr. 22, s. 84.

26Budgetpropositionen för 2019, prop. 2018/19:1 utg. omr. 2, s. 53.

27Budgetpropositionen för 2023, prop. 2022/23:1, utg. omr. 22, s. 105.

28Prop. 2017/18:105, Ny dataskyddslag, s. 87.

333

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

sägas vara neutrala i förhållande till vilken teknik som används. En helt digital informationshantering väcker emellertid frågor även rör- ande sådana bestämmelser, eftersom den digitala tekniken möjliggör en i allt väsentligt annan typ av hantering av information än vad som var möjligt när förfarandet ursprungligen reglerades. Det kan alltså vid en helt digital hantering vara svårt att avgöra vad som ska anses utgöra en begäran. Bestämmelser som kan framstå som teknikneutrala kan därför behöva förändras om målsättningen är att de faktiskt ska vara det.29

I sammanhanget kan även påpekas att också viss reglering som inte är teknikneutral, utan som särskilt reglerar en viss digital lösning, kan komma att få en förändrad betydelse om de tekniska förutsätt- ningarna för det avsedda förfarandet förändras. Ett tydligt exempel är begreppet utlämnande på medium för automatiserad behandling, vilket i dag avser exempelvis e-post eller direkt överföring från ett it- system till ett annat, dvs. något helt annat än de magnetband och hål- remsor som ursprungligen avsågs.30

Vid sidan om integritetshänsyn var målsättningar om bl.a. flexi- bilitet och teknikoberoende vägledande vid tidpunkten för de befint- liga registerförfattningarnas tillkomst.31 Författningarna innehåller dock i flera fall begränsningar av myndigheternas möjlighet att kom- municera digitalt med enskilda, vilket innebär att exempelvis Skatte- verket i flera situationer är hänvisat till att använda vanlig postgång när information ska lämnas till enskilda. Den särskilda databasregler- ingen, som innebär att uppgifter som används gemensamt i en verk- samhet kringgärdas av särskilda regler, utgår dessutom från tekniska förutsättningar för myndigheternas interna informationshantering som är väsentligt skilda från de som föreligger i dag. Vilka möjligheter till kommunikation och övrig informationshantering som framtida tek- nik för med sig är lika svårt att förutse i dag som det var runt millen- nieskiftet. En utgångspunkt för vårt arbete bör därför vara att regler- ingen ska vara teknikneutral i så hög utsträckning som möjligt. Mot bakgrund av den snabba tekniska utvecklingen förefaller det vara en förutsättning för en ändamålsenlig dataskyddsreglering. I det ligger allt- så inte enbart frågan om vilken terminologi som används, utan mål- sättningen om teknikneutralitet bör tillåtas påverka även vilka för-

29Jfr SOU 2018 :25, Juridik som stöd för förvaltningens digitalisering, s. 127.

30Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen m.m., s. 75.

31Prop. 2000/01:33, Personuppgiftsbehandling inom skatt, tull och exekution, s. 80–81.

334

SOU 2023:100

Utgångspunkter för en modern och ändamålsenlig …

faranden som över huvud taget regleras i den kompletterande data- skyddsregleringen.

5.2.6En renodlad dataskyddsreglering

Vår bedömning: En utgångspunkt för vårt arbete bör vara att den nya dataskyddsregleringen endast ska omfatta bestämmelser av dataskyddsrättslig art.

Skälen för vår bedömning

Myndigheternas verksamhet regleras i flera andra sammanhang

Som framgått ovan bör en generell utgångspunkt för vårt arbete vara att myndigheternas behandling av personuppgifter inte längre kan betraktas som en separat del av respektive verksamhet, enbart av den anledningen att behandlingen är automatiserad. Enligt vår mening inne- bär det bl.a. att den nya dataskyddsregleringen bör utformas utifrån att det finns många andra regelverk än det dataskyddsrättsliga som styr myndigheternas verksamhet. För att åstadkomma en ändamåls- enlig kompletterande dataskyddsreglering behöver därför inte enbart vad som framgår av den allmänna dataskyddsregleringen tas i beak- tande.

Framför allt bör en utgångspunkt vara att dataskyddsförordningens krav på att den rättsliga grunden för behandling ska vara fastställd är uppfyllt genom den reglering av myndigheternas verksamheter som framgår av unionsrätten och nationell rätt. Av de bestämmelser som styr myndigheternas verksamheter framgår i regel vilka förhållanden som tillmäts betydelse vid tillämpningen eller som är avgörande för en prövning, se kapitel 4. Att tillämpningen eller prövningen i dag sker med stöd av digital teknik behöver därför inte innebära att det finns ett behov av att exempelvis författningsreglera vilka uppgifter som får behandlas i syfte att utföra verksamheten. En begränsning av vilka upp- gifter en myndighet får behandla automatiserat för att utföra sina upp- gifter innebär nämligen också en begränsning av den materiella verk- samhetsregleringen i sig, om verksamheten är helt digitaliserad.

Förvaltningslagens (2017:900) bestämmelser – med bl.a. krav på legalitet, objektivitet och proportionalitet – bör vidare beaktas, lik-

335

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

som det arkivrättsliga regelverket med bestämmelser om gallring och arkiv som framgår av arkivlagen (1990:782). Också myndighets- förordningen (2007:515) och andra regelverk som i olika hänseenden styr myndigheternas verksamhet bör beaktas. Även offentlighets- och sekretesslagens (2009:400) bestämmelser om sekretess i vissa fall, till skydd för enskildas personliga och ekonomiska förhållanden, måste tillmätas betydelse i frågan om det finns skäl att särskilt reglera viss behandling av personuppgifter.

I vilken mån kompletterande dataskyddsreglering behöver inne- hålla särskilda bestämmelser för att tillförsäkra enskilda ett adekvat integritetsskydd behöver övervägas mot bakgrund av sådana bestäm- melser om rättigheter för enskilda och skyldigheter för myndigheter som finns i det förvaltningsrättsliga regelverket i stort och i övrig reglering som styr myndigheternas verksamhet. Att behovet av kom- pletterande dataskyddsreglering övervägs i förhållande till hur myndig- heternas verksamhet är reglerad i övrigt bör vara i överensstämmelse med de grunder som dataskyddsförordningen bygger på och ger ut- tryck för.

Kompletterande dataskyddsreglering bör inte innehålla bestämmelser om annat än dataskydd

Mot bakgrund av det som anges ovan bör en utgångspunkt för vårt arbete vara att en ändamålsenlig kompletterande dataskyddslagstift- ning i så hög grad som möjligt enbart ska omfatta sådana bestämmel- ser av dataskyddsrättslig karaktär som av någon anledning är moti- verade i den aktuella verksamheten. I de befintliga författningarna finns i dag bestämmelser om uppgiftsskyldighet, bestämmelser om gallring och bevarande samt bestämmelser om myndigheternas rätt att ta ut avgifter i vissa fall. Regelverket har med tiden blivit svår- överskådligt och det finns utrymme för olika tolkningar av bestäm- melserna. Lagstiftningen har även uppfattats av myndigheterna som svårtillämpad, vilket till viss del borde vara relaterat till den stora varia- tionen i förekommande bestämmelsers karaktär och syfte. En bland- ning av bestämmelser med olika funktion och rättslig karaktär som ibland dessutom överlappar varandra riskerar alltså att skapa en omoti- verat komplex lagstiftning. Det nyss sagda gäller enligt vår mening särskilt bestämmelser som reglerar förhållanden som ligger nära de rena dataskyddsfrågorna, eftersom bestämmelsernas skiftande kar-

336

SOU 2023:100

Utgångspunkter för en modern och ändamålsenlig …

aktär och föremål kan medföra en osäkerhet kring deras innebörd. En reglering som innehåller bestämmelser av olika karaktär kan även skapa osäkerhet om dess innebörd i förhållande till andra rättsområ- den, exempelvis i frågor om uppgiftslämnande (jfr HFD 2021 ref. 10).

En utgångspunkt för arbetet med en ändamålsenlig reglering av Skatteverkets, Tullverkets och Kronofogdemyndighetens behand- ling av personuppgifter bör alltså vara att den inte ska syfta till att reglera respektive myndighets verksamhet utanför dataskyddsområ- det. Regleringen bör i stället utformas så att den enbart tar sikte på att reglera dataskyddsrättsliga frågor, dvs. i första hand frågor rör- ande det behov av skydd för enskildas personliga integritet som den automatiserade behandlingen av personuppgifter ger upphov till. Förändringar som sker beträffande myndigheternas tekniska, orga- nisatoriska eller rättsliga förutsättningar att behandla personuppgif- ter ska därmed inte ha betydelse på det sättet att innehållet i data- skyddsregleringen behöver ändras, om det inte finns sakliga skäl för det. Sådana sakliga skäl kan vara att en myndighet får ett helt nytt uppdrag, eller att en särskilt känslig form av behandling av exempel- vis biometriska uppgifter behöver begränsas, och det inte är möjligt eller lämpligt av normtekniska skäl att införa en sådan begränsning i den materiella verksamhetsregleringen.

5.2.7Enbart det som behöver regleras ska regleras

Vår bedömning: En utgångspunkt för vårt arbete bör vara att enbart det som behöver regleras för att åstadkomma ett adekvat integritetsskydd ska regleras i kompletterande dataskyddsregler- ing. Regleringen bör ha en enhetlig utformning.

Skälen för vår bedömning

Enbart det som behöver regleras ska regleras

Syftet med sektorspecifika dataskyddsförfattningar är i regel att balan- sera en myndighets behov av att behandla personuppgifter i sin verk- samhet mot ett adekvat skydd för den personliga integriteten. Så är

337

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

fallet även avseende de författningar som vår översyn omfattar.32 Som nämnts ovan ska dock EU:s dataskyddsförordning i dag tillämpas av myndigheterna som om den vore en svensk lag, vilket enligt vår bedömning innebär att behovet av sektorspecifik kompletterande reglering har minskat. Dataskyddsförordningen innehåller nämligen redan bestämmelser om bl.a. rättslig grund, uppgiftsminimering, lag- ringsminimering, ändamålsbegränsningar och olika säkerhetsåtgär- der som ska vidtas (se avsnitt 3.2.5). En utgångspunkt för vårt arbete bör därför vara att den kompletterande lagstiftningen endast ska om- fatta bestämmelser som av någon anledning framstår som motiverade eller nödvändiga, trots att dataskyddsförordningen ska tillämpas av myndigheterna som svensk lag.

I syfte att anpassa tillämpningen av bestämmelserna i dataskydds- förordningen är det tillåtet att i den nationella rätten bl.a. reglera de allmänna villkor som ska gälla för den personuppgiftsansvariges be- handling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling (artikel 6.3).

I vissa fall framstår det vidare som nödvändigt, och krävs dess- utom enligt dataskyddsförordningen, att särskilt reglera vissa förhål- landen med anknytning till dataskydd. Det gäller exempelvis de undantag från rätten att göra invändningar mot behandlingen enligt artikel 21.1 som är möjliga att göra enligt artikel 23, eller vid behand- ling av känsliga personuppgifter enligt artikel 9.2 g då den nationella rätten ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. En sektorsspecifik reglering kan också krävas om den rätts- liga grunden för behandling i enstaka fall inte är tillräcklig för att uppfylla dataskyddsförordningens krav på proportionalitet, eller tyd- lighet, precision och förutsebarhet (skäl 41 till dataskyddsförord- ningen).

Om en rättsregel hade gällt enligt överordnade normer, även utan motsvarande bestämmelse i kompletterande lagstiftning, anser vi dock att det bör finnas starka skäl för att införa motsvarande bestämmelse

32Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 229, Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts- verksamheten hos Skatteverket s. 34 och prop. 1997/98: 136, Statlig förvaltning i medborgarnas tjänst, s. 70–71.

338

SOU 2023:100

Utgångspunkter för en modern och ändamålsenlig …

också i den kompletterade dataskyddsregleringen. En dubbel- eller i vissa fall trippelreglering riskerar framför allt att skapa osäkerhet om vad som gäller i en viss fråga. Det gäller både vid myndigheternas tillämpning och för enskilda. Möjligheten för en enskild att kunna förstå vilka dataskyddsregler som styr behandlingen av uppgifter om honom eller henne hos respektive myndighet är enligt vår mening en faktor som bör tas i beaktande vid utformningen av kompletterande dataskyddsreglering. Överskådlighet och begriplighet är nämligen viktiga komponenter för enskilda registrerade som vill göra gällande sina rättigheter enligt det dataskyddsrättsliga regelverket. En sektors- specifik bestämmelse som motsvarar vad som annars hade gällt enligt dataskyddsförordningen riskerar att tolkas på ett annat sätt än mot- svarade bestämmelse i dataskyddsförordningen både av tillämpare och enskilda. En intern praxis kan vidare utvecklas på myndighetsnivå av- seende den kompletterande bestämmelsen eller så kan redan inför- andet av bestämmelsen ge upphov till en föreställning om att be- stämmelsen är avgörande för att en viss åtgärd ska vara laglig eller tillåten.

Skäl som talar för att i den kompletterande lagstiftningen införa bestämmelser som motsvarar vad som redan gäller enligt dataskydds- förordningen kan vara att det finns ett behov av tydlighet i frågor som är centrala i den allmänna dataskyddsregleringeringen. Sådana bestämmelser kan då ha en stor betydelse för enskildas möjlighet att sätta sig in i vad som gäller på olika områden, exempelvis i fråga om vem som är personuppgiftsansvarig för viss behandling, i vilka syften den personuppgiftsansvarige får behandla uppgifter, förutsättning- arna för vidarebehandling av redan insamlade uppgifter och den längsta tid personuppgifter får behandlas. Bestämmelser kan även motiveras av behovet att tydliggöra personuppgiftsansvariga myndigheters skyl- digheter enligt dataskyddsförordningen.

Sammanfattningsvis bör också en mer ändamålsenlig komplette- rande dataskyddsreglering än vad de befintliga registerförfattningarna utgör syfta till att balansera en myndighets behov av att behandla personuppgifter i sin verksamhet mot ett adekvat skydd för den per- sonliga integriteten. Mot bakgrund av att dataskyddsförordningen är den primära rättskällan avseende dataskyddsfrågor – som ska till- lämpas direkt av myndigheterna – bör dock enbart det som särskilt behöver regleras i det nyss nämnda syftet återfinnas i de komplet- terande dataskyddsförfattningarna.

339

Utgångspunkter för en modern och ändamålsenlig …

SOU 2023:100

En enhetlig utformning av den kompletterande regleringen

Den kompletterande regleringen bör enligt vår mening utformas på ett enhetligt sätt, även över myndighetsgränserna. Med detta avser

viatt bestämmelser som reglerar samma förhållande, exempelvis för vilka ändamål en myndighet får behandla personuppgifter, bör utfor- mas likartat så länge det inte finns sakliga skäl för att särreglera viss behandling. På så sätt kan både enskilda och tillämpare ges bättre möj- ligheter att överblicka och förstå det dataskyddsrättsliga regelverket. Vi bedömer även att en ökad enhetlighet i utformningen av den kom- pletterande dataskyddsregleringen kan minska riskerna för att sektors- specifika bestämmelser på myndighetsnivå tolkas på ett annat sätt än

iden allmänna dataskyddsregleringen. Genom en enhetlig utform- ning kan dessutom osäkerhet i fråga om en bestämmelses utformning medför att den har en annan innebörd än motsvarande bestämmelse

iett annat sammanhang undvikas. Det förefaller också troligt att praxisbildning i dataskyddsfrågor kan komma att underlättas av att bestämmelser i den kompletterande dataskyddsregleringen utformas likartat.

Sammanfattningsvis bör en utgångspunkt för vårt arbete vara att den kompletterande dataskyddsregleringen för Skatteverket, Tull- verket och Kronofogdemyndigheten ska utformas på ett enhetligt sätt. Målsättningen om enhetlighet bör dock bara genomföras i den utsträckning det är möjligt utifrån målsättningen om att regleringen ska utgöra ett adekvat skydd för den personliga integriteten.

340

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

SOU 2023:100

Skälen för vårt förslag

De befintliga lagarna ska upphävas

Vår översyn av befintlig lagstiftning innebär att ett stort antal kapitel och paragrafer behöver ändras eller upphävas, eftersom vi föreslår att myndigheternas lagar om dataskydd ska ha en helt ny systematik. Detta kan resultera i en mycket svåröverskådlig lagstiftning. Det är vid sådana förhållanden fördelaktigt att upphäva den tidigare lagstift- ningen och ersätta den med en ny. Det skulle även göra regleringen mer pedagogisk och överblickbar.

Mot denna bakgrund anser vi att följande lagar bör upphävas och ersättas med nya lagar (jfr 8 kap. 18 § regeringsformen, RF):

•lagen (1998:527) om det statliga personadressregistret

•lagen (2001:181) om behandling av uppgifter i Skatteverkets be- skattningsverksamhet

•lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet

•lagen (2001:184) om behandling av uppgifter i Kronofogdemyndig- hetens verksamhet

•lagen (2001:185) om behandling av uppgifter i Tullverkets verk- samhet

•lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.

Särskilda motiveringar i fråga om varför vi föreslår att lagen om det statliga personadressregistret och lagen om behandling av person- uppgifter i Skatteverkets äktenskapsregister- och boupptecknings- verksamheter ska upphävas och ersättas av nya lagar finns i avsnitten 16.4.2 och 17.4.2.

Närmare motivering avseende behovet av att den nya regleringen ges i lagform finns nedan.

342

SOU 2023:100 Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

Regeringsformens bestämmelser om normgivning

I 1 kap. 2 § första stycket RF anges att den offentliga makten ska ut- övas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet. I bestämmelsens fjärde stycke anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Bestämmelsen är en målsättningsparagraf för det allmännas verksam- het.1

I 8 kap. RF finns regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter kan också, efter bemyndigande av riksdagen eller regeringen, meddelas av andra myndigheter än regeringen och av kommuner. Ett bemyndigande att meddela föreskrifter ska alltid ges i lag eller förordning (8 kap. 1 § RF).

Föreskrifter ska bl.a. meddelas genom lag om de avser förhållan- det mellan enskilda och det allmänna under förutsättning att före- skrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2 RF). Riksdagen kan dock bemyndiga regeringen att, med vissa undantag som inte är aktuella här, meddela sådana föreskrifter (8 kap. 3 § RF). Regeringen får i övrigt utan bemyndigande bl.a. med- dela föreskrifter som inte enligt grundlag ska meddelas av riksdagen (8 kap. 7 § första stycket 2 RF). I denna paragraf regleras regeringens primärområde för normgivning, vilket brukar kallas regeringens rest- kompetens.2 Att regeringen meddelar föreskrifter i ett visst ämne hind- rar inte att riksdagen meddelar föreskrifter i samma ämne (8 kap. 8 § RF).

Av 8 kap. 18 § första stycket RF framgår att en lag inte får ändras eller upphävas på annat sätt än genom lag. Det innebär att om riks- dagen har stiftat en lag som reglerar en myndighets verksamhet inom ett visst område, kan lagen inte ändras eller upphävas på annat sätt än genom en ny lag. Detta oavsett om riksdagen har stiftat lagen inom ett område som annars enligt grundlag primärt faller inom regeringens kompetensområde.

Att det allmänna behandlar personuppgifter om enskilda har i andra lagstiftningsärenden inte ansetts innebära någon skyldighet för den

1Prop. 1975/76:209, om ändring i regeringsformen, s. 136–138.

2Prop. 2009/10:80, En reformerad grundlag, s. 216 och 272.

343

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

SOU 2023:100

enskilde eller något ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Generellt gäller att bestämmelser om behandling av personuppgifter i princip är att anse som bestämmelser som införs för att skydda den enskilde. Bestäm- melser om behandling av personuppgifter som statliga myndigheter under regeringen utför har därmed i princip ansetts kunna beslutas av regeringen i förordningsform med stöd av restkompetensen.3 Ut- gångspunkten kan alltså sägas vara att bestämmelser om Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling inte behöver regleras i lag till följd av bestämmelserna om norm- givning i 8 kap. RF.

Konstitutionsutskottet har dock uttryckt att det bör vara en mål- sättning att föreskrifter om myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll ska regleras genom lag. Regeringen har instämt i detta.4 Det kan ifrågasättas i vilken mån dessa uttalanden kan appliceras på myndigheters personuppgifts- behandling som sådan, eller om uttalandena framför allt är hänför- liga till förandet av regelrätta register, såsom t.ex. fastighetsregistret eller belastningsregistret.5

Skatteverket, Tullverket och Kronofogdemyndigheten behandlar visserligen uppgifter i olika uppgiftssamlingar och i förekommande fall register för att kunna fullgöra sina uppdrag. Det görs bl.a. i en- lighet med den databasreglering som gäller i dag, vilken vi föreslår inte längre ska finnas kvar (se avsnitt 9.4.2). De uppgifter som behandlas enligt den gällande databasregleringen behöver dock inte vara på ett visst sätt organiserade eller systematiserade samlingar utan kan in- föras helt ostrukturerat och oorganiserat i en dator. Bland annat mot denna bakgrund infördes begreppet databas i stället för register i de nuvarande registerförfattningarna.6 Den behandling av personuppgif- ter som utförs vid berörda myndigheter avser med andra ord i huvud- sak inte regelrätta register av den typ som nämns ovan eller register i en mer strikt betydelse, dvs. när uppgifterna är organiserade på ett systematiserat sätt enligt fastställda register7, se dock nedan avseende det statliga personadressregistret (SPAR). Regleringen avser i stället

3Se bl.a. SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 202, prop. 2017/18:105, Ny dataskyddslag, s. 26 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 116.

4Bet. 1990/91:KU11, s. 11, bet. 1997/98:KU18, s. 48 samt prop. 1990/91:60, om offentlighet, integritet och ADB, s. 58 och prop. 1997/98:44, Personuppgiftslag, s. 41.

5Jfr SOU 2015:39, Myndighetsdatalag, s. 202.

6Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 89–91.

7Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 90.

344

SOU 2023:100 Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

att myndigheterna under vissa förutsättningar tillåts att behandla personuppgifter automatiserat, t.ex. avseende känsliga personuppgif- ter eller möjligheten att göra vissa sammanställningar. De uppgifter som tillåts behandlas (automatiserat) genom regleringen är enligt vår bedömning en nödvändig följd av den verksamhet som myndighet- erna enligt andra regelverk är skyldiga att utföra. Regleringarna tillåter med andra ord inte behandling i större mån än vad som annars hade varit möjligt redan som en följd av EU:s dataskyddsförordning.8 Det är därför svårt att anse att sådana bestämmelser utgör ett ingrepp i enskilds personliga förhållanden på det sätt som avses i 8 kap. 2 § första stycket 2 RF. Detsamma gäller bestämmelser om t.ex. tillgång till personuppgifter och sökbegränsningar, vilka avser att skydda den registrerades personliga integritet. Inte heller bör ”neutrala” regler, som bl.a. reglerar tillämpningsområde och förhållandet till annan regler- ing, kunna anses vara sådana bestämmelser som träffas av nämnda bestämmelse i regeringsformen.

Detta innebär enligt vår mening att de föreslagna dataskyddsregler- ingarna inte i sig kan anses innebära några skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga förhållanden. Där- med bedömer vi att 8 kap. 2 § första stycket 2 RF inte kräver att de nya dataskyddsregleringarna ges form av lag. Som framgår ovan har det även i tidigare förarbeten ansetts att bestämmelser om behandling av personuppgifter som statliga myndigheter under regeringen utför i princip kan beslutas av regeringen i förordningsform. Det förhållan- det att konstitutionsutskottet och regeringen i tidigare förarbeten ansett att föreskrifter om myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll som målsätt- ning bör regleras genom lag påverkar enligt vår mening inte bedöm- ningen av vad som i detta fall krävs enligt 8 kap. 2 § RF.

Detta resonemang gäller dock inte fullt ut avseende den föreslagna lagen om SPAR. I den lagen kommer nämligen fortsättningsvis de rättsregler som ger stöd för förandet av själva registret att finnas. Om registret innehåller känsliga personuppgifter skulle sådana regler av mer materiell karaktär, till skillnad från regler som avser att skydda enskildas integritet, i sig kunna utgöra ett ingrepp i enskildas person-

8Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Jfr SOU 2015:39, Myndighetsdatalag, s. 207.

345

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

SOU 2023:100

liga förhållanden i enlighet med 8 kap. 2 § första stycket 2 RF.9 Så är dock inte fallet avseende SPAR. Eftersom det rör ett register som innefattar stora mängder uppgifter om enskilda registrerades person- liga förhållanden kan det av detta skäl ändå, i linje med det ovan nämnda uttalandet från konstitutionsutskottet, vara det mest lämp- liga att regleringen av registret ges lagform.

Regeringsformens skydd för den personliga integriteten

Utgångspunkten när det gäller frågan om myndigheters behandling av personuppgifter måste regleras genom lag blev till viss del en annan när ändringarna av regeringsformen trädde i kraft 2011. Genom ikraft- trädandet av den nu gällande bestämmelsen i 2 kap. 6 § andra stycket RF utökades grundlagsskyddet för den personliga integriteten. Enligt bestämmelsen är var och en gentemot det allmänna skyddad mot be- tydande intrång i den personliga integriteten, om det sker utan sam- tycke och innebär övervakning eller kartläggning av den enskildes per- sonliga förhållanden. Begreppet enskilds personliga förhållanden har enligt förarbetena till bestämmelsen samma innebörd som i tryckfri- hetsförordningen och offentlighets- och sekretesslagen (2009:400).10

Enligt 2 kap. 20 § RF får skyddet endast begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § RF. Enligt denna be- stämmelse får begränsningar enligt 20 § endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ända- mål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Bestämmelserna inne- bär att lagstiftaren noga ska redovisa sina syften när en fri- och rättig- hetsinskränkande lag beslutas.11

Även utanför området för det grundlagsreglerade integritetsskyd- det kan det ställas krav på att ett intrång måste ha stöd i lag till följd av reglerna i bl.a. 8 kap. RF eller artikel 8 i Europakonventionen.12

9Jfr SOU 2015:39, Myndighetsdatalag, s. 208 samt det ovan nämnda uttalandet från konstitu- tionsutskottet.

10Se prop. 2009/10:80, En reformerad grundlag, s. 250.

11Prop. 1975/76:209, om ändring i regeringsformen, s. 153.

12Prop. 2009/10 :80, En reformerad grundlag, s. 177.

346

SOU 2023:100 Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

Myndigheternas personuppgiftsbehandling omfattas av regeringsformens skydd mot betydande intrång i den personliga integriteten

Vid det ursprungliga ikraftträdandet av aktuella myndigheters nuvar- ande registerförfattningar hade ovan angivna bestämmelse i 2 kap. 6 § andra stycket RF ännu inte trätt i kraft. Frågorna berördes inte heller särskilt i samband den översyn av lagstiftningen som gjordes i samband med att EU:s dataskyddsförordning skulle börja tillämpas.13

Det kan konstateras att de personuppgifter som redan nu behand- las, och även fortsättningsvis kommer att få behandlas, rör enskildas personliga förhållanden enligt 2 kap. 6 § andra stycket RF. Begrep- pet personliga förhållanden har, som framgår ovan, samma innebörd som i sekretesslagstiftningen. Därmed omfattas bl.a. namn och andra identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning, omfattas av begreppet.14 Också upp- gift om en persons ekonomi kan sägas falla under begreppet person- liga förhållanden.15

Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är enligt motiven till bestämmelsen inte dess huvudsak- liga syfte utan vilken effekt åtgärden har. Vad som avses med över- vakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp.16 Vad gäller begreppet kartläggning av den enskildes personliga förhållanden an- ges bl.a. följande i förarbetena.17

En åtgärd från det allmännas sida som vidtas primärt i syfte att ge myn- digheterna underlag för beslutsfattande i enskilda fall, exempelvis insam- ling av uppgifter av visst slag för beslut om t.ex. beskattning eller lik- nande, kan – även om avsikten inte är att kartlägga enskilda – i många fall anses innebära kartläggning av enskildas förhållanden. Så torde fallet vara i fråga om ett stort antal uppgiftssamlingar som det allmänna för- fogar över. En mycket stor mängd information som rör enskildas per- sonliga förhållanden finns t.ex. lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser.

[…]

13Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.

14Prop. 2009/10:80, En reformerad grundlag, s. 177.

15Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84.

16Prop. 2009/10:80, En reformerad grundlag, s. 250.

17Prop. 2009/10:80, En reformerad grundlag, s. 180.

347

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

SOU 2023:100

Flera av dessa uppgiftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integ- ritetskänsliga uppgifter. Myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärende- hantering förekommer inom i stort sett all statlig och kommunal för- valtning. Särskilda föreskrifter som anger de närmare förutsättningarna för informationshanteringen finns för t.ex. socialtjänsten, studiestöds- verksamheten, Kriminalvården och den brottsbekämpande verksamheten hos såväl polismyndigheterna, Tullverket och åklagarmyndigheterna som Skatteverket och Kustbevakningen samt hos domstolarna. I flertalet fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kart- läggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.

Vid aktuella myndigheter behandlas olika slags personuppgifter och behandlingen förutsätter insamling av personuppgifter som rör en- skildas personliga förhållanden avseende stora delar av befolkningen. Som framgår ovan nämns i förarbetena bl.a. Skatteverkets, Tullverkets och Kronofogdemyndighetens uppgiftssamlingar som exempel på lag- ring och behandling av uppgifter som kan innebära kartläggning av enskildas förhållanden i regeringsformens mening.18 Genom våra för- slag kommer det fortsatt finnas särskild reglering som närmare anger förutsättningarna för berörda myndigheters personuppgiftsbehandling.

För Skatteverkets del är det i vissa avseenden fråga om att be- handla uppgifter om i princip samtliga personer som är bosatta i Sverige och därutöver ett stort antal svenska medborgare bosatta utomlands. Uppgifterna som behandlas är av varierande art, men rör till stor del enskildas personliga förhållanden. Det handlar både om uppgifter som i sig inte är särskilt känsliga, t.ex. uppgifter om adress eller arbetsgivare, men det kan också förekomma känsliga person- uppgifter om bl.a. hälsa eller religiös övertygelse. Uppgifterna inom beskattningsverksamheten ger även en tydlig bild av den enskildes ekonomiska förhållanden, vilket typiskt sett gör dem integritetskäns- liga. Det handlar bl.a. om kontrolluppgifter och uppgifter som lämnas av den enskilde på grund av den lagstadgade skyldigheten att lämna självdeklaration och även på grund av skyldigheten att medverka under en efterföljande skatteutredning.19 Vidare kan uppgifter som sedda för sig inte framstår som ett intrång uppfattas som detta när de samlas tillsammans med andra sådana uppgifter. Detta får anses

18Prop. 2009/10:80, En reformerad grundlag, s. 180.

19Jfr prop. 2005/06:169, Effektivare skattekontroll m.m., s. 82.

348

SOU 2023:100 Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

innebära ett större integritetsintrång som från integritetssynpunkt kan medföra särskilda risker. Med hänsyn till omfattningen och arten av Skatteverkets verksamhet bedömer vi att stora delar av Skatte- verkets personuppgiftsbehandling får den effekten att det kan anses utgöra kartläggning av enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket RF.

I jämförelse med Skatteverket behandlar Tullverket färre uppgifter om enskildas personliga förhållanden, eftersom en stor del av behand- lingen avser uppgifter om juridiska personer vilka förekommer i t.ex. import- och exportdeklarationer. Enskilda kommer inte heller i kon- takt med Tullverket i motsvarande utsträckning, vilket får till följd att myndigheten inte behandlar uppgifter om en lika stor del av befolk- ningen som Skatteverket. Även fysiska personer behöver dock i vissa fall exempelvis betala tull, moms eller andra skatter och avgifter vid import eller införsel av varor. Andelen fysiska personer som köper varor från tredjeland har även ökat den senaste tiden. Denna verksam- het föranleder behandling av uppgifter om enskilda fysiska personers personliga förhållanden, såsom namn, adress, personnummer och upp- gifter som ingår i underlag för tull, annan skatt och avgifter. Det finns även inom Tullverket en relativt stor del uppgifter som ger en bild av enskildas ekonomiska förhållanden och som därmed i vissa fall typ- iskt sett bör anses vara känsliga från integritetssynpunkt, även om det inte är lika omfattande som inom Skatteverkets beskattningsverksam- het. I Tullverkets verksamhet kan det vidare förekomma behandling av känsliga personuppgifter om bl.a. etnicitet, religiös övertygelse eller hälsa. Uppgifterna kan tillsammans innebära att behandlingen även inom Tullverkets verksamhet kan medföra integritetsrisker. Vidare kan även uppgifter om juridiska personer innehålla personuppgifter i form av t.ex. uppgifter om ett företags företrädare. Trots den mindre omfattningen av behandlingen av uppgifter om enskilda fysiska per- soners personliga förhållanden, bedömer vi att Tullverkets verksam- het är sådan att den personuppgiftsbehandling som utförs i vissa fall kan få den effekten att enskildas personliga förhållanden kartläggs.

Även Kronofogdemyndigheten behandlar stora mängder person- uppgifter i sin verksamhet. Kronofogdemyndighetens verksamhet är dock mer begränsad än den som Skatteverket och Tullverket ansvarar för. De personuppgifter som aktualiseras avser främst de personer som har eller har haft betalningssvårigheter, eller som av annan an-

349

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

SOU 2023:100

ledning kommit i kontakt med myndigheten.20 Även uppgifter om bl.a. konkursförvaltare och parter i mål om betalningsföreläggande be- handlas inom myndighetens verksamhet. De uppgifter som behand- las om fysiska personer avser bl.a. uppgifter om enskildas identitet och adressuppgifter, men även uppgifter om hälsa som förekommer i t.ex. läkarintyg eller skrivelser från enskilda. Kronofogdemyndig- heten har även inom ramen för sin verksamhet möjlighet att kartlägga en gäldenärs ekonomiska förhållanden på ett sätt som ger en helhets- bild som kan upplevas integritetskänslig.21 Inom t.ex. verksamheten med att verkställa betalningsförpliktelser görs i vissa fall utredningar för att klarlägga gäldenärens inkomst- och anställningsförhållanden, familjeförhållanden och försörjningsbörda samt ta reda på om gälde- nären har några utmätningsbara tillgångar. Omfattningen av under- sökningen är beroende av ansökans innehåll, gäldenärens förhållanden och övriga omständigheter. Undersökningen görs i stor utsträckning genom efterforskning i olika databaser och andra register samt kon- takt med gäldenären. Kronofogdemyndigheten kan även genomföra förrättning i gäldenärens bostad och eventuell verksamhetslokal.22

I en gäldenärsutredning kan ingå uppgifter från deklarationshand- lingar och mer ömtåliga uppgifter om exempelvis anstaltsvistelser, arbetslöshet och sjukdomar.23 I samband med att lagen om behand- ling av uppgifter i Kronofogdemyndighetens verksamhet infördes, stärktes även sekretessen i mål eller ärende angående utsökning och indrivning samt i verksamhet enligt den dåvarande lagen (1986:436) om näringsförbud24 från ett rakt skaderekvisit, dvs. presumtion för offentlighet, till ett omvänt skaderekvisit vilket innebär presumtion för sekretess. Skälen till detta var den ökade insamlingen av uppgifter om gäldenärers tillgångar och skulder som hade inneburit att mäng- der av integritetskänslig information samlats hos myndigheten samt myndighetens ökade möjligheter att kartlägga gäldenärers ekono- miska förhållanden med betydligt större precision än tidigare.25

Vi anser att det är tydligt att det även inom Kronofogdemyndig- hetens verksamhet förekommer uppgifter om enskildas ekonomiska

20Exempelvis var vid utgången av 2022 antalet skuldsatta, både fysiska och juridiska personer,

461000 varav 85 procent var privatpersoner, se Kronofogdemyndighetens årsredovisning 2022, s. 8 och 25.

21Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 186–187.

22Prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 121.

23SOU 2007:22, Skyddet för den personliga integriteten – kartläggning och analys, s. 132–133.

24Lagen har upphävts och ersatts av lagen (2014:836) om näringsförbud.

25Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 185–188.

350

SOU 2023:100 Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

förhållanden som måste anses vara integritetskänsliga, även om inte vissa enskilda uppgifter var för sig är det. Sammantaget innefattar allt- så även Kronofogdemyndighetens uppgiftssamling en stor mängd upp- gifter om enskildas personliga förhållanden. Omfattningen och arten av verksamheten är enligt vår mening också vid Kronofogdemyndig- heten sådan att enskilda i vissa fall kartläggs på det sätt som avses i 2 kap. 6 § andra stycket RF.

Skatteverket, Tullverket och Kronofogdemyndigheten kommer genom våra förslag även att ges utökade möjligheter att behandla per- sonuppgifter för att göra dataanalyser och urval för kontrolländamål, och för Kronofogdemyndighetens del även för att motverka över- skuldsättning. Användningen av dessa verktyg förutsätter att stora mängder uppgifter som myndigheterna förfogar över och kan samla in om enskilda behandlas för att ta fram urvalsträffar. Uppgifternas karaktär varierar mellan de olika myndigheterna till följd av de olika uppdragen, vilket beskrivits ovan. Förfarandet vid dataanalyser och ur- val är dock sådant att uppgifterna genom sambearbetning kan kom- ma att skapa en bild av en enskilds personliga förhållanden som är mer heltäckande än vid t.ex. handläggning av ett enskilt ärende. Det kan i sin tur enligt vår bedömning innebära att enskilda kartläggs.

Även om syftet med Skatteverkets, Tullverkets och Kronofogde- myndighetens behandling är ett annat, får den personuppgiftsbehand- ling som sker inom ramen för myndigheternas verksamheter enligt vår bedömning anses vara en sådan kartläggning av enskildas person- liga förhållanden som avses i 2 kap. 6 § andra stycket RF. Frågan blir då om intrånget är att bedöma som så betydande att det omfattas av grundlagsskyddet. Det är endast vissa kvalificerade intrång som aktu- aliserar en tillämpning av grundlagsskyddet.

Vid bedömningen av vad som kan anses utgöra ett betydande in- trång anges i förarbetena att flera omständigheter bör vägas in. Stor vikt ska läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av in- trångets karaktär är det också naturligt att stor vikt läggs vid ända- målet med behandlingen. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex. en hantering som ute- slutande sker för att ge en myndighet underlag för förbättringar av

351

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

SOU 2023:100

kvaliteten i handläggningen. Därutöver kan mängden uppgifter vara en betydelsefull faktor i sammanhanget, liksom omfattningen av ut- lämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen. I förarbetena framgår även att sekretess- lagstiftningens styrka avseende uppgifter i en viss myndighets verk- samhet inte i sig bör utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller inom eller utanför det utvidgade grundlagsskyddet. Det förhållandet att de uppgifter som behandlas omfattas av stark sekretess utgör alltså inte en omständighet som med automatik innebär att en bestämmelse om uppgiftsskyldighet måste anses omfattas av grundlagsbestämmelsens tillämpningsområde. Även andra omständigheter måste beaktas, t.ex. på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnade uppgifter.26

Vidare anges i förarbetena att vad som utgör ett betydande integ- ritetsintrång måste bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Dessa kan påverkas av en rad omständigheter, inte minst av den fortsatta tekniska utvecklingen men även av andra förhållanden i vår omvärld. I sista hand är det riksdagen som får av- göra vilka företeelser som är av så ingripande karaktär att de inte bör kunna begränsas på annat sätt än genom lag och med tillämpning av det kvalificerade förfarandet vid inskränkningar av de grundläggande fri- och rättigheterna i 2 kap. 22 § RF.27 I 2 kap. 22 § första stycket RF anges att ett förslag till lag enligt 20 § ska, om det inte avslås av riksdagen, på yrkande av lägst tio av dess ledamöter vila i minst tolv månader från det att det första utskottsyttrandet över förslaget an- mäldes i riksdagens kammare. Riksdagen får dock anta förslaget direkt, om minst fem sjättedelar av de röstande enas om beslutet.

Myndigheterna har inom ramen för sina uppdrag uppgiftssamlingar som innefattar uppgifter om stora mängder fysiska personer, även om omfattningen till viss del varierar. Myndigheternas verksamheter be- står till stora delar av vad som får sägas vara ingripande myndighets- utövning mot enskilda, såsom beskattning, registrering av enskildas personliga förhållanden i folkbokföringen och indrivning av skulder. Uppdragen medför även viss behandling av känsliga personuppgifter. Den tekniska utvecklingen har under senare år varit sådan att det i dag bl.a. är möjligt att på ett relativt enkelt sätt åstadkomma precisa sam- manställningar av stora mängder personuppgifter.

26Prop. 2009/10:80, En reformerad grundlag, s. 183–184.

27Prop. 2009/10:80, En reformerad grundlag, s. 185.

352

SOU 2023:100 Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

Med beaktande av framför allt uppgifternas karaktär, samt ända- målen med och omfattningen av behandlingen, är det vår bedömning att i vart fall delar av myndigheternas personuppgiftsbehandling innebär ett sådant betydande intrång som avses i 2 kap. 6 § andra stycket RF.

Regeringsformens skydd mot betydande intrång i den personliga integriteten får begränsas

Som framgår ovan följer av 2 kap. 20 och 21 §§ RF att enskildas skydd mot intrång som innebär övervakning och kartläggning av den enskil- des personliga förhållanden får begränsas genom lag. Begränsningar får dock endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsikts- bildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

För att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina respektive verksamheter är det av vikt att myndig- heterna även framöver kan behandla personuppgifter automatiserat. Myndigheterna utför viktiga samhällsuppgifter. Skatteverkets upp- gifter är bl.a. att fastställa och ta ut skatter och avgifter så att en riktig uppbörd kan säkerställas. Skatteverket ansvarar vidare för bl.a. frågor om folkbokföring, äktenskapsregistret och fastighetstaxering, samt att registrera bouppteckningar och vara borgenär åt staten. Tullverkets uppgifter är bl.a. att fastställa och ta ut tullavgifter, punktskatter och kontrollavgifter, samt att övervaka och kontrollera trafiken till och från Sverige, t.ex. för att se till att inga varor som kan utgöra fara för liv eller hälsa förs in i landet. Kronofogdemyndighetens huvudsak- liga uppgifter är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Det rör alltså uppgifter som är viktiga med hänsyn till landets ekonomiska välstånd, men även till viss del med hänsyn till förebyggande av oordning eller brott och den nationella säker- heten.28 En begränsning av skyddet i 2 kap. 6 § andra stycket RF för ändamålen att myndigheterna även fortsättningsvis kan fullgöra sina

28Jfr artikel 8.2 i Europakonventionen.

353

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

SOU 2023:100

åligganden är enligt vår uppfattning godtagbart i ett demokratiskt sam- hälle.

Vid en proportionalitetsbedömning ska den enskildes rätt till per- sonlig integritet vägas mot det allmännas intresse av att genomföra en viss åtgärd. Proportionalitetsbedömningen gör sig gällande vid all personuppgiftsbehandling hos myndigheterna.

De begränsningar i skyddet för enskildas personliga integritet i

2kap. 6 § andra stycket RF som Skatteverkets, Tullverkets och Krono- fogdemyndighetens personuppgiftsbehandling kan medföra i vissa fall, är till stor del en följd av den behandling som krävs enligt materiell verksamhetsreglering i t.ex. skatteförfarandelagen (2011:1244), folk- bokföringslagen (1991:481), tullagen (2016:253) eller lagen (1990:746) om betalningsföreläggande och handräckning. Den behandling av per- sonuppgifter vid myndigheterna som utgör ett intrång i det grund- lagsreglerade skyddet för den personliga integriteten bedöms vara nödvändig för att Skatteverket, Tullverket och Kronofogdemyndig- heten ska kunna utföra sina samhällsviktiga uppgifter. Den föreslagna dataskyddsregleringen tillåter inte myndigheterna att samla in eller på annat sätt behandla personuppgifter i större omfattning än vad som följer av EU:s dataskyddsförordning, vilken gäller som lag i Sverige. Vissa bestämmelser kommer snarare att inskränka möjligheterna till viss behandling, såsom sökbegränsningar. Flertalet andra föreslagna bestämmelser införs för att skydda enskildas personliga integritet. Den utökade möjligheten att behandla uppgifter för dataanalyser och urval är noggrant avvägd utifrån myndigheternas behov och bedöms vara nödvändig i myndigheternas kontrollverksamhet. I denna verksam- het föreslås också särskilda skydds- och säkerhetsåtgärder.29 Vidare har integritetsintresset haft betydelse vid utformningen av de sekre- tessregler som föreslås, vilket bl.a. innefattar absolut sekretess för upp- gifter om enskildas personliga eller ekonomiska förhållanden i verk- samhet med dataanalyser och urval.30

I avsnitt 19.3 finns en samlad integritets- och proportionalitets- bedömning av våra förslag. Utöver detta finns löpande redogörelser för integritetsaspekterna och proportionalitetsbedömningar avseende de olika sakfrågorna.

29Se avsnitt 14.11.

30Se avsnitt 15.3.

354

SOU 2023:100 Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

Den föreslagna regleringen bedöms sammantaget vara väl avvägd och ytterligare begränsningar behövs därmed inte för att tillgodose proportionalitetskravet.

Myndigheternas behandling av personuppgifter ska regleras i nya författningar som ges lagform

Den automatiserade personuppgiftsbehandlingen vid Skatteverket, Tullverket och Kronofogdemyndigheten som omfattas av vårt upp- drag regleras för närvarande i lagar, med tillhörande förordningar. Det är viktigt att den personuppgiftsbehandling som sker i myndigheter- nas verksamheter utförs på ett sätt som säkerställer ett tillräckligt skydd för den personliga integriteten för de enskilda som berörs av behand- ling. Av nämnda skäl är det av stor vikt att det även framöver tydligt framgår hur myndigheterna får behandla personuppgifter och detta bör därför vara utgångspunkten vid utformningen av den uppdaterade regleringen för respektive myndighet.

En lagreglering kan bidra till stabilitet och långsiktig förutsebar- het i fråga om myndigheternas personuppgiftsbehandling. Även om 8 kap. RF inte kräver att myndigheternas personuppgiftsbehandling regleras i lag kan det därmed finnas flera fördelar med att så görs. Vidare har vi ovan konstaterat att i vart fall delar av Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling omfattas av det grundlagsreglerade skyddet för den personliga integ- riteten i 2 kap. 6 § andra stycket RF. Utgångspunkten är därför att den föreslagna dataskyddsregleringen måste ges i lagform.

Lagarna bör syfta till att åstadkomma en jämvikt mellan myndig- hetens behov av effektiva arbetsformer och ett omfattande skydd för enskildas personliga integritet. Enligt vår uppfattning är det ramarna för personuppgiftsbehandlingen som ska slås fast i lag. Även de be- stämmelser som är av central betydelse för integritetsskyddet bör vara reglerade i lag.31

Vi anser att det bör finnas samma antal lagar för de verksamheter vid Skatteverket, Tullverket och Kronofogdemyndigheten som i dag omfattas av särskilda lagar avseende behandling av personuppgifter.

31Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 118–119.

355

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

SOU 2023:100

Övergripande om innehållet i lagarna och dess systematik

Vi har i avsnitt 5.2 redogjort för ett antal allmänna utgångspunkter för vad vi anser är en ändamålsenlig och modern kompletterande data- skyddsreglering. Regleringen ska enligt vår mening vara teknikneutral och innehålla en minskad detaljreglering i förhållande till de nuvaran- de registerlagarna. Vidare är vår utgångspunkt att lagarna inte ska inne- hålla bestämmelser som inte utgör regler om dataskydd. Lagarna ska alltså enbart innehålla dataskyddsregler. Detta innebär att lagarna, med undantag för den lag som reglerar SPAR, därmed inte längre kom- mer att utgöra en sådan typ av fullständig registerförfattning som i dag gäller för bl.a. Skatteverket, Tullverket och Kronofogdemyndigheten.

Bestämmelserna i lagarna ska komplettera EU:s dataskyddsförord- ning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen. De kommer alltså inte att vara tillämpliga i Skatteverkets och Tullverkets brottsbekämpande verk- samheter. Vissa av de föreslagna bestämmelserna är sådana som enligt dataskyddsförordningen är en förutsättning för behandling, medan andra är regler som inte har någon motsvarighet i dataskyddsförord- ningen, t.ex. bestämmelser om utlämnande av personuppgifter i elek- tronisk form eller sökbegränsningar. Ytterligare andra bestämmelser utgör snarare tydliggörande av vad som gäller för myndigheternas be- handling av personuppgifter i den mån vi bedömer att det är tillåtet enligt dataskyddsförordningen.

Vidare behöver det också i vissa fall finnas sektorspecifika bestäm- melser som enbart gäller för en av de berörda myndigheterna till följd av de olika verksamheternas karaktär, t.ex. särskilda bestämmelser om rättelse i Kronofogdemyndighetens verksamhet.

Lagarna ska ta hänsyn till de övergripande syften som slås fast i EU:s dataskyddsförordning, dvs. skyddet för fysiska personer med avseende på behandlingen av personuppgifter och det fria flödet av personuppgifter.

I likhet med vad som gäller enligt dagens lagstiftning bör de olika lagarna enligt vår mening följa i huvudsak samma systematik, med undantag för lagen om det statliga personadressregistret eftersom den till skillnad från övriga föreslagna lagar har viss karaktär av materiell verksamhetslagstiftning. Lagarnas systematik bör även så långt som möjligt följa den som finns i nyare dataskyddsregleringar avseende andra myndigheter, i syfte att öka enhetligheten och underlätta tillämp- ningen av lagarna.

356

SOU 2023:100 Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

6.3Lagarnas namn

Vårt förslag: De nya lagarna ska benämnas beskattningsdatalag, folkbokföringsdatalag, lag om det statliga personadressregistret, lag om dataskydd i Skatteverkets äktenskapsregister- och boupp- teckningsverksamheter, tulldatalag respektive kronofogdedatalag.

Hänvisningar till motsvarande nu gällande lagar i andra för- fattningar ska ändras till de nya lagarnas namn. Hänvisningar i andra författningar till de nuvarande särskilda databaserna ska också ändras.

Skälen för vårt förslag

Våra allmänna utgångspunkter är att lagarna ska komplettera data- skyddsförordningen och enbart innehålla bestämmelser om dataskydd. Vidare sker myndigheternas behandling av personuppgifter i dag i prin- cip uteslutande på automatiserad väg. Detta bör avspeglas i de nya lagarnas namn.

Vi anser därför att de lagar som ska vara tillämpliga i Skatteverkets beskattningsverksamhet, Skatteverkets folkbokföringsverksamhet, Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, vid förandet av det statliga personadressregistret respektive i Tull- verkets verksamhet och Kronofogdemyndighetens verksamhet ska benämnas på följande sätt:

•beskattningsdatalag

•folkbokföringsdatalag

•lag om det statliga personadressregistret

•lag om dataskydd i Skatteverkets äktenskapsregister- och boupp- teckningsverksamheter

•tulldatalag

•kronofogdedatalag.

Med undantag från lagen om dataskydd i Skatteverkets äktenskaps- register- och bouppteckningsverksamheter samt lagen om det stat- liga personadressregistret är namnen kortare än de nuvarande register-

357

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

SOU 2023:100

lagarnas namn, vilket är en fördel. Namnen passar enligt vår mening väl även ihop med den förkortning som lagen med kompletterande bestämmelser till EU:s dataskyddsförordning brukar ges, dvs. data- skyddslagen.

När det gäller lagen som ska tillämpas vid behandling av person- uppgifter i SPAR kommer den genom våra förslag fortsatt att inne- hålla vissa regler som utgör materiell verksamhetsreglering vid sidan av rena dataskyddsregler (se avsnitt 16.4.2). Vi anser därför att den lag som reglerar SPAR fortsatt bör benämnas lagen om det statliga per- sonadressregistret.

Alla hänvisningar till motsvarande lagar som gäller i dag som finns i andra författningar ska ändras till de nya lagarnas namn. I avsnitt 9.4.2 föreslår vi att den nuvarande databasregleringen ska upphävas och inte ersättas av bestämmelser av motsvarande innebörd i de nya lagarna. Det innebär att även hänvisningar i andra författningar till de sär- skilda databaserna ska ändras.

6.4Gällande förordningar ska upphävas och ersättas av nya

Vårt förslag: De nuvarande förordningarna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av person- uppgifter ska upphävas och ersättas av nya förordningar som kom- pletterar de föreslagna lagarna.

Det finns i vissa fall behov av bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som kompletterar bestämmelser i de nya lagarna. Sådana bestämmelser ska därför införas i lag där det be- döms finnas ett behov av det.

I de nya förordningarna ska det tas in en bestämmelse som be- myndigar respektive myndighet att meddela föreskrifter om verk- ställigheten av de nya lagarna och förordningarna.

Vår bedömning: Någon generell upplysningsbestämmelse om regeringens normgivningskompetens behöver inte tas in i de nya lagarna.

358

SOU 2023:100 Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

Skälen för vårt förslag och vår bedömning

Gällande förordningar bör upphävas och ersättas av nya

Mot bakgrund av att vi föreslår att de nu gällande registerlagarna för Skatteverket, Tullverket och Kronofogdemyndigheten ska upphöra att gälla, föreslår vi även att de förordningar32 som i dag kompletterar gällande registerlagar ska upphävas. Särskilda motiveringar i fråga om SPAR och Skatteverkets äktenskapsregister- och boupptecknings- verksamheter finns i avsnitten 16.4.2 och 17.4.10.

Vi har i avsnitt 6.2 bedömt att myndigheternas behandling av personuppgifter fortsatt ska regleras i lag. På detta sätt åstadkoms ett fortsatt starkt integritetsskydd för uppgifter om enskilda.

Mot bakgrund av vad som anges i avsnitt 6.2 bedömer vi att det även finns utrymme att i viss utsträckning reglera myndigheternas personuppgiftsbehandling på annan normgivningsnivå, framför allt förordning och föreskrifter. Detta är en fördel då vi anser att de nya lagarna inte bör tyngas med alltför detaljerade bestämmelser.

Lagregleringen avseende Skatteverkets, Tullverkets och Krono- fogdemyndighetens personuppgiftsbehandling bör mot denna bak- grund kompletteras med bestämmelser som meddelas genom förord- ning med stöd av 8 kap. 7 § RF, dvs. regeringens restkompetens. De föreskrifter som regeringen meddelar får dock inte innebära ett bety- dande intrång i den personliga integriteten (jfr 2 kap. 6 § andra stycket och 20 § RF).

Upplysningsbestämmelser om rätt att meddela föreskrifter

Mot bakgrund av att det följer av regleringen i 8 kap. RF att kom- pletterande bestämmelser kan finnas i förordning, bedömer vi att det inte finns något behov av att ta in en generell upplysningsbestämmelse om regeringens normgivningskompetens i lagarna.33

32Förordningen (1998:1234) om det statliga personadressregistret, förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, förordningen

(2001:646) om behandling av uppgifter i Tullverkets verksamhet och förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och boupptecknings- verksamheter.

33Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 119.

359

Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

SOU 2023:100

Detta utesluter dock inte att det avseende vissa bestämmelser i lagarna av tydlighetsskäl kan finnas ett behov av att upplysa om reger- ingens eller myndigheters rätt att med stöd av 8 kap. 7 § RF meddela vissa föreskrifter som kompletterar bestämmelser i de nya lagarna. Så är t.ex. fallet avseende de föreslagna bestämmelserna i lag som regle- rar den längsta tid som personuppgifter får behandlas. En sådan infor- mation kan vara särskilt angelägen om en tillämpare får en felaktig uppfattning genom att bara läsa lagbestämmelserna i ämnet och det därigenom riskeras att bestämmelserna tillämpas fel.34 Vidare fram- går av en dom från Högsta förvaltningsdomstolen att i vissa fall kan en upplysningsbestämmelse sägas ha en materiell funktion, eftersom regeringen utan en sådan bestämmelse kan vara förhindrad att med stöd av restkompetensen meddela föreskrifter i fall då riksdagen har lagstiftat på området för regeringens restkompetens. Genom bestäm- melsens avgränsning tydliggörs i vad mån regeringen kan använda sig av restkompetensen på området (HFD 2023 ref. 2).

Vi föreslår mot denna bakgrund att sådana upplysningsbestämmel- ser tas in i lagarna där det bedöms finnas ett behov av det.

Bemyndigande till myndigheterna att meddela verkställighetsföreskrifter

I 8 kap. 11 § RF anges bl.a. att regeringen får bemyndiga en myndig- het under regeringen eller någon av riksdagens myndigheter att med- dela föreskrifter enligt 8 kap. 7 § RF. Det innebär att regeringen kan överlåta den normgivningskompetens som regeringen har enligt 8 kap.

7§ RF, dvs. att meddela föreskrifter om verkställighet av lag (s.k. verk- ställighetsföreskrifter) samt föreskrifter som inte enligt grundlag ska meddelas av riksdagen (den s.k. restkompetensen).

Med verkställighetsföreskrifter avses tillämpningsföreskrifter av rent administrativ karaktär och föreskrifter som i viss utsträckning i materiellt hänseende ”fyller ut” en lag under förutsättning att regler- ingen inte tillförs något väsentligt nytt. Verkställighetsföreskrifter får alltså inte innebära ett nytt åliggande för enskilda eller något som kan betraktas som ett nytt ingrepp i enskildas personliga eller ekonomiska förhållanden.35

34Ds 2014:1, Gröna boken – Riktlinjer för författningsskrivning, s. 90.

35Prop. 1973:90, Kungl. Maj:ts proposition med förslag till ny regeringsform och ny riksdags- ordning m.m., s. 211.

360

SOU 2023:100 Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten

I de nuvarande registerförordningarna för Skatteverket, Tullverket och Kronofogdemyndigheten finns bestämmelser som innebär att regeringen har bemyndigat respektive myndighet att meddela före- skrifter om verkställighet av bestämmelserna i de gällande register- lagarna och tillhörande förordningarna, dvs. verkställighetsföreskrif- ter.36 Föreskriftsrätten har endast i begränsad omfattning utnyttjats av myndigheterna.37

Vi bedömer att det inte kan uteslutas att det kan uppstå ett behov för myndigheterna att meddela föreskrifter avseende verkställigheten av de nya lagarna och förordningarna. Det har inte heller kommit fram några särskilda skäl mot att ha ett sådant bemyndigande i de nya förordningarna i likhet med vad som gäller enligt de nuvarande register- förordningarna. Mot denna bakgrund anser vi att det i de nya förord- ningarna ska tas in en bestämmelse som bemyndigar respektive myn- dighet att meddela föreskrifter om verkställigheten av de nya lagarna och förordningarna.

I avsnitten 16.4.9 och 17.4.10 finns särskilda motiveringar i fråga om behovet av att ha bemyndiganden som ger Skatteverket rätt att meddela föreskrifter i den föreslagna regleringen av SPAR och äkten- skapsregister- och bouppteckningsverksamheterna.

36Se 17 § andra stycket förordningen om det statliga personadressregistret, 24 § förordningen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 19 § förordningen om be- handling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 20 § förordningen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, 10 § förordningen om be- handling av uppgifter i Tullverkets verksamhet och 5 § förordningen om behandling av per- sonuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.

37Se t.ex. föreskrifter (TFS 2021:5) om ändring i Tullverkets föreskrifter (TFS 2016:21) om tjänsten Mina sidor och enskilds direktåtkomst till uppgifter om sig själv i tulldatabasen.

361

7Allmänna bestämmelser

om personuppgiftsbehandling

7.1Inledning

I detta kapitel redovisar vi våra förslag till de allmänna bestämmelser om personuppgiftsbehandling vi anser ska gälla i Skatteverkets be- skattnings- och folkbokföringsverksamheter samt i Tullverkets och Kronofogdemyndighetens verksamheter.

I kapitlet finns förslag om att det ska införas bestämmelser i de nya lagarna om respektive lags syfte, tillämpningsområden och för- hållande till annan reglering. Vi gör bl.a. bedömningen att uppgifter om juridiska personer och avlidna, med vissa undantag för Krono- fogdemyndigheten, inte ska omfattas av de nya lagarnas tillämpnings- områden. Vi föreslår också att de nya lagarna i Skatteverkets beskatt- ningsverksamhet och i Tullverkets samt Kronofogdemyndighetens verksamheter inte ska gälla vid behandling av personuppgifter i Euro- peiska unionens gemensamma informationssystem. I fråga om de nya lagarnas materiella tillämpningsområden anser vi att dessa inte bör skilja sig från vad som gäller enligt de nuvarande registerlagarna, med undantag för viss verksamhet hänförlig till Skatteverkets folkbokför- ingsverksamhet som utförs av passmyndigheterna.

Vidare föreslås i kapitlet reglering av personuppgiftsansvar, till- gången till personuppgifter och enskildas rättigheter. Viss reglering föreslås införas i lag och annan reglering i förordning.

Frågor om liknande bestämmelser som behandlas i detta kapitel avseende det statliga personadressregistret (SPAR) och Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas separat i avsnitten 16.4 och 17.4.

363

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

7.2Lagarnas syfte

Vårt förslag: Syftet med beskattningsdatalagen, folkbokförings- datalagen, tulldatalagen och kronofogdedatalagen ska vara att ge myndigheterna möjlighet att behandla personuppgifter på ett ända- målsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Skälen för vårt förslag

Sedan den 25 maj 2018 utgör EU:s dataskyddsförordning1 den pri- mära generella rättskällan avseende personuppgiftsbehandling inom EU. De kompletteringar till och undantag från dataskyddsförord- ningen som ansetts behövliga på ett generellt plan finns i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning, dataskyddslagen. I artikel 1.1 i dataskyddsförordningen framgår förordningens syfte, vilket är tvådelat. Artikeln föreskriver att i förordningen fastställs bestämmelser om skydd för fysiska per- soner med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.

Bestämmelser om en lags syfte finns i vissa moderna registerförfatt- ningar (se t.ex. 1 § domstolsdatalagen [2015:728], 1 § utlänningsdata- lagen [2016:27], 1 § vägtrafikdatalagen [2019:369] och 1 § brotts- datalagen [2018:1177]). I ytterligare andra nyare registerförfattningar har lagstiftaren dock valt att inte införa bestämmelser om en lags syfte (se t.ex. lagen [2020:421] om Rättsmedicinalverkets behandling av personuppgifter och lagen [2023:457] om behandling av personuppgif- ter vid Utbetalningsmyndigheten).

Syftesbestämmelser saknar visserligen eget materiellt innehåll, men kan enligt vår mening ändå fylla en viktig funktion, eftersom de ger vägledning angående hur de materiella bestämmelserna i en författ- ning ska tolkas. När det gäller just sektorspecifik dataskyddsregler- ing är syftet dessutom i regel tvådelat. Dessa författningar syftar dels till att möjliggöra en ändamålsenlig personuppgiftsbehandling vid en myndighet eller annat organ, dels till att skydda enskilda mot integ-

364

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

ritetsintrång. En syftesbestämmelse kan att på ett tydligt sätt klargöra ett sådant dubbelt syfte.2

Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverkets och Kronofogdemyndighetens verksamheter medför ett behov av i vissa fall omfattande behandling av personuppgifter, även känslig sådan. En sådan hantering kan innebära en risk för intrång i den personliga integriteten. Vid utformningen av lagarna måste en väl av- vägd balans hittas mellan å ena sidan enskildas rätt till skydd av person- uppgifter och å andra sidan samhällets rättmätiga krav på att berörda myndigheters verksamheter kan bedrivas på ett effektivt och välord- nat sätt.3 Våra förslag till nya lagar syftar till att möjliggöra en ända- målsenlig personuppgiftsbehandling vid berörda myndigheter. Ett av lagarnas syften är alltså att säkerställa att myndigheterna har de rätts- liga förutsättningarna för att kunna utföra nödvändig personuppgifts- behandling inom ramen för sina respektive verksamheter. De nya lag- arna syftar även till att skydda fysiska personer mot att deras personliga integritet kränks vid myndigheternas behandling av personuppgifter.

För att på ett tydligt sätt klargöra lagarnas tvådelade syften anser

viatt lagarna ska innehålla en syftesbestämmelse. Bestämmelserna ska formuleras som att syftet med respektive lag är att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

7.3Definitioner

Vår bedömning: Det bör inte införas några särskilda bestämmel- ser om definitioner i beskattningsdatalagen, folkbokföringsdata- lagen, tulldatalagen eller kronofogdedatalagen.

Vårt förslag: Det ska i beskattningsdataförordningen, folkbok- föringsdataförordningen, tulldataförordningen och kronofogde- dataförordningen finnas en bestämmelse som anger att ord och uttryck i respektive förordning har samma betydelse som i de till- hörande lagarna.

2Jfr prop. 2014/15:148, Domstolsdatalag, s. 29.

3Jfr prop. 2015/16:65, Utlänningsdatalag, s. 38 och prop. 2018/19:33, Behandling av person- uppgifter samt registrering och användning av fordon på vägtrafikområdet, s. 62.

365

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Skälen för vår bedömning och vårt förslag

Definitioner bör inte regleras i lag

Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskatt- ningsverksamhet, skattedatabaslagen (SdbL), innehåller i dag i 1 kap. 1 a § en bestämmelse som anger att termer och uttryck som används i den lagen har samma innebörd som i inkomstskattelagen (1999:1229). Av förarbetena framgår att genom införandet av bestämmelsen klar- görs att lagens termer och uttryck har samma betydelse och tillämp- ningsområde som de har i inkomstskattelagen.4

Förordningen (2001:588) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet, skattedatabasförordningen (SdbF), förordningen (2001:589) om behandling av personuppgifter i Skatte- verkets folkbokföringsverksamhet, folkbokföringsdatabasförordning- en (FdbF), förordningen (2001:646) om behandling av uppgifter i Tull- verkets verksamhet, tulldatabasförordningen (TDF) och förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF), innehåller bestämmelser där det anges att termer och uttryck i förordningarna har samma betydelse, respektive innebörd, och tillämpningsområde som i tillhörande lagar.

Den bestämmelse om definitioner som i dag finns i skattedata- baslagen utgör endast klargöranden och fyller därför inte något egent- ligt behov i lagen. Den nuvarande definitionsbestämmelsen, vilken hänvisar till en annan lag som inte har koppling till registerförfattning- arna, bör inte heller kunna anses vara komplett bl.a. mot bakgrund av att vissa termer och uttryck i den nuvarande skattedatabaslagen härrör från t.ex. EU-rätten och inte inkomstskattelagen. Utöver detta innehåller bestämmelserna i den föreslagna beskattningsdatalagen mindre detaljerade bestämmelser och därmed också färre begrepp från den materiella verksamhetsregleringen jämfört med den nu gällande skattedatabaslagen. Mot denna bakgrund gör vi bedömningen att det inte bör införas en bestämmelse som motsvarar 1 kap. 1 a § SdbL i den nya beskattningsdatalagen. Avsikten är dock även fortsättnings- vis att beskattningsdatalagens termer och uttryck har samma bety- delse och tillämpningsområde som de har i inkomstskattelagen.

4Prop. 2001/02:46, Ändringar i de särskilda skattereglerna för vissa andelsägare i fåmansföretag, m.m., s. 66 och 83.

366

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Av motsvarande skäl som nu har anförts avseende Skatteverkets beskattningsverksamhet bör bestämmelser om definitioner inte heller föras in i folkbokföringsdatalagen, tulldatalagen eller kronofogde- datalagen.

En tydliggörande bestämmelse i de nya förordningarna

Även de bestämmelser om definitioner som i dag finns i databas- förordningarna får mot bakgrund av deras utformning anses utgöra klargörande bestämmelser. Det är enligt vår mening lämpligt att tyd- liggöra att begreppsanvändningen i de föreslagna lagarna och tillhör- ande förordningarna hänger samman med varandra och att de där- med ska tolkas och tillämpas på samma sätt. Som en jämförelse finns även liknande bestämmelser i t.ex. 2 § brottsdataförordningen (2018:1202) och 1 kap. 2 § skatteförfarandeförordningen (2011:1261). Vi föreslår mot denna bakgrund att det i de nya förordningarna ska finnas en bestämmelse som anger att ord och uttryck i respektive förordning har samma betydelse som i de tillhörande lagarna.

7.4Lagarnas tillämpningsområden

7.4.1Lagarnas allmänna tillämpningsområden

Vårt förslag: Beskattningsdatalagen, folkbokföringsdatalagen, tull- datalagen och kronofogdedatalagen ska endast gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om per- sonuppgifterna ingår i eller kommer att ingå i ett register.

Vår bedömning: Lagarna bör inte omfatta behandling av person- uppgifter i administrativ verksamhet.

Skälen för vårt förslag och vår bedömning

I dag omfattar skattedatabaslagen, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folk- bokföringsdatabaslagen (FdbL), lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och lagen

367

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

(2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), behandling av per- sonuppgifter, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad sam- ling av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier.5

När de nuvarande registerförfattningarna infördes gällde person- uppgiftslagen (1998:204), PUL. Personuppgiftslagen omfattade be- handling av personuppgifter som var helt eller delvis automatiserad. Lagen omfattade även annan behandling av personuppgifter, om upp- gifterna ingick i eller var avsedda att ingå i en strukturerad samling av personuppgifter som var tillgängliga för sökning eller sammanställ- ning enligt särskilda kriterier.6 I förarbetena till de nu gällande register- författningarna anförde regeringen att även speciallagstiftningen skulle ha samma tillämpningsområde som personuppgiftslagen.7

I artikel 2.1 i dataskyddsförordningen anges att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller del- vis företas på automatisk väg samt på annan behandling än automa- tisk av personuppgifter som ingår i eller kommer att ingå i ett register. Register definieras i dataskyddsförordningen som en strukturerad sam- ling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6).

I artikel 2.2 i dataskyddsförordningen anges att förordningen inte ska tillämpas vid viss behandling av personuppgifter, exempelvis så- dan behandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Eftersom inget av de undantag som anges i artikel 2.2 i dataskyddsförordningen är tillämpligt på Skatteverkets, Tullverkets eller Kronofogdemyndighetens behandling av personuppgifter i de verksamheter som här är aktuella, omfattas behandlingen av data- skyddsförordningens tillämpningsområde. Dataskyddsförordningen hindrar dock inte att medlemsstaterna fritt bestämmer tillämpnings- området för den nationella dataskyddslagstiftningen. Det innebär att den nationella sektorspecifika lagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än data-

51 kap. 1 § SdbL, 1 kap. 1 § FdbL, 1 kap. 1 § TDL och 1 kap. 1 § KFMdbL.

65 § PUL.

7Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86.

368

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

skyddsförordningen och t.ex. omfatta sådan manuell behandling av personuppgifter som inte omfattas av dataskyddsförordningen.8

Vi anser att beskattningsdatalagen, folkbokföringsdatalagen, tull- datalagen och kronofogdedatalagen endast ska gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgif- terna ingår i eller kommer att ingå i ett register. Detta bör komma till uttryck i de nya lagarna. Det innebär att tillämpningsområdena på ett tydligt sätt ansluter till dataskyddsförordningens bestämmelser. Med begreppen i den föreslagna lydelsen avses detsamma som i dataskydds- förordningen.

Bestämmelserna kommer genom vårt förslag att innehålla begrep- pet ”register”, i stället för ”en strukturerad samling av personuppgif- ter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier”. Någon skillnad i sak är dock inte avsedd. Nu föreslagen formulering har även använts i andra modernare registerförfattningar (se t.ex. 1 kap. 2 § andra stycket vägtrafikdatalagen och 1 kap. 2 § andra stycket lagen om behandling av personuppgifter vid Utbetal- ningsmyndigheten). Förslaget innebär att behandling som inte kom- mer att omfattas av lagarnas tillämpningsområden t.ex. är minnes- anteckningar som enbart förs på papper.9

Berörda myndigheter utför viss behandling av personuppgifter även vid löpande administration, t.ex. hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer. Med personuppgifts- behandling för sådana rent administrativa ändamål menas alltså sådan behandling som inte har något samband med ett enskilt ärende eller annan sådan materiell verksamhet som avses i avsnitten 7.4.5–7.4.8 nedan. I dag innehåller de sektorspecifika registerförfattningarna ingen särreglering av sådan behandling. I stället var avsikten vid författning- arnas införande att personuppgiftslagen skulle tillämpas på den admi- nistrativa delen av myndigheternas verksamheter.10

Vi anser att det inte heller i dag finns någon anledning att låta de föreslagna lagarna omfatta sådan behandling av personuppgifter som sker i myndigheternas löpande administrativa verksamhet. Behand-

8Jfr prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av for- don på vägtrafikområdet, s. 63–64.

9Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 120.

10Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 87 och 103–104.

369

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

lingen kan i stället grundas direkt på dataskyddsförordningen och dataskyddslagen och omfattas därför inte av de föreslagna lagarna.11

7.4.2Uppgifter om juridiska personer

Vår bedömning: Regleringen i beskattningsdatalagen, folkbok- föringsdatalagen, tulldatalagen och kronofogdedatalagen bör, med vissa undantag i kronofogdedatalagen, inte omfatta behandling av uppgifter om juridiska personer.

Skälen för vår bedömning

Dataskyddsförordningen och dataskyddslagen reglerar behandling av personuppgifter. I dataskyddsförordningen definieras person- uppgifter som varje upplysning som avser en identifierad eller iden- tifierbar fysisk person. Med identifierbar fysisk person avses en per- son som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera fak- torer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1). Av skäl 14 till dataskyddsförordningen framgår att för- ordningen inte omfattar behandling av personuppgifter rörande juri- diska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter. Uppgifter om juridiska personer utgör alltså inte personuppgifter enligt dataskyddsförordningen.

I dag omfattar vissa av bestämmelserna i skattedatabaslagen, tull- databaslagen och kronofogdedatabaslagen behandling av uppgifter om juridiska personer.12 Även de registerförfattningar som föregick dagens reglering omfattade registrering och användning av uppgifter om juri- diska personer.13 I förarbetena till befintliga bestämmelser anförde

11Jfr prop. 2017/18:105, Ny dataskyddslag, s. 60–61 och prop. 2022/23:34, Utbetalningsmyndig- heten, s. 120.

121 kap. 1 § andra stycket SdbL, 1 kap. 1 § andra stycket TDL och 1 kap. 1 § andra stycket KFMdbL.

13Se t.ex. skatteregisterlagen (1980:343), utsökningsregisterlagen (1986:617) och tullregister- lagen (1990:317).

370

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

regeringen bl.a. följande skäl för varför vissa av bestämmelserna i de nu gällande lagarna skulle omfatta behandling av sådana uppgifter.14

Personuppgiftslagen reglerar endast behandling av personuppgifter, dvs. uppgifter om fysiska personer som är i livet. För dataregister eller andra systematiserade uppgiftssamlingar som endast innehåller uppgifter om juridiska personer finns det alltså ingen motsvarande generell reglering av behandlingen. I beskattnings-, utsöknings- och tullverksamheten måste uppgifter om såväl juridiska som fysiska personer behandlas.

[…]

Genom den ökade användningen av elektroniska akter och elektroniska dokument kommer det att i många fall bli svårt att skilja uppgifter om juridiska personer från uppgifter om deras delägare eller ställföreträdare. I ett ärende rörande juridiska personer kan ingå uppgifter om delägare, styrelseledamöter, m.fl. Detta medför att framför allt elektroniska hand- lingar som rör juridiska personer måste behandlas på samma sätt som de som rör fysiska personer. Även de föreslagna bestämmelserna om gall- ring bör gälla såväl fysiska som juridiska personer. Gemensamma bestäm- melser om gallring innebär att systemet blir enklare. Även om flertalet uppgifter omfattas av sekretess bör möjligheten att lämna ut uppgifter om juridiska personer automatiserat regleras på samma sätt som upp- gifter om fysiska personer. Sekretesslagens regler medför vidare att det behövs särskilda regler för att en skattemyndighet skall få ha direkt- åtkomst till uppgifter om juridiska personer som beskattas i en annan region. Enligt regeringens mening talar övervägande skäl för att de nya lagarnas bestämmelser om ändamål, innehåll, åtkomst och gallring lik- som i dag bör omfatta juridiska personer.

Viss dataskyddsreglering tillämpas även i andra sammanhang på upp- gifter om juridiska personer, exempelvis inom brottsdatalagens om- råde.15 Annan nyare dataskyddsreglering omfattar inte uppgifter om juridiska personer (se t.ex. 2 § domstolsdatalagen).16 I den utredning som föregick den nya lagen om behandling av personuppgifter vid Utbetalningsmyndigheten föreslogs att vissa bestämmelser skulle gälla även vid myndighetens behandling av uppgifter om juridiska perso- ner.17 I den efterföljande propositionen ansåg dock regeringen att det

14Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86–87.

15Se t.ex. brottsdatalagen, lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets behandling av person- uppgifter inom brottsdatalagens område.

16Se även Ds 2013:10, Domstolsdatalag, s. 51–52.

17SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp- täcka felaktiga utbetalningar från välfärdssystemen, s. 348–349.

371

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

för dessa personer inte fanns några motsvarande skyddsskäl eller andra skäl att införa liknande begränsningar som föreslogs för upp- gifter om avlidna. Något sådant förslag lämnades därför inte.18 Den lag om behandling av personuppgifter vid Utbetalningsmyndigheten som sedan kom att införas omfattar inte heller behandling av upp- gifter om juridiska personer.

Vid den översyn som skedde av aktuella registerförfattningar med anledning av EU:s dataskyddsförordning konstaterade regeringen att den omständigheten att författningarna i vissa angivna avseenden omfattar även juridiska personer inte medför att dataskyddsförord- ningens bestämmelser blir tillämpliga avseende dessa.19 Den nu gäll- ande nationella regleringen går i dessa avseenden således längre än dataskyddsförordningen, och även dataskyddslagen.

I såväl Skatteverkets som Tullverkets och Kronofogdemyndig- hetens verksamheter förekommer uppgifter om ett stort antal juri- diska personer. Till följd av att begreppet personuppgifter definieras brett i dataskyddsförordningen utgör i vissa fall uppgifter om juri- diska personer direkta eller indirekta personuppgifter som skyddas av den allmänna dataskyddsregleringen och sektorspecifik register- lagstiftning. Det kan t.ex. handla om uppgifter om firmatecknare, firmanamn eller organisationsnummer i en enskild näringsverksam- het som består av den enskilda näringsidkarens personnummer. De uppgifter som förekommer avseende dessa och som skulle kunna ut- göra direkta eller indirekta personuppgifter är redan skyddade av lag- stiftningen genom att de utgör personuppgifter. Vidare är det allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer.20 I det fall det finns ett indirekt skyddsbehov för uppgifter om juridiska personer, har detta sin grund i intresset av integritetsskydd för fysiska personer. Det skyddsbehov som finns för aktuella uppgifter vid berörda myndigheter bör alltså anses vara tillgodosett genom regleringen i de föreslagna lagarna, data- skyddsförordningen och dataskyddslagen. Enligt vår mening talar dessa omständigheter för att det inte finns tillräckliga skäl att avvika från vad som gäller enligt dataskyddsförordningen genom att låta de nya lagarnas tillämpningsområden omfatta uppgifter om juridiska personer.

18Prop. 2022/23:34, Utbetalningsmyndigheten, s. 121.

19Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 38.

20Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 113.

372

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Vid en sammantagen bedömning anser vi att de skäl som tidigare anförts för att registerförfattningarnas tillämpningsområden ska om- fatta även uppgifter om juridiska personer inte är tillräckliga för att även låta de nya lagarna generellt sett omfatta sådana uppgifter. Där- emot föreslår vi att en del av den i dag gällande särskilda bestämmel- sen om rättelse m.m. i 3 kap. 3 a § KFMdbL ska införas i den nya kronofogdedatalagen och då även vara tillämplig på uppgifter om juridiska personer. Närmare motivering av skälen för dessa förslag finns i avsnitten 7.4.8 och 7.8.3.

Att de föreslagna lagarna som utgångspunkt inte ska omfatta upp- gifter om juridiska personer innebär dock inte att Skatteverket, Tull- verket och Kronofogdemyndigheten måste behandla sådana uppgif- ter på ett annat sätt än personuppgifter. Det kan även i vissa fall vara enklare för myndigheterna att inte särskilja behandling av uppgifter om fysiska och juridiska personer för att säkerställa att de indirekta personuppgifter som kan förekomma får det skydd som krävs enligt gällande dataskyddsreglering. Det förhållandet att det är svårt att skilja sådana personuppgifter som förekommer i elektroniska hand- lingar åt från rena uppgifter om juridiska personer anser vi dock inte i sig är ett starkt skäl för att låta de föreslagna lagarna omfatta upp- gifter om juridiska personer.21

Det kan också finnas annan reglering som ställer krav på myn- digheterna att t.ex. rätta felaktiga uppgifter om juridiska personer (jfr 36 § förvaltningslagen [2017:900], FL). I ett mål har Högsta förvaltningsdomstolen slagit fast att det förhållandet att kronofogde- databaslagen saknade bestämmelser om rättelse av felaktiga uppgifter såvitt avsåg juridiska personer inte rimligen kunde innebära att en juridisk person skulle kunna vägras att få en sådan uppgift rättad (RÅ 2004 ref. 104).

Att författningarnas tillämpningsområden inte längre omfattar juri- diska personer föranleder vidare vissa andra konsekvenser, bl.a. i fråga om behov av följdändringar i annan lagstiftning. I dag finns bestäm- melser om uppgiftsskyldigheter i registerförfattningarna som kan påverkas av att de nya författningarna inte föreslås omfatta uppgifter om juridiska personer. Av bl.a. detta skäl föreslår vi i avsnitt 13.4.3 att bestämmelser om Skatteverkets, Tullverkets och Kronofogde- myndighetens uppgiftsskyldigheter som i dag finns i registerförfatt- ningarna i stället ska föras in i nya förordningar. Vidare får våra för-

21Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86–87.

373

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

slag avseende tillämpningsområdena i de nya lagarna i denna del vissa konsekvenser för sekretessregler i offentlighets- och sekretesslagen (2009:400), OSL. Dessa konsekvenser hanteras i avsnitt 15.5.3. Våra förslag innebär också att uppgifter om juridiska personer kan anses få ett försämrat skydd. Som framgår ovan är det dock generellt sett inte lika angeläget att skydda rena uppgifter om juridiska personer.

7.4.3Uppgifter om avlidna personer

Vår bedömning: Regleringen i beskattningsdatalagen, folkbok- föringsdatalagen, tulldatalagen och kronofogdedatalagen bör inte omfatta behandling av uppgifter om avlidna personer.

Skälen för vår bedömning

Dataskyddsförordningen och dataskyddslagen reglerar behandling av personuppgifter. Av skäl 27 till dataskyddsförordningen framgår att förordningen inte gäller behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får dock fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer. Det finns alltså inget hinder mot att de nya lagarna i tillämpliga delar även omfattar uppgifter om avlidna.

Idag gäller vissa av bestämmelserna i skattedatabaslagen, folkbok- föringsdatabaslagen och kronofogdedatabaslagen även vid behand- ling av uppgifter om avlidna.22 I förarbetena till de nu gällande författ- ningarna saknas närmare motivering till varför uppgifter om avlidna personer omfattas av tillämpningsområdet för vissa delar av dessa lagar. Det som anges är att regeringen ansåg att lagarnas bestämmel- ser om ändamål, innehåll, åtkomst och gallring även skulle omfatta uppgifter om avlidna personer.23

Det finns även annan, mer modern, registerlagstiftning vars tillämp- ningsområden omfattar uppgifter om avlidna (se t.ex. 114 kap. 2 § tredje stycket socialförsäkringsbalken [SFB], 1 kap. 1 § andra stycket patientdatalagen [2008:355], 1 kap. 7 § lagen [2020:421] om Rätts- medicinalverkets behandling av personuppgifter och 1 kap. 2 § tredje

221 kap. 1 § andra stycket SdbL, 1 kap. 1 § tredje stycket FdbL och 1 kap. 1 § andra stycket KFMdbL.

23Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86–87.

374

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

stycket lagen om behandling av personuppgifter vid Utbetalnings- myndigheten).

Av förarbetena till Rättsmedicinalverkets registerförfattning fram- går att det vid myndigheten förekommer uppgifter om avlidna i rela- tivt stor utsträckning och att det då ofta rör sig om uppgifter som är särskilt känsliga, t.ex. uppgifter om personer som utsatts för grov brottslighet. Vidare förekommer uppgifter om enskildas psykiska och fysiska hälsa som det kan vara betydelsefullt för efterlevande att skydda. Regeringen anförde vidare att den omständigheten att lagen gäller även för uppgifter om avlidna bidrar till att upprätthålla den frid som bör tillkomma en avliden person.24 Motsvarande skäl har an- getts i förarbetena till patientdatalagen.25 Även i förarbetena till re- gleringen i socialförsäkringsbalken motiveras den av den mängd upp- gifter hänförliga till avlidna som förekommer i databasen.26

När det gäller Utbetalningsmyndigheten omfattar vissa bestäm- melser i lagen om behandling av personuppgifter vid Utbetalnings- myndigheten uppgifter om avlidna. I förarbetena till regleringen kon- staterade regeringen att Utbetalningsmyndigheten kan komma att behandla uppgifter om avlidna. Regeringen ansåg också att även om behandling av uppgifter om avlidna inte omfattas av dataskyddsförord- ningens tillämpningsområde fanns det skäl att i viss utsträckning skydda behandlingen av sådana uppgifter.27

Annan nyare registerlagstiftning omfattar inte uppgifter om av- lidna (se t.ex. domstolsdatalagen).28

Såvitt framkommit är mängden uppgifter som rör avlidna inte av någon större omfattning inom ramen för Kronofogdemyndighetens verksamhet. De uppgifter om avlidna som behandlas rör främst döds- bon som har skulder. När det gäller Skatteverket förekommer upp- gifterna främst inom ramen för folkbokföringsverksamheten och verksamhet som avser bouppteckningar, men de finns även i beskatt- ningsverksamheten. Exempelvis registrerar Skatteverket dödsfall i folk- bokföringen och om den avlidne var gift vid dödsfallet ska äktenska- pet registreras som upplöst och den efterlevande makens civilstånd ändras till änka eller änkling. Skatteverket utfärdar också intyg för

24Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 32.

25Prop. 2007/08:126, Patientdatalag m.m., s. 52.

26Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 45.

27Prop. 2022/23:34, Utbetalningsmyndigheten, s. 120.

28Se även Ds 2013:10, Domstolsdatalag, s. 53–54.

375

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

gravsättning och kremering samt bevakar att tiden för gravsättning och kremering hålls. Antalet uppgifter om avlidna är stort inom folk- bokföringsverksamheten och uppgifterna ska även som utgångspunkt bevaras.29 Frågan om uppgifter om avlidna ska omfattas av sektor- specifik dataskyddsreglering i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas särskilt i avsnitt 17.4.3.

Det kan undantagsvis inträffa att en person som förekommer t.ex. i ett ärende vid Skatteverket, Tullverket eller Kronofogdemyndig- heten avlider under handläggningen av ärendet. Även i andra situatio- ner kan det förekomma att uppgifter om avlidna behöver behandlas.

De uppgifter om avlidna som kan förekomma vid nu aktuella verk- samheter är i regel inte av samma känsliga natur som t.ex. vid Rätts- medicinalverket, inom vården eller vid Försäkringskassan. Inom be- skattningsverksamheten samt Tullverkets och Kronofogdemyndig- hetens verksamheter rör det sig inte heller om lika stora mängder uppgifter om avlidna. Vidare har inte avlidna samma behov av integ- ritetsskydd som levande fysiska personer.30 Det finns enligt vår upp- fattning ett stort värde i att de uppgifter som ska omfattas av de nya lagarna i så hög grad som möjligt ansluter sig till vad som gäller enligt dataskyddsförordningen. Alla bestämmelser i de nya lagarna kan inte heller tillämpas på uppgifter om avlidna, t.ex. bestämmelser om en- skildas rättigheter. Att mängden uppgifter om avlidna som behand- las inom Skatteverkets folkbokföringsverksamhet är stor föranleder inte någon annan bedömning av behovet av ett utökat skydd för upp- gifterna mot bakgrund av att uppgifternas art inte kan sägas vara av sådan känslig natur i jämförelse med vissa andra myndigheters verk- samheter som redogörs för ovan vilka omfattas av ett sådant utökat skydd. Vidare omfattas inte uppgifter om avlidna av dataskyddsförord- ningens reglering avseende känsliga personuppgifter i artikel 9.

Mot den angivna bakgrunden anser vi att det inte finns tillräckligt starka skäl att låta beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen eller kronofogdedatalagen omfatta behandling av upp- gifter om avlidna personer. Det innebär dock inte att Skatteverket, Tullverket och Kronofogdemyndigheten måste behandla uppgifter om avlidna annorlunda än personuppgifter.

29Jfr RA-MS 2018:38, Föreskrifter om gallring i folkbokföringsverksamheten hos Skatte- verket.

30Se t.ex. prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av fordon på vägtrafikområdet, s. 67.

376

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Att de nya lagarnas tillämpningsområden inte ska omfatta upp- gifter om avlidna personer föranleder vissa skillnader i förhållande till vad som gäller i Skatteverkets och Kronofogdemyndighetens verk- samheter i dag. Exempelvis kommer det inte finnas några särskilda krav på för vilka ändamål uppgifterna får behandlas eller en reglering av under hur lång tid uppgifter om avlidna får behandlas. En viss del av sådana uppgifter som finns i allmänna handlingar kommer dock med största sannolikhet omfattas av särskilda föreskrifter om gallring ut- färdade av Riksarkivet, även om sådana föreskrifter inte avser att skydda enskildas integritet (jfr avsnitt 12.4.2). Utöver detta kommer inte heller några särskilda sökbegränsningar att gälla för aktuella uppgifter. De föreslagna sökbegränsningarna gäller dock så snart det rör en upp- lysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras.31

Vår bedömning innebär inte att uppgifterna helt kommer att sakna skydd eftersom sekretessreglering som omfattar uppgifter om en- skildas personliga och ekonomiska förhållanden även kan tillämpas på uppgifter om avlidna under vissa förutsättningar. Vid tidpunkten för införandet av den tidigare gällande sekretesslagen (1980:100) ut- talades i förarbetena att det för bedömningen av sekretessfrågan i princip saknar betydelse att den vars personliga förhållanden berörs i allmän handling har avlidit. Vidare uttalades att med hänsyn till att avlidens rätt skyddas genom regler i brottsbalken och tryckfrihets- förordningen (TF) om förtal av avliden borde det inte vara uteslutet att sekretesskyddet gällde också till förmån för den avlidne själv.32 Högsta förvaltningsdomstolen (HFD) har i ett mål ansett att karak- tären på skattesekretessen för uppgifter i deklarationer som lämnats av en avliden person i vart fall borde innebära att det krävs att de personer som är delägare i dödsboet efter den avlidne medgav utläm- nande. I målet fanns inga sådana medgivanden, varför de begärda dekla- rationerna inte lämnades ut (RÅ 85 2:62). I ett annat mål prövade HFD om sekretess gällde gentemot avliden persons moder för vissa uppgifter i socialtjänstens journal rörande den avlidne. I målet ut- talade HFD bl.a. att det knappast låter sig göra att anse att en avliden person lider men, men att sekretess bör kunna gälla om uppgiften kan anses kränka den frid som bör tillkomma den avlidne, t.ex. för

31Artikel 4.1 i dataskyddsförordningen.

32Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84–85.

377

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

integritetskänsliga uppgifter som det med fog kan antas att den av- lidne inte velat skulle komma till någon annans kännedom ens efter hans eller hennes död (RÅ 2007 ref. 16).

Vidare innebär våra förslag i denna del att den särskilda bestäm- melsen om rättelse m.m. som i dag finns i 3 kap. 3 a § KFMdbL och som gäller uppgifter om avlidna, vilken vi föreslår ska föras in i den nya kronofogdedatalagen, inte längre kommer att kunna tillämpas på uppgifter om avlidna.33 Vi anser att det inte heller har kommit fram skäl att särskilt låta tillämpningsområdet omfatta uppgifter om avlidna i denna del. Närmare motivering till detta ställningstagande finns i avsnitt 7.8.3 nedan.

De konsekvenser som ett förändrat tillämpningsområde kan kom- ma att innebära medför enligt vår mening inte någon annan bedöm- ning i fråga om avlidna personer ska omfattas av författningarna. Vid denna bedömning har vi tagit hänsyn till den allmänna dataskydds- regleringens tillämpningsområde, den mängd uppgifter om avlidna samt uppgifternas karaktär som är aktuella för berörda myndigheter att behandla i respektive verksamhet och att sekretess, om än i viss mindre omfattning, fortsatt kommer att gälla för uppgifter om av- lidna. Utöver detta har myndigheterna andra generella regler att för- hålla sig till vid utförandet av sina uppdrag, även avseende uppgifter om avlidna personer, genom regleringen i t.ex. förvaltningslagen.

7.4.4Behandling av personuppgifter i EU:s gemensamma informationssystem

Vårt förslag: Bestämmelserna i beskattningsdatalagen, tulldata- lagen och kronofogdedatalagen ska inte gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informa- tionssystem.

33Däremot föreslås regleringen om rättelse m.m. i kronofogdedatalagen omfatta uppgifter om juridiska personer och därmed dödsbon, se avsnitt 7.8.3.

378

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Skälen för vårt förslag

Inledning

Den centrala frågeställningen i denna del är i vilken utsträckning nationell kompletterande dataskyddsreglering ska vara tillämplig i it- miljöer där även andra medlemsstaters behöriga myndigheter behand- lar personuppgifter inom ramen för det administrativa samarbetet inom EU. Särskilt Skatteverket och Tullverket har till utredningen uppgett att det vore önskvärt att det tydliggörs vad som ska gälla av- seende gemensamma tekniska plattformar och om kompletterande nationella bestämmelser över huvud taget ska tillämpas i dessa sam- manhang. Om nationell reglering är tillämplig vid de aktuella behand- lingarna är det enligt myndigheterna viktigt att denna i sig inte innebär ett hinder för användningen av gemensamma plattformar inom ramen för det administrativa samarbetet inom EU.

Skatteverkets behov och uppfattning om den nuvarande regleringen

Skatteverket har uppgett att de nuvarande registerförfattningarnas tillämpningsområden innebär problem för myndigheten i internatio- nella sammanhang. I beskattningsverksamheten uppkommer frågan om i vilken utsträckning skattedatabaslagen är tillämplig inom ramen för det administrativa EU-samarbetet. Det gäller särskilt när uppgifter tillgängliggörs genom tekniska plattformar som alla medlemsstater har tillgång till eller när uppgifter används i sådana it-miljöer gemen- samt.

Ett exempel på en gemensam it-miljö som berörs av dataskydds- regleringen är den gemensamma plattformen för utbyte av uppgifter av rapporteringspliktiga arrangemang. Den tekniska lösningen för att genomföra utbytet av uppgifter har tagits fram av EU-kommis- sionen och utgörs av en teknisk plattform som i sin tur består av två olika användargränssnitt. Ett gränssnitt används enskilt av respektive myndighet och det andra används gemensamt av samtliga myndig- heter. Alla behöriga myndigheter kan få tillgång till alla publicerade och rapporteringspliktiga arrangemang i det gemensamma gränssnit- tet. Det är avsevärt fler tjänstemän som kan få och har tillgång till det gemensamma gränssnittet än myndigheternas enskilda gräns- snitt.

379

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Skatteverkets skyldigheter att lämna uppgifter om rapporterings- pliktiga arrangemang till andra medlemsstaters behöriga myndigheter framgår av 12 d § lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Genom nämnda lag implementeras rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning i svensk rätt. Av artikel 21.5 i nämnda direktiv framgår att EU-kommissionen har an- svar för att ta fram ett tekniskt och logiskt stöd för utbytet. Av artikel 25.1 framgår vidare att utbytet omfattas av dataskyddsförord- ningen.

Utgångspunkten är att skattedatabaslagen ska tillämpas när Skatte- verket i egenskap av behörig myndighet agerar för Sveriges räkning inom ramen för det administrativa samarbetet inom Europeiska unio- nen i fråga om beskattning och då också behandlar personuppgifter.34 Det kan dock uppstå oklarheter avseende nationell reglerings tillämp- lighet vid behandling av personuppgifter i gemensamma it-lösningar. Problem kan även uppstå eftersom skattedatabaslagen går längre än dataskyddsförordningen i fråga om t.ex. behandling av känsliga per- sonuppgifter och gallring. Det kan enligt Skatteverket också vara så att den nuvarande databasregleringen i 2 kap. SdbL inte är tillämplig på sådan behandling som sker i det enskilda användargränssnittet om syftet med publiceringen enbart är att fullgöra informationsutbytet av rapporteringspliktiga arrangemang. Samtidigt innebär den tekniska lösning som EU-kommissionen har tagit fram för utbytet i praktiken att uppgifter som publiceras av Skatteverket görs gemensamt tillgäng- liga i det gemensamma användargränssnittet även för den verksamhet vid Skatteverket som har tillgång till och arbetar med rapporterings- pliktiga arrangemang. Den gemensamma plattformen utgör även en uppgiftssamling som används av flera tjänstemän vid Skatteverket. Om motsvarande reglering som i dag finns i 2 kap. SdbL ska anses vara tillämplig på de behandlingar som Skatteverket utför i det gemen- samma gränssnittet uppstår bl.a. frågan om hur bestämmelserna ska tillämpas i förhållande till annan behandling som utförs i den gemen- samma plattformen.

34Se bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85,

124och 129, prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt sam- arbete i fråga om beskattning, s. 71–72 och 89 samt prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 172–175.

380

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Tullverkets behov och uppfattning om den nuvarande regleringen

Tullverket har till utredningen fört fram motsvarande problematik som Skatteverket. Myndigheten anser att den nya tulldatalagen inte bör vara tillämplig vid sådan personuppgiftsbehandling som sker i EU-gemensamma informationssystem. Tullverket har anfört att oav- sett om det finns ett gemensamt personuppgiftsansvar medlems- staterna emellan och om kommissionen bedöms vara gemensamt per- sonuppgiftsansvarig eller personuppgiftsbiträde till medlemsstaterna för den personuppgiftsbehandling som ska ske, tas it-systemen fram gemensamt av medlemsstaterna under ledning av kommissionen. Det finns då ett gemensamt ansvar för att systemen byggs med de funk- tioner som krävs enligt den allmänna dataskyddsförordningen, medan varje medlemsstats behöriga myndighet är personuppgiftsansvarig för de behandlingar som dess anställda utför i systemet. Det är därför svårt att bygga in ytterligare funktioner som följer av krav i nationell lag- stiftning, om det inte är möjligt att ha ett eget gränssnitt.

Regleringen i de nuvarande registerförfattningarna har enligt Tull- verket i praktiken resulterat i att myndigheten i vissa fall inte har kunnat följa tulldatabaslagen vid all behandling som myndigheten ut- för i de fall regleringen gått längre än den allmänna dataskyddsregler- ingen. Dessutom ställer den materiella EU-rättsliga tullagstiftningen krav på behandling som inte i alla delar är förenlig med regleringen i tulldatabaslagen, exempelvis krav på riskanalyser som inte är fören- liga med sökbegränsningarna i tulldatabaslagen. Tullverket har också uppgett att det inte står helt klart om uppgifter som behandlas i EU- gemensamma system ska anses vara en del av tulldatabasen eller inte, vilket i dag är relevant för tillämpligheten av vissa regler i tulldatabas- lagen, t.ex. om behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott. Det finns sär- skilda system där tullmyndigheterna inom EU delar olika former av risker för överträdelser, bl.a. Customs Risk Management System (CRMS) och Automated Fingerprint Identification System (AFIS). I båda fallen kan det förekomma nämnda uppgifter, samtidigt som kopplingen till ett specifikt ärende inte nödvändigtvis förekommer. Att tulldatabaslagen omfattar uppgifter om juridiska personer inne- bär vidare problem främst vid viss vidarebehandling av uppgifter för exempelvis analyser och uppföljning på central nivå, där uppgifterna inte har koppling till fysiska personer utan enbart juridiska personer.

381

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Kommissionen och medlemsstater som inte har nationell lagstiftning med reglering gällande behandling av uppgifter om juridiska perso- ner har då inte någon särskild dataskyddslagstiftning att ta hänsyn till, medan Tullverket har att beakta tulldatabaslagens bestämmelser om ändamål, gallring, sökbegrepp och former för elektroniskt utläm- nande. Dataskyddsförordningen innehåller t.ex. inga fasta tidsgränser för hur länge uppgifter får behandlas vilket kan utgöra ett problem i förhållande till den nu gällande sektorspecifika regleringen. Sådana tidsgränser kan dock finnas i specifika EU-rättsakter, såsom t.ex. i arti- kel 113 i Kommissionens genomförandeförordning (EU) 2023/1070 av den 1 juni 2023 om tekniska arrangemang för utveckling, under- håll och användning av elektroniska system för utbyte och lagring av information enligt Europaparlamentets och rådets förordning (EU) nr 952/2013 (systemförordningen). Tullverket bedömer att skyddet för den personliga integriteten säkerställs redan genom bestämmel- ser i den allmänna dataskyddsförordningen med kompletterande all- män dataskyddslagstiftning.

Som ett exempel har Tullverket uppgett att alla utbyten av upp- gifter mellan berörda aktörer ska ske elektroniskt enligt artikel 6 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (tull- kodexen). Hur proceduren ska gå till är dessutom reglerat på en mycket detaljerad nivå vilket påverkar hur it-system behöver kunna utfor- mas. Det pågår inom EU och i medlemsstaterna för närvarande ett intensivt arbete för att genomföra digitaliseringen av informations- utbytet inom unionen. Det finns för närvarande cirka 15 EU-gemen- samma system reglerade i systemförordningen. Det finns också andra EU-gemensamma it-plattformar för olika former av samarbete som inte är reglerade i systemförordningen. Därutöver pågår arbete inom EU att med att utveckla analysförmåga på central nivå, dvs. på upp- gifter i centrala datalagringsplatser.

Tullverket har också uppgett att det blir alltmer vanligt med s.k. single window environments för tullmyndigheter inom EU, dvs. nationella miljöer med en enda kontaktpunkt. Det innebär att en uppgiftslämnare lämnar uppgifter som behövs för flera syften vid ett och samma tillfälle. Mottagaren är personuppgiftsansvarig för de be- handlingar den utför i sin egen verksamhet, men det är enligt Tull- verket inte självklart hur det förhåller sig med insamlande av upp- gifter som sker för andra myndigheters räkning. Om Tullverket ska

382

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

tillhandahålla system för att tillgodose andra myndigheter med upp- gifter kan fråga uppkomma om den aktuella behandlingen ryms inom Tullverkets verksamhet och om tulldatabaslagen i så fall är tillämplig på behandlingen. När uppgifter samlas in för andra myndigheters be- hov, finns det en risk att insamlingen och övrig behandling av upp- gifterna kan vara svår att förena med regleringen i tulldatabaslagen.

Kronofogdemyndighetens behov och uppfattning om den nuvarande regleringen

Kronofogdemyndigheten har förklarat att myndigheten i dag inte utför behandling i EU-gemensamma system varför det är svårt att dra några slutsatser i fråga om eventuella problem som den nuvarande formuleringen av tillämpningsområdet i kronofogdedatabaslagen kan innebära i detta avseende. Det kan dock enligt myndigheten inte ute- slutas att den i framtiden kommer att ställas inför samma problema- tik som Skatteverket och Tullverket i denna fråga, varför en ny regler- ing bör ta höjd för detta redan nu.

Behandling av personuppgifter i EU:s gemensamma informationssystem undantas från de nya lagarnas tillämpningsområden

Såväl Skatteverket som Tullverket bedriver i dag relativt omfattande gränsöverskridande verksamheter i vissa avseenden. Det förekom- mer även gränsöverskridande verksamhet vid Kronofogdemyndig- heten, även om det inte i dag medför behandling av personuppgifter i EU-gemensamma system.35 Sannolikt kommer den internationella verksamheten också att utökas ytterligare i framtiden.36 Mot denna bakgrund är det vår uppfattning att tillämpningsområdena måste for- muleras på ett sådant sätt att de inte innebär hinder för myndigheterna i deras internationella arbete. Frågan blir då hur detta lämpligen görs för att på ett ändamålsenligt sätt fungera i de aktuella verksamheterna.

Genom de sätt på vilka vi föreslår att beskattningsdatalagens, tull- datalagens och kronofogdedatalagens tillämpningsområden ska for-

35Se t.ex. Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gräns- överskridande skuldindrivning i mål och ärenden av privaträttslig natur.

36Se t.ex. EU-kommissionens förslag den 17 maj 2023 om en ny tullkodex och upphävande av förordningen (EU) 952/2013, 2023/0156 (COD).

383

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

muleras (se avsnitten 7.4.5, 7.4.7 och 7.4.8) är vår uppfattning att den behandling av personuppgifter som myndigheterna utför i EU-gemen- samma informationssystem tillsammans med andra medlemsstater i vart fall i vissa delar kan komma att omfattas av lagarna. Det skulle innebära att myndigheterna behöver tillämpa de föreslagna lagarna och dess sektorspecifika reglering, t.ex. avseende sökbegränsningar, även vid sådan behandling. Då vissa bestämmelser i de föreslagna lagarna går längre än dataskyddsförordningen är vi av uppfattningen att det, liksom i dag, kan uppstå vissa problem för myndigheterna inom ramen för EU-samarbetet. Mot bakgrund av hur regleringen gene- rellt föreslås utformas i de nya lagarna, vilket i högre grad närmar sig den allmänna dataskyddsregleringen i dataskyddsförordningen, kom- mer visserligen flera av de problem som Skatteverket och Tullverket har beskrivit finns med de nuvarande registerförfattningarna vid be- handling av personuppgifter i EU-gemensamma informationssystem inte längre att göra sig gällande. Som nämnts kommer det dock att finnas viss reglering som går längre än dataskyddsförordningen.

Mot bakgrund av detta och med beaktande av myndigheternas be- hov och problemformuleringar anser vi att det finns skäl att undanta behandling av personuppgifter i EU:s gemensamma informations- system från tillämpningsområdena i beskattningsdatalagen, tulldata- lagen och kronofogdedatalagen. Syftet med en sådan reglering är att säkerställa att Skatteverket, Tullverket och Kronofogdemyndigheten kan delta i det EU-gemensamma samarbetet på ett ändamålsenligt sätt utan obefogade hinder i nationell rätt.

Med EU:s gemensamma informationssystem avses ett system som används gemensamt av medlemsstaterna inom EU för insam- ling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Med behandling av uppgifter i sådana gemensamma system avses sådan behandling som myndigheterna utför i systemen av t.ex. uppgifter som berörda myn- digheter eller andra medlemsstaters myndigheter lämnar eller har lämnat över till systemen och som sedan finns där, visserligen åt- komliga för bl.a. Skatteverket eller Tullverket.

Undantaget avser alltså inte behandling av uppgifter som enbart utförs i Skatteverkets, Tullverkets eller Kronofogdemyndighetens egna interna system som inte är förvaltade och utformade av EU- kommissionen, något annat EU-organ eller av EU-kommissionen och medlemsstaterna gemensamt och där berörda myndigheter kan be-

384

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

stämma ändamålen och medlen för behandlingen. Med andra ord avser det system som inte förvaltas nationellt. Undantaget omfattar inte heller behandling av uppgifter som myndigheterna hämtar in från de EU-gemensamma systemen i syfte att behandlas inom myndig- heternas egna verksamhetssystem i enlighet med EU-rättslig regler- ing. Så länge berörda myndigheter behandlar uppgifterna och dessa inte tillgängliggörs i något av EU:s gemensamma informationssystem för behandling där är myndigheterna som utgångspunkt ansvariga för behandlingen enligt bestämmelserna i de föreslagna nationella data- skyddsrättsliga författningarna. När uppgifterna övergår till sådana EU-gemensamma informationssystem och behandlas i dessa gäller inte de föreslagna lagarna. Det kan dock fortfarande vara så att berörda myndigheter anses personuppgiftsansvariga för behandlingen även i de EU-gemensamma informationssystemen enligt t.ex. bestämmel- ser i materiell EU-rättslig reglering.37 Det föreslagna undantaget är alltså inte nödvändigtvis knutet till om berörda myndigheter är per- sonuppgiftsansvariga eller inte för en viss behandling av personuppgif- ter. Det väsentliga för de nya lagarnas tillämplighet är om uppgifterna behandlas i de EU-gemensamma informationssystemen. Det kan också vara så att samma uppgifter, oavsett på vilken grund de är inhämtade, kan behandlas i EU-gemensamma informationssystem och i de egna verksamhetssystemen vid en myndighet samtidigt. De nya lagarna kan alltså vara tillämpliga på samma uppgifter som samlats in enbart för att överföras till ett EU-gemensamt informationssystem, så länge uppgifterna även behandlas i myndighetens egna verksamhetssystem.

Utöver det som nu beskrivits om den föreslagna regleringens inne- börd är det inte möjligt att på ett mer exakt sätt beskriva när myndig- heterna utför en specifik behandling i ett visst EU-gemensamt infor- mationssystem på ett sätt som innebär att undantaget blir tillämpligt. Detta får i stället avgöras i den praktiska tillämpningen av bestäm- melsen.

Att behandling av personuppgifter i EU:s gemensamma informa- tionssystem föreslås undantas från lagarnas tillämpningsområden inne- bär inte att det kommer att saknas ett datarättsligt skydd för upp- gifterna. I första hand kommer EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det EU-gemensamma arbetet att gälla för behandlingen. Vi anser slutligen att det bör kunna antas att sådan behandling som myndigheterna till följd av materiell EU-

37Se t.ex. artikel 112 i systemförordningen.

385

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

rättslig reglering får eller ska utföra i EU:s gemensamma informa- tionssystem i sig är reglerat på ett sätt som är förenligt med EU:s data- skyddsförordning.

7.4.5Beskattningsdatalagens tillämpningsområde

Vårt förslag: Beskattningsdatalagen ska gälla vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet.

Lagen ska även gälla vid behandling av personuppgifter i Skatte- verkets verksamhet enligt

1.lagen (1991:1047) om sjuklön,

2.lagen (2007:324) om Skatteverkets hantering av vissa borge- närsuppgifter,

3.lagen (2013:948) om stöd vid korttidsarbete,

4.lagen (2020:548) om omställningsstöd, och

5.lagen (2023:230) om förfarande för elstöd till företag.

Med Skatteverkets beskattningsverksamhet ska enligt beskatt- ningsdatalagen avses

1.fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,

2.bestämmande av pensionsgrundande inkomst,

3.fastighetstaxering,

4.revision och annan analys eller kontroll,

5.tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,

6.fullgörande av förpliktelser som följer av internationella åtag- anden, och

7.annan liknande uppgift som Skatteverket ska utföra.

386

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Skälen för vårt förslag

Den nuvarande regleringen

I dag är skattedatabaslagen tillämplig vid behandling av personuppgif- ter i Skatteverkets beskattningsverksamhet och i verkets handlägg- ning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete, lagen (1991:1047) om sjuklön, lagen (2020:548) om omställningsstöd och lagen (2023:230) om förfarande för elstöd till företag.38 I lagen finns ingen uttrycklig definition av vad som innefattas i begreppet beskatt- ningsverksamhet.

När skattedatabaslagen infördes angavs endast att lagen var tillämp- lig vid behandling av personuppgifter i Skatteverkets beskattnings- verksamhet. Enligt förarbetena skulle lagen förutom de tidigare skatte- registren även omfatta det dåvarande fastighetstaxeringsregistret, gåvoskatteregistret, olika punktskatteregister samt tillfälliga register som inrättades vid revision och annan kontroll. I förarbetena gavs även redogörelser för vad dessa register fick innehålla.39 I den skatte- databaslag som sedan infördes, och som gäller även i dag, angavs sedan för vilka ändamål uppgifter fick behandlas i Skatteverkets beskattnings- verksamhet, samt vilka uppgifter som fick behandlas i beskattnings- databasen.

Skatteverkets verksamhet enligt de lagar som uttryckligen räknas upp i 1 kap. 1 § SdbL har succesivt lagts till i skattedatabaslagens till- lämpningsområde allteftersom myndigheten har fått nya uppgifter som medför ett behov av personuppgiftsbehandling. I samband med att Skatteverket tog över vissa uppgifter från Kronofogdemyndig- heten i fråga om borgenärsuppgifter skedde vissa ändringar i skatte- databaslagen av lagens tillämpningsområde, särskilda ändamål och databasreglering. Ändringen ansågs vara förenlig med den huvudsak- liga avgränsningen av skattedatabaslagens tillämpningsområde till Skatteverkets beskattningsverksamhet.40

Ett annat exempel är när Skatteverket fick i uppdrag att enligt lagen om sjuklön hantera uppgifter om sjuklönekostnader för att i huvudsak vidarebefordras till Försäkringskassan.41 Regeringen uttal-

381 kap. 1 § SdbL.

39Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 62–68 och

40Prop. 2006/07:99, En fristående kronofogdemyndighet m.m., s. 36 och 54–55.

4117 b och 17 c §§ lagen om sjuklön.

387

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

ade då att det var svårt att likna hanteringen av sådana uppgifter vid något av Skatteverkets övriga åligganden. Regeringen ansåg därför att verkets handläggning i samband med insamling av dessa uppgifter uttryckligen borde anges i lagens bestämmelse om tillämpningsområ- det, för att tydliggöra att hanteringen omfattades av detta. Vidare infördes ett särskilt ändamål för behandling av sådana uppgifter och en ny punkt i lagen som angav att sjuklönekostnad fick behandlas i beskattningsdatabasen.42

Ett ytterligare exempel är när det statliga omställningsstödet i lagen om omställningsstöd infördes för att kompensera företag som drab- bats av stora omsättningstapp till följd av spridningen av sjukdomen covid-19.43

Utöver att viss verksamhet har lagts till särskilt i tillämpnings- området för skattedatabaslagen, vid sidan av begreppet beskattnings- verksamhet, faller vissa andra delar av Skatteverkets verksamhet inom skattedatabaslagens tillämpningsområde trots att det inte utgör ett led i beskattningsförfarandet. Sådan verksamhet faller då inom ut- trycket beskattningsverksamhet.44 För att täcka in behandling av upp- gifter i sådan verksamhet, som ligger vid sidan av den egentliga be- skattningsverksamheten, har lagstiftaren infört särskilda ändamål. Ett exempel på ett sådant ändamål regleras i 1 kap. 4 § 5 SdbL som tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.45 Detta specifika ändamål omfattar bl.a. Skatteverkets till- synsverksamhet enligt alkohollagen (2010:1622). I detta fall har det alltså inte ansetts krävas någon ytterligare reglering avseende skatte- databaslagens tillämpningsområde i nuvarande 1 kap. 1 § SdbL, till skillnad från vad som ovan angetts om Skatteverkets uppgifter inom borgenärsområdet, hanteringen av uppgifter om sjuklönekostnader eller handläggningen av ärenden om omställningsstöd.

42Prop. 2014/15:1, Budgetpropositionen för 2015, s. 391–392.

43Se prop. 2019/20:181, Extra ändringsbudget för 2020 – Förstärkt stöd till välfärd och företag, insatser mot smittspridning och andra åtgärder med anledning av coronaviruset, s. 90–92.

44Prop. 2014/15:1, Budgetpropositionen för 2015, s. 392.

45Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124 och prop. 2014/15:1, Budgetpropositionen för 2015, s. 391.

388

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Den nya beskattningsdatalagens materiella tillämpningsområde

Den nya beskattningsdatalagen bör ha samma materiella tillämpnings- område som skattedatabaslagen. Beskattningsdatalagen föreslås därför omfatta behandling av personuppgifter i Skatteverkets beskattnings- verksamhet och i Skatteverkets verksamhet enligt lagen om sjuklön, lagen om Skatteverkets hantering av vissa borgenärsuppgifter, lagen om stöd vid korttidsarbete, lagen om omställningsstöd och lagen om förfarande för elstöd till företag. Detta ska enligt vår mening komma till uttryck direkt i lagtexten.

Som framgår ovan har viss verksamhet som inte utgör ett led i beskattningsförfarandet ändå ansetts ingå i begreppet beskattnings- verksamhet. Det har bl.a. tydliggjorts av lagens ändamålsbestämmel- ser och i viss mån av databasregleringen. I avsnitt 8.4.3 gör vi bedöm- ningen att den nya beskattningsdatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande skattedatabas- lagen. I avsnitt 9.4.2 föreslår vi vidare att den nuvarande regleringen av beskattningsdatabasen ska upphöra att gälla. I den nya beskatt- ningsdatalagen kommer det därmed inte att vara lika tydligt vad som omfattas av Skatteverkets beskattningsverksamhet. Mot denna bak- grund anser vi att det bör införas en reglering i anslutning till bestäm- melsen om beskattningsdatalagens tillämpningsområde som tydliggör vad som avses med beskattningsverksamhet i lagens materiella tillämp- ningsområde. På detta sätt kommer det fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde eller inskränka för vilka ändamål upp- gifter får behandlas i förhållande till vad som gäller enligt skattedata- baslagen i dag, med undantag för uppgifter om juridiska personer och avlidna (se avsnitten 7.4.2 och 7.4.3). Regleringen ska därför ha sin ut- gångspunkt i för vilka primära ändamål uppgifter får behandlas enligt skattedatabaslagen i dag, vilket regleras i 1 kap. 4 § SdbL. Samtliga dessa ändamål får antas ha ansetts vara så näraliggande beskattnings- förfarandet att de kan omfattas av regleringen i skattedatabaslagen. I det följande behandlas vad som i den nya beskattningsdatalagen ska avses med Skatteverkets beskattningsverksamhet och våra bedöm- ningar av vad som uttryckligen behöver anges i lagen.

389

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Vad innefattas i Skatteverkets beskattningsverksamhet enligt den nya beskattningsdatalagen?

Med beskattningsverksamhet ska i beskattningsdatalagen för det första avses fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Detta knyter an till sådan verksamhet som är ett led i beskattningsförfarandet. Be- greppet betalning av skatt omfattar även ärenden om ackord.46

Vidare ska det anges att med beskattningsverksamhet avses be- stämmande av pensionsgrundande inkomst och fastighetstaxering. När dessa punkter togs med i den nuvarande 1 kap. 4 § SdbL uttalade regeringen att det var nödvändigt att ange dem som särskilda ända- mål då de inte alltid utgjorde ett led i beskattningsförfarandet.47 Vi an- ser mot denna bakgrund att det finns skäl att förtydliga att utföran- det av sådana uppgifter ingår i Skatteverkets beskattningsverksamhet.

Det ska vidare tydliggöras att revision och annan analys eller kon- troll ingår i Skatteverkets beskattningsverksamhet. Det utgör en stor och nödvändig del av Skatteverkets verksamhet. Det ligger också ofta till grund för bl.a. myndighetens bestämmande av skatter och avgifter.

Därutöver ska tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning anges i regleringen. Sådan verksamhet utgör inte heller ett direkt led i beskattningsförfarandet, men har en stark koppling till beskattningsverksamheten.48 Med sådan verksamhet som ska anges i den nya lagens tillämpningsområde avses t.ex. Skatte- verkets uppgifter med viss tillsyn enligt alkohollagen49 eller Skatte- verkets ansvar för att fatta beslut om godkännande av upplagshavare, registrerad varumottagare, tillfälligt registrerad varumottagare, regi- strerad avsändare eller skatteupplag enligt lagen (2022:155) om tobaks- skatt.50 Enligt skatteförfarandelagen (2011:1244), SFL, ska Skatte- verket även t.ex. pröva och godkänna den som uppger sig bedriva eller ha för avsikt att bedriva näringsverksamhet i Sverige för F-skatt, vari ingår en viss lämplighetsprövning.51 Skatteverket utför även lämp- lighetsprövningar inför godkännande av deklarationsombud.52

46Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.

47Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.

48Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124.

49Se 9 kap. 4 § alkohollagen.

50Se 3 kap. 17 § lagen om tobaksskatt.

519 kap. 1 och 2 §§ SFL.

526 kap. 6 och 7 §§ SFL.

390

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Vidare ska det uttryckligen anges att med beskattningsverksam- het avses fullgörande av förpliktelser som följer av internationella åtaganden. Det tydliggör att även Skatteverkets skyldigheter enligt bl.a. EU-rättslig lagstiftning, såsom på mervärdesskatteområdet och punktskatteområdet, innefattas i begreppet beskattningsverksamhet.

Slutligen anser vi att det ska anges att med beskattningsverksam- het avses annan liknande uppgift än de ovan uppräknade som Skatte- verket ska utföra. Med denna lydelse avses ytterligare andra upp- gifter som Skatteverket ska utföra, och som kan anses ha en koppling till beskattningsverksamheten som den definierats i den nu gällande skattedatabaslagen utan att utgöra ett led i beskattningsförfarandet. Avsikten är att sådana uppgifter ska omfattas av tillämpningsområ- det genom att de ingår i begreppet beskattningsverksamhet. I detta ingår också uppgifter med koppling till beskattningsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myn- dighetsförordningen (2007:515). På detta sätt behöver ändringar i be- skattningsdatalagen inte göras varje gång Skatteverket åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. hand- läggning av ärenden enligt en viss materiell lagstiftning inte uttryck- ligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska behandlas automa- tiserat enligt den nya lagen.

Ytterst blir det en fråga för lagstiftaren att avgöra den precisa gräns- dragningen i fråga om en viss ny uppgift faller in under beskattnings- datalagen, eller om tillämpningsområdet behöver utökas. Det kan göras genom att lägga till ytterligare en uttrycklig verksamhet i bestämmel- sen om tillämpningsområdet, såsom skedde avseende t.ex. lagen om omställningsstöd, eller ett tillägg till definitionen av beskattnings- verksamhet. I andra fall kommer det inte att behövas någon sådan ut- trycklig reglering, utan lagstiftaren kan i stället konstatera att det redan faller inom någon av punkterna som föreslås tydliggöra vad som avses med Skatteverkets beskattningsverksamhet. Det är dock en be- dömning som får göras från fall till fall när Skatteverket får nya upp- gifter att utföra som medför behandling av personuppgifter. Som framgår ovan gäller redan en liknande systematik i dag i fråga om till- lämpningsområdet och tillåtna ändamål för behandling.

Vissa mindre utökade uppdrag till Skatteverket kan komma att anses ingå i beskattningsverksamheten om personuppgiftsbehand- lingen utförs som ett led i att t.ex. bestämma pensionsgrundande in-

391

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

komst. Ett annat exempel är om nya uppdrag innebär att Skatte- verket ska ta emot viss information för vidarebefordran till någon annan myndighet. I vissa fall kan utförandet av sådana uppgifter komma att anses falla in under begreppet annan liknande uppgift som Skatte- verket ska utföra om det finns en koppling till beskattningsverksam- heten. I annat fall kan tillämpningsområdet komma att behöva utökas.

Som ett exempel på befintliga förslag om åläggande av nya upp- gifter som Skatteverket kan komma att utföra, och som skulle kunna tänkas leda till att tillämpningsområdet för den nya lagen behöver ut- ökas, kan nämnas ett delbetänkande av 2022 års skatteförfarandeutred- ning – åtgärder mot fusk och arbetslivskriminalitet. Förslagen innebär bl.a. att arbetsgivare ska lämna uppgifter per betalningsmottagare om frånvaro av vissa skäl i samband med arbetsgivardeklarationen, vilket skulle medföra att Skatteverkets behandling av personuppgifter kom- mer att utökas. Uppgifterna ska sedan tillhandahållas Försäkrings- kassan. Utredningen anförde att det fanns en särskild likhet med de uppgifter om kostnad för sjuklön som lämnas i samband med arbets- givardeklarationen enligt 17 b § lagen om sjuklön och som vidare- befordras av Skatteverket till Försäkringskassan. Sådan handläggning omfattas i dag särskilt av skattedatabaslagen. Mot den bakgrunden ansåg utredningen att även förslaget om behandlingen av frånvaro- uppgifterna uttryckligen skulle anges i skattedatabaslagen.53

Beskattningsverksamheten i övrigt

I 1 kap. 4 § 6 b SdbL anges handläggning av andra frågor om ansvar för någon annans skatter och avgifter som ett särskilt ändamål. Betal- ningsansvar för annans skatter och avgifter kan t.ex. handla om an- svar när skatteavdrag inte har gjorts med rätt belopp eller om betal- ningsmottagarens ansvar för arbetsgivaravgifter i vissa fall. Vi anser att sådan verksamhet får anses vara närliggande den föreslagna punkten om fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Även om verk- samheten inte utgör ett direkt led i beskattningsförfarandet bör den därför anses omfattas av den föreslagna punkten annan liknande upp- gift som Skatteverket ska utföra. Det behöver därmed inte uttryck-

53SOU 2023:47, En utvecklad arbetsgivardeklaration – åtgärder mot missbruk av välfärdssyste- men, s. 270–271.

392

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

ligen anges i den nya lagen att med beskattningsverksamhet avses i lagen Skatteverkets handläggning av andra frågor om ansvar för någon annans skatter och avgifter.

I 1 kap. 4 § 6 c SdbL föreskrivs i dag handläggning enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. SFL som ett särskilt ändamål. Paragrafen änd- rades för att tillåta Skatteverket att behandla uppgifter för tillhanda- hållande av information som behövdes hos Skatteverket för handlägg- ning enligt den då nya lagen om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. SFL.54 Ändringarna gjordes i samband med införandet av de författningar som krävdes för att bl.a. införliva OECD:s globala standard för automatiskt utbyte av upplys- ningar om finansiella konton samt för att genomföra rådets direktiv 2014/107/EU av den 9 december 2014 om ändring av direktivet 2011/16/EU vad gäller obligatoriskt automatiskt utbyte av upplys- ningar i fråga om beskattning. I den nya beskattningsdatalagen kom- mer det att anges att med beskattningsverksamhet avses fullgörande av förpliktelser som följer av internationella åtaganden. Vi anser att det därför inte särskilt behöver anges att med beskattningsverksam- het avses t.ex. handläggning enligt lagen om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. SFL. Skatteverkets åligganden enligt dessa regleringar bedöms även falla in under den före- slagna punkten annan liknande uppgift som Skatteverket ska utföra.

Vidare omfattar 1 kap. 4 § 6 d SdbL i dag handläggning enligt lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet och 33 a kap. SFL. Ändamålet infördes i samband med bl.a. genomförande av OECD:s standard för dokumentation vid in- ternprissättning och land-för-land-rapportering samt genomförande av EU-direktivet om ändring i rådets direktiv 2011/16/EU om admi- nistrativt samarbete i fråga om beskattning, avseende land-för-land- rapportering (DAC 4). I förarbetena anges som motiv till ändringen att land-för-land-rapporterna skulle lämnas in till Skatteverket och eftersom Skatteverket skulle hantera rapporterna borde en ändring göras i skattedatabaslagen.55 Vi anser att det inte särskilt behöver an- ges i beskattningsdatalagen att med beskattningsverksamhet avses handläggning enligt lagen om automatiskt utbyte av land-för-land-

54Prop. 2015/16:29, En global standard för automatiskt utbyte av upplysningar om finansiella konton, s. 119 och 209.

55Prop. 2016/17:47, Dokumentation vid internprissättning och land-för-land-rapportering på skatte- området, s. 62 och 83.

393

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

rapporter på skatteområdet och 33 a kap. SFL då det bedöms falla in under punkterna fullgörande av förpliktelser som följer av interna- tionella åtaganden samt annan liknande uppgift som Skatteverket ska utföra.

I 1 kap. 4 § 6 d föreskrivs att uppgifter får behandlas för att till- handahålla information som behövs hos Skatteverket för handlägg- ning enligt 33 b kap. SFL. Ändringen genomfördes i samband med genomförandet av rådets direktiv (EU) 2018/822 av den 25 maj 2018 om ändring av direktiv 2011/16/EU vad gäller obligatoriskt automa- tiskt utbyte av upplysningar i fråga om beskattning som rör rappor- teringspliktiga gränsöverskridande arrangemang (DAC 6). Syftet med direktivet är bl.a. att ge skattemyndigheterna tidig information om nya former av aggressiv skatteplanering och i vilken utsträckning de används. I samband med ändringen i skattedatabaslagen uttalade reger- ingen att det kunde ifrågasättas om inte den behandling av uppgifter som den föreslagna regleringen i 33 b kap. SFL gav upphov till hos Skatteverket i sin helhet omfattades av de befintliga ändamålen om revision och annan analys- eller kontrollverksamhet samt för fullgör- ande av ett åliggande som följer av ett för Sverige bindande interna- tionellt åtagande. För att säkerställa att uppgifterna fick behandlas för berörda ändamål ansåg regeringen dock att det borde införas en ny ändamålsbestämmelse i 1 kap. 4 § SdbL som uttryckligen angav att uppgifter även fick behandlas för att tillhandahålla information som behövdes hos Skatteverket för handläggning enligt 33 b kap. SFL.56

I likhet med vad som anförs ovan om andra uppgifter Skatteverket har att utföra enligt EU-rättslig reglering anser vi att Skatteverkets handläggning enligt 33 b kap. SFL får anses falla under begreppet be- skattningsverksamhet i den nya lagen genom att det avser fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Som föreslås ovan kommer det även anges att med beskatt- ningsverksamhet avses revision och annan analys eller kontroll. Mot denna bakgrund anser vi att det inte särskilt behöver anges att lagen omfattar myndighetens handläggning enligt 33 b kap. skatteförfar- andelagen.

I 1 kap. 4 § 6 g SdbL anges handläggning enligt lagen (2022:1681) om plattformsoperatörers inhämtande av vissa uppgifter på skatte- området, lagen (2022:1682) om automatiskt utbyte av upplysningar

56Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 174.

394

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

om inkomster genom digitala plattformar och 22 c kap. SFL som ytterligare ett särskilt ändamål. Även detta ändamål infördes till följd av EU-rättslig reglering, nämligen i samband med genomförandet av rådets direktiv (EU) 2021/514 av den 22 mars 2021 om ändring av direktiv 2011/16/EU om administrativt samarbete i fråga om beskatt- ning. I likhet med andra nya ändamålsbestämmelser som redogörs för ovan infördes det aktuella ändamålet av tydlighetsskäl. I samband härmed anförde regeringen att det kunde ifrågasättas om det dock inte redan omfattades av ändamålen i den nuvarande 1 kap. 4 § 1, 4 och 7 SdbL.57 Av samma skäl som enligt våra bedömningar ovan av- seende de nuvarande särskilda ändamålen som knyter an till EU-rätts- lig reglering anser vi att motsvarande ändamål som i dag anges i 1 kap. 4 § 6 g SdbL inte behöver anges särskilt i den nya beskattningsdata- lagen för att det ska vara tillräckligt tydligt att sådan verksamhet om- fattas av Skatteverkets beskattningsverksamhet.

Vidare finns i 1 kap. 4 § 8 ett särskilt ändamål som avser hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige. Ändamålet infördes i samband med genomförande av Europaparla- mentets och rådets direktiv 2009/52/EG av den 18 juni 2009 om mini- mistandarder för sanktioner och åtgärder mot arbetsgivare för tredje- landsmedborgare som vistas olagligt (sanktionsdirektivet). Skatte- verket utsågs då till behörig myndighet att motta underrättelser från arbetsgivare om anställning av utlänningar. Regeringen uttalade i för- arbetena att Skatteverkets uppgift enligt föreslagen lagstiftning huvud- sakligen skulle komma att vara att registrera uppgifter som eventuellt kunde behövas för handläggning av annan myndighets utrednings- ärenden. Troligen skulle dock endast ett mindre antal av de registre- rade uppgifterna komma att användas av andra myndigheter. Upp- gifterna skulle således inte komma att regelmässigt användas av andra myndigheter. Ändamålet med Skatteverkets behandling av uppgifterna kunde därför enligt regeringen varken sägas vara av rent primär eller sekundär karaktär. För att syftet med behandlingen av uppgifterna skulle kunna uppfyllas krävdes enligt regeringen att Skatteverket kunde behandla även känsliga uppgifter. Ändamålet borde därför en-

57Prop. 2022/23:6, Rapportering och utbyte av upplysningar om inkomster genom digitala platt- formar och vissa andra ändringar i EU:s direktiv om administrativt samarbete på direktskatte- området, s. 168.

395

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

ligt regeringen vara att klassificera som ett primärt sådant. Reger- ingen föreslog därför att en ny ändamålsbestämmelse skulle föras in i 1 kap. 4 § SdbL.58 Även Skatteverkets uppgifter enligt lagen om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige får enligt vår mening anses falla in under fullgörande av förpliktelser som följer av internationella åtaganden och annan liknande uppgift som Skatteverket ska utföra. Det behö- ver därför inte tydliggöras särskilt i den nya lagens tillämpnings- område.

I dag anges även tillsyn, kontroll, uppföljning och planering av verksamheten som ett särskilt ändamål i 1 kap. 4 § 10 SdbL. I för- arbetena anges att Skatteverket skulle ha möjlighet att som ett led i beskattningsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden. Vad som avsågs var alltså intern kontroll av och tillsyn över den löpande verksamheten, i motsats till extern kontroll och tillsyn.59 I förarbetena till dataskyddslagen ut- talade regeringen att alla myndigheter, såväl statliga som kommunala, vidtar en rad administrativa åtgärder som krävs för att myndigheten ska fungera. Som exempel nämndes bl.a. olika former av uppföljning och utvärdering av den egna verksamheten. Vidare uttalade regeringen att behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvalt- ning och funktion är rättsligt grundad enligt dataskyddsförordningen och det krävs inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt.60

Vi anser att sådana åtgärder inte utgör en så fristående del av Skatte- verkets verksamhet att det särskilt behöver anges i regleringen av be- skattningsdatalagens tillämpningsområde. Det är i stället den verksam- het som följer av den materiella verksamhetsregleringen som medför ett behov av att tydliggöra omfattningen av tillämpningsområdet. När sådana mer administrativa åtgärder utförs som ett led i t.ex. Skatte- verkets beskattningsverksamhet ska dock den föreslagna regleringen i beskattningsdatalagen tillämpas vid behandling av personuppgifter.

58Prop. 2012/13:125, Genomförande av direktivet om sanktioner mot arbetsgivare, s. 37–38.

59Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124.

60Prop. 2017/18:105, Ny dataskyddslag, s. 60–61.

396

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

7.4.6Folkbokföringsdatalagens tillämpningsområde

Vårt förslag: Folkbokföringsdatalagen ska gälla vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.

Med Skatteverkets folkbokföringsverksamhet ska enligt folk- bokföringsdatalagen avses

1.folkbokföring,

2.samordningsnummer,

3.samordnad behandling, kontroll och analys av identifierings- uppgifter för fysiska personer och av andra folkbokförings- uppgifter,

4.framställning av personbevis och andra registerutdrag,

5.aktualisering, komplettering och kontroll av personuppgifter,

6.uttag av urval av personuppgifter, och

7.annan liknande uppgift som Skatteverket ska utföra.

Vår bedömning: Folkbokföringsdatalagen bör inte omfatta be- handling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer.

Skälen för vårt förslag och vår bedömning

Den nuvarande regleringen

Den nu gällande folkbokföringsdatabaslagen är tillämplig vid be- handling av personuppgifter i Skatteverkets folkbokföringsverksam- het. Lagen gäller också vid behandling av personuppgifter i pass- myndigheternas verksamhet som rör identitetskontroller enligt lagen (2022:1697) om samordningsnummer.61 Frågan om den nya folkbok- föringsdatalagen bör omfatta behandling av personuppgifter i pass- myndigheternas verksamhet, vilket nyligen lades till i folkbokförings- databaslagens tillämpningsområde62, behandlas särskilt nedan. I övrigt har tillämpningsområdet för folkbokföringsdatabaslagen inte utvid-

611 kap. 1 § första och andra styckena FdbL.

62Se prop. 2021/22:276, bet. 2022/23:SkU4, rskr. 2022/23:40.

397

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

gats utöver att lagen gäller i Skatteverkets folkbokföringsverksam- het sedan den trädde i kraft 1 oktober 2001.

När folkbokföringsdatabaslagen infördes uttalade regeringen att lagen skulle omfatta behandling av personuppgifter för folkbokför- ingsverksamheten och aviseringsverksamheten.63 Då gällde enligt 2 § lagen (1990:1536) om folkbokföringsregister att folkbokförings- registren fick användas för samordning av identifieringsuppgifter för fysiska personer och andra folkbokföringsuppgifter, handläggning av folkbokföringsärenden, framställning av personbevis och andra registerutdrag samt uttag av folklängder och andra samlingar av upp- gifter för förvaring hos statliga arkivmyndigheter. Vidare fick aviser- ingsregistret enligt 2 § lagen (1995:743) om aviseringsregister an- vändas för aktualisering, komplettering och kontroll av samt uttag av urval av personuppgifter. Aviseringsregistret fick i huvudsak endast användas av myndigheter. Regeringen fick dock föreskriva att även annan än myndighet får använda registret. Med stöd härav hade reger- ingen föreskrivit att registret fick användas av Svenska kyrkan.

Folkbokföringsdatabaslagen innehåller inte någon definition av vad som avses med folkbokföringsverksamhet. En definition av folk- bokföring finns dock i dag i 1 kap. 1 § folkbokföringslagen (1991:481), FOL. Enligt denna innebär folkbokföring enligt den lagen faststäl- lande av en persons bosättning samt registrering av de uppgifter om personen som enligt folkbokföringsdatabaslagen får förekomma i folkbokföringsdatabasen. Att Skatteverkets folkbokföringsverksam- het är ett vidare begrepp än folkbokföring och även innefattar myn- dighetens befattning med registrering av uppgifter om personer med samordningsnummer framgår av folkbokföringsdatabaslagen.64 Vilka uppgifter som får förekomma i folkbokföringsdatabasen anges i dag i 2 kap. 2–5 §§ FdbL.

Den legala definitionen av folkbokföring hänvisar alltså i dag till vad som framgår av databasregleringen. I avsnitt 9.4.5 föreslår vi att den legala definitionen av folkbokföring i stället ska framgå av folk- bokföringslagen, genom att en ny bestämmelse införs i den lagen, som motsvarar vad som gäller enligt databasregleringen. Det innebär att folkbokföringsdatalagen inte i sig själv kommer att utgöra en rätts- lig grund för behandling av personuppgifter på det sätt som folkbok- föringsdatabaslagen gör i dag.

63Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 139.

64Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 43–44.

398

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Den nya folkbokföringsdatalagens materiella tillämpningsområde

Den nya folkbokföringsdatalagen bör ha samma materiella tillämp- ningsområde som folkbokföringsdatabaslagen, med undantag för viss verksamhet som utförs av passmyndigheterna vilket behandlas när- mare nedan. Folkbokföringsdatalagen föreslås därför omfatta behand- ling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Detta ska enligt vår mening komma till uttryck direkt i lagtexten.

I likhet med övriga berörda myndigheters verksamheter gör vi i avsnitt 8.4.3 bedömningen att den nya folkbokföringsdatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande folkbokföringsdatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att dagens databasreglering ska upphöra att gälla. I jämförelse med vad som ovan redogörs för i fråga om Skatteverkets beskattningsverk- samhet kommer det inte leda till lika stora otydligheter avseende vad som kommer att omfattas av den nya lagen. Även i den nuvarande folkbokföringsdatabaslagen kan det dock av regleringens tillämpnings- område sett tillsammans med för vilka ändamål uppgifter får behand- las sägas framgå tydligare vad personuppgiftsbehandlingen i folkbok- föringsverksamheten omfattar.

Med anledning av att vi föreslår att ändamålsregleringen inte ska överföras till den nya lagen på det detaljerade sätt som finns i dag an- ser vi dock att det även i folkbokföringsdatalagen bör införas en re- glering i anslutning till bestämmelsen om lagens tillämpningsområde som tydliggör vad som avses med folkbokföringsverksamhet i lagen. På detta sätt kommer det fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt folkbokföringsdata- baslagen i dag, med de undantag som nämns ovan. Regleringen ska därför ha sin utgångspunkt i för vilka primära ändamål uppgifter får behandlas enligt folkbokföringsdatabaslagen i dag, vilket regleras i 1 kap. 4 § FdbL. I det följande behandlas vad som i den nya folkbok- föringsdatalagen ska avses med Skatteverkets folkbokföringsverksam- het och våra bedömningar av vad som uttryckligen behöver anges i lagen.

399

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Vad innefattas i Skatteverkets folkbokföringsverksamhet?

I folkbokföringsdatalagen ska för det första anges att Skatteverkets folkbokföringsverksamhet avser folkbokföring och samordnings- nummer. Detta anges inte i dag som särskilda ändamål i 1 kap. 4 § FdbL men omfattas av den nuvarande databasregleringen i 2 kap. 3 § FdbL. I avsnitt 9.4.5 föreslår vi ändringar i folkbokföringslagen av- seende bestämmelsen i 1 § FOL som i dag reglerar vad som avses med folkbokföring enligt den lagen. Vår avsikt är att begreppet folkbok- föring i folkbokföringsdatalagen ska ha samma innebörd som i folk- bokföringslagen. Folkbokföring kommer med våra förslag att inne- bära fastställande av en persons bosättning samt registrering av de upp- gifter om denne som får registreras enligt den föreslagna bestämmel- sen i 1 a § FOL.

Inom Skatteverkets folkbokföringsverksamhet handläggs emeller- tid även ärenden som har annan materiell grund än folkbokförings- lagen. Det rör t.ex. myndighetens prövning av ansökningar om för- värv eller ändring av ett personnamn enligt lagen (2016:1013) om personnamn eller av om det finns något hinder mot att ett äktenskap ingås enligt 3 kap. äktenskapsbalken.65 Prövning av sådana andra typer av ärenden, som ingår i folkbokföringsverksamheten, faller i dag in under ändamålet handläggning av folkbokföringsärenden i 1 kap. 4 § första stycket 2 FdbL. Regeringen anförde i förarbetena till lagen om samordningsnummer att med anledning av förslaget att de bestäm- melser som reglerade samordningsnummer skulle utmönstras ur folk- bokföringslagen och föras in i en egen författning var det angeläget att i det sammanhanget i folkbokföringslagen också återställa inne- börden av begreppet folkbokföring till fastställande av en persons bo- sättning och registrering av de uppgifter om denne som får förekom- ma i folkbokföringsdatabasen.66 En ändring av 1 § FOL har sedan dess införts. Vi föreslår som tidigare nämnts att den paragrafen ska justeras genom att bl.a. hänvisningen till folkbokföringsverksamhetens registerlag tas bort och att det införs en ny reglering i folkbokförings- lagen. De beslut som Skatteverket fattar enligt t.ex. lagen om person- namn innebär inte i sig själva registrering av vissa uppgifter om den aktuella personen, även om exempelvis ett bifall av en ansökan om att byta personnamn också leder till ändrad registrering i folkbok-

65Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 68.

66Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 43.

400

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

föringen (jfr 2 § FdbF). Inte heller t.ex. ärenden om hinderspröv- ning enligt äktenskapsbalken inför ingående av äktenskap leder i sig till registrering i folkbokföringen.

För att följa lagstiftarens intentioner avseende vad som innefattas i begreppet folkbokföring respektive folkbokföringsverksamhet anser vi att t.ex. handläggning av ärenden som rent faktiskt inte avser fastställande av en persons bosättning eller registrering av uppgifter om denne som får registreras inte ska anses ingå i begreppet folk- bokföring i den nya lagen. Sådana ärenden får enligt vår uppfattning anses ingå i det vidare begreppet folkbokföringsverksamhet (se nedan).

Vidare anges i dag i 1 kap. 1 § lagen om samordningsnummer att ett samordningsnummer är en identitetsbeteckning för den som inte är eller har varit folkbokförd i Sverige. Med samordningsnummer i folkbokföringsdatalagen ska avses samma sak som i lagen om samord- ningsnummer.

Vi föreslår också att det i den nya lagen ska anges att folkbokför- ingsverksamhet avser samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokför- ingsuppgifter. Motsvarande lydelse finns i dag i 1 kap. 4 § första stycket 1 FdbL. I förarbetena till ändamålsbestämmelsen uttalade regeringen att det inom ramen för folkbokföringsverksamheten ingick att full- göra vissa kvalitetskontroller när uppgifter skulle registreras i data- basen samt göra kontroller och analyser av riktigheten av registrerade uppgifter. Kontroll av uppgifter om identitet, bosättning och familje- rättsliga förhållanden ansågs enligt regeringen vara en viktig del av folk- bokföringsverksamheten. Detta förutsatte bl.a. att urvalskontroller gjordes, dvs. analyser av vilka personer som skulle granskas. Reger- ingen bedömde att denna verksamhet borde framgå av ändamåls- bestämmelsen på motsvarande sätt som gällde för beskattningsverk- samheten.67 För att det ska vara tydligt att folkbokföringsdatalagen gäller när Skatteverket behandlar personuppgifter vid utförandet av sådana uppgifter anser vi att det finns skäl att uttryckligen ange att detta är en del av folkbokföringsverksamheten och därmed även den nya lagens tillämpningsområde.

Vi anser också att det uttryckligen ska framgå att med folkbok- föringsverksamhet avses framställning av personbevis och andra regis- terutdrag, vilket anges som ett särskilt ändamål i 1 kap. 4 § första stycket 4 i dag. Det särskilda ändamålet har som ovan framgår sitt

67Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140.

401

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

ursprung i den tidigare gällande lagen om folkbokföringsregister. Punkten införs i tillämpningsområdet för att det ska vara tydligt att den nya lagen omfattar sådan personuppgiftsbehandling som behö- ver utföras till följd av Skatteverkets uppgifter i denna del och att det är en del av folkbokföringsverksamheten.

Det ska också anges att begreppet folkbokföringsverksamhet omfattar aktualisering, komplettering och kontroll av personuppgifter samt uttag av urval av personuppgifter. Även detta anges som sär- skilda ändamål i dag (1 kap. 4 § första stycket 5 och 6 FdbL). Ända- målen fanns ursprungligen i den tidigare gällande lagen om aviserings- register, vilket reglerade ett register som syftade till tillhandahållande av folkbokföringsuppgifter för hela landet.68 Att folkbokföringen fortsatt har i uppdrag att förse andra med folkbokföringsuppgifter framgår bl.a. av 2 § förordningen (2017:154) med instruktion för Skatteverket. Där anges bl.a. att uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhål- landen så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Sådan verksamhet som här avses ingår i folkbokförings- verksamheten även i dag. För att det ska vara tydligt att Skatteverket ska utföra aktuella uppgifter inom folkbokföringsverksamheten finner

viskäl att föreslå att det uttryckligen ska framgå i regleringen av den nya folkbokföringsdatalagens tillämpningsområde.

Slutligen anser vi att det ska anges att med folkbokföringsverksam- het avses annan liknande uppgift än de ovan uppräknade som Skatte- verket ska utföra. Med denna lydelse avses ytterligare andra uppgifter som Skatteverket ska utföra, och som kan anses ha en så nära koppling till de övriga punkterna om vad som utgör folkbokföringsverksamhet att det inte behöver anges särskilt. Avsikten är, på samma sätt som ovan anges avseende beskattningsverksamheten, att sådana uppgifter ska omfattas av tillämpningsområdet genom att de avser folkbokför- ingsverksamhet. I detta ingår också uppgifter med koppling till folk- bokföringsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen. På detta sätt behöver ändringar i folkbokföringsdatalagen inte göras varje gång Skatteverket åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ärenden enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska be-

681 § lagen om aviseringsregister.

402

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

handlas automatiserat enligt den nya lagen. På samma sätt som anges ovan i avsnitt 7.4.5 avseende beskattningsverksamheten blir det ytterst en fråga för lagstiftaren att avgöra den precisa gränsdragningen

ifråga om en viss ny uppgift faller in under folkbokföringsdatalagen, eller om tillämpningsområdet behöver utökas.

Som ett exempel på annan liknande uppgift som Skatteverket ska utföra inom folkbokföringsverksamheten men som vi inte anser behöver anges uttryckligen är handläggning av folkbokföringsärenden enligt den materiella regleringen av detta (se vidare nedan). Vidare finns vissa typer av ärenden som Skatteverket handlägger inom ramen för folkbokföringsverksamheten vilka har sin materiella grund även

iannan lagstiftning än folkbokföringslagen. Det handlar t.ex. som ovan nämnts om bestämmelser i lagen om personnamn avseende myn- dighetens prövning av frågor rörande personnamn och i äktenskaps- balken i fråga om myndighetens prövning av äktenskapshinder. Även handläggning av sådana ärenden omfattas av den nya lagens tillämp- ningsområde.

Folkbokföringsverksamheten i övrigt

I dag finns ett särskilt ändamål i 1 kap. 4 § första stycket 2 som före- skriver att uppgifter får behandlas för att tillhandahålla information som behövs för handläggning av folkbokföringsärenden. Skatteverkets handläggning av folkbokföringsärenden enligt den materiella regler- ingen om detta i bl.a. folkbokföringslagen får anses vara ett naturligt led i myndighetens folkbokföringsverksamhet. Detsamma gäller egent- ligen all handläggning av ärenden som utförs av Skatteverkets folkbok- föringsverksamhet. Vi anser därför att det inte uttryckligen behöver anges för att det ska vara tydligt att folkbokföringsdatalagen även om- fattar sådana åtgärder.

I 1 kap. 4 § första stycket 3 anges att uppgifter får behandlas för fullgörande av underrättelseskyldighet enligt lag eller förordning. Vi anser att detta är en så integrerad del av folkbokföringsverksamheten att det inte särskilt behöver anges som en del av tillämpningsområdet. Det kommer vidare att framgå av 7 § i den föreslagna folkbokförings- datalagen att uppgifter får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

403

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

I likhet med skattedatabaslagen innehåller den nuvarande folk- bokföringsdatabaslagen ett ändamål om tillsyn, kontroll, uppföljning och planering av folkbokföringsverksamheten (1 kap. 4 § första stycket 7). I förarbetena till den bestämmelsen angav regeringen att det dåvarande Riksskatteverket och skattemyndigheterna måste ha möjlighet att som ett led i folkbokföringsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp verksamheten och planera för åtgärder som ska vidtas i framtiden.69 Detta gör sig fortfarande gällande i Skatteverkets folkbokförings- verksamhet. Av samma skäl som ovan anförs i avsnitt 7.4.5 avseende beskattningsverksamheten anser vi att sådana åtgärder som rör Skatte- verkets egen interna verksamhet inte utgör en så fristående del att det särskilt behöver anges i regleringen av folkbokföringsdatalagens tillämpningsområde.

Folkbokföringsdatalagen bör inte omfatta personuppgiftsbehandling i viss del av passmyndigheternas verksamhet

Som redan nämnts omfattar folkbokföringsdatabaslagen i dag behand- ling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer (1 kap. 1 § FdbL). Tillämpningsområdet utökades på detta sätt när passmyndig- heterna gavs i uppgift att utföra vissa identitetskontroller i samband med bl.a. tilldelning av samordningsnummer som innebar att behand- ling av personuppgifter behövde utföras. Skatteverket och passmyndig- heterna ålades då att ansvara för den behandling av personuppgifter som respektive myndighet utför i detta sammanhang, vilket framgår av 1 kap. 5 § FdbL.70

I avsnitten 9.4.6 och 9.4.9 föreslår vi att vissa integritetshöjande bestämmelser avseende de aktuella personuppgifterna flyttas från data- skyddsregleringen för folkbokföringsverksamheten till den materiella regleringen av Skatteverkets verksamhet med folkbokföring respektive samordningsnummer. I avsnitt 7.6.2 gör vi därför bedömningen att det inte bör införas en reglering i den nya folkbokföringsdatalagen som motsvarar den nu gällande bestämmelsen i folkbokföringsdata- baslagen om att varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför

69Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140.

70Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 80–83.

404

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

enligt den lagen. Vi anser att det är tillräckligt att regleringen i data- skyddsförordningen och dataskyddslagen gäller för den behandling passmyndigheterna behöver utföra vid identitetskontroller i samband med bl.a. tilldelning av samordningsnummer. Denna bedömning med- för enligt vår mening att det inte finns något behov av att i den nya folkbokföringsdatalagens tillämpningsområde ange att den gäller vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer. Vi an- ser därför att en bestämmelse motsvarande den som finns i 1 kap. 1 § andra stycket FdbL inte bör införas i folkbokföringsdatalagen.

7.4.7Tulldatalagens tillämpningsområde

Vårt förslag: Tulldatalagen ska gälla vid behandling av person- uppgifter i Tullverkets verksamhet

1.med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter,

2.med övervakning, revision och annan analys eller kontroll,

3.i fråga om förbud och restriktioner i samband med in- och ut- försel av varor och i samband med att varor hänförs till ett tullförfarande,

4.med fullgörande av förpliktelser som följer av internationella åtaganden, och

5.med annan liknande uppgift som Tullverket ska utföra.

Bestämmelserna i tulldatalagen ska inte gälla vid behandling av personuppgifter som omfattas av lagen om Tullverkets behand- ling av personuppgifter inom brottsdatalagens område.

Skälen för vårt förslag

Den nuvarande regleringen

Av 1 kap. 1 § första stycket TDL framgår bl.a. att lagen är tillämplig vid behandling av personuppgifter i Tullverkets verksamhet. I för- arbetena till den nuvarande regleringen finns inte några utförliga redo-

405

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

görelser för vad som avsågs omfattas av begreppet Tullverkets verk- samhet. Lagen ersatte dock den tidigare tullregisterlagen (1990:137) som reglerade behandling av personuppgifter inom Tullverkets fiskala verksamhet. I en bestämmelse i lagens 2 § angavs vad tullregistret fick användas för, genom vilken det gick att utläsa vilken verksamhet som avsågs. Dessa bestämmelser om ändamål fördes i princip över till tulldatabaslagen endast med vissa redaktionella ändringar.71 Ut- över vissa justeringar av tulldatabaslagens tillämpningsområde i för- hållande till myndighetens brottsbekämpande verksamhet har änd- ringar inte gjorts sedan lagen infördes.

Den nya tulldatalagens materiella tillämpningsområde

Den nya tulldatalagen bör ha samma materiella tillämpningsområde som tulldatabaslagen. Tulldatalagen föreslås därför som utgångspunkt omfatta behandling av personuppgifter i Tullverkets verksamhet.

I likhet med övriga berörda myndigheters verksamheter gör vi i avsnitt 8.4.3 bedömningen att den nya tulldatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande tulldatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att dagens databas- reglering ska upphöra att gälla. Mot bakgrund av hur tulldatabaslagen är utformad i dag kan det komma att leda till vissa otydligheter av- seende vad som kommer att omfattas av den nya lagen. Med anled- ning av att vi föreslår att dagens detaljerade ändamålsreglering inte ska överföras till den nya lagen anser vi att det i tulldatalagen bör införas en reglering i anslutning till bestämmelsen om lagens tillämpnings- område som tydliggör vad som avses med Tullverkets verksamhet i lagen. På detta sätt kommer det enligt vår mening fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att för- ändra den nya lagens tillämpningsområde i fråga om vad som avses med Tullverkets verksamhet eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt tulldatabaslagen i dag. Regleringen ska därför ha sin utgångspunkt i för vilka primära ändamål uppgifter får behandlas enligt 1 kap. 4 § TDL. I det följande behandlas vad som i den nya tulldatalagen ska avses med Tullverkets verksamhet och våra bedömningar av vad som uttryckligen behöver anges i lagen.

71Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.

406

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Vad innefattas i Tullverkets verksamhet?

I bestämmelsen om tulldatalagens tillämpningsområde ska för det första anges att lagen gäller vid behandling av personuppgifter i Tull- verkets verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter. Det gör det tydligt att lagen omfattar utförandet av sådana uppgifter som är ett led i Tullverkets fiskala verksamhet. Lydelsen motsvarar vad som i dag anges som ett särskilt ändamål i 1 kap. 4 § 1 TDL.

Vidare bör det uttryckligen anges att tulldatalagen gäller i Tull- verkets verksamhet med övervakning, revision och annan analys eller kontroll. Detta utgör en stor och mycket nödvändig del av Tullverkets verksamhet och utfallet av sådana åtgärder ligger ofta till grund för bl.a. myndighetens bestämmande av tull, skatt och avgifter. Det finns därför skäl att tydliggöra att den behandling av personuppgifter som då behöver utföras omfattas av regleringen i tulldatalagen.

Vi anser att det också bör tydliggöras att Tullverkets verksamhet i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande omfattas av lagens tillämpningsområde. Detta anges inte som ett sär- skilt ändamål eller i någon annan bestämmelse i tulldatabaslagen i dag. Vårt förslag i denna del till förtydligande av att det omfattas av Tull- verkets verksamhet är en följd av de särskilda import- eller export- bestämmelser, dvs. restriktioner, som finns för vissa varor och som främst härrör från EU-rättslig reglering. För sådana varor krävs i vissa fall en licens eller ett tillstånd innan import är tillåten. Restrik- tionerna har bl.a. införts av handelspolitiska skäl, av hänsyn till miljön och människors hälsa eller säkerhet samt för att förhindra spridning av djur- och växtsjukdomar. Tullverkets uppgifter som är hänförliga till denna reglering utgör inte ett direkt eller närliggande led i verksam- heten med att säkerställa en korrekt uppbörd, men de kan anses falla under fullgörande av förpliktelser som följer av internationella åtag- anden (se nedan). För att tydligt knyta an till Tullverkets uppgifter att övervaka och kontrollera trafiken till och från Sverige så att be- stämmelser om in- och utförsel av varor följs72 anser vi dock att det finns skäl att tydliggöra att tulldatalagen även omfattar denna verk- samhet. Vi föreslår att det ska anges särskilt i lagen.

72Se 2 § förordningen (2016:1332) med instruktion för Tullverket.

407

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Vi föreslår också att det i lagen särskilt ska anges att den gäller vid behandling av personuppgifter i Tullverkets verksamhet med full- görande av förpliktelser som följer av internationella åtaganden. Mot- svarande anges i dag i ett särskilt ändamål i 1 kap. 4 § 3 TDL och in- fördes i samband med tulldatabaslagens ikraftträdande. I förarbetena anges att införandet ändamålet var en följd av den ökade internatio- naliseringen och då främst Sveriges skyldighet att till EU redovisa information inom bl.a. tull- och punktskatteområdet. Dessa skyl- digheter kunde innebära att personuppgifter och andra uppgifter var tvunget att behandlas på sätt som saknade direkt relevans för den nationella fiskala verksamheten.73 Av motsvarande skäl som anges ovan i avsnitt 7.4.5 om Skatteverkets beskattningsverksamhet anser

viatt det uttryckligen bör anges att fullgörandet av sådana förplik- telser som följer av bl.a. EU-rättslig lagstiftning omfattas av tull- datalagens tillämpningsområde genom att det utgör en del av Tull- verkets verksamhet.

Slutligen anser vi att det ska anges att lagen gäller vid behandling av personuppgifter i Tullverkets verksamhet med annan liknande upp- gift som Tullverket ska utföra än de ovan uppräknade. Med denna lyd- else avses ytterligare andra uppgifter som Tullverket ska utföra, och som kan anses ha en nära koppling till Tullverkets verksamhet utan att det kan anses falla under övriga föreslagna punkter. I detta ingår också uppgifter med koppling till den verksamhet som ska utföras på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen. På detta sätt behöver ändringar i tulldata- lagen inte göras varje gång Tullverket åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ären- den enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för så- dan handläggning inte får eller ska behandlas automatiserat enligt den nya lagen. På samma sätt som ovan anges för Skatteverkets beskatt- nings- och folkbokföringsverksamheter blir det ytterst en fråga för lagstiftaren att avgöra den precisa gränsdragningen i fråga om en viss ny uppgift faller in under tulldatalagen, eller om tillämpningsområ- det behöver utökas (se avsnitten 7.4.5 och 7.4.6).

Exempelvis anser vi att uppgifter som behandlas för att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer (jfr 1 kap. 4 a § TDL) bör omfattas av begreppet annan lik-

73Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.

408

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

nande uppgift som Tullverket ska utföra (se vidare om detta nedan). Ett annat exempel är behandling av personuppgifter vid förebyggande informationsinsatser och service som förklarar hur tullproceduren går till, vilket är ett led i Tullverkets arbete med att minska skatte- felet.

Tullverkets verksamhet i övrigt

I likhet med vad som gäller för Skatteverkets beskattnings- och folk- bokföringsverksamheter anges i 1 kap. 4 § 4 TDL i dag att uppgifter får behandlas för att tillhandahålla information som behövs hos Tull- verket för tillsyn, kontroll, uppföljning och planering av verksam- heten. I förarbetena till den bestämmelsen uppgav regeringen att Tullverket måste ha möjlighet att som ett led i den fiskala verksam- heten behandla personuppgifter med syfte att kartlägga denna, dvs. följa upp verksamheten och planera för åtgärder som ska vidtas i framtiden.74 Detta gör sig fortfarande gällande. Av samma skäl som ovan anförs i avsnitt 7.4.5 avseende beskattningsverksamheten anser

viatt sådana åtgärder som rör Tullverkets egen interna verksamhet inte utgör en så fristående del att det särskilt behöver anges i regler- ingen av tulldatalagens tillämpningsområde.

Vidare anges i dag som ett särskilt ändamål i 1 kap. 4 a § TDL att uppgifter får behandlas för att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer. Bestämmelsen infördes i samband med införandet av ändringar som behövde göras

iden svenska lagstiftningen till följd av att det i EU-rätten infördes regler om enhetstillstånd vid övergång till fri omsättning och export, dvs. ett tillstånd som medgav att en importör eller exportör full- gjorde sina deklarations- och betalningsskyldigheter beträffande tull gentemot en viss tullmyndighet även om varorna rent fysiskt impor- terades till eller exporterades från en annan medlemsstat. Det inför- des vidare bestämmelser i 2 kap. 8 a § TDL som medgav att Tullverket offentliggjorde förteckningar över medgivna tillstånd och innehavare av certifikat för godkända ekonomiska aktörer via Internet.75 Denna paragraf upphävdes i samband med att en ny tullag infördes 2016.76

74Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177.

75Prop. 2009/10:63, Enhetstillstånd för förenklade förfaranden – nya bestämmelser i EG:s tullag- stiftning, s. 1.

762 kap. 8 a § upphävd genom SFS 2016:276.

409

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

I motiveringen till införandet av bestämmelsen i 1 kap. 4 a § TDL, då det tidigare dataskyddsdirektivet från 199577 gällde, anförde reger- ingen att för att undanröja eventuella tveksamheter beträffande om uppgifter fick behandlas för ändamålet att göra dem tillgängliga för allmänheten, föreslogs en ny ändamålsbestämmelse om detta.78

Vi anser att Tullverkets uppgifter i dessa delar har en så nära kopp- ling till myndighetens fiskala verksamhet att det inte uttryckligen behöver regleras i tulldatalagens tillämpningsområde då det faller in under begreppet annan liknande uppgift som Tullverket ska utföra. Det bedöms även vara en del av Tullverkets verksamhet med full- görande av förpliktelser som följer av internationella åtaganden.

Tulldatalagen ska inte gälla vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet

I 1 kap. 1 § TDL tredje stycket föreskrivs att lagen inte gäller vid behandling av personuppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. En bestämmelse med motsvarande inne- börd har funnits med i regleringen av tulldatabaslagens tillämpnings- område sedan lagen infördes. När den nu gällande lydelsen infördes i samband med att lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område trädde i kraft uttalade regeringen det i fortsättningen skulle avgöras utifrån syftet med be- handlingen vilken reglering som är tillämplig när personuppgifter be- handlas i Tullverkets brottsbekämpande verksamhet. Om syftet är att förebygga, förhindra eller upptäcka brottslig verksamhet eller ut- reda eller lagföra brott tillämpas brottsdatalagen och lagen om Tull- verkets behandling av personuppgifter inom brottsdatalagens område, medan dataskyddsförordningen med kompletterande lagstiftning är tillämplig om syftet ligger utanför dessa lagars tillämpningsområden.79 I 1 kap. 1 § lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område anges att den lagen gäller utöver brottsdata- lagen när Tullverket i egenskap av behörig myndighet behandlar per- sonuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa uppbörd.

77Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

78Prop. 2009/10:63, Enhetstillstånd för förenklade förfaranden – nya bestämmelser i EG:s tullag- stiftning, s. 37.

79Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 385.

410

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Tullverket är organiserat så att verksamheten som faller inom ramen för tulldatabaslagens tillämpningsområde och den brottsbekäm- pande verksamheten inte anses utgöra två separata verksamhetsgrenar varemellan sekretess råder.80 Detta skiljer sig från Skatteverkets be- skattningsverksamhet och brottsbekämpande verksamhet. Eftersom Tullverkets behandling av personuppgifter i myndighetens brotts- bekämpande verksamhet regleras i lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område, bör sådan behand- ling av tydlighetsskäl uttryckligen undantas från den nya tulldata- lagens tillämpningsområde. Vi föreslår därför att tulldatalagen inte ska gälla vid behandling av personuppgifter som omfattas av lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område.

7.4.8Kronofogdedatalagens tillämpningsområde

Vårt förslag: Kronofogdedatalagen ska gälla vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med

1.utsökning och indrivning,

2.skuldsanering och F-skuldsanering,

3.betalningsföreläggande och handräckning,

4.europeiskt betalningsföreläggande,

5.ansökan om och tillsyn över näringsförbud,

6.tillsyn i konkurs och över rekonstruktörer,

7.att motverka överskuldsättning,

8.analys eller kontroll,

9.fullgörande av förpliktelser som följer av internationella åtag- anden, och

10.annan liknande uppgift som Kronofogdemyndigheten ska ut- föra.

80Jfr 8 kap. 2 § OSL.

411

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Den föreslagna bestämmelsen om att Kronofogdemyndigheten på begäran av en enskild snarast ska rätta, blockera eller utplåna sådana uppgifter om den enskilde som vid tidpunkten för regi- streringen är missvisande i fråga om den enskildes vilja eller för- måga att uppfylla sina ekonomiska förpliktelser ska även gälla vid behandling av uppgifter om juridiska personer. Detsamma gäller Kronofogdemyndighetens underrättelseskyldighet i fråga om sådan åtgärd. Även den föreslagna bestämmelsen om överklagande av sådana beslut om rättelse m.m. ska gälla vid behandling av upp- gifter om juridiska personer.

Bestämmelserna i kronofogdedatalagen ska inte gälla vid be- handling av personuppgifter i insolvensregistret över skuldsaner- ingar och F-skuldsaneringar enligt lagen med kompletterande bestämmelser till 2015 års insolvensförordning.

Skälen för vårt förslag

Den nuvarande regleringen

I 1 kap. 1 § första stycket KFMdbL anges bl.a. att lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering, F-skuldsanering, betal- ningsföreläggande och handräckning, europeiskt betalningsföreläg- gande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten.

När kronofogdedatabaslagen infördes fanns tio regionala krono- fogdemyndigheter i stället för den i dag rikstäckande myndigheten benämnd Kronofogdemyndigheten. Inom de dåvarande kronofogde- myndigheternas områden föll ett flertal verksamheter av skilda slag. Det var verksamhet med utsökning och indrivning, skuldsanering, betalningsföreläggande och handräckning samt tillsyn i konkurs. Dess- utom fanns det vissa mindre arbetsuppgifter som särskilt åvilade kronofogdemyndigheterna. De register som fördes för de olika verk- samhetsområdena var tidigare reglerade i olika författningar. Genom kronofogdedatabaslagen kom dock verksamheterna att omfattas av en gemensam reglering.81

81Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 156.

412

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

De mindre arbetsuppgifter som avsågs var upptagning av protes- ter av växlar och checkar, registrering av avhandlingar om lösöreköp, beslut när arbetsgivare ska utnyttja sin kvittningsrätt mot arbetstagare, processer i vissa lönegarantimål, kallelse på okända borgenärer samt underrättelser till målsägande i brottmål. I fråga om dessa mindre arbetsuppgifter ansåg regeringen att behandling av uppgifterna inte behövde regleras i en eller flera för ändamålen särskilt inrättade data- baser. Då behandlades personuppgifter avseende dessa områden i kronofogdemyndigheternas allmänna diarier. Behandling av person- uppgifter för dessa syften, med undantag från processer i vissa löne- garantimål, borde enligt regeringen omfattas av bestämmelserna i ut- söknings- och indrivningsdatabasen. Den behandling av personuppgif- ter som behövde utföras när kronofogdemyndigheterna förde statens talan i processer enligt lönegarantilagen (1992:497), åvilade tillsyns- myndigheterna i konkurs. Sådan behandling borde därför enligt reger- ingen regleras gemensamt med behandling av ärenden i konkurs- tillsynsdatabasen.82

Den nya kronofogdedatalagens materiella tillämpningsområde

Den nya kronofogdedatalagen bör ha samma materiella tillämpnings- område som kronofogdedatabaslagen. Kronofogdedatalagen föreslås därför som utgångspunkt omfatta behandling av personuppgifter i Kronofogdemyndighetens verksamhet.

I likhet med övriga berörda myndigheters verksamheter gör vi i av- snitt 8.4.3 bedömningen att den nya kronofogdedatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvar- ande kronofogdedatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att dagens databasreglering ska upphöra att gälla. Mot bakgrund av hur kronofogdedatabaslagen är utformad i dag kan det komma att leda till vissa otydligheter avseende vad som kommer att omfattas av den nya lagen. Genom regleringen i den nuvarande kronofogdedatabas- lagen kan tillämpningsområdet sett tillsammans med för vilka ändamål uppgifter får behandlas i de olika databaserna sägas ge en tydligare bild av vad personuppgiftsbehandlingen i Kronofogdemyndighetens verksamhet omfattar.

82Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 157.

413

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Med anledning av att vi föreslår att ändamålsregleringen inte ska överföras till den nya lagen på det detaljerade sätt som finns i dag anser vi att det i kronofogdedatalagen bör införas en reglering i an- slutning till bestämmelsen om lagens tillämpningsområde som defini- erar och på så sätt tydliggör vad som avses med Kronofogdemyndig- hetens verksamhet i lagen. På detta sätt kommer det enligt vår mening fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt kronofogdedatabaslagen i dag. Regleringen ska därför ha sin utgångspunkt i det nuvarande tillämpningsområdet samt för vilka primära ändamål uppgifter får behandlas enligt 2 kap. 2, 8, 14 och 20 §§ KFMdbL. I det följande behandlas vad som i den nya kronofogdedatalagen ska avses med Kronofogdemyndighetens verk- samhet och våra bedömningar av vad som uttryckligen behöver anges i lagen.

Vad innefattas i Kronofogdemyndighetens verksamhet?

I bestämmelsen om kronofogdedatalagens tillämpningsområde ska för det första framgå att lagen gäller vid behandling av personuppgif- ter i Kronofogdemyndighetens verksamhet med utsökning och indriv- ning, skuldsanering och F-skuldsanering, betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande. Detta fram- går även av den nu gällande kronofogdedatabaslagens tillämpnings- område.83 Någon skillnad i sak är inte avsedd.

Med utsökning och indrivning avses därmed bl.a. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt ut- sökningsbalken eller annan författning, indrivning av statliga ford- ringar m.m. och avräkning vid återbetalning av skatter och avgifter. Till denna verksamhet kan också hänföras t.ex. myndighetens upp- gift att lämna underrättelser till målsäganden i brottmål, anmäla miss- tanke om brott och att fullgöra sina uppgifter enligt bötesverkstäl- lighetslagen (1979:189) med tillhörande förordning.84

831 kap. 1 § första stycket KFMdbL.

84Jfr 2 kap. 2 § och 2 kap. 5 § KFMdbL samt 2 § KFMdbF.

414

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Vad gäller Kronofogdemyndighetens verksamhet med skuldsaner- ing och F-skuldsanering så omfattar det bl.a. handläggning av ären- den om skuldsanering och F-skuldsanering.85

I myndighetens verksamhet med betalningsföreläggande och hand- räckning samt europeiskt betalningsföreläggande ingår t.ex. uppgif- ter såsom handläggningen av mål om betalningsföreläggande, hand- räckning eller europeiskt betalningsföreläggande, tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verk- ställighetsförklaring i mål om europeiskt betalningsföreläggande.86

Vidare ska det av kronofogdedatalagen framgå att lagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksam- het med tillsyn i konkurs och över rekonstruktörer. Det ska också framgå att lagen gäller i myndighetens verksamhet med ansökan om och tillsyn över näringsförbud. I dag anges i kronofogdedatabaslagen att den lagen tillämpas vid behandling av personuppgifter i Krono- fogdemyndighetens verksamhet med tillsyn i konkurs.87 Vi anser allt- så att det fortsatt ska framgå att tillsyn i konkurs utgör en del i Kronofogdemyndighetens verksamhet varvid kronofogdedatalagen ska tillämpas på den personuppgiftsbehandling som behöver utföras i verksamheten. I denna del av myndighetens verksamhet ingår upp- gifter såsom t.ex. handläggning av konkurstillsynsärenden, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497).88 Även inom ramen för tillsyn i konkurs kan det dock vara aktuellt med ansökan om näringsförbud enligt lagen (2014:836) om näringsförbud.

Tillsyn över rekonstruktörer kan alltså möjligen anses vara en del av konkurstillsynsverksamheten, medan ansökan om och tillsyn över näringsförbud möjligen kan ses som en del i verksamheten med utsökning och indrivning till följd av den nuvarande databasregler- ingen.89 Att dessa verksamheter har inordnats under konkurstillsyn respektive utsökning och indrivning i den nuvarande kronofogde- databaslagen kan dock ha att göra med den nuvarande databasregler- ingens struktur. För detta talar till viss del att lagstiftaren vad gäller sekretess enligt 34 kap. 1 § OSL har valt att ange både utsökning och

85Jfr 2 kap. 14 § KFMdbL. Jfr även 2 kap. 17 § KFMdbL och 4 § KFMdbF.

86Jfr 2 kap. 8 § KFMdbL. Jfr även 2 kap. 11 § KFMdbL och 3 § KFMdbF.

871 kap. 1 § första stycket KFMdbL.

88Jfr 2 kap. 20 § KFMdbL. Jfr även 2 kap. 22 § KFMdbL och 5 § KFMdbF.

89Jfr 2 kap. 2 § 4 KFMdbL, prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 158 och prop. 2021/22:215, En ny lag om företagsrekonstruktion, s. 327–329.

415

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

indrivning samt verksamhet enligt lagen (2014:836) om närings- förbud uttryckligen i sekretessbestämmelsen.

Att myndigheten har i uppgift att bedriva tillsyn över rekonstruk- törer framgår av 1 § förordningen (2016:1333) med instruktion för Kronofogdemyndigheten och 7 kap. 1 § lagen (2022:964) om före- tagsrekonstruktion och anges som ett särskilt ändamål för konkurs- tillsynsdatabasen i 2 kap. 20 § 1 KFMdbL. Att Kronofogdemyndig- heten ska utöva tillsyn över näringsförbud framgår av 41 § lagen om näringsförbud och anges även som ett särskilt ändamål för utsök- nings- och indrivningsdatabasen i dag i 2 kap. 2 § 4 KFMdbL. Även om tillsyn över rekonstruktörer och ansökan om och tillsyn över näringsförbud i dag skulle anses omfattas av verksamheten med kon- kurstillsyn respektive utsökning och indrivning till följd av regler- ingen i kronofogdedatabaslagen anser vi att dessa uppgifter som myn- digheten har att utföra uttryckligen ska anges i kronofogdedatalagens tillämpningsområde. Det gör det enligt vår mening tydligt att krono- fogdedatalagen ska tillämpas vid den personuppgiftsbehandling som sker i all tillsynsverksamhet som Kronofogdemyndigheten ska bedriva enligt materiell verksamhetsreglering. Det korrelerar även bättre med gällande sekretessregler i verksamhet med utsökning och indrivning. Detta hindrar dock inte att dessa verksamheter samtidigt kan anses vara en del av verksamheten med tillsyn i konkurs respektive utsök- ning och indrivning, eller en separat verksamhet.

Vi anser följaktligen att det i den nya kronofogdedatalagen ska anges att lagen gäller i Kronofogdemyndighetens verksamhet med ansökan om och tillsyn över näringsförbud, respektive med tillsyn i konkurs och över rekonstruktörer.

Vidare anser vi att det i kronofogdedatalagen ska anges att lagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med att motverka överskuldsättning. Denna uppgift fram- går inte av 1 kap. 1 § KFMdbL i dag. I 2 § förordningen med instruktion för Kronofogdemyndigheten framgår dock att Kronofogdemyndig- heten ska verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas. Att myndigheten får behandla uppgifter i utsöknings- och indrivningsdatabasen, betalningsföreläg- gande- och handräckningsdatabasen, skuldsaneringsdatabasen och konkurstillsynsdatabasen för att tillhandahålla information som be- hövs i Kronofogdemyndighetens och i förekommande fall Skatte- verkets verksamhet för förebyggande av överskuldsättning framgår

416

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

av särskilda ändamålsbestämmelser för respektive databas.90 Med över- skuldsättning avses en situation där gäldenärens skulder är så omfat- tande att det saknas möjlighet att infria förpliktelserna allteftersom skulderna förfaller till betalning och denna oförmåga inte är endast tillfällig.91

Verksamheten med att motverka överskuldsättning har av reger- ingen tidigare setts som en sådan annan verksamhet som särskilt ålig- ger Kronofogdemyndigheten och som därmed inte behöver anges uttryckligen i kronofogdedatabaslagens tillämpningsområde (jfr 1 kap. 1 § KFMdbL). När förebyggande av överskuldsättning infördes som ett särskilt ändamål uttalade regeringen att verksamheten inte är en självständig verksamhet i förhållande till myndighetens verksamhet med utsökning och indrivning (verkställighet), betalningsföreläg- gande och handräckning samt europeiskt betalningsföreläggande (sum- marisk process), skuldsanering och konkurstillsyn. Enligt regeringen utgjorde det snarare en kompletterande och integrerad del av dessa verksamheter. För att kunna bedriva ett effektivt arbete inom områ- det ansågs denna förebyggande verksamhet behöva kunna använda uppgifter som behandlades i de olika verksamheternas databaser. Det borde enligt regeringen även finnas möjlighet att dokumentera och samla in uppgifter som endast behövdes för den förebyggande verk- samheten. De då gällande ändamålsbestämmelserna ansågs inte täcka den förebyggande verksamheten på ett tillräckligt tydligt sätt, varför regeringen bedömde att en komplettering var nödvändig.92

Eftersom Kronofogdemyndighetens verksamhet med att motverka överskuldsättning är en kompletterande och integrerad del av myn- dighetens övriga reglerade verksamhetsområden kan det ifrågasättas om det finns något behov av att ange det uttryckligen i en bestämmelse om kronofogdedatalagens tillämpningsområde. För att regleringen i den nya kronofogdedatalagen ska bli tillräckligt tydlig anser vi dock att det ska framgå att lagen omfattar behandling av personuppgifter i Kronofogdemyndighetens verksamhet med att motverka överskuld- sättning. Med motverkande av överskuldsättning avses samma sak som förebyggande av överskuldsättning. Genom att använda begrep- pet motverka överskuldsättning anser vi dock att lydelsen stämmer

902 kap. 2 § 5, 2 kap. 8 § 3, 2 kap. 14 § 2 och 2 kap. 20 § 2 KFMdbL.

91Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 33.

92Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 24–26.

417

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

bättre överens med regleringen i 2 § förordningen med instruktion för Kronofogdemyndigheten. I sak avses dock ingen ny verksamhet.

Vi anser också att det uttryckligen ska framgå att Kronofogde- myndighetens verksamhet med analys och kontroll omfattas av krono- fogdedatalagens tillämpningsområde. Motsvarande finns inte i krono- fogdedatabaslagens bestämmelser om tillämpningsområde i dag, och det finns inte heller något särskilt ändamål som har den lydelsen för någon av databaserna. Även Kronofogdemyndigheten, likt Tullverket och Skatteverket inom ramen för beskattningsverksamheten, utför dock olika former av analyser inom ramen för sin verksamhet även om det inte är lika omfattande som vid de andra myndigheterna. Till exempel bearbetas inom ramen för uppgiften att motverka överskuld- sättning befintliga uppgifter och utifrån dessa identifieras tendenser som kan leda till överskuldsättning. Vidare utförs analyser av upp- gifter i databaserna för att se om myndigheten kan identifiera nya skuldfällor eller tendenser kring skulder och skuldutveckling.93 Med kontroll avses i detta sammanhang extern kontroll, till skillnad från intern kontroll av den egna verksamheten. När det gäller Kronofogde- myndighetens kontrollverksamhet är denna inte lika omfattande som vid t.ex. Tullverket. Även Kronofogdemyndigheten måste dock ut- föra olika typer av kontroller inom ramen för utförandet av sina upp- gifter, bl.a. för att säkerställa att beslut fattas på korrekta grunder samt för att förebygga och motverka ekonomisk brottslighet. Även om analys och kontroll kan sägas ingå som ett led i de reglerade verk- samheterna vid Kronofogdemyndigheten anser vi att det bör klar- göras att den behandling av personuppgifter som då sker ska omfattas av kronofogdedatalagens bestämmelser.

Vidare anser vi att det uttryckligen ska framgå att kronofogde- datalagen ska tillämpas vid behandling av personuppgifter i Krono- fogdemyndighetens verksamhet med fullgörande av förpliktelser som följer av internationella åtaganden. I dag anges i 2 kap. 2 § 6 KFMdbL att uppgifter får behandlas i utsöknings- och indrivningsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndig- hetens och Skatteverkets verksamhet för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Ända- målet infördes för att klargöra att uppgifter får behandlas i utsök- nings- och indrivningsdatabasen för sådana ändamål. I förarbetena anges som exempel på sådana åtaganden de som följer av Sveriges

93Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 25.

418

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

medlemskap i EU och som regleras i lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, men också sådana som följer av exempelvis det nordiska handräck- ningsavtalet och Europaråds- och OECD-konventionen om ömse- sidig handräckning i skatteärenden.94 I likhet med vad vi anfört avse- ende Skatteverkets beskattningsverksamhet ovan (se avsnitt 7.4.5) anser vi att det bör tydliggöras att även Kronofogdemyndighetens skyldigheter enligt bl.a. sådana internationella åtaganden som nu nämnts innefattas i Kronofogdemyndighetens verksamhet med följden att kronofogdedatalagen ska tillämpas vid personuppgiftsbehandlingen. Sådana uppgifter kan dock, i likhet med samtliga uppräknade punk- ter i den föreslagna bestämmelsen, samtidigt falla in under flera punk- ter såsom t.ex. även verksamhet med utsökning och indrivning.

Slutligen anser vi att det ska anges att kronofogdedatalagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verk- samhet med annan liknande uppgift som Kronofogdemyndigheten ska utföra än de ovan uppräknade. Lydelsen liknar vad som anges i 1 kap. 1 § KFMdbL i dag. Med denna föreslagna lydelse avses ytter- ligare andra uppgifter som Kronofogdemyndigheten ska utföra, och som kan anses ha en nära koppling till myndighetens övriga verksam- het. I detta ingår också uppgifter med koppling till den övriga verk- samheten på så sätt att det följer av mer allmänna krav på myndig- heten i t.ex. myndighetsförordningen. På detta sätt behöver ändringar i kronofogdedatalagen inte göras varje gång Kronofogdemyndigheten åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ärenden enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska be- handlas automatiserat enligt den nya lagen. På samma sätt som ovan anges för bl.a. Skatteverkets beskattningsverksamhet blir det ytterst en fråga för lagstiftaren att avgöra den precisa gränsdragningen i fråga om en viss ny uppgift faller in under kronofogdedatalagen, eller om tillämpningsområdet behöver utökas (se avsnitt 7.4.5).

Exempel på annan liknande uppgift som Kronofogdemyndigheten har att utföra är att förebygga och motverka ekonomisk brottslighet (4 § första stycket förordningen med instruktion för Kronofogde- myndigheten).

94Prop. 2011/12:15, Genomförande av det nya EU-direktivet om bistånd med indrivning, s. 72.

419

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Kronofogdemyndighetens verksamhet i övrigt

I dag anges för alla databaser, utöver skuldsaneringsdatabasen, att uppgifter i dessa får användas för information om skuldsanering och F-skuldsanering.95 Att kronofogdedatalagen även gäller vid sådan behandling kommer att framgå av tillämpningsområdet som uttryck- ligen anger skuldsanering och F-skuldsanering.

Slutligen anges i 2 kap. 2 § 7, 2 kap. 8 § 4, 2 kap. 14 § 4 och 2 kap.

20 § 3 KFMdbL att uppgifter får behandlas för att tillhandahålla in- formation som behövs hos Kronofogdemyndigheten för tillsyn, kon- troll, uppföljning och planering av verksamheten. I förarbetena till dessa bestämmelser uppgav regeringen bl.a. att de dåvarande krono- fogdemyndigheterna måste ha möjlighet att behandla personuppgif- ter med syfte att följa upp verksamheten och planera för åtgärder som ska vidtas i framtiden, varför ändamålen infördes.96 Detta gör sig fortfarande gällande i Kronofogdemyndighetens verksamhet. Av samma skäl som bl.a. ovan anförs i avsnitt 7.5.4 avseende beskattnings- verksamheten anser vi att sådana åtgärder som rör Kronofogdemyndig- hetens egen interna verksamhet inte utgör en så fristående del att det särskilt behöver anges i regleringen av kronofogdedatalagens tillämp- ningsområde.

Vissa bestämmelser om rättelse m.m. samt överklagande ska även gälla vid behandling av uppgifter om juridiska personer

I avsnitt 7.8.3 nedan föreslår vi att det ska införas en bestämmelse i den nya kronofogdedatalagen som bl.a. reglerar att på begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller ut- plåna sådana uppgifter om den enskilde som inte har behandlats i en- lighet med den lagen eller anslutande författningar, eller som vid tid- punkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. I sam- band härmed föreslår vi att avseende juridiska personer ska bestäm- melsen vara tillämplig beträffande frågan om uppgifterna vid tidpunk- ten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Även den föreslagna bestämmelsen om underrättelseskyldighet föreslås vara

952 kap. 2 § 5, 2 kap. 8 § 3 och 2 kap. 20 § 2 KFMdbL.

96Se bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 159.

420

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

tillämplig. Vi föreslår också att en bestämmelse om överklagande av beslut om rättelse m.m. ska vara tillämplig i fråga om juridiska personer.

Eftersom vi i avsnitt 7.4.2 föreslår att kronofogdedatalagen som utgångspunkt inte ska vara tillämplig på uppgifter om juridiska per- soner behöver undantag göras för regleringen i bestämmelsen om rättelse m.m., Kronofogdemyndighetens underrättelseskyldighet och överklagande av beslut i samband härmed. Vi föreslår därför att det i kronofogdedatalagen anges att bestämmelsen om rättelse m.m. av uppgifter som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser, bestämmelsen om underrättelseskyldighet samt den tillhörande överklagandebestämmelsen även ska gälla vid behandling av uppgifter om juridiska personer.

Kronofogdedatalagen ska inte gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar

I 1 kap. 1 § första stycket KFMdbL anges i dag att lagen inte tillämpas vid behandling av personuppgifter i insolvensregistret över skuld- saneringar och F-skuldsaneringar enligt lagen (2017:473) med kom- pletterande bestämmelser till 2015 års insolvensförordning. I samband med att bestämmelsen infördes bedömde regeringen att den gene- rella reglering som finns i EU:s dataskyddsförordning, dataskydds- lagen och förordningen (2018:219) med kompletterande bestämmel- ser till EU:s dataskyddsförordning som utgångspunkt var tillräcklig när det gäller behandlingen av personuppgifter. Följaktligen ansåg regeringen att de särskilda regler om personuppgiftsbehandling som fanns i kronofogdedatabaslagen inte borde tillämpas vid Kronofogde- myndighetens behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar. Särskilda bestämmelser i lag om ändamålet med behandlingen och gallring bedömdes dock moti- verade att införa i lagen med kompletterande bestämmelser till 2015 års insolvensförordning.97

Det har inom ramen för utredningen inte kommit fram skäl att frångå regeringens tidigare bedömningar i denna del. Vi föreslår där- för att det i den nya kronofogdedatalagen ska anges att bestämmel- serna i lagen inte ska gälla vid behandling av personuppgifter i insol-

97Prop. 2018/19:48, Insolvensregister enligt 2015 års insolvensförordning, s. 28–29.

421

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

vensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen med kompletterande bestämmelser till 2015 års insolvensförordning.

7.5Lagarnas förhållande till annan reglering

7.5.1Lagarna ska komplettera den allmänna dataskyddslagstiftningen

Vårt förslag: Det ska införas bestämmelser i beskattningsdata- lagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedata- lagen som föreskriver att lagarna innehåller bestämmelser som kompletterar EU:s dataskyddsförordning.

Lagarna ska även innehålla bestämmelser som föreskriver att lagen med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandlingen av personuppgifter enligt de nya lagarna, om inte annat följer av de nya lagarna eller föreskrifter som har meddelas i anslutning till dessa.

Skälen för vårt förslag

EU:s dataskyddsförordning är i alla delar bindande och direkt tillämp- lig i samtliga medlemsstater inom EU. Förordningen utgör den gene- rella regleringen av personuppgiftsbehandling inom EU. Den ska alltså tillämpas av myndigheter och enskilda på samma sätt som om den vore lag antagen av Sveriges riksdag. Dataskyddsförordningen gäller alltså oavsett om det i de föreslagna lagarna införs en bestäm- melse som hänvisar till den eller inte. Vi anser dock att det i de nya lagarna bör införas upplysningsbestämmelser för att tydliggöra att lagarna innehåller kompletterande bestämmelser till dataskyddsförord- ningen. Sådana bestämmelser tydliggör de nya lagarnas förhållande till förordningen och klargör att lagarna inte kan tillämpas fristående, utan ska tillämpas tillsammans med dataskyddsförordningen. Bestäm- melserna förekommer i berörda myndigheters registerlagar även i dag och vi anser att så bör vara fallet även fortsättningsvis.

Hänvisningen till dataskyddsförordningen föreslås vara dynamisk, vilket innebär att hänvisningen avser förordningen i dess vid varje tidpunkt gällande lydelse. Denna hänvisningsteknik bedöms som den

422

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

lämpligaste, eftersom lagarna annars kan komma att behöva ändras vid varje eventuell ändring av dataskyddsförordningen. Bestämmel- sen bör därför utformas på motsvarande sätt som i myndigheternas nuvarande registerlagar och som i andra sektorspecifika lagar som kompletterar dataskyddsförordningen (se t.ex. 3 domstolsdatalagen och 1 kap. 3 § lagen om behandling av personuppgifter vid Utbetal- ningsmyndigheten).

I svensk rätt har det antagits generella kompletterande bestäm- melser till dataskyddsförordningen genom dataskyddslagen. Data- skyddslagens bestämmelser är subsidiära i förhållande till annan natio- nell dataskyddsreglering, dvs. eventuella specialbestämmelser i andra författningar om behandling av personuppgifter ska tillämpas fram- för de allmänna bestämmelserna i dataskyddslagen. Detta följer direkt av lagen (se 1 kap. 6 § dataskyddslagen). Det behövs därför egent- ligen inte någon materiell bestämmelse för att specialbestämmelser i de nya lagarna ska ges företräde framför de generella bestämmelserna i dataskyddslagen.

För att det, liksom i dag98, ska vara tydligt hur de nya lagarna för- håller sig till dataskyddslagen föreslår vi dock att de nya lagarna ska innehålla bestämmelser som tydliggör att dataskyddslagen och före- skrifter som har meddelats i anslutning till den lagen ska gälla vid myn- digheternas behandling av personuppgifter, om inte annat följer av de nya lagarna eller föreskrifter som har meddelats i anslutning till dessa. Sådana tydliggörande bestämmelser är även vanligt förekom- mande i andra modernare registerförfattningar (se t.ex. 4 § dom- stolsdatalagen, 5 § vägtrafikdatalagen och 1 kap. 3 § lagen om be- handling av personuppgifter vid Utbetalningsmyndigheten).

7.5.2Kronofogdedatalagens förhållande till EU:s kvarstadsförordning

Vårt förslag: Det ska införas en bestämmelse i kronofogdedata- lagen som tydliggör att de avvikande bestämmelser om behand- ling av personuppgifter som finns i EU:s kvarstadsförordning gäller i stället för kronofogdedatalagen.

98Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 51–53.

423

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Skälen för vårt förslag

I 1 kap. 3 b § KFMdbL finns i dag en bestämmelse som föreskriver att de avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuld- indrivning i mål och ärenden av privaträttslig natur ska tillämpas i stället för kronofogdedatabaslagen.

I förarbetena till bestämmelsen, som infördes i samband med in- förandet av kompletterande bestämmelser i svensk rätt99, anges att uppgifter som Kronofogdemyndigheten kommer att behandla i sin verksamhet för verkställighet och informationsinhämtning enligt kvar- stadsförordningen omfattas av kronofogdedatabaslagen. I förord- ningen, härefter benämnd kvarstadsförordningen, finns dock en sär- skild bestämmelse om uppgiftsskydd (se artikel 47). I den anges bl.a. att personuppgifter endast får användas för det ändamål för vilka de tas emot, behandlas eller överförs enligt förordningen. I övrigt upp- ställs krav på att personuppgifter som behandlas ska vara adekvata, relevanta och inte omfatta mer än vad som är nödvändigt med hänsyn till det ändamålet. Det anges också inom vilken tid personuppgifter ska gallras av den behöriga myndigheten, informationsmyndigheten eller annan enhet som ansvarar för verkställigheten. Vidare anges i för- arbetena att bestämmelserna om uppgiftsskydd i kvarstadsförord- ningen har företräde framför svensk lagstiftning som syftar till att uppfylla Sveriges åtaganden enligt dataskyddsdirektivet, t.ex. krono- fogdedatabaslagen (artikel 48 d). För att uppmärksamma detta förhål- lande ansåg regeringen att det borde införas en hänvisning till kvar- stadsförordningen i databaslagen. Hänvisningen i databaslagen skulle enligt regeringen utformas så att det framgår att bestämmelser i kvar- stadsförordningen som avviker från databaslagen har företräde.100

I dag gäller inte längre dataskyddsdirektivet som kvarstadsförord- ningen hänvisar till genom artikel 48 d. Vi har inte funnit att kvar- stadsförordningen har ändrats sedan dataskyddsförordningen trädde i kraft. Avseende bestämmelserna i den föreslagna nya kronofogde- datalagen skiljer sig dessa från de bestämmelser som i dag finns om bl.a. ändamål och gallring i den nuvarande kronofogdedatabaslagen.

99Se bl.a. lagen (2016:757) om kvarstad på bankmedel inom EU.

100Prop. 2015/16:148, Kvarstad på bankmedel inom EU, s. 48–49.

424

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

I den nya kronofogdedatalagen föreslår vi bl.a. att det ska finnas en bestämmelse som anger att personuppgifter även får behandlas för andra ändamål än insamlingsändamålet, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ända- mål för vilket uppgifterna samlades in (se avsnitt 8.4.5). Vi föreslår också en bestämmelse som föreskriver att personuppgifter inte får behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen (se avsnitt 12.4.3). Som nämns ovan finns det i kvar- stadsförordningen vissa särskilda bestämmelser om bl.a. uppgiftsskydd som är mer specifika än de bestämmelser som föreslås införas i krono- fogdedatalagen. Kvarstadsförordningen har företräde framför natio- nella lagar som stiftas av EU:s medlemsstater.101 Enligt vår bedömning innebär detta att de bestämmelser om behandling av personuppgifter som regleras i kvarstadsförordningen kommer att ha företräde fram- för bestämmelserna i den nya kronofogdedatalagen. Detta ligger också i linje med regeringens tidigare uttalanden avseende följden av arti- kel 48 d i kvarstadsförordningen, även om den bestämmelsen hänvisar till det numera upphävda dataskyddsdirektivet. Mot denna bakgrund föreslår vi att det i den nya kronofogdedatalagen ska tydliggöras att de avvikande bestämmelser om behandling av personuppgifter som finns kvarstadsförordningen gäller i stället för kronofogdedatalagen. Bestämmelsen motsvarar alltså den nuvarande bestämmelsen i 1 kap. 3 b § KFMdbL.

7.6Personuppgiftsansvar

7.6.1Respektive myndighet ska vara personuppgiftsansvariga enligt de nya lagarna

Vårt förslag: Skatteverket, Tullverket och Kronofogdemyndigheten ska vara personuppgiftsansvariga för den behandling av person- uppgifter som myndigheterna utför enligt beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen respektive kronofogdedata- lagen och enligt föreskrifter som har meddelats i anslutning till de lagarna.

101Jfr EU-domstolens dom den 15 juli 1964 i mål nr 6/64, Flaminio Costa mot E.N.E.L.

425

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Vår bedömning: Det behöver inte införas några särskilda be- stämmelser om personuppgiftsbiträden i de nya lagarna.

Skälen för vårt förslag och vår bedömning

En reglering av myndigheternas personuppgiftsansvar vid behandling av personuppgifter enligt de nya lagarna

Begreppet personuppgiftsansvarig är centralt i dataskyddsförord- ningen. Dataskyddsförordningen förutsätter att det finns en person- uppgiftsansvarig för all personuppgiftsbehandling som sker. Enligt artikel 4.7 i dataskyddsförordningen avses med personuppgiftsansvarig i förordningen en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av person- uppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den person- uppgiftsansvarige eller de särskilda kriterierna för hur denne ska ut- ses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Den som är personuppgiftsansvarig för viss personuppgiftsbehand- ling har en rad skyldigheter denne måste uppfylla enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvar- ige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförord- ningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (arti- klarna 12–14) samt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24).

Registerförfattningar innehåller ofta en reglering av vem som är personuppgiftsansvarig. En sådan bestämmelse är, såvitt gäller myn- digheter, av störst vikt när det är fråga om en myndighet som är del av en större myndighetsstruktur, om det finns utrymme för tvekan kring vilken myndighet som har ansvaret för behandlingen av per- sonuppgifter. Regleringen kan dock vara berättigad även i andra fall, för att förenkla för rättstillämparen och undvika otydligheter.102

102Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 34.

426

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

I dag finns det bestämmelser om personuppgiftsansvar i register- lagarna. I 1 kap. 6 § SdbL och 1 kap. 5 § KFMdbL anges att Skatte- verket respektive Kronofogdemyndigheten är personuppgiftsansvar- iga för den behandling av personuppgifter som verket respektive myndigheten ska utföra. I 1 kap. 6 § TDL anges att Tullverket är personuppgiftsansvarigt för behandling av personuppgifter. De olika ordalydelserna innebär enligt vår uppfattning inga sakliga skillnader utan härrör troligen från att bestämmelserna om personuppgifts- ansvar ursprungligen var utformade på ett annat sätt för Skatteverkets beskattningsverksamhet och Kronofogdemyndigheten i förhållande till Tullverket på grund av att endast Tullverket vid tiden för lagarnas ikraftträdande utgjorde en enda myndighet.103 När det gäller bestäm- melsen om personuppgiftsansvar i 1 kap. 5 § FdbL har en ny lydelse trätt i kraft den 1 september 2023.104 I bestämmelsen föreskrivs nu- mera att Skatteverket och varje passmyndighet är personuppgifts- ansvarig för den behandling av personuppgifter som respektive myn- dighet utför enligt folkbokföringsdatabaslagen. Bestämmelsen i fråga om passmyndigheternas personuppgiftsansvar behandlas särskilt i avsnitt 7.6.2 nedan.

För att det ska vara tydligt vem som är personuppgiftsansvarig bedömer vi att det fortsatt ska regleras i de nya lagarna. Sådan regler- ing är möjlig enligt dataskyddsförordningen och gör det enkelt för den registrerade att identifiera vem som är personuppgiftsansvarig för viss behandling. Vi föreslår därför att det av lagarna ska framgå att respektive myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Detta ska gälla med undan- tag från passmyndigheterna som i dag är personuppgiftsansvariga enligt folkbokföringsdatabaslagen (se avsnitt 7.6.2 nedan). Sådana be- stämmelser innebär även att det tydliggörs att respektive myndighet är personuppgiftsansvarig för den behandling inom myndighetens verksamhet som utförs av andra aktörer på uppdrag av myndigheten i egenskap av personuppgiftsbiträden. Det kan här nämnas att det är i rättstillämpningen som frågan om personuppgiftsansvarets fördel- ning slutligt avgörs.105

103Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 97.

104Ändrad genom SFS 2022:1700.

105Prop. 2017/18:36, Ett mer effektivt informationsutbyte vid Nationellt centrum för terror- hotbedömning, s. 19 och prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkrings- området, s. 29.

427

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Det kan dock uppkomma situationer där myndigheterna inte har faktiska möjligheter att påverka vare sig ändamålen eller medlen för behandlingen. Det skulle exempelvis kunna förekomma att ända- målen och medlen för en viss behandling bestäms i EU-rätten på ett sätt som innebär att myndigheterna inte är personuppgiftsansvariga enligt dataskyddsförordningens definition om detta. Den nuvarande regleringen kan dock innebära att myndigheterna även är person- uppgiftsansvariga för sådan behandling, om den behandling som ut- förs faller inom ramarna för lagarnas tillämpningsområden. Sådana situationer kan uppkomma även genom den föreslagna regleringen i de nya lagarna. Mot bakgrund av bl.a. detta föreslår vi i avsnitt 7.4.4 att lagarna som utgångspunkt inte ska vara tillämpliga vid behandling av personuppgifter i EU:s gemensamma informationssystem. Det inne- bär i sin tur att de föreslagna bestämmelserna om personuppgifts- ansvar inte heller ska tillämpas vid sådan behandling. I de fall det upp- kommer ytterligare situationer i vilka myndigheterna inte kan anses vara personuppgiftsansvariga enligt definitionen av detta begrepp, men bestämmelserna i de nya lagarna innebär att myndigheterna ändå anses vara det, får lagstiftaren göra överväganden om även sådana ytterligare situationer ska undantas från lagarnas tillämpningsområ- den eller på annat sätt särregleras.

Det behövs inga särskilda bestämmelser om personuppgiftsbiträden

Enligt skäl 74 till dataskyddsförordningen åläggs personuppgifts- ansvariga ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar genom förordningens bestämmel- ser. Detta helhetsansvar innebär alltså att ansvaret för behandlingen sträcker sig till att även omfatta den personuppgiftsbehandling som utförs av ett personuppgiftsbiträde.106 Enligt artikel 4.8 i dataskydds- förordningen definieras personuppgiftsbiträde som en fysisk eller juri- disk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Vid de berörda myndigheterna kan det förekomma att person- uppgiftsbiträden anlitas. Det kan handla om att myndigheterna an- litar ett externt företag till vilket viss behandling av personuppgifter överlåts. I de fall myndigheterna anlitar ett personuppgiftsbiträde ska

106Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 34.

428

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

parterna skriva ett s.k. personuppgiftsbiträdesavtal om personuppgifts- biträdets behandling av personuppgifter för myndigheternas räkning (artikel 28.3 i dataskyddsförordningen). Enligt artikel 29 får ett per- sonuppgiftsbiträde och personer som utför arbete under den person- uppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgifts- biträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behand- lingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas (artikel 28.1). Utöver denna re- glering finns ytterligare bestämmelser om personuppgiftsbiträden i dataskyddsförordningen.

Det kan konstateras att bestämmelserna om personuppgiftsbiträ- den som föreskriver vad som gäller när personuppgiftsansvariga an- litar personuppgiftsbiträden regleras på ett detaljerat sätt i dataskydds- förordningen. Vi bedömer att denna reglering är tillräcklig. Det finns därför inget behov av att införa bestämmelser om personuppgifts- biträden i de nya lagarna.

Det kan i sammanhanget nämnas att vi är av uppfattningen att det inte bör finnas något principiellt hinder mot att två offentligrättsliga organ ingår ett personuppgiftsbiträdesavtal.107

7.6.2Passmyndigheters personuppgiftsansvar bör inte regleras i folkbokföringsdatalagen

Vår bedömning: Det bör inte införas en reglering i den nya folk- bokföringsdatalagen som motsvarar den nu gällande bestämmel- sen i folkbokföringsdatabaslagen om att varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför enligt den lagen.

107Jfr artikel 4.8 i dataskyddsförordningen och prop. 2014/15:148, Domstolsdatalag, s. 36.

429

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Skälen för vår bedömning

Den nya lagen om samordningsnummer och den nuvarande regleringen i folkbokföringsdatabaslagen

Den 1 september 2023 trädde lagen om samordningsnummer i kraft. Bestämmelserna i den lagen syftar till att stärka systemet med sam- ordningsnummer och innefattar regler som innebär att Skatteverket har tagit över ansvaret för bl.a. identitetskontroller vid tilldelning av samordningsnummer.108 Ett samordningsnummer är en identitets- beteckning för den som inte är eller har varit folkbokförd i Sverige.109 Enligt den nya lagen får en person som inte är eller har varit folk- bokförd tilldelas ett samordningsnummer efter begäran av en sådan myndighet eller ett sådant organ som regeringen bestämmer eller efter ansökan av en enskild som har en sådan anknytning till Sverige att han eller hon kan antas behöva en identitetsbeteckning.110 Samordnings- nummer kan numera tilldelas i tre nivåer beroende på vilken identi- tetskontroll som föregått tilldelningen.111 Det handlar om personer som har styrkt sin identitet eller gjort identiteten sannolik. I vissa fall får samordningsnummer även tilldelas den vars identitet är osäker.112

En person som ska styrka sin identitet i samband med tilldelning av samordningsnummer ska som huvudregel inställa sig personligen för identitetskontroll.113 Vid en identitetskontroll med personlig in- ställelse ska den som innehar ett pass, ett identitetskort eller en annan motsvarande handling på begäran överlämna handlingen. Den som har beviljats uppehållstillstånd i Sverige ska på begäran överlämna sitt uppehållstillståndskort.114 Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitets- kontrollen ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen.115 Det kan i sammanhanget nämnas att det i folkbokföringslagen har införts

108Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 1.

1091 kap. 1 § första stycket lagen om samordningsnummer.

1102 kap. 1 § första stycket lagen om samordningsnummer.

1112 kap. 1 § andra stycket samt 2 kap. 2–6 §§ lagen om samordningsnummer.

1122 kap. 1 § andra stycket lagen om samordningsnummer.

1132 kap. 2 § lagen om samordningsnummer.

1142 kap. 3 § lagen om samordningsnummer.

1152 kap. 4 § lagen om samordningsnummer.

430

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

bestämmelser med motsvarande innebörd som tillämpas av Skatte- verket vid bl.a. anmälan om inflytning till Sverige.116

Ytterligare reglering av bl.a. identitetskontroll i samband med till- delning av samordningsnummer har införts i förordningen (2023:363) om samordningsnummer. Där finns bl.a. bestämmelser om att en passmyndighet kan begära tilldelning av samordningsnummer och i ett sådant fall ska personlig inställelse för identitetskontroll ske där.117 Vidare får i vissa fall en person som inte befinner sig i Sverige inställa sig för identitetskontroll hos en beskickning eller ett karriär- konsulat som enligt 2 § passlagen (1978:302) fullgör uppgift som pass- myndighet utom riket och är behörig att handlägga ärenden om van- liga pass. Beskickningen eller karriärkonsulatet ska vid inställelsen bedöma om den som ska tilldelas ett samordningsnummer har styrkt sin identitet.118

Bedömningen av om tilldelningen av ett samordningsnummer ska föregås av personlig inställelse för identitetskontroll där den enskilde styrker sin identitet görs av Skatteverket. Skatteverket ska, efter att en begäran om samordningsnummer kommit in, informera den per- son en begäran eller ansökan rör om att han eller hon måste inställa sig personligen hos Skatteverket eller annan myndighet för identitets- kontroll och styrka sin identitet.119 Det är Skatteverket som är beslu- tande myndighet i ärenden om samordningsnummer vilket också innebär ansvar för identitetskontroll och identitetsbedömning för att bedöma om förutsättningarna för tilldelning eller förnyelse är uppfyllda. För att möjliggöra identitetskontroll genom personlig in- ställelse för personer som omfattas av en begäran om tilldelning av samordningsnummer och som befinner sig i utlandet kommer som ovan framgår vissa svenska utlandsmyndigheter komma i fråga för att utföra identitetskontroll enligt lagen om samordningsnummer.120

I en bestämmelse i folkbokföringsdatabaslagen som trädde i kraft den 1 september 2023 anges att när en kontroll enligt 26 b och 26 c §§ FOL eller enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras (1 kap. 7 § FdbL).

11626 a–26 c §§ FOL.

11711 § förordningen om samordningsnummer.

11812 § förordningen om samordningsnummer.

11910 § tredje stycket förordningen om samordningsnummer och prop. 2021/22:276, Stärkt system för samordningsnummer, s. 58–59.

120Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 80–81.

431

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

I avsnitt 9.4.9 föreslår vi att denna bestämmelse om omedelbar för- störing av uppgifterna inte ska regleras i den nya folkbokförings- datalagen, utan i 26 c § andra stycket FOL respektive 2 kap. 4 § andra stycket lagen om samordningsnummer.

Den automatiserade behandling av personuppgifter som regler- ingen om stärkt identitetskontroll i samband med bl.a. tilldelning av samordningsnummer innebär får ske i folkbokföringsdatabasen. An- siktsbild, fingeravtryck och de biometriska uppgifter som tas fram ur dessa får alltså behandlas i folkbokföringsdatabasen.121 När kon- trollen har genomförts ska uppgifterna som framgår ovan omedelbart förstöras.122

Den nya regleringen om samordningsnummer innebär att flera myndigheter genomför identitetskontroller i samband med bl.a. till- delning av samordningsnummer. Det innebär i sin tur att fler myn- digheter än Skatteverket behandlar personuppgifter vid identitets- kontrollerna.123 Utöver bestämmelsen i 1 kap. 7 § FdbL har ytterligare bestämmelser om personuppgiftsbehandling införts med anledning av bestämmelserna om den stärkta identitetskontrollen i lagen om samordningsnummer. I 1 kap. 1 § andra stycket FdbL anges att folk- bokföringsdatabaslagen också gäller vid behandling av personuppgif- ter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer (se mer om detta i avsnitt 7.4.6 ovan). Som nämns i avsnitt 7.6.1 anges vidare i 1 kap. 5 § FdbL att Skatteverket och varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför enligt denna lag. Innan dessa ändringar angavs i bestämmelsen att Skatteverket är personuppgiftsansvarigt för den behandling av person- uppgifter som verket ska utföra. Tillägget innebär alltså att passmyn- dighet som genomför identitetskontroll inför Skatteverkets beslut om tilldelning av samordningsnummer ska vara personuppgiftsansvarig för den personuppgiftsbehandling som sker vid myndigheten i anled- ning av identitetskontrollen.124

I propositionen som föregick ändringarna av 1 kap. 5 § FdbL anförde regeringen att som en allmän huvudregel kan anses gälla att den myndighet som utför och styr över en personuppgiftsbehandling

1212 kap. 2 § och 2 kap. 3 § första stycket 21 FdbL. Se även prop. 2021/22:276, Stärkt system för samordningsnummer, s. 68–72.

1221 kap. 7 § FdbL.

123Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 81.

124Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 151.

432

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

också bör ansvara för behandlingen, om det inte finns skäl för något annat. Även om beslut om tilldelning eller förnyelse av samordnings- nummer i och för sig tillkommer Skatteverket ensamt, har Skatte- verket enligt regeringen ingen möjlighet att utöva kontroll och infly- tande över övriga myndigheters personuppgiftsbehandling. Respektive myndighet borde därför enligt regeringen ansvara för den person- uppgiftsbehandling som myndigheten utför. Bestämmelsen om per- sonuppgiftsansvar i folkbokföringsdatabaslagen ändrades därför för att klargöra att varje myndighet som utgångspunkt är ansvarig för den behandling av personuppgifter som myndigheten utför.125

Passmyndigheter bör inte vara personuppgiftsansvariga enligt den föreslagna folkbokföringsdatalagen

I dag är alltså passmyndigheter personuppgiftsansvariga enligt folk- bokföringsdatabaslagen för viss behandling av personuppgifter i folk- bokföringsdatabasen hänförliga till identitetskontroll enligt lagen om samordningsnummer. I avsnitt 9.4.2 föreslår vi att den nuvarande databasregleringen ska upphävas och inte ersättas med bestämmelser av motsvarande innebörd i den föreslagna folkbokföringsdatalagen. Av bl.a. denna anledning föreslår vi inte heller att folkbokföringsdata- lagens tillämpningsområde ska omfatta behandling av personuppgif- ter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer (se avsnitt 7.4.6). I avsnitt 9.4.9 gör vi vidare bedömningen att bestämmelsen i 1 kap. 7 § FdbL om att fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram vid en passmyndighets kontroll enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer omedelbart ska förstöras inte längre ska regleras i dataskyddssammanhang, utan i lagen om sam- ordningsnummer.

Med beaktande av bl.a. detta anser vi att det inte finns skäl att i den föreslagna folkbokföringsdatalagen införa en bestämmelse som klargör att varje myndighet som utgångspunkt är ansvarig för den behandling av personuppgifter som myndigheten utför.126 Det bör alltså inte införas en bestämmelse i folkbokföringsdatalagen som mot- svarar den nu gällande bestämmelsen i folkbokföringsdatabaslagen om att varje passmyndighet är personuppgiftsansvarig för den be-

125Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 82.

126Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 82.

433

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

handling av personuppgifter som respektive myndighet utför enligt den lagen. Som ovan framgår i avsnitt 7.6.1 innehåller EU:s dataskydds- förordning regler om bl.a. personuppgiftsansvar och vad ansvaret innebär. Kompletterande bestämmelser om myndigheters person- uppgiftsbehandling finns i dataskyddslagen. Vi gör bedömningen att det för passmyndigheternas behandling av personuppgifter vid iden- titetskontroll enligt lagen om samordningsnummer är tillräckligt med de bestämmelser om personuppgiftsbehandling som finns i EU:s data- skyddsförordning och dataskyddslagen. Redan i dag finns viss annan typ av verksamhet som utförs vid utlandsmyndigheterna, t.ex. enligt pass-, utlännings- eller medborgarskapslagstiftningen, varvid EU:s dataskyddsförordning och den kompletterande dataskyddslagen och andra särskilda författningar gäller. Inte heller för den övriga pass- verksamheten finns någon särskild registerförfattning. I passärenden tillämpas EU:s dataskyddsförordning och dataskyddslagens bestäm- melser om rättslig grund och undantag för när behandling av käns- liga personuppgifter är tillåten.127

Enligt vår mening kommer det genom den föreslagna folkbokför- ingsdatalagen samt den allmänna dataskyddsregleringen i dataskydds- förordningen och dataskyddslagen sett tillsammans med de materiella reglerna om identitetskontroll enligt lagen om samordningsnummer stå tillräckligt klart vilken myndighet som är personuppgiftsansvarig för vilken personuppgiftsbehandling. Skatteverket kommer enligt vårt förslag till bestämmelse om personuppgiftsansvar i folkbokförings- datalagen att vara personuppgiftsansvarig för den behandling av per- sonuppgifter som myndigheten utför enligt den lagen och enligt före- skrifter som har meddelats i anslutning till lagen (se avsnitt 7.6.1). Lagen föreslås omfatta sådan behandling som Skatteverket utför i verksamhet med samordningsnummer (se avsnitt 7.4.6). Det inne- bär att i de fall Skatteverket utför den behandling av personuppgifter som föranleds av den förstärkta identitetskontrollen i lagen om sam- ordningsnummer, är myndigheten personuppgiftsansvarig för behand- lingen. Även om det är Skatteverket som beslutar om tilldelning eller förnyelse av samordningsnummer, är vi av uppfattningen att vår reglering inte innebär att myndigheten blir personuppgiftsansvarig även för den personuppgiftsbehandling som passmyndigheter utför vid identitetskontroll i samband med ett ärende enligt lagen om sam- ordningsnummer. Detta eftersom den personuppgiftsbehandlingen

127Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 81.

434

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

då inte utförs av Skatteverket enligt den föreslagna folkbokförings- datalagen. I stället avgör dataskyddsförordningens definition av per- sonuppgiftsansvarig vilken passmyndighet som är ansvarig för den behandling som respektive myndighet utför.128

7.7Tillgången till personuppgifter

Vårt förslag: Det ska införas bestämmelser i beskattningsdata- lagen, folkbokföringsdatalagen, tulldatalagen och kronofogde- datalagen som föreskriver att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter samt att åtkomsten till personuppgifter ska kon- trolleras och följas upp regelbundet.

I de till lagarna tillhörande förordningarna ska regleras att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Det ska även regle- ras att respektive myndighet ansvarar för att det inom myndig- heten finns rutiner för att dokumentera och regelbundet kon- trollera åtkomst till personuppgifter.

Skälen för vårt förslag

En uttrycklig reglering i lag om att tillgången till personuppgifter ska begränsas och åtkomsten kontrolleras och följas upp regelbundet

Enligt artikel 29 i dataskyddsförordningen får en fysisk person som utför arbete under den personuppgiftsansvariges överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruk- tion från den personuppgiftsansvarige. Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att personuppgifter inte behand- las utöver vad den personuppgiftsansvarige har gett instruktioner om (artikel 32.4 i dataskyddsförordningen). Den personuppgifts- ansvarige har alltså ett ansvar för att anställda och andra uppdrags- tagare inte behandlar personuppgifter utöver vad den personuppgifts- ansvarige har bedömt lämpligt.

128Artikel 4.7 i dataskyddsförordningen.

435

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Utgångspunkten är att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (jfr artikel 5.1 f i dataskyddsförordningen). Vilken spridning av per- sonuppgifter som en viss behandling innebär har av naturliga skäl stor inverkan på integritetsriskerna med behandlingen. Om personuppgif- ter sprids ökar risken för att uppgifterna kommer att användas på ett sätt som innebär ett intrång i de registrerades personliga integritet.

Att begränsa tillgången till personuppgifter är en viktig åtgärd för att säkerställa den registrerades grundläggande rättigheter och in- tressen (jfr artikel 9.2 g i dataskyddsförordningen). Skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till per- sonuppgifter följer visserligen redan av dataskyddsförordningen.129 Vi anser dock att det av integritetsskäl ska finnas bestämmelser i de nya lagarna som tydliggör att tillgången till personuppgifter ska be- gränsas till vad var och en behöver för att kunna fullgöra sina arbets- uppgifter. En särskild reglering med sådan innebörd finns redan i dag i 2 kap. 26 § KFMdbL.130 Sådana bestämmelser finns även i andra, nyare, registerförfattningar (se t.ex. 2 kap. 5 § lagen om Rättsmedicinal- verkets behandling av personuppgifter och 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten).

Skatteverkets, Tullverkets och Kronofogdemyndighetens verk- samheter skiljer sig åt. Det är därför svårt att på ett generellt plan närmare ange formerna för hur tillgången till personuppgifter ska begränsas vid dessa. Enligt den föreslagna bestämmelsen klargörs dock att respektive myndighet har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i data- skyddsförordningen).

Innebörden av bestämmelserna är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid en av myndigheterna ska alltså inte ges obegränsad tillgång till alla person- uppgifter som behandlas vid myndigheten. Uttrycket var och en inklu- derar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Det ska finnas ett reellt behov eller be- hovet ska kunna förutses finnas i verksamheten. Det kan exempelvis

129Prop. 2022/23:34, Utbetalningsmyndigheten, s. 136.

130Se även prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgifts- hantering, s. 26–27 och 35.

436

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

innebära att de medarbetare vid Skatteverket som arbetar med hand- läggning av vissa ärenden enligt skatteförfarandelagen inte får till- gång till de uppgifter som de som utför dataanalyser och urval har tillgång till. Det är tillräckligt att det finns ett potentiellt behov av åtkomst för att sådan ska medges. En medarbetare får alltså ha åt- komst till sådana uppgifter som det är tänkbart att han eller hon be- höver utifrån sina arbetsuppgifter.

Vidare ska det införas bestämmelser i de nya lagarna som före- skriver att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Ett sådant krav i lag utgör en skyddsåtgärd i syfte att begränsa intrånget i enskildas integritet. Det är även viktigt för att myndigheterna ska kunna upptäcka och åtgärda obehörig åtkomst. Liknande regleringar finns också i andra registerförfattningar (se t.ex. 9 § studiestödsdatalagen [2009:287] och 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten).

Kontroller ska genomföras systematiskt och återkommande och inte bara när myndigheterna av någon orsak har fått anledning att miss- tänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det bör dock vara upp till myndig- heterna själva att närmare bestämma formerna för kontrollen.

Det bör här framhävas att förekomsten av bestämmelser om till- gång till personuppgifter i de nya lagarna inte innebär att myndig- heterna kan bortse från övriga krav på lämpliga säkerhetsåtgärder som föreskrivs i dataskyddsförordningen. Som ett exempel kan näm- nas att det i dataskyddsförordningen ställs krav på inbyggt dataskydd och dataskydd som standard i den utsträckning det är lämpligt med hänsyn till bl.a. kostnader, behandlingens art och omfattning och de risker som behandlingen innebär (artikel 25). Ett exempel på ett så- dant inbyggt dataskydd är loggning.

Det ska finnas krav på vissa rutiner i förordning

Vi anser att det i de förordningar som föreslås tillhöra de nya lagarna av integritetsskäl ska införas bestämmelser om krav på att myndig- heterna ska ha vissa rutiner för tillgång till personuppgifter. Detta även om också sådana krav på de personuppgiftsansvariga myndig- heterna kan anses följa redan av dataskyddsförordningens krav (jfr t.ex. artikel 32 i dataskyddsförordningen). Särskilda bestämmelser i

437

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

förordning syftar till att tydliggöra att myndigheterna har sådana skyldigheter. Vi gör bedömningen att sådana bestämmelser som nu föreslås införas i förordning omfattas av regeringens restkompetens enligt 8 kap. 7 § regeringsformen.131 Motsvarande bestämmelser finns även i t.ex. 4 och 5 §§ förordningen (2023:463) om behandling av per- sonuppgifter vid Utbetalningsmyndigheten.

Myndigheterna föreslås ansvara för att det inom myndigheterna finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Sådana rutiner kan t.ex. tas in i myndigheternas arbetsordning eller beslutas om som sepa- rata rutiner. Det är enligt vår mening viktigt att myndigheterna har sådana rutiner som här avses för att bl.a. förhindra att anställda till- delas vidare behörighet till uppgifter än vad som behövs för utföran- det av arbetsuppgifter eller att anställda som byter arbetsuppgifter har kvar vidare behörigheter än vad som behövs av hänsyn till de nya arbetsuppgifterna.

Vi anser också att det i förordning ska föreskrivas att myndig- heterna ansvarar för att det inom myndigheterna finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgif- ter. Sådana rutiner kan exempelvis avse kontroll av vem som har läst, skapat, ändrat, raderat eller på annat sätt behandlat personuppgifter samt tidpunkten för åtgärden. Det är enligt vår bedömning av vikt att myndigheterna har sådana rutiner för att se till att de i lag före- slagna kraven på tillgång till personuppgifter följs. Bestämmelsen innebär dock inte att det ställs upp några uttryckliga krav på att all personuppgiftsbehandling inom lagarnas tillämpningsområden ska loggas. Rutinerna ska dock avse sådan regelbunden kontroll som ska utföras enligt de föreslagna lagbestämmelserna om tillgång till per- sonuppgifter.

131Jfr prop. 2021/22 :272, Statens stöd till trossamfund samt demokrativillkor vid stöd till civil- samhället, s. 148–149.

438

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

7.8Enskildas rättigheter

7.8.1Rätten att göra invändningar ska inte gälla

Vårt förslag: Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar ska inte gälla vid sådan behandling som är tillåten enligt de nya lagarna eller föreskrifter som har meddelats i anslutning till lagarna.

Skälen för vårt förslag

Rätten att göra invändningar mot behandling av personuppgifter regleras i artikel 21 i dataskyddsförordningen. Vid den behandling av personuppgifter som sker för att utföra en uppgift av allmänt in- tresse, som ett led i myndighetsutövning eller efter en intresseavväg- ning ska den registrerade enligt artikel 21.1 ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna om inte denne kan visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Begränsningar i rätten att göra invändningar får enligt dataskyddsförordningen en- dast göras under de förutsättningar som anges i artikel 23, eller i vissa situationer med stöd av artikel 89.2–3.

Enligt artikel 23 i dataskyddsförordningen är det möjligt för med- lemsstaterna att begränsa rätten att göra invändningar. Det krävs att begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och att det utgör en nödvändig och pro- portionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bl.a. viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. Sådana lagstiftningsåtgärder ska enligt artikeln innehålla specifika bestämmelser när så är relevant, avseende bl.a. ändamålen med behandlingen, lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål.

439

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

Vid införandet av dataskyddslagen bedömde regeringen att det inte var lämpligt att inskränka rätten att göra invändningar mot myn- digheters behandling av personuppgifter genom ett generellt undan- tag i dataskyddslagen. Sådana undantag skulle i stället övervägas på sektorsspecifik nivå.132

Många registerförfattningar innehåller begränsningar av rätten att göra invändningar (se t.ex. 2 a § lagen [2002:546] om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 18 b § utlänningsdatalagen och 1 kap. 4 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten). Ett huvudsakligt skäl till detta är att det ansetts vara av stor betydelse att personuppgifter får behandlas i myndigheternas verksamheter oberoende av den regi- strerades inställning. Vidare har bedömningen gjorts att den person- uppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet.133

I nuvarande reglering avseende aktuella myndigheter finns bestäm- melser som reglerar frågan om rätten att göra invändningar. Enligt bestämmelserna gäller artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte vid sådan behandling som är tillåten enligt respektive lag eller föreskrifter som har meddelats i anslutning till lagen.134 Bestämmelser med liknande innebörd har funnits sedan lagarna infördes och justerades i viss mån i samband med den över- syn av lagarna som gjordes med anledning av att dataskyddsförord- ningen skulle börja tillämpas. Innebörden av bestämmelserna är att tillåten behandling av personuppgifter får ske även om den enskilde motsätter sig detta.

I förarbetena till de nu gällande bestämmelserna gjorde regeringen bedömningen att den behandling som myndigheterna utför i regel får antas vara av sådan karaktär att behandlingen får fortsätta enligt artikel 21.1 även om den registrerade invänder mot behandlingen. Att den registrerade har möjlighet att invända mot behandlingen bedöm- des dock kunna påverka effektiviteten i myndigheternas verksamhet.135

I samma förarbeten ansågs det vara av stor betydelse att person- uppgifter får behandlas oberoende av den registrerades inställning i

132Prop. 2017/18:105, Ny dataskyddslag, s. 105–106.

133Prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 45.

1343 kap. 3 § SdbL, 3 kap. 1 § FdbL, 3 kap. 1 § TDL och 3 kap. 3 § KFMdbL.

135Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 85.

440

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

sådan verksamhet hos Skatteverket, Tullverket och Kronofogde- myndigheten som avsågs i berörda lagar. Den tillåtna behandlingen ansågs vidare vara en förutsättning för att myndigheterna skulle kunna utföra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. Myndigheterna ansågs också i princip undantagslöst kunna påvisa skäl för fortsatt behandling som vägde tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för de aktuella myndigheterna att behandla relevanta personuppgifter skulle den registrerade enligt regeringen inte heller fortsättningsvis ha någon rätt att motsätta sig sådan personuppgiftsbehandling som var tillåten enligt lagarna. Be- gränsningarna ansågs vidare vara en nödvändig och proportionell åt- gärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. De integritetsskyddande bestämmelserna i lagarna ansågs också mini- mera risken för kränkning av den registrerades rättigheter och friheter. Regeringen bedömde med dessa utgångspunkter att de bestämmel- ser som innebar att behandling av personuppgifter fick utföras även om den registrerade motsätter sig behandlingen mot den bakgrun- den var förenliga med dataskyddsförordningen och kunde därför vara kvar även i fortsättningen.136

Enligt vår uppfattning saknas det skäl att nu göra någon annan bedömning i dessa frågor. Även med beaktande av de förslag till för- ändringar av regleringarna som vi lämnar kommer myndigheternas behandling av personuppgifter fortsättningsvis att omgärdas av integ- ritetsskyddande bestämmelser som minimerar riskerna för kränk- ningar av den registrerades rättigheter och friheter. Vi gör också be- dömningen att de föreslagna ändamålsbestämmelserna är sådana spe- cifika bestämmelser avseende ändamålen med behandlingen eller kategorierna av behandling som avses i artikel 23.2 i dataskyddsförord- ningen (jfr avsnitt 8.4.2). Det har inte heller kommit fram något skäl för att göra en annan bedömning i fråga om att behandlingen är nöd- vändig för att myndigheterna ska kunna utföra sina uppdrag på ett korrekt, effektivt och rättssäkert sätt samt att myndigheternas skäl för fortsatt behandling väger tyngre vid den intresseavvägning som ska göras.

Med hänsyn till detta föreslår vi att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska

136Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 85–86.

441

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

införas bestämmelser som föreskriver att artikel 21.1 i EU:s data- skyddsförordning om rätten att göra invändningar inte ska gälla vid sådan behandling som är tillåten enligt de nya lagarna eller föreskrifter som har meddelats i anslutning till lagarna.

7.8.2Rätten till information m.m. i Skatteverkets beskattningsverksamhet

Vårt förslag: Det ska införas en bestämmelse i beskattningsdata- lagen som reglerar att vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska vissa bestämmel- ser om rätt till information och tillgång till personuppgifter i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finan- siellt intresse hos Europeiska unionen eller en stat som ingår i unionen.

Vår bedömning: Motsvarande reglering som i dag finns i skatte- databaslagen om rätt till rättelse och radering av personuppgifter och begränsning av behandling samt anmälningsskyldigheten avseende rättelse eller radering av personuppgifter och begräns- ning av behandling enligt dataskyddsförordningen ska inte in- föras i den nya beskattningsdatalagen.

Skälen för vårt förslag och vår bedömning

Rätten till information och tillgång till personuppgifter

I 3 kap. 2 a § SdbL finns en bestämmelse som anger att vid behand- ling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13 och 15–19 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.

Bestämmelsen infördes i samband med att dataskyddsförordningen började gälla. En bestämmelse med motsvarande lydelse infördes dock

442

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

redan i samband med genomförandet av rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om be- skattning och om upphävande av direktiv 77/799/EG, härefter be- nämnt direktivet om administrativt samarbete (som tidigare brukade kallas för handräckningsdirektivet). Direktivet genomfördes i huvud- sak genom införandet av lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Bakgrunden till den tidigare lydelsen av 3 kap. 2 a § SdbL var bl.a. att det i artikel 25 i direktivet om administrativt samarbete föreskrevs att medlemsstaterna för en korrekt tillämpning av direktivet skulle begränsa tillämpnings- området för bl.a. de skyldigheter och rättigheter som avsågs i artik- larna 10, 11.1 och 12 i 1995 års dataskyddsdirektiv i den utsträckning som behövdes för att skydda de intressen som avsågs i artikel 13.1 e i det direktivet. Artiklarna 10, 11.1 och 12 i nämnda direktiv rörde viss information till den som de insamlade uppgifterna avsåg, om behandlingen av dessa och rättelse, utplåning eller blockering av uppgifter.

Bestämmelsen i skattedatabaslagen ansågs av regeringen t.ex. kunna bli aktuell att tillämpa i en situation när uppgifter behandlades med anledning av en begäran om utbyte av upplysningar och det kunde befaras att det skulle försvåra genomförandet av utredning eller be- slut i skatteärende i den andra medlemsstaten att lämna sådan infor- mation till den registrerade.137

I den dåvarande bestämmelsen i 3 kap. 2 a § SdbL angavs att vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om be- skattning skulle inte 23, 25, 26, 28 och 42 §§ PUL tillämpas om så- dana begränsningar var nödvändiga med hänsyn till ett intresse som angavs i 8 a § f PUL.

Bestämmelserna i 23, 25, 26, 28 och 42 §§ PUL avsåg regler om information till den registrerade som skulle lämnas självmant, infor- mation som skulle lämnas efter ansökan, rättelse m.m. samt upplys- ningar till allmänheten om behandlingar som inte anmälts till tillsyns- myndigheten. Det intresse som avsågs genom 8 a § f PUL var ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.

137Se prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 70–73 och prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 73.

443

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

I dag har direktivet om administrativt samarbete anpassats till den reglering som gäller enligt EU:s dataskyddsförordning genom att artikel 25 numera hänvisar till dataskyddsförordningen och inte till det upphävda dataskyddsdirektivet. I artikel 25.1 i direktivet om administrativt samarbete anges bl.a. att medlemsstaterna ska, för en korrekt tillämpning av direktivet, begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 13, 14.1, och 15 i förordning (EU) 2016/679 i den utsträckning som behövs för att skydda de intressen som avses i artikel 23.1 e i den förord- ningen. Artiklarna 13, 14.1 och 15 i dataskyddsförordningen avser viss information till den som de insamlade uppgifterna avser samt den registrerades rätt till tillgång till personuppgifter. Artikel 23.1 e innebär att begränsningar av vissa rättigheter får göras bl.a. i syfte att säkerställa viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet.

När den nuvarande bestämmelsen i 3 kap. 2 a § SdbL infördes be- dömde regeringen att den dåvarande bestämmelsen i skattedatabas- lagen var förenlig med artikel 23 i dataskyddsförordningen. För att bestämmelsens sakliga innebörd skulle vara densamma som tidigare, ansåg regeringen att den då gällande hänvisningen till 8 a § f PUL inte skulle ersättas av en hänvisning till artikel 23.1 e i dataskyddsförord- ningen. I stället skulle lagtexten enligt regeringen utformas så att det framgick att de rättigheter som anges i artiklarna 13 och 15 i data- skyddsförordningen inte skulle tillämpas om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.138

Avseende de begränsningar som i dag gäller i 3 kap. 2 a § SdbL av rättigheterna i artiklarna 13 och 15 i dataskyddsförordningen anser

viatt motsvarande reglering ska tas in i den nya beskattningsdata- lagen. Om så inte görs innebär det sakliga ändringar i förhållande till de krav på genomförande som finns i direktivet om administrativt samarbete. Det har inte kommit fram skäl som gör att det finns an- ledning att denna reglering inte fortsatt ska gälla. Bestämmelsen be- döms vidare fortsatt uppfylla de krav som ställs på en rättighets-

138Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 73.

444

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

begränsande bestämmelse enligt artikel 23 i dataskyddsförordningen.139 I likhet med vad regeringen tidigare har anfört bör det i den nya bestämmelsen inte göras någon hänvisning till artikel 23 i dataskydds- förordningen i syfte att säkerställa att bestämmelsens sakliga inne- börd blir densamma som i dag.

Rättelse, radering och begränsning av behandling samt viss information som ska tillhandahållas

När det gäller de rättigheter som tidigare reglerades i 28 § PUL finns dessa i dag i artiklarna 16–19 i dataskyddsförordningen. I artiklarna regleras den registrerades rätt till rättelse, radering och begränsning av behandling samt skyldigheten för den personuppgiftsansvarige att underrätta mottagare av personuppgifter om vidtagna korrigerings- åtgärder.

Den nuvarande bestämmelsen i 3 kap. 2 a § SdbL avser inte en- dast, som framgår ovan, begränsningar av rätten till information och tillgång till uppgifter. Bestämmelsens begränsningar omfattar även enskildas rättigheter enligt artiklarna 16–19 i dataskyddsförordningen. Som nämns ovan infördes bestämmelsen i 3 kap. 2 a § SdbL ur- sprungligen för att genomföra artikel 25 i direktivet om administra- tivt samarbete. I samband med att den nuvarande lydelsen av bestäm- melsen infördes anförde regeringen att bestämmelsen uppfyller de krav som ställs på en rättighetsbegränsande bestämmelse enligt artikel 23 i dataskyddsförordningen. Mot den bakgrunden ansåg reger- ingen att bestämmelsen skulle vara kvar även i den del som gäller be- gränsning av rätten till rättelse, radering och begränsning av behand- ling i artiklarna 16–18 och av anmälningsskyldigheten i artikel 19.140

Det kan konstateras att lydelsen av artikel 25 i direktivet om administrativt samarbete vid tiden för införandet och ändringen av 3 kap. 2 a § SdbL, vilken hänvisade till bl.a. artikel 12 i 1995 års data- skyddsdirektiv, omfattade krav på begränsning av rätten till rättelse

m.m.I dag hänvisar dock inte artikel 25 i direktivet om administrativt samarbete till motsvarande bestämmelser om rättelse m.m. i data- skyddsförordningen. Den nuvarande lydelsen av artikel 25 i direk-

139Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 80.

140Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 80.

445

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

tivet om administrativt samarbete infördes genom rådets direktiv (EU) 2021/514 av den 22 mars 2021 om ändring av direktiv 2011/16/EU om administrativt samarbete i fråga om beskattning. I dag föreskrivs följande i artikel 25.1 i direktivet om administrativt samarbete.

Allt utbyte av upplysningar enligt detta direktiv ska omfattas av Europa- parlamentets och rådets förordning (EU) 2016/679. Medlemsstaterna ska emellertid, för en korrekt tillämpning av detta direktiv, begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 13, 14.1, och 15 i förordning (EU) 2016/679 i den utsträck- ning som behövs för att skydda de intressen som avses i artikel 23.1 e i den förordningen.

Frågan är om det mot denna bakgrund finns skäl att inte införa en bestämmelse som motsvarar den som finns i dag i 3 kap. 2 a § SdbL i fråga om enskildas rättigheter enligt artiklarna 16–19 i dataskydds- förordningen.

Inledningsvis kan konstateras att dataskyddsförordningen ställer vissa krav på en rättighetsbegränsande bestämmelse enligt artikel 23. En sådan begränsning måste ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna. Begränsningen ska också utgöra en nödvändig och proportionell åtgärd i ett demokratiskt sam- hälle i syfte att säkerställa bl.a. viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning,- budget- eller skatte- frågor, folkhälsa och social trygghet. I dag anges i 3 kap. 2 a § SdbL att bl.a. artiklarna 16–19 i dataskyddsförordningen inte ska tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. Det är därmed tillämparen som behöver göra en bedömning av om en begränsning av aktuella rättigheter är nödvändiga av dessa skäl vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Euro- peiska unionen i fråga om beskattning.141 Såsom bestämmelsen är ut- formad i dag finns det enligt vår uppfattning inga skäl att frångå regeringens tidigare bedömning att bestämmelsen i sig uppfyller de krav som ställs på en rättighetsbegränsande bestämmelse enligt arti- kel 23 i dataskyddsförordningen.

141Jfr prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 73.

446

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Som framgår ovan infördes 3 kap. 2 a § i SdbL för att genomföra artikel 25 i direktivet om administrativt samarbete. I dag omfattar artikeln endast de skyldigheter och rättigheter som föreskrivs i artik- larna 13, 14.1 och 15 i dataskyddsförordningen. Mot denna bak- grund gör vi bedömningen att den nya bestämmelsen vi föreslår ska införas i den beskattningsdatalagen inte ska omfatta artiklarna 16–19 i dataskyddsförordningen. Förslaget innebär alltså en ändring i sak.

Som ovan framgår har regeringen i samband med införandet av den ursprungliga bestämmelsen i skattedatabaslagen som exempel på en situation då bestämmelsen ska tillämpas angett att det kan vara när personuppgifter behandlas med anledning av en begäran om utbyte av upplysningar och det kan befaras att det skulle försvåra genom- förandet av utredning eller beslut i skatteärende i den andra medlems- staten att lämna sådan information till den registrerade eller någon annan som det enligt bestämmelsen ska lämnas information till.142 När det kommer till skyldigheterna och rättigheterna enligt artik- larna 16–19, dvs. rätten till rättelse och radering av personuppgifter och begränsning av behandling samt anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av be- handling, utgör dessa enligt vår uppfattning inte sådana rättigheter som t.ex. skulle försvåra utredningen eller beslut i skatteärende i en annan medlemsstat som mottar upplysningar.

Vidare kan det konstateras att 3 kap. 2 a § SdbL i dag inte omfat- tar artikel 14.1 i dataskyddsförordningen. Artikel 14.1 handlar om in- formation som ska tillhandahållas om personuppgifterna inte har er- hållits från den registrerade. Av samma skäl som anförts ovan, dvs. för att uppnå syftet med bestämmelsen som är att genomföra artikel 25 i direktivet om administrativt samarbete som omfattar artikel 14.1, anser vi att den nya bestämmelsen vi föreslår i beskattningsdatalagen även ska omfatta artikel 14.1 i dataskyddsförordningen.

Sammanfattningsvis innebär våra bedömningar att det i den före- slagna beskattningsdatalagen ska införas en bestämmelse som före- skriver att vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13, 14.1 och 15 i EU:s data- skyddsförordning inte tillämpas, om sådana begränsningar är nöd-

142Prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 73.

447

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

vändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt in- tresse hos Europeiska unionen eller en stat som ingår i unionen.

I likhet med regeringens tidigare bedömning är vi av uppfatt- ningen att en sådan bestämmelse inte i sig innebär en begränsning i allmänhetens rätt att enligt offentlighetsprincipen få del av allmänna handlingar.143 Vidare kan det framhållas att bestämmelsen inte är av- sedd att innebära några förändringar i sak utöver de ändrade hänvis- ningarna till dataskyddsförordningen i förhållande till den bestäm- melse som i dag finns i 3 kap. 2 a § SdbL.

7.8.3Rättelse och överklagande vid Kronofogdemyndigheten

Vårt förslag: Det ska införas en bestämmelse i den nya krono- fogdedatalagen som reglerar att på begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna så- dana uppgifter om den enskilde som inte har behandlats i enlighet med den lagen eller anslutande författningar, eller som vid tid- punkten för registreringen är missvisande i fråga om den enskil- des vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.

Bestämmelsen ska inte vara tillämplig på uppgifter om avlidna. Avseende juridiska personer ska bestämmelsen vara tillämplig en- bart beträffande frågan om uppgifterna vid tidpunkten för regi- streringen är missvisande i fråga om den enskildes vilja eller för- måga att uppfylla sina ekonomiska förpliktelser.

Om uppgifterna lämnats ut till tredje man, ska Kronofogde- myndigheten underrätta denne om åtgärd att rätta, blockera eller utplåna uppgifter om den enskilde begär det eller om mera bety- dande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse ska dock inte behöva lämnas om detta skulle innebära en oproportionerligt stor arbetsinsats. Bestämmel- sen ska även vara tillämplig på juridiska personer.

Beslut om rättelse ska få överklagas till allmän förvaltnings- domstol. Prövningstillstånd ska krävas vid överklagande till kammar- rätten. Bestämmelsen ska även vara tillämplig på sådana beslut som avser rättelse, blockering eller utplåning av uppgifter om juri- diska personer.

143Prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 72.

448

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Vår bedömning: Det behövs ingen upplysningsbestämmelse om att det i fråga om personuppgifter finns bestämmelser om rättelse m.m. i EU:s dataskyddsförordning.

Skälen för vårt förslag och vår bedömning

Bakgrunden till den nu gällande bestämmelsen om rättelse i kronofogdedatabaslagen

I dag finns en särskild bestämmelse under rubriken rättelse i 3 kap. 3 a § KFMdbL som har följande lydelse.

Kronofogdemyndigheten ska på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som

1.inte har behandlats i enlighet med denna lag eller anslutande författ- ningar, eller

2.är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.

Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndig- heten underrätta denne om åtgärd enligt första stycket, om den registre- rade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbets- insats.

I fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskyddsförordning.

Bestämmelsens första och andra stycke infördes ursprungligen den 1 juni 2008 i 3 kap. 3 a § KFMdbL.144 Innan dess fanns i kronofogde- databaslagen en bestämmelse i 3 kap. 3 § som föreskrev att bestäm- melserna i personuppgiftslagen om rättelse och skadestånd skulle gälla vid behandling av personuppgifter enligt kronofogdedatabaslagen eller anslutande författningar. Hänvisningen till personuppgiftslagens rätt- elsebestämmelse gällde all behandling av uppgifter i Kronofogde- myndighetens verksamhet.145 I 28 § PUL fanns en bestämmelse som föreskrev att den personuppgiftsansvarige var skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana per- sonuppgifter som inte hade behandlats i enlighet med personuppgifts- lagen eller föreskrifter som har utfärdats med stöd av den lagen. Para-

144Prop. 2007/08:116, bet. 2007/08:SkU30, rskr. 2007/08:165.

145Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 12.

449

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

grafen var avsedd att ha samma innebörd som artikel 12 b och c i 1995 års dataskyddsdirektiv.146

I artikel 12 b i dataskyddsdirektivet angavs att medlemsstaterna skulle säkerställa att varje registrerad hade rätt att från den register- ansvarige i förekommande fall få sådana uppgifter som inte behand- lats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om dessa var ofullständiga eller felaktiga. I arti- kel 12 c föreskrevs att medlemsstaterna skulle säkerställa att varje registrerad hade rätt att från den registeransvarige få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med artikel 12 b, om detta inte visade sig vara omöjligt eller innebar en oproportionerligt stor ansträngning.

Av det förhållandet att det i bestämmelsen i 28 § PUL inte angavs vilken av de alternativa metoderna rättelse, blockering och utplånande som skulle väljas i olika situationer följde att det i princip var den som skulle göra korrigeringen, dvs. den personuppgiftsansvarige, som fick välja själv.147

Bakgrunden till den särskilda bestämmelsen om rättelse som in- fördes i 3 kap. 3 a § KFMdbL år 2008 är enligt förarbetena bl.a. att situationen vad gäller rättelse i Kronofogdemyndighetens databaser vid den tiden då rättelsebestämmelsen i personuppgiftslagen skulle tillämpas inte ansågs vara tillfredsställande. Då förekom att de vid den tiden olika regionala kronofogdemyndigheterna tolkade innebör- den av rättelseskyldigheten enligt 28 § PUL på olika sätt, och även domstolarnas praxis i frågan syntes variera. Att förekomma med mål som registrerats i utsöknings- och indrivningsdatabasen kunde enligt regeringen, med tanke på uppgifternas spridning och användning utan- för Kronofogdemyndigheten, få långtgående konsekvenser för den enskilde. Det var mot den bakgrunden enligt regeringen inte rimligt att behöva figurera med sådana uppgifter i fall där det inte behövde ha förelegat någon verklig vare sig ovilja eller oförmåga att betala.148

Vid utformningen av den särskilda rättelsebestämmelsen uttalade regeringen att det kunde diskuteras om förslaget innebar en utvidg- ning av skyldigheten att vidta rättelse, eller bara ett förtydligande av vad som redan då gällde. Det viktigaste var emellertid enligt reger-

146Prop. 1997/98:44, Personuppgiftslag, s. 132.

147Prop. 1997/98:44, Personuppgiftslag, s. 86.

148Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 13–14.

450

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

ingen att ändringen, tillsammans med den utbyggnad av sekretesskyd- det som föreslogs, banade väg för en tillämpning som tillgodosedde såväl kraven på Kronofogdemyndighetens diarieföring som de enskil- das berättigade krav på att inte behöva förekomma med uppgifter som ger ett i sak ogrundat intryck av bristande vilja eller förmåga att göra rätt för sig.149 Därmed infördes i kronofogdedatabaslagen änd- rade bestämmelser som innebar att uppgifter skulle rättas bl.a. i det fallet att de är missvisande i fråga om den registrerades vilja eller för- måga att uppfylla sina ekonomiska förpliktelser. Rättelsen var fristå- ende från personuppgiftslagens reglering. I likhet med vad som gällde enligt 28 § PUL togs en bestämmelse om skyldighet att underrätta tredje man om rättelsen i vissa fall in i lagen. Vidare gjordes en änd- ring i 1 kap. 1 § kronofogdedatabaslagen för att det tydligt skulle fram- gå att rättelsebestämmelsen var tillämplig även på uppgifter om juri- diska personer och avlidna.150 Den tidigare bestämmelsen i 3 kap. 3 § KFMdbL, som hänvisade till personuppgiftslagen, gällde enbart fysiska personer.151

I förarbetena angav regeringen vidare att utplåning normalt inte skulle komma i fråga när det gäller missvisande uppgifter, utan i stället skulle blockering vara den huvudsakliga rättelsemetoden. Att upp- gifterna blockeras innebär att uppgifterna ska vara förknippade med information om att de är spärrade och om anledningen till spärren och att personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF. När uppgifter rättas kan de få stå kvar men i rättat skick. Definitionerna härrör från den bestämmelse som tidi- gare fanns i 28 § PUL. Om uppgifterna var felaktiga även i ett diarie- perspektiv ansågs det normalt inte finnas något hinder mot att de, i stället för att blockeras, utplånas. Regeringen konstaterade vidare att det i princip är den personuppgiftsansvarige som själv får välja metod.152 Som framgår ovan användes begreppen rättelse, utplåning och blockering även i dataskyddsdirektivet.

När bestämmelsen i 3 kap. 3 a § KFMdbL infördes 2008 framhöll regeringen vidare att den inte endast avsåg verkställighet och indriv- ning utan även andra verksamheter hos Kronofogdemyndigheten.153

149Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 17–18.

150Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 16–19.

151Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 12.

152Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 20.

153Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 19.

451

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

EU:s dataskyddsförordning, som började tillämpas den 25 maj 2018, innehåller reglering av rätt till rättelse och radering av person- uppgifter, rätt till begränsning av behandling och anmälningsskyldig- het (artiklarna 16–19). I samband med att dataskyddsförordningen utfärdats behölls den tidigare utökade rätten till korrigering av vissa missvisande uppgifter i Kronofogdemyndighetens databaser, med ett nytt tredje stycke i 3 kap. 3 a § som upplyser om att i fråga om per- sonuppgifter finns bestämmelser om rättelse m.m. också i EU:s data- skyddsförordning. I samband härmed uttalade regeringen att det inte finns några hinder i dataskyddsförordningen mot att behålla denna utökade rätt till rättelse. Vidare ansåg regeringen att 3 kap. 3 a § andra stycket KFMdbL, innehållandes en bestämmelse om underrättelse- skyldighet, kunde behållas även om bestämmelsen inte fullt ut har någon motsvarighet i dataskyddsförordningen till följd av att den inne- bär att underrättelse till tredje man ska ske i vissa fall då underrättelse inte behöver lämnas enligt dataskyddsförordningen. När det gäller det införda tredje stycket i bestämmelsen anförde regeringen att för fysiska personer skulle de särskilda bestämmelserna för Kronofogdemyndig- hetens verksamhet gälla vid sidan av de rättigheter som följer av data- skyddsförordningen. Detta skulle enligt regeringen tydliggöras genom att det i bestämmelsen upplyses om att det i fråga om personuppgifter även finns bestämmelser om rättelse m.m. i dataskyddsförordningen.154

Att den nuvarande bestämmelsen även är tillämplig på uppgifter om juridiska personer och avlidna saknar motsvarighet i dataskydds- förordningen.155

Det ska införas en särskild bestämmelse om rättelse i kronofogdedatalagen

I dag är Kronofogdemyndigheten en central förvaltningsmyndighet och inte flera regionala sådana. Förutsättningarna för en enhetlig tillämpning av rättelsebestämmelserna i den allmänna dataskydds- regleringen bör därmed ha förbättrats. Vidare innehåller dataskydds- förordningen redan i sig direkt tillämpliga bestämmelser om bl.a. rättelse och radering. Den nya kronofogdedatalagen föreslås inte heller omfatta behandling av uppgifter om juridiska personer eller avlidna.

154Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 78–80.

155Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 79.

452

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

Detta kan tala för att det, utöver regleringen om rättelse m.m. som finns i dataskyddsförordningen, inte längre behöver finnas några särskilda bestämmelser om rättelse som gäller i Kronofogdemyndig- hetens verksamhet.

Regeringens tidigare uttalanden om de konsekvenser för enskilda som kan uppkomma genom att ha registrerade mål hos Kronofogde- myndigheten äger dock enligt vår mening fortsatt giltighet. Det kan även efter dataskyddsförordningens utfärdande finnas uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att upp- fylla sina ekonomiska förpliktelser utan att behandlingen av uppgif- terna kan anses strida mot kronofogdedatalagen eller anslutande för- fattningar. I förarbetena till den ursprungliga bestämmelsen i 3 kap. 3 a § KFMdbL anges som exempel på uppgifter som vid den tiden i praxis inte hade ansetts som felaktiga i personuppgiftslagens mening, men som ändå skulle anses vara missvisande, uppgifter om en ansökan om verkställighet som visserligen har föregåtts av betalningsuppmaning men där denna inte har kommit adressaten till handa. Enbart ett på- stående att någon betalningsuppmaning inte hade mottagits kunde enligt regeringen dock knappast anses tillräckligt för rättelse. Därut- över ansågs krävas att påståendet vann stöd av andra omständigheter, t.ex. att den som avsågs med uppgiften hade flyttat i nära anslutning till den tidpunkt när betalningsuppmaningen skickats ut.156

Exemplet är enligt vår mening fortsatt aktuellt i detta samman- hang. Att helt ta bort den särskilda bestämmelsen om rättelse hade vidare med största sannolikhet inneburit en mer inskränkt möjlighet för Kronofogdemyndigheten att korrigera, blockera eller ta bort felaktiga eller missvisande uppgifter i förhållande till de behov som finns. Dataskyddsförordningen hindrar inte heller att den utökade rätten till rättelse av vissa missvisande uppgifter i Kronofogdemyndig- hetens verksamhet behålls.157

Vi gör sammantaget bedömningen att det fortsatt finns skäl för en särskild reglering av rättelse m.m. för uppgifter i Kronofogde- myndighetens verksamhet. Det skulle säkerställa att det vid myndig- heten inte finns uppgifter där det inte behöver ha förelegat någon verklig vare sig ovilja eller oförmåga att betala. Mot denna bakgrund föreslår vi att det bör införas en särskild bestämmelse om rättelse

156Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 29.

157Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 79.

453

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

m.m.i 18 § kronofogdedatalagen. Detta även om begreppet miss- visande inte förekommer i dataskyddsförordningens bestämmelser om rättelse m.m. i artiklarna 16–19.

Utformningen av den särskilda bestämmelsen om rättelse i den nya kronofogdedatalagen

När det gäller den nya kronofogdedatalagen föreslår vi att den gene- rellt sett inte ska omfatta behandling av uppgifter om juridiska perso- ner eller avlidna (se avsnitten 7.4.2 och 7.4.3). Som ovan nämns gäller den nu gällande rättelsebestämmelsen i 3 kap. 3 a § KFMdbL även uppgifter om avlidna och juridiska personer. En konsekvens av våra förslag avseende tillämpningsområdet är att om rättelsebestämmel- sen förs över oförändrad till den nya lagen blir den nuvarande lydel- sen i 3 kap. 3 a § första stycket 1 inte möjlig att tillämpa fullt ut. Detta då det i bestämmelsen anges att Kronofogdemyndigheten på begäran av den registrerade snarast ska rätta, blockera eller utplåna sådana uppgifter som inte har behandlats i enlighet med denna lag eller anslutande författningar. Samtidigt anser vi att motsvarande be- stämmelse bör införas i den nya lagen avseende fysiska personer.

När den tidigare bestämmelsen om rättelse i 3 kap. 3 § KFMdbL hänvisade till 28 § PUL omfattade den endast fysiska personer. Att den senare bestämmelsen i 3 kap. 3 a § KFMdbL även skulle tillämpas på uppgifter om juridiska personer och avlidna klargjordes genom en ändring av 1 kap. 1 § KFMdbL i samband med att den nya rättelse- bestämmelsen infördes 2008. I förarbetena finns ingen närmare moti- vering till denna utvidgning trots att det rörde en bestämmelse om behandling av personuppgifter.158 I en hemställan från Skatteverket som föregick lagstiftningsärendet angavs dock att Skatteverket ansåg att den befintliga rättelsebestämmelsen skulle byggas ut genom att det uttryckligen skulle föreskrivas att rättelsebestämmelsen omfat- tar begreppet ”missvisande” och att bestämmelsen är tillämplig även på juridiska personer och avlidna.159

Vi anser att en bestämmelse motsvarande 3 kap. 3 a § första stycket 1 KFMdbL i den nya lagen inte ska omfatta juridiska personer och avlidna. Juridiska personer och avlidna omfattas inte av bestämmel-

158Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 16–19.

159Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 11.

454

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

serna i EU:s dataskyddsförordning.160 Den nya kronofogdedatalagen ska utgöra kompletterande reglering till dataskyddsförordningen (se avsnitt 7.5.1). Vår uppfattning är att den aktuella bestämmelsen syftar till att säkerställa att fysiska personers integritet inte kränks. Personlig integritet är ett begrepp som är nära knutet till skyddet för privatlivet. Juridiska personer och avlidna kan enligt vår mening inte anses få ett sämre integritetsskydd ur ett dataskyddsrättsligt per- spektiv genom att den aktuella bestämmelsen inte längre omfattar dessa subjekt eftersom skyddet för den personliga integriteten i bl.a. dataskyddsförordningen inte gäller för dem. Med andra ord anser vi att det förhållandet att bestämmelsen inte längre bör omfatta juri- diska personer och avlidna är en följd av att dataskyddsförordningen inte omfattar dessa subjekt, vilket i sig inte innebär att avlidna och juridiska personer får ett sämre skydd ur ett integritetsskydds- perspektiv. I de fall vissa uppgifter om juridiska personer innefattar en personuppgift, t.ex. uppgift om firmatecknare, tillgodoses skyd- det genom bl.a. de regler som nu föreslås till skydd för fysiska per- soners personliga integritet.

Bedömningen utesluter dock inte att det kan finnas andra grunder på vilka den personuppgiftsansvarige t.ex. måste rätta en uppgift. Vid den tid då kronofogdedatabaslagen inte innehöll några särskilda be- stämmelser om rättelse avseende juridiska personer har Högsta förvaltningsdomstolen slagit fast att det förhållandet inte rimligen i sig kunde innebära att en juridisk person ska kunna vägras att få en felaktig uppgift rättad (RÅ 2004 ref. 104). Vidare finns vissa be- stämmelser om rättelse i 36 § FL.

Vi anser att också en bestämmelse motsvarande 3 kap. 3 a § första stycket 2 KFMdbL ska tas in i den nya kronofogdedatalagen. Enligt bestämmelsen ska Kronofogdemyndigheten på begäran av den regi- strerade snarast rätta, blockera eller utplåna sådana uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att upp- fylla sina ekonomiska förpliktelser. Också denna bestämmelse är i dag tillämplig på uppgifter om juridiska personer och avlidna. Bestäm- melsen får sägas vara utökad i förhållande till den allmänna data- skyddsförordningen.161 Syftet med att införa bestämmelsen var i huvudsak att tillgodose såväl kraven på Kronofogdemyndighetens diarieföring som de enskildas berättigade krav på att inte behöva före-

160Se bl.a. skäl 14 och 27 till dataskyddsförordningen.

161Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 17.

455

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

komma med uppgifter som ger ett i sak ogrundat intryck av bris- tande vilja eller förmåga att göra rätt för sig.162

Även sådana ogrundade intryck avseende juridiska personer kan få negativa konsekvenser på ett sätt som gör att det finns skäl att fortsatt låta bestämmelsen omfatta sådana subjekt. Det rör sig fram- för allt om ekonomiska konsekvenser. Det finns till skillnad från det som nu har sagts ingen motsvarande anledning att låta bestämmelsen omfatta avlidna personer. För sådana subjekt, undantaget dödsbon, uppkommer t.ex. inte några ekonomiska konsekvenser om den sär- skilda rättelsebestämmelsen inte omfattar dessa. De bestämmelser om rättelse m.m. som finns i EU:s dataskyddsförordning omfattar inte heller avlidna personer. Att juridiska personer omfattas av be- stämmelsen i vissa delar innebär dock att dödsbon kommer att kunna begära rättelse enligt regleringen i den nya kronofogdedatalagen.

Mot denna bakgrund föreslår vi att det ska införas en särskild be- stämmelse om lagens tillämpningsområde i fråga om att den aktuella bestämmelsen även gäller vid behandling av uppgifter om juridiska personer (se avsnitt 7.4.8).

Vidare anser vi att begreppet ”den registrerade” ska bytas ut mot ”en enskild”. Med enskild avses i tillämpliga fall både fysiska och juridiska personer.

När det gäller begreppet ”missvisande” anges i förarbetena till den nuvarande rättelsebestämmelsen att prövningen av om uppgifterna är missvisande eller inte ska göras med utgångspunkt från förhållan- dena vid tidpunkten för registreringen.163 Vi anser att detta tydligt bör komma till uttryck i bestämmelsen. I lagen ska det därför anges att Kronofogdemyndigheten på begäran av en enskild snarast ska rätta, blockera eller utplåna sådana uppgifter om den enskilde som vid tidpunkten för registreringen är missvisande i fråga om den en- skildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Någon ändring i sak är dock inte avsedd.

Vad gäller hur rekvisiten missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser ska tillämpas är vår avsikt att även tidigare förarbetsuttalanden och praxis äger fort- satt giltighet. Detsamma gäller övriga rekvisit som överförs oför- ändrade från 3 kap. 3 a § KFMdbL till den nya kronofogdedatalagen.

162Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 17–18.

163Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 29.

456

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

När det gäller begreppen utplåning eller blockering förekommer inte dessa i dataskyddsförordningen, vilket var fallet i det tidigare dataskyddsdirektivet. I dag används i stället begreppen rättelse och radering av personuppgifter samt begränsning av behandling (arti- klarna 16–19 i dataskyddsförordningen). Vi har mot denna bakgrund övervägt om det finns skäl att modernisera bestämmelsen genom att införa begrepp som bättre stämmer överens med dataskyddsförord- ningen. En översyn av dessa begrepp har också efterfrågats av Krono- fogdemyndigheten under utredningens arbete. En sådan förändring kräver enligt vår mening relativt grundliga överväganden, bl.a. av om det skulle innebära några materiella förändringar i förhållande till vad som gäller i dag samt hur det skulle påverka bestämmelsen om sekre- tess för blockerade uppgifter i 34 kap. 3 § OSL. Vidare innebär våra förslag ingen ändring av den tidigare bedömningen regeringen gjort i fråga om att det bör vara blockering som är den huvudsakliga rätt- elsemetoden i Kronofogdemyndighetens verksamhet. Det framgår inte heller att det ansågs finnas anledning att ändra begreppen vid den översyn som gjordes med anledning av EU:s dataskyddsförord- ning. Det ansågs då inte finnas något hinder mot att behålla bestäm- melsen med dessa begrepp.164 Mot denna bakgrund anser vi samman- taget att en eventuell förändring av de aktuella begreppen inte bör göras inom ramen för den här utredningen.

I 3 kap. 3 a § andra stycket KFMdbL finns i dag en reglering av att om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndig- heten underrätta denne om åtgärd enligt första stycket, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportio- nerligt stor arbetsinsats. Bestämmelsen har sitt ursprung i 28 § PUL och fördes över från denna till 3 kap. 3 a § KFMdbL 2008 i stort sett oförändrad.165 Vid översynen av kronofogdedatabaslagen med anled- ning av EU:s dataskyddsförordning uttalade regeringen att denna bestämmelse saknar fullt ut motsvarighet i dataskyddsförordningen, eftersom den innebär att underrättelse till tredje man ska ske i vissa fall då underrättelse inte behöver lämnas enligt dataskyddsförord- ningen. Regeringen uttalade vidare att det inte fanns något hinder i

164Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 79.

165Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 19.

457

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

dataskyddsförordningen mot att behålla bestämmelsen. Bestämmel- sen behölls därmed.166 Sådana underrättelser det är fråga om enligt denna bestämmelse handlar ofta om underrättelser till kreditupplys- ningsföretag. Bestämmelsen hänger samman med att det i 8 § fjärde stycket kreditupplysningslagen (1973:1173) anges att en uppgift som har inhämtats från Kronofogdemyndigheten ska gallras när den har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § krono- fogdedatabaslagen.167 Vi anser att en motsvarande bestämmelse be- höver införas även i den nya kronofogdedatalagen. Att vi föreslår att den nya bestämmelsen som motsvarar 3 kap. 3 a § första stycket 1 KFMdbL inte längre ska omfatta juridiska personer eller att avlidna inte längre ska omfattas av den särskilda rättelsebestämmelsen över huvud taget påverkar inte denna bedömning. Bestämmelsen om Krono- fogdemyndighetens underrättelseskyldighet ska dock i tillämpliga delar även gälla för rättade, blockerade eller utplånade uppgifter om juridiska personer (jfr avsnitt 7.4.8).

Slutligen anges i dag i 3 kap. 3 a § tredje stycket KFMdbL att i fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskyddsförordning. Bestämmelsen, som är en upplysnings- bestämmelse, infördes i samband med att dataskyddsförordningen började gälla. I förarbetena angav regeringen att för fysiska personer skulle de särskilda bestämmelserna för Kronofogdemyndighetens verksamhet gälla vid sidan av de rättigheter som följer av dataskydds- förordningen. Detta skulle enligt regeringen tydliggöras genom att det i bestämmelsen upplyses om att det i fråga om personuppgifter även finns bestämmelser om rättelse m.m. i dataskyddsförordningen. Enligt regeringen tydliggjorde detta att för fysiska personer – till skillnad från juridiska personer – skulle de särskilda bestämmelserna gälla vid sidan av de rättigheter som följer av dataskyddsförord- ningen.168 Med anledning av att dataskyddsförordningen är direkt tillämplig för medlemsstaterna, samt att vi föreslår att en bestämmelse motsvarande 3 kap. 3 a § första stycket 1 KFMdbL inte ska omfatta juridiska personer i den nya kronofogdedatalagen, anser vi att det inte finns något behov av att i den nya lagen ta in en bestämmelse som motsvarar 3 kap. 3 a § tredje stycket KFMdbL. Av betydelse är

166Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 79–80.

167Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 30.

168Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 80.

458

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

även att det av en bestämmelse i kronofogdedatalagen kommer att framgå att lagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Eftersom det endast rör sig om en upplys- ningsbestämmelse bedömer vi att det inte innebär någon ändring i sak i förhållande till det gällande rättsläget.

Slutligen vill vi framhålla att det förhållandet att uppgifterna inte längre kommer att finnas i det som är den juridiska konstruktionen databas enligt vår uppfattning inte bör föranleda att den särskilda bestämmelsen om rättelse m.m. ska tillämpas på något annat sätt i sak i förhållande till i dag. Om Kronofogdemyndigheten har uppgifter registrerade, oavsett i vilken form eller i vilken typ av tekniskt system uppgifterna finns registrerade, som inte har behandlats i enlighet med den nya kronofogdedatalagen eller anslutande författningar, eller uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska för- pliktelser, ska uppgifterna rättas, blockeras eller utplånas i enlighet vad som föreskrivs härom i den nya kronofogdedatalagen.

Något om sekretess för blockerade uppgifter

I dag gäller sekretess enligt 34 kap. 3 § OSL för uppgift i mål, ärende eller verksamhet som avses i 34 kap. 1 och 2 §§, dvs. inom utsökning och indrivning, och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § kronofogdedatabaslagen oav- sett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats.

Kronofogdemyndigheten har till utredningen uppgett att det finns skäl att överväga om blockerade uppgifter även i andra verksamheter än utsökning och indrivning bör omfattas av sekretess. Detta mot bakgrund av att exempelvis även ansökningar och utslag i mål om betalningsföreläggande samt beslut om skuldsanering kan leda till att betalningsanmärkningar registreras hos kreditupplysningsföretag.

Redan när bestämmelsen i 3 kap. 3 a § KFMdbL infördes berördes i förarbetena frågan om sekretess även bör gälla i andra verksamheter än i verksamhet med utsökning och indrivning. Regeringen uttalade då att även om blockering används som rättelsemetod för uppgifter i t.ex. betalningsföreläggande- och handräckningsdatabasen kommer

459

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

det inte att finnas något skydd mot att uppgifterna lämnas ut med stöd av offentlighetsprincipen. Regeringen anförde vidare att de pro- blem med missvisande uppgifter som då uppmärksammats främst hade gällt uppgifter i utsöknings- och indrivningsdatabasen. Därmed ville regeringen inte utesluta att det kunde finnas skäl som talade för att införa sekretesskydd för vissa uppgifter även i exempelvis betal- ningsföreläggande- och handräckningsdatabasen. Mot bakgrund av att det då inte fanns några sekretessregler alls som rörde verksam- heten med betalningsföreläggande och handräckning var det emeller- tid något som enligt regeringen skulle kräva ingående överväganden, bl.a. om hur en sekretessregel på det området lämpligen skulle utfor- mas för att syftet skulle uppnås utan att åtkomsten till information begränsas i alltför hög grad. Det var därför inte aktuellt att då lägga fram något förslag till en sådan reglering.169

Idag finns en sekretessregel som gäller i ärende om skuldsanering eller F-skuldsanering för uppgift om en enskilds personliga förhål- landen. Sekretessen gäller dock inte beslut i ärende (34 kap. 6 § OSL). Någon sekretess finns däremot inte heller i dag avseende Kronofogde- myndighetens verksamhet med betalningsföreläggande och hand- räckning.

När den nuvarande sekretessbestämmelsen som i dag finns i 34 kap. 3 § OSL infördes uttalade regeringen att för att blockering skulle bli fullt effektiv som rättelsemetod krävdes det att Kronofogdemyndig- heten hade möjlighet att vägra lämna ut den blockerade uppgiften för det fall att den begärdes utlämnad på annat sätt än på elektronisk väg, och då med åberopande av offentlighetsprincipen. En ny sekre- tessregel skulle därför införas som enligt regeringen borde ha som utgångspunkt att Kronofogdemyndigheten hade beslutat om block- ering av en uppgift.170

Motsvarande resonemang bör visserligen kunna föras för samt- liga uppgifter som i dag leder till betalningsanmärkningar och som har blockerats av Kronofogdemyndigheten. Detta särskilt avseende verksamhet med skuldsanering och F-skuldsanering för vilken det numera finns en särskild sekretessregel. Kronofogdemyndigheten har dock uppgett att detta inte upplevs som ett stort problem i dag, främst mot bakgrund av den bestämmelse om gallring av blockerade uppgifter som finns i 8 § fjärde stycket kreditupplysningslagen samt

169Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 23–24.

170Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 21–22.

460

SOU 2023:100

Allmänna bestämmelser om personuppgiftsbehandling

bestämmelsen om underrättelse till kreditupplysningsföretag i 17 § förordningen (1991:1339) om betalningsföreläggande och handräck- ning. Myndigheten har även uppgett att det inte är vanligt med block- ering inom verksamheten med skuldsanering. En bestämmelse om underrättelseskyldighet till tredje man i vissa fall föreslås också fort- satt att finnas i anslutning till den särskilda bestämmelsen om rättelse

m.m.Vidare skulle nya eller ändrade sekretessregler i fråga om upp- gifter som har blockerats av Kronofogdemyndigheten även inom ramen för verksamhet med skuldsanering, F-skuldsanering och betal- ningsföreläggande och handräckning, i likhet med vad regeringen tidigare fört fram, kräva ingående överväganden. Detta oaktat att det i dag finns en särskild regel om sekretess avseende uppgifter inom myndighetens verksamhet med skuldsanering och F-skuldsanering. Vi anser att sådana överväganden inte lämpar sig att göra inom ramen för utredningens uppdrag. Vi stannar därför vid att konstatera att Kronofogdemyndigheten har uttryckt att det finns skäl att överväga att införa sekretess för blockerade uppgifter även inom andra verk- samheter vid myndigheten.

Bestämmelser om överklagande

I 3 kap. 4 § KFMdbL anges att beslut om rättelse enligt 3 kap. 3 a § första stycket får överklagas till allmän förvaltningsdomstol. Pröv- ningstillstånd krävs vid överklagande till kammarrätten. Bestäm- melsen trädde i kraft under 2018. Den ersatte en tidigare bestämmelse som föreskrev att en myndighets beslut om rättelse och om infor- mation som ska lämnas enligt 26 § PUL får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt lagen fick inte överklagas. Den tidigare bestämmelsen omfattade, till skillnad från vad som gällde för Skatteverket och Tullverket, även sådana beslut om rättelse enligt 3 kap. 3 a § första stycket 2 KFMdbL där det är fråga om uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. I samband med lagänd- ringen 2018 uttalade regeringen i förarbetena mot denna bakgrund att för att det tydligt ska framgå att även beslut enligt punkten 2 fick

461

Allmänna bestämmelser om personuppgiftsbehandling

SOU 2023:100

överklagas skulle en överklagandebestämmelse finnas kvar i krono- fogdedatabaslagen.171

I förarbetena uttalade regeringen även att det fortsatt skulle vara möjligt för juridiska personer att överklaga de två olika besluten om rättelse i kronofogdedatabaslagen, dvs. enligt både punkten 1 och 2 i 3 kap. 3 a §.172

Även dataskyddslagen innehåller bestämmelser om överklagande som här blir aktuella. I samband med att de nu gällande överklagande- bestämmelsen infördes uttalade regeringen att fysiska personer kom- mer att kunna överklaga beslut om rättelse enligt 3 kap. 3 a § första stycket 1 KFMdbL med stöd av dataskyddslagen och ansågs därmed inte behöva tillämpa den särskilda överklagandebestämmelsen i så- dana fall. Regeringen uttalade vidare att juridiska personer inte om- fattas av dataskyddslagens tillämpningsområde och skulle i stället komma att kunna överklaga sådana beslut med stöd av den särskilda överklagandebestämmelsen. När det gällde beslut om rättelse enligt 3 kap. 3 a § första stycket 2 uttalade regeringen att såväl fysiska som juridiska personer skulle komma att ha rätt att överklaga dessa med stöd av den särskilda överklagandebestämmelsen.173 Därmed omfat- tar den nuvarande överklagandebestämmelsen beslut enligt både punkt 1 och punkt 2 i 3 kap. 3 a § första stycket KFMdbL.

Av motsvarande skäl som regeringen anförde enligt ovan anser vi att det ska införas en särskild överklagandebestämmelse i 19 § krono- fogdedatalagen. Även om vi föreslår att bestämmelsen som motsva- rar den tidigare 3 kap. 3 a § första stycket 1 inte längre ska omfatta juridiska personer anser vi att bestämmelsen om överklagande av tydlighetsskäl ska omfatta beslut om rättelse enligt både punkt 1 och 2 i den föreslagna bestämmelsen om rättelse m.m. i 18 §. Detta oaktat att dataskyddslagens regler om överklagande blir tillämpliga vid beslut om rättelse m.m. för fysiska personer. Det innebär att överklagandebestämmelsen även ska vara tillämplig på sådana beslut som avser rättelse, blockering eller utplåning av uppgifter om juri- diska personer som fattats i enlighet med 18 § första stycket 2 kronofogdedatalagen (jfr avsnitt 7.4.8).

171Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 94.

172Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 94–95.

173Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 95.

462

8 Ändamålsbestämmelser

8.1Inledning

Vårt övergripande uppdrag är att göra en fullständig översyn av Skatte- verkets, Tullverkets och Kronofogdemyndighetens registerförfatt- ningar och då bl.a. bedöma om det finns utrymme för minskad detalj- reglering.

Avseende nuvarande ändamålsbestämmelser omfattar vårt upp- drag att utreda om det finns ett behov av utvidgad ändamålsregler- ing, för att säkerställa att reglerna är anpassade efter den tekniska utvecklingen. Vi har dessutom i uppdrag att överväga en mindre detal- jerad ändamålsreglering, exempelvis avseende de s.k. sekundära ända- målsbestämmelserna.

I detta kapitel redogör vi för olika aspekter av ändamål med per- sonuppgiftsbehandling och betydelsen av ändamålet med behandlingen utifrån den allmänna dataskyddsreglertingen, främst EU:s dataskydds- förordning.1 Vi redogör även för olika aspekter av ändamålsbestäm- melser i nationell rätt.

I kapitlet går vi vidare igenom de överväganden som låg till grund för den ursprungliga utformningen av befintliga ändamålsbestäm- melser i myndigheternas registerförfattningar. Därutöver redogörs för regeringens överväganden i samband med att dataskyddsförord- ningen skulle börja tillämpas, samt ändamålsregleringen för den nya databas som sedan maj 2023 regleras i folkbokföringsdatabaslagen. Vi redogör även för befintliga ändamålsbestämmelser i registerförfatt- ningarna för Skatteverkets beskattningsverksamhet och folkbokför- ingsverksamhet, Tullverket och Kronofogdemyndigheten.

Sedan redogör vi för våra överväganden avseende vilka behov av förändring som föreligger samt lämnar förslag på hur en ny reglering

465

Ändamålsbestämmelser

SOU 2023:100

av tillåtna ändamål för behandling av personuppgifter ska utformas. Vi redogör i det sammanhanget särskilt för hur ändamålsbestäm- melserna i dag förhåller sig till databasregleringen och finalitets- principen.

Slutligen redogör vi för våra överväganden avseende en föreslagen förändring avseende beskattningsdatabasens ändamålsreglering.

De förslag som lämnas avser nya bestämmelser för Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet, Tullverket och Kronofogdemyndigheten.

Frågor som rör ändamålsbestämmelser i Skatteverkets verksam- het med det statliga personadressregistret, SPAR, samt Skatteverkets verksamhet med äktenskapsregistret och bouppteckningar behand- las särskilt i avsnitten 16.4.4 och 17.4.4. Särskilda överväganden om ändamålsbestämmelser avseende dataanalyser och urval finns dess- utom i avsnitt 14.8.

8.2Allmänt om ändamålsbestämmelser

8.2.1Ändamål och den personuppgiftsansvariges ansvar

Den rättsliga grunden sätter upp ramarna för ändamålen

För att behandling av personuppgifter över huvud taget ska vara lag- lig enligt EU:s dataskyddsförordning krävs att något av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllda. Be- handling som grundar sig på en rättslig förpliktelse som den person- uppgiftsansvarige har att utföra, eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighets- utövning (artikel 6.1 c och e) måste som utgångpunkt ha en grund i unionsrätten eller i en medlemsstats nationella rätt (artikel 6.3 första stycket). Enligt dataskyddsförordningen är det alltså lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offent- liga myndigheternas behandling av personuppgifter.2

I lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, anges i vilka situationer per- sonuppgifter får behandlas med stöd av artikel 6.1 c och e i data- skyddsförordningen.

2Skäl 47 till dataskyddsförordningen.

466

SOU 2023:100

Ändamålsbestämmelser

Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas med stöd av artikel 6.1 c om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan för- fattning.

Av 2 kap. 2 § samma lag framgår att personuppgifter får behand- las med stöd av artikel 6.1 e om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan för- fattning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgifts- ansvariges myndighetsutövning enligt lag eller annan författning.

Kravet på att all behandling måste ha en rättslig grund innebär att den materiella och processuella verksamhetsreglering som styr en myndighets uppgifter också styr för vilka ändamål myndigheten får behandla personuppgifter. Den rättsliga grund som myndigheterna kan basera sin personuppgiftsbehandling på, dvs den materiella och processuella verksamhetsregleringen, begränsar därmed även för vilka ändamål personuppgifter får behandlas. Det finns följaktligen en nära koppling mellan den materiella och processuella verksamhetsregler- ingen och de ändamål för behandling som kan bli aktuella.

Ändamålets betydelse i dataskyddsförordningen

Det måste alltid finnas minst ett ändamål med personuppgifts- behandling. Detta uttrycks i artikel 5.1 b i dataskyddsförordningen som att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet med behandlingen är avgörande för flera av de grundläggande principer för personuppgifts- behandling som uttrycks i artikel 5 i dataskyddsförordningen.

Principen om ändamålsbegränsning (finalitetsprincipen) innebär att uppgifter inte får vidarebehandlas för ändamål som är oförenliga med insamlingsändamålet, artikel 5.1 b.

Principen om uppgiftsminimering innebär att de personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, artikel 5.1 c.

Principen om korrekthet innebär bl.a. att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga, i

467

Ändamålsbestämmelser

SOU 2023:100

förhållande till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål, artikel 5.1 d.

Principen om lagringsminimering innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas, artikel 5.1 e.

Betydelsen av ändamålet med behandling av personuppgifter är dock inte begränsad till de grundläggande principerna. Av artikel 13.1 framgår att om personuppgifter samlas in från den registrerade ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den regi- strerade lämna information om bl.a. ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen. Samma sak gäller enligt artikel 14.1 om person- uppgifterna inte har erhållits från den registrerade. Enligt artikel 17.1 har en registrerad rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål raderar personuppgifter om de inte längre är nöd- vändiga för de ändamål för vilka de samlats in eller på annat sätt be- handlats.

Det ansvar som den personuppgiftsansvarige har att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförord- ningen utgår enligt artikel 24.1 bl.a. från ändamålet med behandlingen. Behandlingens ändamål har också betydelse för den personuppgifts- ansvariges skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhål- lande till risken för fysiska personers rättigheter och friheter enligt artikel 32. Av artikel 35.1 framgår att om en typ av behandling, sär- skilt med användning av ny teknik och med beaktande av bl.a. dess sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behand- lingens konsekvenser för skyddet av personuppgifter.

Varje personuppgiftsansvarig ska vidare föra ett register över be- handling som utförts under dess ansvar och registret ska bl.a. inne- hålla uppgifter om ändamålen med behandlingen enligt artikel 30.1 c.

Utöver exemplen ovan har ändamålet med behandlingen bety- delse för tillämpningen av flera olika bestämmelser i dataskyddsförord- ningen. Ändamålet med behandling av personuppgifter har därmed en central betydelse i den allmänna dataskyddsregleringen.

468

SOU 2023:100

Ändamålsbestämmelser

Den personuppgiftsansvarige bestämmer ändamålen

Av definitionen av begreppet personuppgiftsansvarig i dataskydds- förordningen framgår att det är den personuppgiftsansvarige som bestämmer ändamålen och medlen för behandlingen (artikel 4.7). Av artikel 5.2 framgår vidare att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att de grundläggande principerna för behandling efterlevs (principen om ansvarsskyldighet). Som utgångs- punkt är det alltså den personuppgiftsansvarige, och inte lagstiftaren eller någon annan aktör, som ansvarar för att formulera särskilda och berättigade ändamål för behandlingen av personuppgifter i det en- skilda fallet.

Nationell rätt kan komplettera och begränsa den personuppgiftsansvariges möjlighet att bestämma ändamål

Dataskyddsförordningen medger nationella bestämmelser som kom- pletterar delar av förordningen genom specificeringar eller undantag. Det gäller särskilt sådan behandling som sker inom den offentliga sektorn. Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Detta får ske genom att med- lemsstaterna närmare fastställer specifika krav för uppgiftsbehand- lingen och andra åtgärder för att säkerställa en laglig och rättvis be- handling. Av skäl 10 till förordningen framgår att detta även gäller för behandlingen av känsliga personuppgifter.

Den rättsliga grunden kan vidare enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att anpassa tillämpningen av be- stämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ända- målsbegränsningar samt typer av behandling och förfaranden för be- handling.

Under vissa förutsättningar kan de rättigheter för enskilda som följer av dataskyddsförordningen begränsas. De begränsningar av en- skildas rättigheter som enligt artikel 23.1 är möjligt att införa i natio- nell rätt ska enligt artikel 23.2 a innehålla specifika bestämmelser av-

469

Ändamålsbestämmelser

SOU 2023:100

seende ändamålen med behandlingen eller kategorierna av behandling. Det innebär att lagstiftaren i vissa fall inte bara får utan också måste ta ställning till och ange vilka ändamål med behandling eller kate- gorier av behandling som kan motivera ett undantag från en eller flera rättigheter.

8.2.2Allmänt om ändamålsbestämmelser i registerförfattningar och annan dataskyddsreglering

Ändamålsbestämmelser i registerförfattningar och annan dataskyddsreglering

Svenska registerförfattningar och annan dataskyddsreglering som innehåller sektorsspecifika bestämmelser om myndigheters person- uppgiftsbehandling kompletterar EU:s dataskyddsförordning. Kom- pletterande dataskyddsreglering innehåller normalt också bestäm- melser som anger för vilka ändamål personuppgifter får behandlas. Även lagen (2001:181) om behandling av uppgifter i Skatteverkets be- skattningsverksamhet, skattedatabaslagen (SdbL), lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet, folkbokföringsdatabaslagen (FdbL), lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och lagen (2001:184) om behandling av uppgifter i Krono- fogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), innehåller bestämmelser om ändamål.

Det finns dock sektorsspecifik reglering som inte innehåller ändamålsbestämmelser. Exempelvis innehåller 26 a kap. skollagen (2010:800), som reglerar behandling av personuppgifter, ingen be- stämmelse som begränsar eller anger för vilka ändamål personuppgif- ter får behandlas. Flera myndigheter saknar dessutom helt sektors- specifik lagstiftning på dataskyddsområdet, exempelvis gäller detta för Integritetsskyddsmyndigheten, IMY, och Skatteverkets verksam- het med evenemangsstöd.

I lagstiftningsärendet gällande dataskyddslagen tog regeringen ställning till de svenska registerförfattningarnas förenlighet med data- skyddsförordningens bestämmelser. Regeringen uttalade då i fråga om ändamålsbestämmelser att dataskyddsförordningen inte ställer något krav på att ändamål ska vara fastställda i författning men att det heller inte finns något som hindrar att detta görs, under förut-

470

SOU 2023:100

Ändamålsbestämmelser

sättning att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas.3

Högsta förvaltningsdomstolen har i rättsfallet HFD 2021 ref. 10 uttalat att det inte råder någon tvekan om att det, under förutsättning att vissa grundläggande krav upprätthålls, är tillåtet att i nationell rätt bestämma både de ändamål för vilka personuppgifter får behandlas och de ändamålsbegränsningar som lagstiftaren anser ska gälla, och att ändamålsbestämmelser i registerförfattningar inte är av unionsrätts- lig karaktär. Det innebar enligt domstolen att principen om unions- rättens företräde inte gjorde sig gällande i frågan om hur nationella bestämmelser om en myndighets skyldighet att lämna offentliga uppgifter till andra myndigheter förhåller sig till ändamålsbestäm- melser i den utlämnande myndighetens registerförfattning (se vidare avsnitten 13.2.4 och 13.4.3).

Ändamålsbestämmelsers funktion och syfte

Olika syften

Ändamålsbestämmelser utgör i regel dataskyddsreglering som syftar till att stärka skyddet för den personliga integriteten.4 Vilken karak- tär den aktuella författningen har påverkar dock vilket syfte som finns med ändamålsbestämmelserna. Registerförfattningar och annan data- skyddsreglering kan nämligen ha olika karaktär beroende på om före- målet för regleringen är en myndighets totala informationshantering inom en viss verksamhet eller enbart avser förandet av ett visst register, alternativt ett förtydligande av den materiella verksamhets- regleringen.

Mer renodlade registerförfattningar reglerar register som enligt riksdag eller regering ska föras och som ska ha ett visst obligatoriskt innehåll. Genom en sådan registerförfattning får en myndighet an- svar för att föra ett visst register, och registerföringen blir genom författningsregleringen en del i myndighetens uppdrag.5 Ändamåls- bestämmelser i en författning som särskilt avser förandet av ett visst register, som exempelvis ändamålsbestämmelserna i lagen (1998:527) om det statliga personadressregistret, SPAR-lagen, har en delvis annan

3Prop. 2017/18:105, Ny dataskyddslag, s. 48, 50 och 51.

4Jfr prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85, 99 och 100.

5Jfr SOU 2015:39, Myndighetsdatalag, s. 97.

471

Ändamålsbestämmelser

SOU 2023:100

funktion än de som reglerar för vilka ändamål en myndighet mer över- gripande får behandla personuppgifter (se avsnitt 16.4.4). När ända- målsbestämmelser anger för vilka ändamål ett register som SPAR får föras utgör de i högre utsträckning en del av den materiella regleringen av själva registret än rena dataskyddsbestämmelser.6

Om ändamålsbestämmelser finns i författningar vars övergrip- ande funktion är att reglera personuppgiftsbehandling i stort inom en viss verksamhet eller inom en särskild myndighet avser bestäm- melserna inte bara att viss registerföring ska eller får ske. I och med att tillämpningsområdet för sådana författningar normalt är vidare än att enbart reglera personuppgifter i ett särskilt register har ända- målsbestämmelserna i dessa fall en annan funktion. Utmärkande för sådana ändamålsbestämmelser är att de i huvudsak reglerar vilken personuppgiftsbehandling myndigheter får utföra inom ramen för författningens tillämpningsområde.7 Sådana bestämmelser har en tydlig dataskyddsrättslig karaktär.

I andra fall kan särskilda ändamålsbestämmelser anses krävas för att komplettera den rättsliga grunden för behandlingen, så att den uppfyller dataskyddsförordningens krav på tydlighet precision och förutsebarhet, se exempelvis avsnitt 14.8 om dataanalyser och urval. En lag som innehåller ändamålsbestämmelser kan också motiveras av att den materiella verksamhetsregleringen av en myndighets uppgifter annars inte anges i lag.8 Särskilda ändamålsbestämmelser kan också aktualiseras vid behandling i mycket avgränsade uppgiftssamlingar med särskilt känsliga uppgifter.9

Ändamålsbestämmelser fyller därmed olika syften beroende på inom vilken verksamhet de är avsedda att tillämpas och hur verksamheten är reglerad i övrigt. I det följande avser vi dock med ändamålsbestäm- melser sådana bestämmelser som reglerar vilken personuppgiftsbehand- ling myndigheter får utföra inom ramen för en dataskyddsförfatt- nings tillämpningsområde, och som är av tydlig dataskyddskaraktär.

6SOU 2015:39, Myndighetsdatalag, s. 98.

7Jfr SOU 2015:39, Myndighetsdatalag, s. 100.

8Prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, s. 21.

9Jfr 1 § lagen (2020:422) om Rättsmedicinalverkets elimineringsdatabas.

472

SOU 2023:100

Ändamålsbestämmelser

En yttersta ram för behandling av personuppgifter?

Regeringen har i senare lagstiftningsarbete uttalat att ändamålsbestäm- melser kan sägas anpassa tillämpningen av dataskyddsförordningen och säkerställa en laglig och rättvis behandling av personuppgifter.10 Bestämmelser om tillåtna ändamål har också karaktäriserats av reger- ingen som en yttersta ram inom vilken personuppgiftsbehandling är tillåten.11 Regeringen har dock även uppmärksammat att ändamålet med behandlingen enligt den allmänna dataskyddsregleringen inte får vara så vagt eller vittomfattande att någon prövning av om de per- sonuppgifter som behandlas är adekvata och relevanta för ändamålet inte är möjlig. Enligt regeringen innebär det att det många gånger kommer att behöva formuleras mer preciserade ändamål för de spe- cifika behandlingar av personuppgifter som sker i en myndighets verk- samhet, än de som anges i registerförfattning.12

Regeringen har även uttalat dels att ändamålsbestämmelser i många fall borde kunna ses som en del i den rättsliga grunden för person- uppgiftsbehandling,13 dels att ändamålsbestämmelser kan utgöra ett fastställande av den rättsliga grunden för en rättslig förpliktelse eller arbetsuppgift av allmänt intresse,14 i vart fall när materiell reglering inte fastställer sagda grund.

Primära och sekundära ändamålsbestämmelser

Dataskyddsförordningens bestämmelser om rättslig grund medför, som vi redan nämnt, att en myndighet som utgångspunkt endast får behandla personuppgifter om det är nödvändigt för att fullgöra en rättslig förpliktelse, för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Enligt dataskyddsförord- ningen är det lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter.15 Dataskyddsförordningen förutsätter alltså att myn-

10Prop. 2022/23:34, Utbetalningsmyndigheten, s. 124.

11Prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform s. 43.

12Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 43.

13Prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform, s. 44

14Prop. 2017/18:171, Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning, s. 83.

15Skäl 47 till dataskyddsförordningen.

473

Ändamålsbestämmelser

SOU 2023:100

digheters verksamhet som föranleder behandling av personuppgifter är rättsligt reglerad. Även enligt svensk rätt måste myndighetsutöv- ning mot enskild alltid ha stöd i författning.16

Eftersom myndigheter som utgångspunkt inte har någon rättslig möjlighet att behandla personuppgifter för ändamål som faller utan- för deras författningsreglerade uppdrag och uppgifter utgår ända- målsbestämmelser normalt från myndigheternas uppdrag i enlighet med lag eller förordning, och det därtill knutna behovet av att be- handla personuppgifter.

Bestämmelser som avser ändamål för personuppgiftsbehandling som uppkommer i myndighetens verksamhet brukar benämnas pri- mära ändamål. De primära ändamålsbestämmelserna kan se olika ut beroende på om den aktuella författningen ska tillämpas i all verksam- het som en myndighet ansvarar för, eller endast vissa delar. Här kan dock nämnas att rent administrativa göromål (exempelvis personal- administrativ verksamhet) ofta faller utanför den kompletterande data- skyddsregleringens tillämpningsområde. Om författningen är avsedd att tillämpas i all verksamhet som en myndighet bedriver behöver ändamålsbestämmelserna täcka all den behandling som är nödvändig för att myndigheten ska kunna utföra sin verksamhet, med undantag för personaladministrativ verksamhet och annan sådan verksamhet som kan medföra personuppgiftsbehandling hos myndigheter gene- rellt.17

Sekundära ändamål avser ofta tillhandahållande av personuppgifter till externa mottagare, inte sällan andra myndigheter eller andra offent- liga aktörer. På samma sätt som de primära ändamålen ofta speglar myndighetens författningsreglerade arbetsuppgifter speglar de sekun- dära ändamålen ofta bestämmelser som föreskriver ett mer omfat- tande utlämnande av uppgifter från den aktuella myndigheten.18

En uttömmande ändamålsreglering upphäver finalitetsprincipen i sammanhanget

Finalitetsprincipen innebär att personuppgifter får vidarebehandlas för tillkommande ändamål, men med begränsningen att dessa ända- mål inte får vara oförenliga med de ursprungliga insamlingsändamå-

16Se 8 kap. 2 § 2 och 3 § regeringsformen, samt 5 § förvaltningslagen (2017:900).

17Jfr regeringens uttalanden i prop. 2022/23:34, Utbetalningsmyndigheten, s. 124.

18Jfr t.ex. 114 kap. 8 § socialförsäkringsbalken och 13 § utlänningsdatalagen (2016:27).

474

SOU 2023:100

Ändamålsbestämmelser

len.19 Principen medför att uppgifter kan komma att behandlas för flera andra ändamål än de för vilka de från början samlades in. Fina- litetsprincipen framgår som redan nämnts av artikel 5.1 b i dataskydds- förordningen och utgör en av de grundläggande principerna för be- handling av personuppgifter. Högsta förvaltningsdomstolen har i avgörandet HFD 2021 ref. 10 uttalat att när finalitetsprincipen är tillämplig är det den principen som ytterst sätter gränsen för vad som kan anses vara en tillåten behandling, dvs. den som är personuppgifts- ansvarig måste göra en kontroll av om en senare behandling av per- sonuppgifter är oförenlig med de ändamål för vilka uppgifterna först samlades in.

I svenska registerförfattningar eller annan kompletterande data- skyddsreglering motsvaras finalitetsprincipen ofta av en särskild be- stämmelse i anslutning till övriga ändamålsbestämmelser. Även om finalitetsprincipen inte uttryckligen anges i en kompletterande för- fattning så gäller den som utgångspunkt ändå, som en följd av att data- skyddsförordningen ska tillämpas.

Som nämnts i avsnitt 8.2.1 är det enligt artikel 6.3 i dataskydds- förordningen tillåtet att i den nationella rätten införa ändamålsbegräns- ningar. Ändamålsbegränsningar kan avse för vilka ändamål en viss kategori uppgifter får behandlas, eller att personuppgifter endast får behandlas för särskilt angivna ändamål. Om en ändamålsbegränsning av det senare slaget har införts så utesluter det vidarebehandling. Ända- målsbestämmelser kan därmed i vissa fall vara uttömmande, dvs. be- stämmelserna anger de enda ändamål som uppgifter får behandlas för. Om ändamålsbestämmelserna exempelvis anger att uppgifter endast, eller bara får behandlas för de angivna ändamålen är ingen vidare- behandling för andra ändamål tillåten. Det innebär att finalitets- principen inte gäller i det sammanhanget.20

En stor variation i utformningen av ändamålsbestämmelser

Ändamålsbestämmelser kan utformas på olika sätt och vara mer eller mindre detaljerade. I vissa fall anger ändamålsbestämmelser endast att personuppgifter får behandlas för att myndigheten ska kunna

19Jfr prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 1.

20Jfr prop. 2017/18:171, Dataskydd inom Socialdepartementets verksamhetsområde – en anpass- ning till EU:s dataskyddsförordning, s. 90 och prop. 2019/20:113, En mer ändamålsenlig data- skyddsreglering för studiestödsverksamheten, s. 21–23.

475

Ändamålsbestämmelser

SOU 2023:100

utföra sina uppgifter i den verksamhet som avses i författningens tillämpningsområde. Exempelvis är ändamålsregleringen för den nya Utbetalningsmyndigheten brett formulerad. Av den primära ända- målsbestämmelsen i 1 kap. 6 § första stycket lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten fram- går följande.

Utbetalningsmyndigheten får behandla personuppgifter om det är nöd- vändigt för att kunna utföra sina uppgifter att

1.administrera ett system med transaktionskonto, och

2.förebygga, förhindra och upptäcka felaktiga utbetalningar från väl- färdssystemen.

Av 6 och 7 §§ samma lag framgår att Utbetalningsmyndigheten också får behandla personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (sekundärt ända- mål), eller för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgif- terna samlades in för (finalitetsprincipen). Någon ytterligare bestäm- melse som reglerar för vilka ändamål myndigheten får behandla pers- onuppgifter finns inte i lagen om behandling av personuppgifter vid Utbetalningsmyndigheten.

Ett annat exempel på en brett formulerad ändamålsbestämmelse är den reglering som finns i 2 kap. 1 och 2 §§ lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter. Utöver bestäm- melser om uppgiftslämnande som följer av lag eller förordning (sekun- därt ändamål), samt andra ändamål som är förenliga med insamlings- ändamålet (finalitetsprincipen), anges endast att Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten (primära ändamål).

I andra fall har ändamålsbestämmelserna utformats på ett mer detaljerat sätt. Exempelvis är de bestämmelser som reglerar för vilka ändamål Transportstyrelsen får behandla personuppgifter av motsatt karaktär i förhållande till exemplen ovan. Ändamålsbestämmelserna i vägtrafikdatalagen (2019:369)21 omfattar 16 paragrafer, 2 kap. 3–18 §§.

21Det betänkande som ligger till grund för propositionen till vägtrafikdatalagen, SOU 2010:76, Transportstyrelsens databaser på vägtrafikområdet – integritet och effektivitet, överlämnades redan 2010 och kommitteens arbete påbörjades så tidigt som 2008. Lagens grundläggande utformning kom alltså till långt innan dataskyddsförordningen började tillämpas, trots att SFS-numret kan ge sken av motsatsen.

476

SOU 2023:100

Ändamålsbestämmelser

I detta sammanhang regleras utförligt tillåtna ändamål i de olika verk- samheterna som Transportstyrelsen ansvarar för. För Transport- styrelsens fordonsverksamhet anges exempelvis i 2 kap. 3 § vägtrafik- datalagen följande.

Personuppgifter får behandlas i Transportstyrelsens verksamhet som rör fordon om det är nödvändigt för att hantera frågor om

1.fordons registrering eller användning eller därmed sammanhäng- ande frågor,

2.typgodkännande eller enskilt godkännande,

3.huruvida ett fordon och dess utrustning är tillförlitligt från säker- hetssynpunkt och i övrigt lämpligt för trafik, eller

4.skatter, avgifter, ersättningar eller premier.

Även de bestämmelser i 2 kap. 4 § vägtrafikdatalagen som anger lagens sekundära ändamål är mycket detaljerade.

Också den ändamålsreglering som gäller för Försäkringskassans och Pensionsmyndighetens personuppgiftsbehandling är mer detal- jerad i sin utformning. I 114 kap. 7 § första stycket socialförsäkrings- balken anges i dag följande.22

Försäkringskassan och Pensionsmyndigheten får i sin verksamhet behandla personuppgifter om det är nödvändigt för att

1.återsöka vägledande avgöranden,

2.tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner och er- sättningar som avses i 2 § ska kunna bedömas eller fastställas,

3.informera om sådana förmåner och ersättningar som avses i 2 §,

4.handlägga ärenden,

5.planera verksamhet samt genomföra resultatstyrning, resultat- uppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet, eller

6.framställa statistik i fråga om verksamhet enligt 4 och 5.

Regleringen av de sekundära ändamålen i 114 kap. 8 § socialförsäk- ringsbalken är också mycket detaljerad.23

Av exemplen ovan, som enbart utgör en bråkdel av de många registerförfattningar och annan kompletterande dataskyddsreglering

22Jfr dock föreslagen ny lydelse i prop. 2023/24:29, En ny dataskyddsreglering på socialförsäk- ringsområdet, s. 6.

23Regeringen har dock föreslagit att den detaljerade regleringen av sekundära ändamål ska upp- hävas till förmån för en reglering som liknar den som i dag gäller för bl.a. Utbetalningsmyndig- heten och Rättsmedicinalverket, se prop. 2023/24:29, En ny dataskyddsreglering på socialförsäk- ringsområdet, s. 46–48.

477

Ändamålsbestämmelser

SOU 2023:100

som finns i dag, framgår att det finns en stor variation i hur de pri- mära och sekundära ändamålsbestämmelserna utformas i olika myn- dighetssammanhang. Skillnaderna i utformning avser som framgår ovan inte enbart hur detaljerat ändamålen beskrivs utan även vilka ändamål som lagstiftaren har bedömt uttryckligen behöver regleras. Det kan exempelvis ifrågasättas i vilken utsträckning Försäkrings- kassan hade varit förhindrad att behandla personuppgifter vid ärende- handläggning om det inte hade angivits som ett särskilt ändamål i 114 kap. 7 § 4 SFB.

8.3Befintliga ändamålsbestämmelser för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten

8.3.1 Bakgrund

Databaserna och finalitetsprincipen

Vid tidpunkten för de befintliga registerförfattningarnas tillkomst bedömde regeringen att enbart de frågor som var viktigast ur integ- ritetssynpunkt skulle regleras i lag.24 Regeringen konstaterade att en grundläggande princip vid personuppgiftsbehandling var att behand- ling inte fick vara oförenlig med de ändamål för vilka uppgifterna hade samlats in (finalitetsprincipen). Enligt regeringen borde det därför klart anges i lagarna för vilka ändamål uppgifter skulle få behandlas. Därigenom gavs enligt regeringen en tillräcklig garanti för att den personliga integriteten hos de registrerade skulle skyddas även utan en närmare reglering av vilka uppgifter som skulle få behandlas.25

Finalitetsprincipen framgick vid den tidpunkten av 9 § d person- uppgiftslagen (1998:204), PUL. Genom hänvisningar i registerförfatt- ningarna till den bestämmelsen skulle finalitetsprincipen vara tillämplig

24Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sam- manslagning av dessa, se prop. 2002/03:99 Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket. Under en övergångstid skulle Skatteverket fun- gera som central myndighet även inom dåvarande kronofogdemyndigheternas verksamhets- område. De tio regionala kronofogdemyndigheterna avvecklades och en ny myndighet, Krono- fogdemyndigheten, med rikstäckande verksamhet inrättades den 1 juli 2006, se prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 134 och lagen (2006:671) med anledning av inrättande av Kronofogdemyndigheten. Om Kronofogdemyndighetens självständighet i förhållande till Skatteverket se prop. 2006/07:99, En fristående kronofogdemyndighet m.m.

25Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85.

478

SOU 2023:100

Ändamålsbestämmelser

även vid behandling med stöd av respektive registerförfattning, men utan att en bestämmelse som motsvarade finalitetsprincipen fanns i författningarna.26

Enligt regeringen skulle Skatteverkets och Tullverkets register- författningar ges en likartad systematik, med en uppräkning av tillåtna ändamål som också reglerade för vilka ändamål uppgifter i en gemen- samt tillgänglig databas fick användas. För Kronofogdemyndighetens del skulle ändamål i stället anges separat för var och en av de fyra data- baser som skulle regleras i registerlagen. Inom databaserna skulle upp- gifter som samlats in för något av de för databasen angivna ända- målen utgöra ”allmän egendom”.27

Beskattningsverksamheten

Avseende beskattningsverksamheten bedömde regeringen att en detal- jerad ändamålsbeskrivning som innefattade någon form av uppräk- ning av olika skatter och avgifter skulle komma att bli svåröverskådlig. Situationen skulle bli än mer komplicerad av att beskattningsområ- det var ett av samhällets mest dynamiska i fråga om lagstiftningstakt. Ändamålsbestämmelserna för beskattningsverksamheten skulle i stället utformas så att de gav en rimlig avvägning mellan behovet av en för- enkling av de dittills gällande reglerna och integritetssynpunkter. Som utgångspunkt var det behovet av uppgifter i verksamheten som skulle styra när, hur och vilka uppgifter som behandlades. Vidare konsta- terade regeringen att en lag om behandling av personuppgifter inte styrde skatteförvaltningens verksamhet, utan i stället bestämdes verk- samhetens inriktning av den materiella och processuella lagstift- ningen på området jämte de instruktioner som gällde. Enligt reger- ingen borde därför ändamålet med beskattningsdatabasen vara att ge information som behövdes inom skatteförvaltningen för fastställande av underlag för skatter och avgifter samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter. Syftet med be- stämmelsen var att all beskattningsverksamhet som bedrevs av skatte- förvaltningen skulle utgöra ett primärt ändamål.28

Regeringen konstaterade dock att vissa ändamål som innefattades i beskattningsverksamheten behövde regleras särskilt. Bestämmande

26Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 92–93.

27Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 232.

28Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.

479

Ändamålsbestämmelser

SOU 2023:100

av pensionsgrundande inkomst, samt fastighetstaxering i vissa fall, utgjorde enligt regeringen inte ett led i beskattningsförfarandet. Dessa arbetsuppgifter behövde därför anges som särskilda ändamål.29

Regeringen konstaterade även att revision och annan kontroll utgjorde en stor del av verksamheten, och att innehållet i det centrala skatteregistret hade utökats med uppgifter från bl.a. länsstyrelserna och Tullverket enbart för att underlätta kontrollverksamheten och öka möjligheten att ta fram kontrollvärda objekt. Inom ramen för beskattningsverksamheten utfördes även kontroller som inte i första hand ledde till fastställande av underlag för skatter eller avgifter, utan kunde utmynna i påpekanden om en kommande bedömning. Skatte- myndigheterna behövde även behandla uppgifter för kontroll eller revision av personer eller företag som inte var registrerade hos myn- digheterna trots att de möjligen borde betala skatter och avgifter, s.k. nonfilers. Enligt regeringens mening borde revision och annan kontroll därför anges som ett särskilt ändamål.30

Vad gällde andra verksamheter som skattemyndigheterna ansva- rade för, bl.a. avseende kontroll av lämplighet för F-skatt och viss tillsyn, ansåg regeringen att dessa hade så stark koppling till beskatt- ningsverksamheten att det var naturligt att beskattningsdatabasen användes för denna tillsyn. För att täcka in samtliga dessa åligganden som låg lite vid sidan av den beskattningsverksamhet som utmyn- nade i t.ex. fastställande av skatteunderlag, borde som ett särskilt ändamål anges tillsyn och lämplighets-, tillstånds- och liknande pröv- ning.31

Som ett annat särskilt ändamål borde enligt regeringen anges full- görande av ett åliggande som följde av ett för Sverige bindande inter- nationellt åtagande. Det var enligt regeringen en följd av den ökade internationaliseringen och då främst Sveriges skyldighet att till EU redovisa information inom bl.a. punktskatte- och mervärdesskatte- området.32

Slutligen borde som primära ändamål anges tillsyn, kontroll, upp- följning och planering av verksamheten. Enligt regeringen behövde det finnas möjlighet att som ett led i beskattningsverksamheten be- handla personuppgifter med syfte att kartlägga verksamheten, dvs.

29Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.

30Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123–124.

31Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124.

32Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124.

480

SOU 2023:100

Ändamålsbestämmelser

följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden.33

Vad gäller sekundära ändamål bedömde regeringen de ändamål för vilka uppgifterna skulle användas hos mottagaren borde utgöra ett sekundärt ändamål för beskattningsdatabasen för att en myn- dighet skulle tillåtas ha direktåtkomst till uppgifter som fanns där. Även när det kunde förutses att ett regelmässigt utlämnande till andra myn- digheter kunde komma att ske på annat sätt än genom direktåtkomst borde detta framgå av de sekundära ändamålen. En uppräkning av sekundära ändamål som inte avsåg utlämnande genom direktåtkomst kunde dock enligt regeringen inte bli uttömmande, eftersom det inte var möjligt att förutse samtliga de situationer då uppgifter kunde komma att lämnas ut till myndigheter eller andra för olika ändamål. De sekundära ändamålen som inte var särskilt inriktade på direkt- åtkomst avsåg de fall där det var möjligt att förutsäga att uppgifter kunde komma att lämnas ut i förhållandevis stor omfattning.34

Då de dåvarande skatteregistren redan fick användas i krono- fogdemyndigheternas exekutiva verksamhet, och kronofogdemyndig- heterna under en lång tid haft direktåtkomst till uppgifterna, ansåg regeringen att ett sekundärt ändamål även i fortsättningen vara ut- sökning och indrivning. Eftersom Tullverket föreslogs få tillgång till uppgifter i beskattningsdatabasen genom direktåtkomst ansåg reger- ingen att ett sekundärt ändamål även skulle vara att ge information som behövdes i författningsreglerad verksamhet utanför skatte- förvaltningen för fastställande av underlag för samt redovisning, be- stämmande, betalning och återbetalning av skatter eller avgifter. Regeringen konstaterade vidare att utlämnande till dåvarande Riks- försäkringsverket35 och Centrala studiestödsnämnden gjordes regel- mässigt och det borde därför framgå av de sekundära ändamålen. Som ett särskilt sekundärt ändamål skulle därför anges att uppgifter fick användas för att utgöra underlag för beslut och kontroll av bidrag och andra stöd. Därutöver borde även anges att uppgifter fick användas för pensionsberäkning. Eftersom de regionala fastighets- registren redan fick användas för aktualisering och komplettering av

33Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124.

34Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 126.

35Riksförsäkringsverket upphörde den 31 december 2004 då Försäkringskassan bildades, se prop. 2003/04:69, En ny statlig myndighet för socialförsäkringens administration, s. 14–17.

481

Ändamålsbestämmelser

SOU 2023:100

uppgifter om fastigheter i andra myndigheters register skulle även detta framgå av de sekundära ändamålen.36

Folkbokföringsverksamheten

För folkbokföringsverksamheten bedömde regeringen att de respek- tive ändamål som folkbokföringsregistret, enligt dåvarande lagen (1990:1536) om folkbokföringsregister, och aviseringsregistret, enligt dåvarande lagen (1995:743) om aviseringsregister fick användas för även skulle finnas i den nya lagen om behandling av personuppgifter i folkbokföringsverksamheten. Som ändamål skulle därför, med vissa redaktionella ändringar, anges samordning av identifieringsuppgifter för fysiska personer och andra folkbokföringsuppgifter, handlägg- ning av folkbokföringsärenden, framställning av personbevis och andra registerutdrag samt uttag av folklängder och andra samlingar av upp- gifter för förvaring hos statliga arkivmyndigheter, samt aktualisering, komplettering och kontroll av samt uttag av urval av personuppgifter.37

Regeringen konstaterade vidare att kontroll av uppgifter om bl.a. identitet och bosättning och var en viktig del av folkbokföringsverk- samheten som förutsatte att urvalskontroller gjordes, dvs. analyser av vilka personer som skulle granskas. Enligt regeringens bedömning borde även denna verksamhet framgå av ändamålsbestämmelserna.38

Mot bakgrund av ett primärt ändamål för folkbokförings- och aviseringsregistren närmast kunde sägas vara att bistå samhället i stort, och inte bara den egna verksamheten, med uppgifter om fysiska personer i Sverige ansåg regeringen att någon indelning i primära och sekundära ändamål inte var lämplig i sammanhanget.39

Tullverket

De ändamål som vid tidpunkten angavs i tullregisterlagen (1990:137), skulle enligt regeringens mening med vissa redaktionella ändringar även gälla för tulldatabasen. Det var fastställande, uppbörd, restitu- tion och redovisning av tull och skatter m.m. som skulle betalas till Tullverket, fullgörande av övervakning, kontroll och revisioner inom

36Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 125–126.

37Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140.

38Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140.

39Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140.

482

SOU 2023:100

Ändamålsbestämmelser

Tullverkets verksamhetsområde, planering och tillsyn av tullverksam- heten samt framställning av viss statistik Liksom för beskattnings- verksamheten ansåg regeringen att ett särskilt ändamål även för tull- databasen skulle vara fullgörandet av ett åliggande som följde av ett för Sverige bindande åtagande. Slutligen borde enligt regeringen också tillsyn, kontroll, uppföljning och planering av verksamheten vara pri- mära ändamål, eftersom Tullverket behövde ha möjlighet att som ett led i verksamheten behandla personuppgifter med syfte att kartlägga denna, dvs. följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden.40

Vad gäller de sekundära ändamålen konstaterade regeringen att uppgifter som behandlades i tullregistret ofta behövde användas av myndigheter inom skatteförvaltningen. Vid tidpunkten fick tull- registret därför användas för viss prövning och tillsyn samt revision och kontroll som ankom på skatteförvaltningen. Riksskatteverket och skattemyndigheterna hade också direktåtkomst till uppgifter i tullregistret. Enligt regeringen skulle tulldatabasen även i fortsätt- ningen få användas för dessa ändamål. Uppgifter som rörde import och export lämnades vid tidpunkten också ut till flera andra myndig- heter med stöd av dåvarande 118 § tullagen (1994:1550).41 Eftersom uppgifterna användes av dessa myndigheter huvudsakligen för kon- troll och tillsyn och ansåg regeringen att även denna användning borde omfattas av de sekundära ändamålen. Regeringen konstaterade vidare att för den exekutiva verksamheten hade dåvarande kronofog- demyndigheterna ett stort behov av uppgifter från Tullverket. Kronofogdemyndigheterna föreslogs dessutom få tillgång till upp- gifter i tulldatabasen genom direktåtkomst. Som ett särskilt sekun- därt ändamål med tulldatabasen borde därför också anges utsökning och indrivning.42

Kronofogdemyndigheten

Till skillnad från vad som skulle gälla för Skatteverket och Tullverket skulle personuppgiftbehandlingen vid dåvarande kronofogdemyndig- heterna inte regleras utifrån en databas. I stället borde enligt reger- ingen fyra olika databaser införas, med särskilda ändamålsbestäm-

40Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177.

41Regleringen finns numera i 1 kap. tullagen (2016:253).

42Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177.

483

Ändamålsbestämmelser

SOU 2023:100

melser för varje databas. Uppdelningen skulle ske utifrån utsökning och indrivning, betalningsföreläggande och handräckning, samt skuld- sanering och konkurstillsyn. Regeringen bedömde att skillnaderna mellan de olika verksamhetsområdena i fråga om ändamålen med och vilka uppgifter som skulle få behandlas i en databas i vissa avseenden var så stora att lagstiftningen annars hade blivit svåröverskådlig.43

Utsöknings och indrivningsdatabasen

Ett av de primära ändamålen för utsöknings- och indrivningsdatabasen skulle enligt regeringen vara verkställighet enligt utsökningsbalken eller annan författning samt indrivning av statliga fordringar m.m. Det ändamålet skulle täcka in all målhantering som kronofogdemyndig- heterna ansvarade för inom det exekutiva området. Kronofogdemyndig- heternas arbete med avräkning och kvittning skulle vidare utgöra ett primärt ändamål. En ytterligare uppgift som kronofogdemyndig- heterna ansvarade var övervakning av näringsförbud, vilket också skulle utgöra ett primärt ändamål för behandling i utsöknings- och indrivningsdatabasen. Mot bakgrund av att Riksskatteverket hade delegerat vissa ärenden, bl.a. om företrädaransvar, till kronofogde- myndigheterna och det enligt regeringen var tveksamt om dessa om- fattades av de föreslagna ändamålen ansåg regeringen att det särskilt borde anges att utsöknings- och indrivningsdatabasen fick användas för handläggningen av sådana ärenden. Det behövde enligt regeringen vidare finnas en möjlighet att behandla personuppgifter med syfte att följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden, varför tillsyn, kontroll, uppföljning och planering av verk- samheten skulle utgöra ett särskilt ändamål.44

Vad gällde de sekundära ändamål som skulle gälla för utsöknings- och indrivningsdatabasen konstaterade regeringen att även andra myn- digheter behövde tillgång till uppgifter om personer som var föremål för exekutiva åtgärder för att kunna genomföra avräkning och kvitt- ning vid utbetalningar av olika slag. Avräkning vid återbetalning av skatter och avgifter samt kvittning vid utbetalning av bidrag skulle därför anges som sekundära ändamål. Inom skatteförvaltningen och hos Tullverket fanns vidare ett behov av tillgång till uppgifter om

43Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 156–157.

44Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 158–159.

484

SOU 2023:100

Ändamålsbestämmelser

exekutiva åtgärder för verksamheten med uttag av skatt och tull. Reger- ingen ansåg därför att som sekundära ändamål skulle även anges pla- nering, samordning och uppföljning av revisions- och annan kontroll- verksamhet vid beskattning och tulltaxering samt utredningar vid bestämmande och uppbörd av skatter, tullar och avgifter. Regeringen konstaterade vidare att det hos andra myndigheter fanns ett stort behov av information om att en person var föremål för exekutiva åt- gärder vid ett flertal prövnings- och tillsynsförfaranden. Som ett sär- skilt sekundärt ändamål för utsöknings- och indrivningsdatabasen skulle därför anges tillsyn och lämplighets-, tillstånds- och annan lik- nande prövning.45

Betalningsföreläggande- och handräckningsdatabasen

Regeringen bedömde att det var förhållandevis enkelt att slå fast de ändamål som skulle vara styrande för behandling av personuppgifter

ibetalningsföreläggande- och handräckningsdatabasen. Det primära ändamålet var nämligen handläggning av mål om betalningsföreläg- gande eller handräckning (den summariska processen). Liksom i övriga verksamheter inom såväl kronofogdemyndigheterna som andra myn- dighetsorganisationer behövde det dessutom finnas möjligheter att utvärdera den egna verksamheten och på olika sätt behandla person- uppgifter för intern kontroll och uppföljning. Som primära ändamål skulle därför även anges tillsyn, kontroll, uppföljning och planering av verksamheten.46

Vissa uppgifter som skulle finnas i betalningsföreläggande- och handräckningsdatabasen skulle enligt regeringen komma att användas av olika myndigheter i deras verksamhet. Som exempel kommunernas tillståndsgivning i fråga om utskänkning av alkohol och länsstyrel- sernas tillsyn över restauranger m.m. Ett sekundärt ändamål med data- basen borde därför enligt regeringen vara tillsyn och kontroll samt lämplighets- och tillståndsprövning och annan liknande prövning.47

45Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 159.

46Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 163.

47Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 163.

485

Ändamålsbestämmelser

SOU 2023:100

Skuldsaneringsdatabasen

Även för kronofogdemyndigheternas verksamhet med frågor om skuldsanering ansåg regeringen att det var förhållandevis enkelt att slå fast de ändamål som skulle vara styrande för behandling av per- sonuppgifter i databasen. De primära ändamålen var nämligen just handläggning av skuldsaneringsärenden. Liksom i övriga verksamheter behövde det finnas möjligheter att utvärdera den egna verksamheten och på olika sätt behandla personuppgifter för intern kontroll och uppföljning. Primära ändamål skulle därför även vara tillsyn, kon- troll, uppföljning och planering av verksamheten.48

Regeringen konstaterade att det fanns ett behov hos andra myn- digheter av information om att en person hade ansökt om skuld- sanering vid olika prövnings- och tillsynsförfaranden. Som exempel gavs kommunernas tillståndsgivning i fråga om utskänkning av alko- hol och länsstyrelsernas tillsyn över restauranger m.m. Ett sekundärt ändamål med databasen skulle därför vara tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.49

Konkurstillsynsdatabasen

Regeringen konstaterade att kronofogdemyndigheterna, som till- synsmyndighet i konkurs, även hade i uppdrag att föra statens talan i vissa mål enligt lönegarantilagen. Tillsynsmyndigheten kunde även själv väcka talan mot ett beslut som den ansåg var felaktigt. Eftersom målen handlas av tillsynsmyndigheterna, var det enligt regeringens mening lämpligt att samordna den regleringen med den för behand- ling av personuppgifter i konkurstillsynsärenden. För kronofogde- myndigheternas verksamhet som avsåg frågor om konkurstillsyn samt vissa processer enligt lönegarantilagen ansåg regeringen att det var förhållandevis enkelt att slå fast de ändamål som skulle vara styrande för behandling av personuppgifter i databasen. Det grundläggande primära ändamålet var nämligen just handläggning av konkurstillsyns- ärenden och mål enligt lönegarantilagen. Liksom i övriga verksamheter behövde det även finnas möjlighet att utvärdera den egna verksam- heten och på olika sätt behandla personuppgifter för intern kontroll

48Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 167.

49Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 167.

486

SOU 2023:100

Ändamålsbestämmelser

och uppföljning. Som primära ändamål skulle därför även tillsyn, kontroll, uppföljning och planering av verksamheten anges.50

Uppgifter rörande konkurstillsyn och lönegaranti användes enligt regeringen inte av andra myndigheter för tillsyn eller lämplighets-, tillstånds- och annan liknande prövning. Inte heller användes upp- gifterna av andra myndigheter för andra ändamål. Något sekundärt ändamål skulle därför inte tas in i lagen.51

8.3.2Översyn i förhållande till EU:s dataskyddsförordning

Inför att EU:s dataskyddsförordning skulle börja tillämpas gjordes en översyn över registerförfattningarna för Skatteverkets beskatt- nings- och folkbokföringsverksamheter, Tullverket och Kronofogde- myndigheten. I detta sammanhang konstaterade regeringen att ända- målsbestämmelserna i registerförfattningarna angav den yttersta ram inom vilken personuppgifter fick behandlas och att ändamålsbestäm- melserna i respektive lag hade utformats utifrån den berörda myn- dighetens verksamhet.52

Regeringen uttalade även att ändamålsbestämmelser i lagstiftning som reglerar myndigheters personuppgiftsbehandling är sådana spe- cifika bestämmelser som anpassar tillämpningen av dataskydds- förordningen och säkerställer en laglig och rättvis behandling enligt artikel 6.2 i förordningen. Detta framgick enligt regeringen även av artikel 6.3 i dataskyddsförordningen som anger att den rättsliga grun- den kan innehålla särskilda bestämmelser om bl.a. ändamålsbegräns- ningar. Regeringen konstaterade vidare att i enlighet med artikel 23.2 a i dataskyddsförordningen skulle dessutom, åtminstone när så var rele- vant, lagstiftning som begränsar tillämpningsområdet för förordning- ens skyldigheter och rättigheter innehålla specifika ändamålsbestäm- melser. Detta innebar enligt regeringen att ändamålsbestämmelserna som, tillsammans med finalitetsprincipen, gav myndigheterna ända- målsenliga möjligheter att behandla personuppgifter och samtidigt minskade risken för obefogade intrång i den personliga integriteten, kunde behållas.53

50Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 169–170.

51Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 170.

52Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 54 och 57.

53Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 56.

487

Ändamålsbestämmelser

SOU 2023:100

Enligt regeringens bedömning borde finalitetsprincipen, som tidi- gare reglerades genom en hänvisning till personuppgiftslagen (se av- snitt 8.3.1), även fortsättningsvis utgöra den yttersta ram inom vilken personuppgifter skulle få behandlas. Regeringen ansåg dock att det av tydlighetsskäl fanns anledning att införa en uttrycklig bestämmelse som innebar att uppgifter som behandlades enligt de primära ända- målen även skulle få behandlas för andra ändamål, under förutsätt- ning att uppgifterna inte behandlades på ett sätt som var oförenligt med det ändamål för vilket de samlades in. En sådan bestämmelse, tillsammans med uppräkningen av tillåtna ändamål i de berörda lag- arna, utgjorde enligt regeringen en ändamålsbegränsning som fick införas i nationell rätt enligt artikel 6.3 i dataskyddsförordningen.54

Regeringen ansåg vidare att det också kunde finnas skäl att göra vissa justeringar och förtydliganden i ändamålsbestämmelserna, som inte hade ett direkt samband med den nya dataskyddsregleringen. Vad avsåg de sekundära ändamålsbestämmelser fick det enligt regeringen förutsättas att, när bestämmelser som påbjöd eller tillät utlämnande hade införts, det hade gjorts en avvägning mellan intresset av att upp- giften lämnades ut och intresset av att skydda enskilda personers integritet, vid vilken man hade funnit att uppgiften skulle eller fick lämnas ut. Eftersom regleringen av de sekundära ändamålen inte var uttömmande konstaterade regeringen att utlämnande som skedde med stöd av en föreskrift som innebar att uppgifter fick lämnas ut kunde ske även utan uttryckligt stöd i registerförfattningarna. Enligt reger- ingen kunde det dock vara lämpligt att utforma de sekundära ända- målsbestämmelserna så att de omfattade utlämnande som skedde både med stöd av en bestämmelse om uppgiftsskyldighet och med stöd av en bestämmelse som tillät uppgiftslämnande. I registerförfattningarna borde därför anges att uppgifter fick behandlas om det behövdes för att fullgöra uppgiftslämnande som skedde i överensstämmelse med lag eller förordning.55

54Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 56–57.

55Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 57–58.

488

SOU 2023:100

Ändamålsbestämmelser

8.3.3En ny databas för Skatteverkets folkbokföringsverksamhet

Den 1 maj 2023 trädde bestämmelser i kraft med innebörden att det i Skatteverkets folkbokföringsverksamhet skulle inrättas en ny data- bas; analys- och urvalsdatabasen. Databasen regleras i dag i 2 a kap. folkbokföringsdatabaslagen, se vidare om den nya databasen i av- snitt 14.3.3 om Skatteverkets arbete med dataanalyser och urval.

I likhet med regleringen av de databaser som relaterats ovan gäller särskilda ändamålsbestämmelser för den nya analys- och urvalsdata- basen. I förarbetena till ändamålsbestämmelserna för den nya data- basen uttalade regeringen att det ändamål som föreskrevs i 1 kap. 4 § första stycket 1 FdbL redan tillät att uppgifter behandlades för att tillhandahålla information som behövs för kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbok- föringsuppgifter. Regeringens förslag innebar dock att behandling av personuppgifter för dataanalyser och urval skulle få ske i syfte att förebygga, förhindra och upptäcka felaktigheter i form av saknade eller oriktiga uppgifter i folkbokföringsverksamheten. Regeringen an- såg att det ändamålet klart och tydligt borde komma till uttryck i lagen. Inom ändamålet skulle folkbokföringsverksamhetens arbete med dataanalyser och urval komma att rymmas. Behandling i form av inhämtning och fortsatt behandling av uppgifter i syfte att utgöra underlag för dataanalyser och urval skulle också komma att omfattas av ändamålet. Ändamålet skulle även omfatta t.ex. uppföljning och utveckling av analys- och urvalsmodeller.56

8.3.4Befintliga ändamål för beskattningsverksamheten

Primära ändamål

Enligt 1 kap. 4 § SdbL får uppgifter behandlas för att tillhandahålla information som behövs hos Skatteverket för

1.fastställande av underlag för samt bestämmande, redovisning, betal- ning och återbetalning av skatter och avgifter,

2.bestämmande av pensionsgrundande inkomst,

3.fastighetstaxering,

56Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 24–25.

489

Ändamålsbestämmelser

SOU 2023:100

4.revision och annan analys- eller kontrollverksamhet,

5.tillsyn samt lämplighets- och tillståndsprövning och annan lik- nande prövning,

6.handläggning

a)enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,

b)av andra frågor om ansvar för någon annans skatter och av- gifter,

c)enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244),

d)enligt lagen (2017:182) om automatiskt utbyte av land-för- land-rapporter på skatteområdet och 33 a kap. skatteförfaran- delagen,

e)enligt 33 b kap. skatteförfarandelagen,

f)enligt lagen (2013:948) om stöd vid korttidsarbete och lagen (2020:548) om omställningsstöd samt handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, och

g)enligt lagen (2022:1681) om plattformsoperatörers inhämtande av vissa uppgifter på skatteområdet, lagen (2022:1682) om auto- matiskt utbyte av upplysningar om inkomster genom digitala plattformar och 22 c kap. skatteförfarandelagen,

7.fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande,

8.hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige,

9.hantering av uppgifter om sjuklönekostnad, och

10.tillsyn, kontroll, uppföljning och planering av verksamheten.

490

SOU 2023:100

Ändamålsbestämmelser

Sekundära ändamål

Enligt 1 kap. 5 § SdbL får uppgifter som behandlas enligt 1 kap. 4 § SdbL även behandlas för

1.att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för

a)fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,

b)utsökning, indrivning, skuldsanering och F-skuldsanering,

c)att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd,

d)pensionsberäkning,

e)tillsyn och kontroll samt lämplighets- och tillståndsprövning och annan liknande prövning, och

f)aktualisering och komplettering av uppgifter om fastigheter i andra myndigheters register,

2.att tillhandahålla information som behövs i Skatteverkets brotts- bekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet,

3.att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och

4.andra ändamål, under förutsättning att uppgifterna inte behand- las på ett sätt som är oförenligt med det ändamål för vilket upp- gifterna samlades in.

Föreslagen reglering (Cesop-uppgifter)

Regeringen har den 25 maj 2023 överlämnat proposition 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, till riksdagen. Riksdagen fattade beslut den 25 oktober 2023. I propositionen före- slås bl.a. två nya bestämmelser, 1 kap. 4 a och 5 a §§ SdbL. De föreslagna bestämmelserna omfattar särskilda ändamålsbegränsningar, avseende både primära ändamål och sekundära ändamål, för vissa uppgifter som Skatteverket ska samla in från betaltjänstleverantörer och sända vidare

491

Ändamålsbestämmelser

SOU 2023:100

till Europeiska kommissionen som i sin tur samlar uppgifterna i ett centralt elektroniskt system, kallat Cesop. Dessa förslag behandlas närmare i avsnitt 8.4.8 nedan.

8.3.5Befintliga ändamål för folkbokföringsverksamheten

Folkbokföringsdatabasen

Primära ändamål

Enligt 1 kap. 4 § första stycket FdbL får uppgifter behandlas för att tillhandahålla information som behövs för

1.samordnad behandling, kontroll och analys av identifieringsuppgif- ter för fysiska personer och av andra folkbokföringsuppgifter,

2.handläggning av folkbokföringsärenden,

3.fullgörande av underrättelseskyldighet enligt lag eller förordning,

4.framställning av personbevis och andra registerutdrag,

5.aktualisering, komplettering och kontroll av personuppgifter,

6.uttag av urval av personuppgifter, och

7.tillsyn, kontroll, uppföljning och planering av folkbokförings- verksamheten.

Sekundära ändamål

Enligt 1 kap. 4 § andra stycket FdbL får uppgifter även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Insamlade uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna sam- lades in.

492

SOU 2023:100

Ändamålsbestämmelser

Analys- och urvalsdatabasen

Primära ändamål

Enligt 1 kap. 4 a § FdbL får uppgifter också behandlas för att till- handahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbok- föringsverksamheten.

Sekundära ändamål

Några sekundära ändamål som särskilt avser uppgifter som behandlas i analys- och urvalsdatabasen finns inte i folkbokföringsdatabaslagen.

8.3.6Befintliga ändamål för Tullverket

Primära ändamål

Enligt 1 kap. 4 § TDL får uppgifter behandlas för att tillhandahålla information som behövs hos Tullverket för

1.bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,

2.övervakning, revision och annan analys- eller kontrollverksamhet,

3.fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och

4.tillsyn, kontroll, uppföljning och planering av verksamheten.

Enligt 1 kap 4 a § TDL får uppgifter vidare behandlas för att infor- mera allmänheten om tillstånd och om certifikat för godkända eko- nomiska aktörer.

Sekundära ändamål

Enligt 1 kap. 5 § TDL får uppgifter som behandlas enligt 1 kap. 4 § TDL även behandlas för

1.att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för

493

Ändamålsbestämmelser

SOU 2023:100

a)fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter,

b)revision och annan analys- eller kontrollverksamhet,

c)tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och

d)utsökning och indrivning,

2.att tillhandahålla information som behövs i Tullverkets brotts- bekämpande verksamhet enligt 2 kap. 1 § lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område,

3.att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och

4.andra ändamål, under förutsättning att uppgifterna inte behand- las på ett sätt som är oförenligt med det ändamål för vilket upp- gifterna samlades in.

8.3.7Befintliga ändamål för Kronofogdemyndighetens databaser

Utsöknings- och indrivningsdatabasen

Primära ändamål

Uppgifter får enligt 2 kap. 2 § KFMdbL behandlas i utsöknings- och indrivningsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för

1.verkställighet eller annan åtgärd som särskilt åligger Kronofogde- myndigheten enligt utsökningsbalken eller annan författning,

2.indrivning av statliga fordringar m.m.,

3.avräkning vid återbetalning av skatter och avgifter,

4.ansökan om och tillsyn över näringsförbud,

5.förebyggande av överskuldsättning och information om skuldsaner- ing och F-skuldsanering,

494

SOU 2023:100

Ändamålsbestämmelser

6.fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och

7.tillsyn, kontroll, uppföljning och planering av verksamheten.

Sekundära ändamål

Enligt 2 kap. 3 § KFMdbL får uppgifter som behandlas enligt 2 kap. 2 § samma lag även behandlas i databasen för

1.att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för

a)avräkning vid återbetalning av skatter och avgifter,

b)kvittning vid utbetalning av bidrag,

c)planering, samordning och uppföljning av revision och annan kontrollverksamhet vid beskattning och tulltaxering,

d)utredningar vid bestämmande och betalning av skatter, tullar och avgifter,

e)ärenden om ansvar för någon annans skatter och avgifter, och

f)kontroll och tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,

2.att tillhandahålla information som behövs i Kronofogdemyndig- hetens verksamhet för handläggning av ärenden om skuldsaner- ing och F-skuldsanering,

3.att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och

4.andra ändamål, under förutsättning att uppgifterna inte behand- las på ett sätt som är oförenligt med det ändamål för vilket upp- gifterna samlades in.

495

Ändamålsbestämmelser

SOU 2023:100

Betalningsföreläggande- och handräckningsdatabasen

Primära ändamål

Enligt 2 kap. 8 § KFMdbL får uppgifter får behandlas i betalnings- föreläggande- och handräckningsdatabasen för att tillhandahålla infor- mation som behövs i Kronofogdemyndighetens verksamhet för

1.handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande,

2.tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande,

3.förebyggande av överskuldsättning och information om skuld- sanering och F-skuldsanering, och

4.tillsyn, kontroll, uppföljning och planering av verksamheten.

Sekundära ändamål

Enligt 2 kap. 9 § KFMdbL får uppgifter som behandlas enligt 2 kap. 8 § samma lag även behandlas i databasen för

1.att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för till- syn samt lämplighets- och tillståndsprövning och annan liknande prövning,

2.att tillhandahålla information som behövs i Kronofogdemyndig- hetens verksamhet för handläggning av ärenden om skuldsaner- ing och F-skuldsanering,

3.att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och

4.andra ändamål, under förutsättning att uppgifterna inte behand- las på ett sätt som är oförenligt med det ändamål för vilket upp- gifterna samlades in.

496

SOU 2023:100

Ändamålsbestämmelser

Skuldsaneringsdatabasen

Primära ändamål

Enligt 2 kap. 14 § KFMdbL får uppgifter 14 § behandlas i skuldsaner- ingsdatabasen för att tillhandahålla information som behövs i Krono- fogdemyndighetens verksamhet för

1.handläggning av ärenden om skuldsanering och F- skuldsanering,

2.förebyggande av överskuldsättning,

3.att föra ett insolvensregister över skuldsaneringar och F- skuld- saneringar enligt lagen (2017:473) med kompletterande bestäm- melser till 2015 års insolvensförordning, och

4.tillsyn, kontroll, uppföljning och planering av verksamheten.

Sekundära ändamål

Enligt 2 kap. 15 § KFMdbL får uppgifter som behandlas enligt 2 kap. 14 § samma lag även behandlas i databasen för

2.att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och

3.andra ändamål, under förutsättning att uppgifterna inte behand- las på ett sätt som är oförenligt med det ändamål för vilket upp- gifterna samlades in.

Konkurstillsynsdatabasen

Primära ändamål

Enligt 2 kap. 20 § KFMdbL får uppgifter behandlas i konkurstillsyns- databasen för att tillhandahålla information som behövs i Krono- fogdemyndighetens verksamhet för

497

Ändamålsbestämmelser

SOU 2023:100

1.handläggningen av konkurstillsynsärenden, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497),

2.förebyggande av överskuldsättning och information om skuld- sanering och F-skuldsanering, och

3.tillsyn, kontroll, uppföljning och planering av verksamheten.

Sekundära ändamål

Enligt 2 kap. 20 a § KFMdbL får uppgifter som behandlas enligt 2 kap. 20 § samma lag även behandlas i databasen för

1.att tillhandahålla information som behövs i Kronofogdemyndig- hetens verksamhet för handläggning av ärenden om skuldsaner- ing och F-skuldsanering,

2.att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och

3.andra ändamål, under förutsättning att uppgifterna inte behand- las på ett sätt som är oförenligt med det ändamål för vilket upp- gifterna samlades in.

8.3.8Myndigheternas uppfattning om nuvarande ändamålsreglering

Skatteverket

Skatteverkets uppfattning är att befintliga ändamålsbestämmelser även kan beskrivas som en sammanfattning av de materiella regler som styr Skatteverkets verksamheter och anger vilka uppgifter Skatteverket har i dessa. Det går enligt Skatteverket att ifrågasätta om det är ända- målsenligt eller nödvändigt att särskilt reglera personuppgiftsbehand- ling som sker för att utföra författningsreglerade uppgifter när be- handlingen är nödvändig för att följa gällande rätt.

Skatteverket anser att det finns vissa risker med att föra ett gammalt arv vidare utan närmare bedömning av vilket faktiskt behov av nationella kompletterande bestämmelser som behövs i förhållande till EU:s dataskyddsförordning och den allmänna dataskyddslagen. En av riskerna med den nuvarande regleringen är enligt Skatteverket

498

SOU 2023:100

Ändamålsbestämmelser

att principen om ändamålsbegränsning enligt artikel 5.1 b i data- skyddsförordningen inte får avsedd effekt. Om ett ändamål inte fast- ställs i enlighet med artikel 5.1 b kan det medföra svårigheter för myndigheterna att tillämpa övriga bestämmelser i dataskyddsförord- ningen. Det finns nämligen en risk att befintliga ändamålsbestäm- melser ska anses motsvara sådana särskilda, uttryckligt angivna ända- mål som avses enligt artikel 5.1 b. Enligt Skatteverkets bedömning behöver dock ett ändamål preciseras mer för att det ska vara möjligt att avgöra vilka uppgifter som får behandlas eller hur länge uppgif- terna får behandlas.

Skatteverket anser att det är av yttersta vikt att den nationella kom- pletterande dataskyddsregleringen möjliggör att myndigheterna kan utföra sina uppdrag på ett effektivt sätt utan hinder av svårtolkade och obsoleta bestämmelser. Enbart med utgångspunkt i dataskydds- kyddförordningen har myndigheterna å ena sidan långtgående skyl- digheter och enskilda å andra sidan ett omfattande skydd. Skatteverkets uppfattning är att behovet av kompletterande nationell reglering i dag i större utsträckning ska bedömas med utgångspunkt i det nyss sagda. Skatteverkets bedömning är att en bred ändamålsbestämmelse är mer ändamålsenlig än dagens reglering, och skapar bättre förutsätt- ningar för myndigheterna att utföra sina reglerade uppgifter.

En ändamålsbestämmelse som anger att en myndighet får behandla personuppgifter om det är nödvändigt för att kunna utföra sina författ- ningsreglerade uppgifter tydliggör enligt Skatteverket att det i huvud- sak är myndighetens materiella reglering som sätter de yttersta ram- arna för myndighetens personuppgiftsbehandling. En sådan reglering är för alla myndigheter mer logisk med utgångspunkt i bestämmel- serna om rättslig grund i kompletterande dataskyddslag som fast- ställer och tydliggör att det är den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen. Dataskyddsförordningen ställer inte ett krav på att själva behandlingen av personuppgifter måste regleras. Det som redan framgår av lag och förordning behöver därför enligt Skatteverket som utgångspunkt inte regleras ytterligare i en kompletterande register- författning.

En bred ändamålsbestämmelse tydliggör enligt Skatteverket att det är de materiella bestämmelserna som sätter gränserna för vilken behandling som är tillåten. En bred ändamålsbestämmelse ger heller inte myndigheterna någon utökad möjlighet att behandla person-

499

Ändamålsbestämmelser

SOU 2023:100

uppgifter i förhållande till vad som redan framgår av kompletterande dataskyddslag och befintliga materiella bestämmelser. De materiella bestämmelserna avgränsar alltså myndigheternas möjligheter att be- handla personuppgifter. En bred ändamålsbestämmelse medför mot denna bakgrund ingen egentlig utvidgning av möjligheterna att be- handla personuppgifter. Det är nämligen i första hand när de materi- ella bestämmelserna ändras på ett sådant sätt att det blir nödvändigt att behandla flera personuppgifter som det blir fråga om en utvidgning.

Med en bred ändamålsbestämmelse tydliggörs enligt Skatteverket också att Skatteverket själv behöver fastställa de närmare ändamålen med behandlingen vilket säkerställer en adekvat tillämpning av data- skyddsförordningen. En bred ändamålsbestämmelse skapar heller ingen osäkerhet för andra myndigheter i fråga om de över huvud taget får vidta vissa åtgärder som inte finns angivet som ett särskilt ändamål i deras särskilda dataskyddsreglering.

Tullverket

Tullverket har uppgett att nuvarande ändamålsbestämmelser inte ut- gör några problem för myndighetens verksamhet. En uppräkning av ändamål ger enligt Tullverket ramar som anger i vilka syften person- uppgifter får samlas in och behandlas. Uppräkningen ger dessutom ett tydligt stöd för möjligheten att vidarebehandla personuppgifter för andra ändamål än insamlingsändamålet utan att myndigheten be- höver tillämpa finalitetsprincipen. Enligt Tullverket är det ur ett effek- tivitetsperspektiv inte hållbart att göra en bedömning av finalitets- principen i varje enskilt fall och det är oklart i vilken omfattning det är möjligt för myndigheten att göra generella bedömningar i förväg.

Det unionsrättsliga tullsamarbetet kräver numera en helt digitali- serad tullhantering och informationsflödet till Tullverket är till följd av detta omfattande. Den grundläggande tanken är att enskilda en- dast ska behöva lämna information till Tullverket vid ett tillfälle och att uppgifterna sedan ska kunna vidarebehandlas för flera olika ända- mål. Tullverket bedömer att det skulle vara mycket tidskrävande för myndigheten att i dessa sammanhang behöva tillämpa finalitets- principen och att ett sådant förfarande också skulle medföra stor osäkerhet och ineffektivitet. Det skulle dessutom kunna uppstå situa-

500

SOU 2023:100

Ändamålsbestämmelser

tioner där ändamålet för en vidarebehandling vid en finalitetspröv- ning inte skulle bedömas vara förenligt med insamlingsändamålet.

Trots det anser Tullverket att det finns nackdelar med en primär ändamålsbestämmelse som räknar upp tillåtna ändamål, eftersom ända- målen i uppräkningen inte är tillräckligt specificerade för att utgöra ändamål i dataskyddsförordningens mening. I stället speglar uppräk- ningen i den nuvarande reglering på ett mycket övergripande sätt Tullverkets uppdrag som det regleras i förordningen (2016:1332) om instruktion för Tullverket och materiell lagstiftning. Det innebär att myndigheten ändå måste ange särskilda, uttryckligt angivna och be- rättigade ändamål för den personuppgiftsbehandling som ska utföras, samt härleda behandlingen till en materiell rättslig grund. Om reger- ingen ger Tullverket nya uppgifter som inte ligger inom ramen för de redan angivna ändamålen krävs i många fall förändringar inte bara i den materiella lagstiftningen, utan även i den sektorspecifika data- skyddslagstiftningen. I annat fall saknas förutsättningar för myndig- heten att behandla personuppgifter elektroniskt för att kunna utföra de nya uppgifterna. Tullverket anser dock att en bred primär ända- målsbestämmelse kan vara att föredra, under förutsättning att det är fortsatt tydligt att vidarebehandling av personuppgifter inom ramen för hela Tullverkets uppdrag får ske för andra ändamål än insamlings- ändamålet.

En bred ändamålsbestämmelse som anger att en myndighet får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter enligt lag eller förordning är enligt Tullverket mer flexi- bel. Under förutsättning att lagstiften eller unionsrätten har tilldelat myndigheten en författningsreglerat uppgift får denna då utföras elektroniskt utan att det regleras särskilt. Det är enligt Tullverket möj- ligt att en bred ändamålsbestämmelse inte tillför något i sak utöver vad som redan gäller enligt övrig dataskyddsreglering. En bred ända- målsbestämmelse gör det dock tydligt att det är myndigheternas upp- drag och materiella reglering som utgör fundamentet för en laglig personuppgiftsbehandling och som i princip sätter de yttersta ramarna för myndighetens personuppgiftsbehandling. Tullverket anser att det också blir tydligare att det är myndigheten som måste ange det be- stämda ändamålet med behandlingen. Kritik som framförts mot en bred ändamålsbestämmelse är att det ger en bristande förutsägbarhet och transparens avseende personuppgiftsbehandlingen. Tullverket konstaterar dock att myndigheternas uppgifter regleras i både myn-

501

Ändamålsbestämmelser

SOU 2023:100

dighetsinstruktioner och materiell lagstiftning. Dessutom finns i den allmänna dataskyddsförordningen en skyldighet för personuppgifts- ansvariga att tillhandahålla information om den personuppgiftsbehand- ling som myndigheten utför. Utifrån detta bedömer Tullverket att personuppgiftsbehandlingen skulle vara såväl förutsägbar som trans- parent även med en bred ändamålsbestämmelse

Tullverket anser dock att det med en bred ändamålsbestämmelse inte blir lika tydligt att vidarebehandling av personuppgifter får ske för andra ändamål än insamlingsändamålet utan att en prövning en- ligt finalitetsprincipen först görs. Det behöver därför enligt Tull- verkets uppfattning framgå på ett tydligt sätt att lagstiftaren har gjort bedömningen att sådan vidarebehandling som myndigheten behöver utföra för att kunna fullgöra sitt uppdrag är en nödvändig och pro- portionerlig åtgärd i ett demokratiskt samhälle.

Kronofogdemyndigheten

Kronofogdemyndigheten har uppgett att myndigheten instämmer i de synpunkter som förts fram av Skatteverket.

Kronofogdemyndigheten har även påpekat att dagens ändamåls- bestämmelser omfattar otydliga begrepp och att den upplevs som svår och detaljerad. Regleringen kräver nämligen komplicerade analyser som saknar betydelse för den enskildes integritet. En ordning där myndig- heten måste göra kontinuerliga bedömningar av om en tilltänkt behand- ling ryms inom mer öppet formulerade ändamål skulle enligt Krono- fogdemyndigheten vara att föredra. Framtida ändamålsbestämmelser bör enligt Kronofogdemyndigheten vara så öppna som möjligt och hänvisa till vad myndigheten behöver enligt de författningar som reglerar kärnverksamheterna. Myndigheten har även fört fram att en ny lagstiftning bör utgå från dataskyddsförordningens reglering, struk- tur och terminologi och bör vara fokuserad på grundläggande krav och säkerhet.

502

SOU 2023:100

Ändamålsbestämmelser

8.4Överväganden och förslag

8.4.1Det finns ett behov av att uppdatera befintliga ändamålsbestämmelser

Vår bedömning: Det finns ett behov av en utvidgad ändamåls- reglering i syfte att säkerställa att reglerna är anpassade efter den tekniska och rättsliga utvecklingen.

Skälen för vår bedömning

Någon allmän översyn av de registerförfattningar som gäller i Skatte- verkets beskattnings- och folkbokföringsverksamheter samt i Tull- verkets och Kronofogdemyndighetens verksamheter har inte gjorts sedan registerförfattningarna infördes. Som framgår av avsnitt 8.3.1 jämfört med avsnitten 8.3.4–8.3.7 är både ändamålsbestämmelsernas systematik och bestämmelserna i sak i stora drag oförändrade sedan tillkomsten.

Jämte de bestämmelser som reglerar vilka uppgifter myndigheterna får behandla i sina databaser, se avsnitt 9.3.2, utgör ändamålsbestäm- melserna en central del i dagens registerförfattningar. Av förarbe- tena till bestämmelserna framgår också att bestämmelser om tillåtna ändamål för behandling vid tidpunkten ansågs ha en stor betydelse för det integritetsskydd som registerförfattningarna avsåg att åstad- komma. Frågan är då i vilken utsträckning de bestämmelser som tidi- gare har ansetts vara av så stor betydelse för skyddet för den person- liga integriteten över huvud taget bör förändras.

När de nuvarande ändamålsbestämmelsernas generella struktur och innehåll togs fram var både de rättsliga och tekniska förutsättningarna för myndigheternas automatiserade personuppgiftsbehandling väsent- ligt annorlunda mot vad de är i dag. Då var manuell handläggning av enskilda ärenden det vanligaste arbetssättet. Det innebär att när dag- ens ändamålsbestämmelser togs fram utgjorde de en slags särregler- ing som avsåg för vilka ändamål uppgifter fick behandlas med en särskild teknik som utgjorde ett undantag från standardförfarandet. I dag är i stället i princip all informationshantering digitaliserad, såväl inom myndigheter som i samhället i stort. Ändamålsbestämmelserna som ursprungligen avsett en avgränsad form av informationshanter-

503

Ändamålsbestämmelser

SOU 2023:100

ing är därmed i dag tillämpliga på nästan all informationshantering som förekommer inom myndigheterna.

I dag utgör EU:s dataskyddsförordning också den primära rätts- liga regleringen av myndigheternas behandling av personuppgifter. Dataskyddsförordningen innebär i många avseenden en förändring i förhållande till personuppgiftslagen och ställer högre krav på den per- sonuppgiftsansvariga myndigheten. För att en myndighet över huvud taget ska ha rätt att behandla personuppgifter enligt dataskydds- förordningen måste ett antal villkor vara uppfylla. Vad avser ända- målsbestämmelser i kompletterande dataskyddsreglering är det främst bestämmelserna om vilka rättsliga grunder för behandling som en myndighet kan åberopa som bör uppmärksammas. Utrymmet för en myndighet att behandla personuppgifter är nämligen mer begränsat i dag än när de befintliga ändamålsbestämmelserna tillkom, vilket vi redogör för i avsnitt 5.2.2.

De befintliga bestämmelserna om tillåtna ändamål för person- uppgiftsbehandling i Skatteverkets beskattnings- och folkbokförings- verksamheter samt i Tullverkets och Kronofogdemyndighetens verk- samheter utmärks dessutom av att de är utformade i syfte att omfatta samtliga arbetsuppgifter som ryms inom respektive lags materiella tillämpningsområde, jfr avsnitten 8.2.2 och 8.3.4–8.3.7. Det rör sig alltså inte om ändamålsbestämmelser för särskilda register eller av- gränsade uppgiftssamlingar med särskilt känslig information som endast får behandlas för avgränsade ändamål. Ändamålsbestämmel- serna avser i stället behandling i och utanför databaser där person- uppgifter får behandlas för samtliga ändamål, som även motsvarar myndigheternas arbetsuppgifter på området. Den materiella och pro- cessuella regleringen av myndigheternas arbetsuppgifter framgår av ofta mycket utförliga och omfattande författningar i nationell rätt eller i unionsrätten (jfr kapitel 4).

Mot bakgrund av digitaliseringen av förvaltningen och utveck- lingen inom den allmänna dataskyddsregleringen anser vi samman- fattningsvis att sektorsspecifika ändamålsbestämmelsers betydelse för integritetsskyddet, i vart fall avseende sådana bestämmelser som här är aktuellt, har minskat avsevärt sedan millennieskiftet. Det finns därför ett behov av en översyn och en utvidgning av befintliga ända- målsbestämmelser, i syfte att säkerställa att reglerna är anpassade efter den tekniska och rättsliga utvecklingen.

504

SOU 2023:100

Ändamålsbestämmelser

8.4.2De nya lagarna bör innehålla bestämmelser om ändamål

Vår bedömning: De finns ett behov av att införa ändamåls- bestämmelser i de nya lagarna.

Skälen för vår bedömning

EU:s dataskyddsförordnings bestämmelser om rättslig grund inne- bär att myndigheterna inte lagligen kan behandla personuppgifter för andra syften än att utföra de uppgifter och uppdrag som riks- dagen och regeringen ger myndigheterna, eller som framgår av unions- rätten (se avsnitten 5.2.2 och 8.2.1). Utöver de begränsningar av när, hur och varför svenska myndigheter får behandla personuppgifter som framgår av den allmänna dataskyddsregleringen finns det också annan reglering som begränsar myndigheterna i detta avseende.

Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § regerings- formen, RF, som anger att den offentliga makten utövas under lag- arna. Legalitetsprincipen innebär att myndigheternas maktutövning i vidsträckt mening, även i den mån den förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Regeringen har uttalat att det inte borde före- komma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har med- delats i enlighet med regeringsformens bestämmelser.57 Även enligt 5 § första stycket förvaltningslagen (2017:900), FL, gäller att svenska myndigheter endast får vidta sådana åtgärder som har stöd i rättsord- ningen. Bestämmelsen i förvaltningslagen måste anses omfatta myn- digheters personuppgiftsbehandling och innebär i det sammanhanget att endast personuppgiftsbehandling för ändamål som har stöd i rättsordningen är tillåten.

Myndigheterna har vidare enligt sina respektive instruktioner en skyldighet att utföra sina uppdrag på ett rättssäkert sätt (se avsnitten 4.1–4.3) och enligt 3 § myndighetsförordningen (2007:515) har myn- dighetens ledning ett ansvar för att verksamheten följer gällande rätt. Även de bestämmelserna måste anses omfatta myndigheternas per- sonuppgiftsbehandling och bör i sammanhanget anses innebära ett skydd dels mot personuppgiftsbehandling för godtyckliga ändamål,

57Prop. 2017/18:105, Ny dataskyddslag, s. 49–50.

505

Ändamålsbestämmelser

SOU 2023:100

dels mot personuppgiftsbehandling som saknar rättslig grund i data- skyddsförordningens mening. Också offentlighets- och sekretess- lagens (2009:400), OSL, bestämmelser om sekretess och tystnadsplikt begränsar myndigheters möjlighet att behandla personuppgifter genom utlämnande eller överföring till en annan myndighet eller verksam- hetsgren.58

Det skulle därmed kunna argumenteras att den allmänna data- skyddsregleringen, tillsammans med övriga bestämmelser som begrän- sar myndigheternas möjligheter att behandla personuppgifter, på ett tillfredställande sätt redan ställer upp de begränsningar av för vilka ändamål myndigheterna får behandla personuppgifter som krävs för att uppnå ett adekvat integritetsskydd i detta avseende. Utifrån det perspektivet går det att ifrågasätta om det finns något faktiskt behov av att i ytterligare ett sammanhang, dvs. också i den kompletterande sektorsspecifika dataskyddsregleringen, reglera för vilka ändamål Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgifter med digitala hjälpmedel.

I avsnitt 6.2 har vi dock konstaterat att i vart fall delar av Skatte- verkets, Tullverkets och Kronofogdemyndighetens personuppgifts- behandling omfattas av det grundlagsreglerade skyddet för den per- sonliga integriteten i 2 kap. 6 § andra stycket RF. Utgångspunkten är därför att den föreslagna dataskyddsregleringen måste ges i lag- form. I avsnitt 6.2 har vi även bedömt att en behandling av person- uppgifter vid myndigheterna som utgör ett intrång i det grundlags- reglerade skyddet för den personliga integriteten i vissa fall är nöd- vändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina samhällsviktiga uppgifter. En ändamålsbestäm- melse i lag innebär att ramen för behandling av personuppgifter i ett informationssystem med ett stort antal, och i vissa fall integritets- känsliga, uppgifter fastställs av riksdagen. Ändamålsbestämmelserna är alltså de bestämmelser som ger lagstöd för sådan behandling som kan anses omfattas av grundlagsskyddet för den personliga integri- teten. Mot den bakgrunden framstår det som nödvändigt att införa nya bestämmelser som tillåter myndigheterna att behandla person- uppgifter för vissa ändamål.

Även om dataskyddsförordningen inte ställer upp något generellt krav på att tillåtna ändamål för myndigheters personuppgiftsbehand- ling ska anges i en särskild författning finns det dock bestämmelser

582 kap. 1 § och 8 kap. 1 och 2 §§ OSL.

506

SOU 2023:100

Ändamålsbestämmelser

där viss reglering krävs. Enligt artikel 21.1 i dataskyddsförordningen har enskilda som utgångspunkt rätt att göra invändningar mot be- handling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning. I avsnitt 7.8.1 har vi dock föreslagit att enskilda inte ska kunna motsätta sig behandling enligt artikel 21.1 vid sådan behandling som är tillåten enligt de föreslagna nya datalagarna eller föreskrifter som har meddelats i anslutning till dem. Vi har i samma kapitel bedömt att begränsningen av enskildas rätt att göra invänd- ningar är motiverad eftersom Skatteverkets, Tullverkets och Krono- fogdemyndighetens verksamhet och uppgifter motsvarar viktiga mål av generellt allmänt intresse. En sådan inskränkning är enligt arti- kel 23.1 tillåten i nationell rätt i vissa fall, men den lagstiftnings- åtgärden bör då innehålla specifika bestämmelser avseende ändamålen med behandlingen eller kategorierna av behandling. Även mot denna bakgrund framstår det som nödvändigt att i de nya datalagarna införa bestämmelser som anger för vilka ändamål personuppgifter får be- handlas. I avsnitt 14.8 bedömer vi dessutom att särskilda ändamåls- bestämmelser krävs för viss behandling i myndigheternas kontroll- verksamhet.

Kompletterande bestämmelser om för vilka ändamål en särskild myndighet får behandla personuppgifter kan även i övrigt anses fylla en viktig funktion, trots att de på ett generellt plan inte kan anses så betydelsefulla för integritetsskyddet som innan dataskyddsförord- ningen började tillämpas. Som nämnts i avsnitt 8.2.2 har regeringen tidigare bedömt att ändamålsbestämmelser anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis be- handling av personuppgifter. Regeringen har också i andra lagstift- ningsärenden uttalat att ändamålsbestämmelser bidrar till att behand- lingen av personuppgifter sker på ett korrekt, lagligt och öppet sätt. Att ta bort ändamålsbestämmelserna skulle enligt regeringen leda till otydlighet och oförutsebarhet och inte vara till nytta för vare sig myndigheterna eller de registrerade personerna.59

Vår bedömning är sammanfattningsvis att de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tull- verket och Kronofogdemyndigheten bör innehålla bestämmelser som anger för vilka ändamål uppgifter får behandlas. Sådana bestämmel-

59Prop. 2017/18: 112, Anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s dataskyddsförordning, s. 53.

507

Ändamålsbestämmelser

SOU 2023:100

ser är nödvändiga för att uppfylla regeringsformens krav på lagstöd för viss behandling och dataskyddsförordningens krav på angivna ändamål eller kategorier av behandling vid vissa begränsningar av en- skildas rättigheter.

8.4.3En brett formulerad ändamålsbestämmelse

Vårt förslag: Skatteverket, Tullverket och Kronofogdemyndig- heten ska få behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom de nya datalagarnas respektive materiella tillämpningsområde.

Av tydlighetskäl ska den primära ändamålsbestämmelsen kom- pletteras av en upplysningsbestämmelse om regeringens möjlig- het att med stöd av sin s.k. restkompetens meddela föreskrifter om ändamålen med behandlingen.

Skälen för vårt förslag

Befintliga ändamålsbestämmelser motsvarar inte särskilda ändamål för behandling enligt dataskyddsförordningen

Som framgår av avsnitt 8.2.1 ges ändamålet med personuppgifts- behandling en mycket stor betydelse i flera av EU:s dataskyddsförord- nings bestämmelser. Det är mot det särskilda, uttryckligt angivna och berättigade ändamålet som ett flertal av de grundläggande prin- ciperna ska prövas och iakttas. Ändamålet med behandlingen avgör därmed bl.a. vilka uppgifter som får behandlas, hur länge de får be- handlas och för vilka tillkommande ändamål de får vidarebehandlas.

I avsnitt 8.3.1 har vi redogjort för att regeringen redan vid tid- punkten för nuvarande författningars tillkomst uttalade att ändamåls- bestämmelser skulle utformas så att de gav en rimlig avvägning mellan behovet av en förenklad reglering och integritetssynpunkter, och som utgångspunkt var det behovet av uppgifter i verksamheten som skulle styra när, hur och vilka uppgifter som behandlades. Vidare konsta- terade regeringen i det sammanhanget att en lag om behandling av personuppgifter inte styrde myndighetens verksamhet, utan i stället bestämdes verksamhetens inriktning av den materiella och proces- suella lagstiftningen på området jämte de instruktioner som gällde.

508

SOU 2023:100

Ändamålsbestämmelser

Regeringen uttalade även att den verksamhet som bedrevs med stöd av de materiella författningarna som reglerade myndigheternas upp- gifter utan inskränkning skulle omfattas av rätten att behandla per- sonuppgifter.60

Dessa uttalanden illustrerar enligt vår mening att ändamålen som framgår av ändamålsbestämmelserna inte går att likställa med sådana särskilda, uttryckligt angivna och berättigade ändamål som data- skyddsförordningen kräver ska finnas för varje behandling. Av för- arbetsuttalandena framgår även att det inte har varit bestämmelsernas syfte. Mot bakgrund av den rättsliga utvecklingen, dvs. främst data- skyddsförordningens begränsningar avseende den rättsliga grunden och krav på särskilda, uttryckligt angivna och berättigade ändamål som är så utförligt angivna att en prövning av de grundläggande prin- ciperna är möjlig att göra, bör dagens ändamålsbestämmelser när- mast kunna jämställas med rambestämmelser som pekar ut gränserna för tillåten behandling. Givet hur detaljerat ändamålet måste anges i det enskilda fallet, för att kunna ligga till grund för en bedömning av en specifik behandlings förenlighet med de grundläggande princi- perna enligt dataskyddsförordningen, framstår det dessutom som omöjligt att i en sektorsspecifik dataskyddsreglering ange samtliga särskilda ändamål som kan komma att aktualiseras inom en myndig- hets verksamhet. Sådana bestämmelser skulle komma att bli mycket omfattande. För verksamhet som är baserad på regelbundna och återkommande företeelser, exempelvis beskattningsår eller moms- redovisningsperioder, skulle bestämmelserna dessutom behöva ändras kontinuerligt.

Är det ändå bestämmelser om ändamål?

Ändamålsbestämmelser i dataskyddsreglering som är avsedda att om- fatta en myndighets eller verksamhetsgrens samtliga arbetsuppgifter bör enligt vår mening tolkas på så sätt att de pekar ut ramarna för den behandling som regleras i lagen eller förordningen. Liknande bedömningar har som framgår ovan i avsnitt 8.2.2 gjorts i flera andra lagstiftningsärenden. Det kan mot den bakgrunden ifrågasättas i vilken utsträckning det alls är meningsfullt att tala om dessa bestämmelser som ändamålsbestämmelser, eftersom deras föremål inte kan anses

60Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 93.

509

Ändamålsbestämmelser

SOU 2023:100

vara sådana ändamål som dataskyddsförordningen förutsätter. Vi har därför övervägt om det finns skäl för att föreslå att bestämmelserna ska benämnas på ett annat sätt.

Ett skäl som talar för en förändrad terminologi är att det skulle ge en tydligare och mer rättvisande bild av bestämmelsernas föremål, dvs. att peka ut den rättsliga grunden och därmed även ramarna för behandling som regleras i den aktuella författningen. En sådan ord- ning kan också upplevas som mer i enlighet med den allmänna data- skyddsregleringens systematik, vilket också uppmärksammats i andra sammanhang. Informationshanteringsutredningen (Ju 2011:11) hade som huvuduppdrag att se över registerlagstiftningen och vissa där- med sammanhängande frågor. I sitt slutbetänkande gjorde Informa- tionshanteringsutredningen bedömningen att det i många register- författningar och liknande reglering hade skett en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilda bestämda ändamål respektive tillåtna rättsliga grunder för behandling (jfr av- snitt 8.2.1). Enligt utredningen fanns det därför en risk för att tillämp- aren blandade samman ändamål med rättslig grund. Risken bestod i att tillämparen skulle godta ett i författning bestämt allmänt ändamål som ett särskilt, berättigat och tillräckligt preciserat ändamål.61

I brottsdatalagen (2018:1177) och här relevant sektorsspecifik lag- stiftning inom brottsdatalagens område, dvs. lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1696) om Skatteverkets behandling av per- sonuppgifter inom brottsdatalagens område benämns motsvarade be- stämmelser inte som ändamålsbestämmelser. I stället anges där bestäm- melser som pekar ut ramarna för den behandling som kan ske med stöd av lagarna under rubriken rättsliga grunder.62 Under rubriken ändamål anges i stället bl.a. att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål.63 I för- arbetena till bestämmelserna i brottsdatalagen bedömde regeringen att det fanns fog för Informationshanteringsutredningens uppfatt- ning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestäm- melser ibland har blandats samman. Det var enligt regeringen därför

61SOU 2015:39, Myndighetsdatalag, s. 277–278.

62Se 2 kap. 1 § brottsdatalagen, 2 kap. 1 § lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område och 2 kap. 1 § lagen om Skatteverkets behandling av person- uppgifter inom brottsdatalagens område.

632 kap. 3 § första stycket brottsdatalagen.

510

SOU 2023:100

Ändamålsbestämmelser

lämpligt att det gjordes tydligare skillnad mellan bestämmelser om rättslig grund och ändamålsbestämmelser.64

Även inom dataskyddsreglering som kompletterar dataskydds- förordningen finns liknande reglering. Exempelvis förkommer mot- svarande bestämmelser i lagen (2001:454) om behandling av person- uppgifter inom socialtjänsten under rubriken ”när behandling av personuppgifter är tillåten”.

Trots att vi i sak delar de huvudsakliga invändningar som framgår av Informationshanteringsutredningens slutbetänkande anser vi att det finns skäl för att benämna bestämmelserna som just ändamåls- bestämmelser i de nya lagarna. Det främsta skälet är att regleringen som kompletterar den allmänna dataskyddsregleringen enligt vår mening bör vara enhetlig även över myndighetsgränserna. I det stora flertalet författningar som kompletterar dataskyddsförordningen och dataskyddslagen har bestämmelserna även efter maj 2018 fortsatt an- ges under rubriken ändamål. Så är exempelvis fallet i lagen (1998:621) om misstankeregister65, lagen (2002:546) om behandling av person- uppgifter i den arbetsmarknadspolitiska verksamheten, patientdata- lagen (2008:355), studiestödsdatalagen (2009:287) domstolsdatalagen (2015:728), utlänningsdatalagen (2016:27), vägtrafikdatalagen, 114 kap. socialförsäkringsbalken och lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. Det innebär att bestämmelser som kompletterar dataskyddsförordningen och som pekar ut ramarna för behandling av personuppgifter vid Polismyndigheten och dom- stolarna (i vissa fall), Arbetsförmedlingen, aktörer inom hälso- och sjukvården, Centrala studiestödsnämnden (CSN), Migrationsverket, Transportstyrelsen, Försäkringskassan, Pensionsmyndigheten och Utbetalningsmyndigheten i dag regleras som ändamålsbestämmelser. Dessa offentliga aktörer är några av Sveriges största myndigheter och i likhet med Skatteverket, Tullverket och Kronofogdemyndig- heten behandlar de i mycket hög utsträckning personuppgifter i sin verksamhet. Att ha en avvikande terminologi för Skatteverkets be- skattnings- och folkbokföringsverksamheter, Tullverket och Krono- fogdemyndigheten riskerar enligt vår mening att skapa osäkerhet om bestämmelsernas innebörd både för andra myndigheter och enskilda.

64Prop. 2017/18:232, Brottsdatalag, s. 115.

65Lagen om misstankeregister gäller utöver brottsdatalagen, vilket framgår av 1 a § Lagen om misstankeregister. Enligt 1 b § samma lag kompletterar dock lagen dataskyddsförordningen vid behandling av personuppgifter som inte omfattas av brottsdatalagen.

511

Ändamålsbestämmelser

SOU 2023:100

Ändamålsbestämmelser är dessutom ett etablerat begrepp i för- arbeten, praxis och doktrin. Att överge begreppet ändamålsbestäm- melser riskerar enligt vår mening att skapa osäkerhet även i för- hållande till dessa rättskällor.

Vår bedömning är i stället att det i dataskyddsammanhang är både möjligt och lämpligt att låta begreppet ändamål ha olika betydelse beroende på i vilket sammanhang begreppet förekommer. Det säger sig nästan självt att en brett formulerad ändamålsbestämmelse inte bör kunna likställas med ett sådant särskilt, uttryckligt angivet och berättigat ändamål som dataskyddsförordningen kräver och som bl.a. avgör vilka uppgifter som får behandlas och hur länge.

Ändamålsbestämmelser i sådan dataskyddsreglering som ska till- lämpas inom en viss sektor eller verksamhet bör alltså anses peka ut ramarna för den personuppgiftsbehandling som en författning regle- rar. Ändamålen utgör där en slags sammanfattande beskrivning av den rättsliga grunden och därmed de särskilda ändamål som kan komma att aktualiseras inom författningens materiella tillämpningsområde. Det skulle även kunna uttryckas som att ändamålsbestämmelser av den aktuella karaktären anger de syften med behandling som kan komma i fråga för en viss myndighet. Ansvaret för att formulera sär- skilda, uttryckligt angivna och berättigade ändamål i det enskilda fallet vilar dock på den personuppgiftsansvariga myndigheten i enlighet med artikel 5.2 i dataskyddsförordningen.

Sammanfattningsvis anser vi att bestämmelser som anger ramarna för myndigheternas personuppgiftsbehandling även i de nya lagarna ska benämnas ändamålsbestämmelser.

En bred primär ändamålsbestämmelse

Mot bakgrund av de uttalanden som regeringen gjorde i samband med bestämmelsernas tillkomst kan dagens ändamålsbestämmelser inte anses vara utformade i syfte att begränsa behandling som sker för att utföra en eller flera författningsreglerade uppgifter som myndighet- erna har inom respektive registerförfattnings materiella tillämpnings- område. Som vi nämnt ovan uttalade regeringen i sammanhanget bl.a. att den verksamhet som bedrevs med stöd av de materiella författ- ningarna som reglerade myndigheternas uppgifter utan inskränkning skulle omfattas av rätten att behandla personuppgifter. I detta avse-

512

SOU 2023:100

Ändamålsbestämmelser

ende framstår bestämmelserna i stället främst som tillåtande. Bestäm- melserna begränsar dock myndigheternas möjligheter till person- uppgiftsbehandling som sker för andra ändamål än de som följer av den materiella och processuella regleringen av myndigheternas verk- samhet inom det materiella tillämpningsområdet för respektive lag. Det är dock en begränsning som i dag redan ställs upp av dataskydds- förordningens bestämmelser om rättslig grund i artikel 6.1 c och e.

Även ändamålsbestämmelserna i de nya lagarna behöver täcka all den behandling som är nödvändig för att respektive myndighet ska kunna utföra sin verksamhet, med undantag för personaladministra- tiv verksamhet och annan sådan verksamhet som kan medföra pers- onuppgiftsbehandling hos myndigheter generellt. Vi föreslår därför att Skatteverkets beskattnings- och folkbokföringsverksamheter, Tull- verket och Kronofogdemyndigheten ska få behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom de nya data- lagarnas respektive materiella tillämpningsområde. Det kan här åter påpekas att kravet på nödvändighet i dataskyddsrättsliga samman- hang inte innebär ett krav på att behandlingsåtgärden ska vara ound- gänglig.66

I de exempel på brett formulerade ändamålsbestämmelser vi redo- gjort för ovan, för Utbetalningsmyndigheten och Rättsmedicinal- verket, anges vilken verksamhet som avses, se avsnitt 8.2.1. Det skulle därför kunna ifrågasättas om en så brett formulerad ändamålsbestäm- melse som vi föreslår är lämplig, eftersom den inte ens anger vilken verksamhet som avses. I avsnitt 7.4 föreslår vi dock att de bestämmel- ser i de nya lagarna som anger respektive materiellt tillämpnings- område ska kompletteras av en bestämmelse som förtydligar vilken verksamhet som avses med exempelvis beskattningsverksamhet. Den beskrivning av myndigheternas verksamhet som föreslås motsvarar i centrala delar dagens ändamålsbestämmelser. Genom att förtydliga det materiella tillämpningsområdet ges dessa bestämmelser en av- gränsande funktion gentemot obefogad behandling som också dagens ändamålsbestämmelser har. Eftersom förtydligandet inte föreslås finnas i den breda ändamålsbestämmelsen minskas enligt vår bedöm- ning risken för att ändamålsbestämmelsen förväxlas med sådana särskilda och uttryckligt angivna ändamål som dataskyddsförord- ningen föreskriver i artikel 5.1 b.

66Prop. 2017/18:105, Ny dataskyddslag, s. 189.

513

Ändamålsbestämmelser

SOU 2023:100

Ändamålsbestämmelsens räckvidd

Den föreslagna ändamålsbestämmelsen är avsedd att omfatta samt- liga de ändamål som anges i dagens ändamålsbestämmelser. Även nya arbetsuppgifter som kan komma att aktualiseras för myndig- heterna, inom det materiella tillämpningsområdet, kommer som ut- gångspunkt rymmas inom ändamålsbestämmelsen. I dag behöver lag- stiftaren överväga om behandling för ett tillkommande ändamål ska tillåtas inom databaserna eller inte, och om det tillkommande ända- målet behöver regleras särskilt eller om det redan omfattas av befint- lig reglering. Även med vårt förslag kommer lagstiftaren behöva göra vissa överväganden i samband med att nya materiella bestämmelser införs. De frågor som blir aktuella att ta ställning till kommer dock vara om den tillkommande behandlingen ryms inom det materiella tillämpningsområdet eller inte, och om detta behöver utökas för att den tillkommande behandlingen ska omfattas av den kompletterande dataskyddsregleringen.

Vi anser att en brett formulerad ändamålsbestämmelse, som möj- liggör för myndigheterna att behandla personuppgifter i syfte att ut- föra sina författningsreglerade uppgifter, men hindrar dem från så- dan behandling som inte är hänförlig till utförandet av dessa uppgifter, måste anses uppfylla ett mål av allmänt intresse.67 Eftersom myndig- heterna genom den föreslagna bestämmelsen inte ges möjlighet till annan behandling än den som ändå hade varit tillåten med stöd av den allmänna dataskyddsregleringen måste den även anses vara pro- portionell mot det legitima mål som eftersträvas, dvs. att myndig- heterna ska kunna utföra de uppgifter som riksdag och regering ger dem, eller som framgår av unionsrätten. En brett formulerad ända- målsbestämmelse innebär också att lagstiftningen avseende för vilka syften myndigheterna får behandla personuppgifter är både teknik- neutral och flexibel.

Den breda ändamålsbestämmelsen omfattar även tester och utveckling av digitala system

Även sådana ändamål som i dag inte uttrycks särskilt men som utgör integrerade delar av myndigheternas verksamhet inom det materiella tillämpningsområdet ryms inom den brett formulerade ändamåls-

67Jfr prop. 2017/18:105, Ny dataskyddslag, s. 48, 50 och 51.

514

SOU 2023:100

Ändamålsbestämmelser

bestämmelsen. Här kan exempelvis nämnas att lagrådet har uttryckt att planering, uppföljning och utvärdering av en verksamhet är en integrerad del av själva verksamheten och inte någon från denna fri- stående aktivitet samt att detta är så självklart att det inte behöver sägas uttryckligen.68 Också utveckling av nya digitala arbetssätt genom tester m.m. utgör i dag en integrerad del av myndigheternas verksamhet. Regeringen har tidigare i flera olika sammanhang uttalat att behandling av personuppgifter för teständamål är något som nor- malt inte brukar regleras i särskilda registerförfattningar, och att det måste anses vara en slags huvudprincip att testverksamhet inte be- höver regleras som ett särskilt ändamål.69

I förarbetena till dataskyddslagen uppmärksammade regeringen att alla myndigheter vidtar en rad administrativa åtgärder som krävs för att myndigheten ska fungera. Krav på myndigheterna att vidta sådana administrativa åtgärder kunde enligt regeringen framgå direkt eller indirekt av författning eller beslut. Det förekommer dock även att myndigheterna, för att fungera, behöver vidta administrativa åt- gärder som varken direkt eller indirekt kan sägas följa av författning eller beslut. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myn- dighetens förvaltning och funktion var därmed enligt regeringens upp- fattning rättsligt grundad i dataskyddsförordningens mening. Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter, vilka måste vara fastställda i enlighet med gällande rätt.70

Regeringen har också sedan länge haft det uttalade målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter, vilket vi redogör för närmare i avsnitt 5.2.5.71 Regeringen har även uttalat att det är ett viktigt allmänt intresse att myndigheternas ären- dehandläggning kan ske på ett effektivt och rättssäkert sätt.72 Reger-

68Se t.ex. prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 179 och prop. 2014/15:63, Åklagardatalag, s. 63.

69Prop. 2015/16:65, Utlänningsdatalag, s. 64 och prop. 2019/20:113, En mer ändamålsenlig data- skyddsreglering för studiestödsverksamheten, s. 20. Jfr även regeringens uttalanden med inne- börden att behandling för ändamålen uppföljning, utveckling och testning av analys- och urvalsmodeller inte regleras särskilt för Utbetalningsmyndigheten i prop. 2022/23:34, Ut- betalningsmyndigheten, s. 205.

70Prop. 2017/18:105, Ny dataskyddslag, s. 60–61.

71Budgetpropositionen för 2012, prop. 2011/12:1 utg. omr. 22, s. 84.

72Prop. 2017/18:105, Ny dataskyddslag, s. 87.

515

Ändamålsbestämmelser

SOU 2023:100

ingen har vidare uttalat att det i dagsläget mer eller mindre regel- mässigt bör anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.73 Enligt myndighetsförord- ningen ska en myndighets ledning också se till att verksamheten be- drivs effektivt att myndigheten hushållar väl med statens medel. Myn- digheter har enligt myndighetsförordningen även en skyldighet att fortlöpande utveckla verksamheten.74

Att myndigheternas olika författningsreglerade uppgifter också omfattar att utveckla effektiva och säkra digitala arbetssätt är därför enligt vår mening tydligt. Tester som avser utveckling av befintlig eller ny it-infrastruktur bör därför vara en sådan administrativ och integrerad uppgift som myndigheterna behöver utföra för att kunna sköta sina respektive verksamheter. I det nyss sagda ingår även ut- veckling av sådana modeller som i dagligt tal kallas AI, dvs. olika for- mer av digitala system för bl.a. maskininlärning (se avsnitt 14.3.2). Enbart under tiden sedan vi påbörjade vårt uppdrag har olika avan- cerade AI-program dels gjorts allmänt tillgängliga, dels utvecklats i en synnerligen hög takt. AI tillhör följaktligen en teknikfamilj under mycket snabb utveckling som kan bidra till en mängd samhälleliga vinster.

För tillfället pågår arbetet med att reglera AI-användning på EU- nivå. I april 2021 föreslog kommissionen EU:s första regelverk för AI i förordningsform. Enligt förslaget ska AI-system analyseras och klassificeras utifrån den risk de utgör, och vissa särskilt riskfyllda AI-modeller kommer att vara förbjudna. De olika risknivåerna kom- mer i övrigt att innebära mer eller mindre reglering. När förslaget har godkänts kommer det att vara världens första lagstiftning om AI. I kommissionens förslag uttalas att tekniken kan ge bättre prognoser, optimera verksamheter och resurstilldelning och individanpassa digi- tala lösningar för enskilda och organisationer.75

AI, dvs. maskininlärning och liknande tekniker, har sammanfatt- ningsvis stora möjligheter att bidra till en mer effektiv verksamhet för myndigheterna och bättre service till enskilda. AI innebär även

73Prop. 2017/18:105, Ny dataskyddslag, s. 47.

743 och 6 §§ myndighetsförordningen.

75Jfr skäl 3 i förslaget till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unions- lagstiftningsakter, COM(2021) 206.

516

SOU 2023:100

Ändamålsbestämmelser

risker, både för enskilda och olika samhällsinstitutioner. Det går dock inte att bortse från att utvecklingen och användandet av AI sannolikt inte går att helt stoppa eller styra på ett mer övergripande plan. I stället bör ett ändamålsenligt förhållningssätt till utvecklingen vara att myndigheterna måste tillåtas förbereda sig på och kunna hantera kommande utveckling av AI. Eftersom användning av AI i dag är tillgänglig för i princip alla med en internetuppkoppling bör sådan teknik anses utgöra ett digitalt verktyg bland andra som också myn- digheterna måste kunna använda sig av. Myndigheterna kommer dock behöva anpassa sin hantering av dessa tekniker efter den nya AI-för- ordningen när den trätt i kraft och börjar tillämpas. Myndigheterna måste även iaktta den allmänna dataskyddsregleringen vid utveckling och användande av AI, vilket bl.a. kommer kräva samråd med IMY, se bl.a. avsnitten 11.7.3 och 14.11.3 om konsekvensbedömning en- ligt artikel 35 i dataskyddsförordningen.

Sådan behandling som syftar till att effektivisera verksamheten och göra den mer rättssäker, även i de fall den innefattar tester och utveckling av AI-teknik, bör därmed anses ha ett sådant samband med myndigheternas verksamhet i övrigt att någon särskild ändamåls- bestämmelse inte behövs för den verksamheten. Analyser, tester och utveckling av verksamheten som inte sker i kontrollsyfte för att före- bygga, förhindra och upptäcka fel i verksamheterna kan därmed ske med stöd av den generella primära ändamålsbestämmelsen, jfr av- snitt 14.8. Exempelvis har Kronofogdemyndigheten uppgett att myn- digheten arbetar med att utveckla sätt att genom analyser och urval försöka förutse återkallelser av ansökningar om betalningsföreläg- gande och handräckning mot bakgrund av att cirka 40 procent av alla ansökningar återkallas. Syftet med sådana analyser och urval är att effektivisera myndighetens arbete och rikta resurserna dit de behövs som mest då arbetet med fysisk delgivning är tids- och resurskräv- ande för myndigheten. Genom sådana åtgärder hoppas Kronofogde- myndigheten kunna fördela resurserna till de mål som sannolikt inte kommer att återkallas. Användningen av analyser och urval i detta sammanhang görs alltså inte direkt i syfte att förebygga, förhindra eller upptäcka fel.

Vad gäller känsliga personuppgifter i testverksamhet har vi i av- snitt 10.7 föreslagit att sådana uppgifter enbart ska får behandlas om det är nödvändigt för ändamålet med behandlingen. Denna begräns-

517

Ändamålsbestämmelser

SOU 2023:100

ning kommer även gälla vid testverksamhet bl.a. i syfte att utveckla nya digitala system.

En särskild ändamålsbestämmelse för dataanalyser och urval

Utöver den brett formulerade primära ändamålsbestämmelsen som motiverats ovan föreslår vi i avsnitt 14.8 ytterligare en primär ända- målsbestämmelse för viss behandling för dataanalyser och urval.

Den särskilda ändamålsbestämmelse som i dag avser analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet, se av- snitt 8.3.5, föreslås ersättas av den särskilda ändamålsbestämmelsen avseende dataanalyser och urval.

Överväganden och bedömningar avseende den särskilda ändamåls- bestämmelsen om dataanalyser och urval framgår av avsnitt 14.8.

En upplysningsbestämmelse i lagen om att begränsning eller förtydligande av ändamålsbestämmelserna kan ske i förordning

Grundlagens regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen finns i huvudsak i 8 kap. RF. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förord- ning. Föreskrifter ska meddelas genom lag bl.a. om de avser skyldig- heter för enskilda eller ingrepp i enskildas personliga eller ekono- miska förhållanden (se 8 kap. 2 § första stycket 2 RF). Regeringen får i övrigt meddela bl.a. sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen (se 8 kap. 7 § RF). Denna föreskriftsrätt brukar kallas för regeringens restkompetens, se avsnitt 6.2 och 6.4.

Regeringen kan i fråga om de primära ändamålsbestämmelsernas räckvidd komma att behöva ta ställning till om finalitetsprincipens tillämplighet ska begränsas avseende viss behandling, eller om behand- lingen är av sådan karaktär att det är motiverat att införa andra sär- skilda ändamålsbegränsningar, se avsnitt 8.4.8. Vissa uppgifter som kan komma att behandlas kan vidare bedömas inte vara lämpliga för behandling vid dataanalyser och urval. Det kan även uppkomma be- hov av att förtydliga att de brett formulerade ändamålsbestämmel- sernas räckvidd, utan att ett sådant förtydligande innebär en begräns- ning eller en utvidgning. Regeringen kan med stöd av sin restkompetens enligt 8 kap. 7 § RF i förordning införa begränsningar eller förtyd-

518

SOU 2023:100

Ändamålsbestämmelser

liganden som inte innebär en utvidgning avseende ändamålen för behandling av personuppgifter. Detta bör av tydlighetsskäl framgå av en bestämmelse i anslutning till de primära ändamålsbestämmelserna. Vi föreslår därför att det i lagen upplyses om att regeringen kan meddela föreskrifter om ändamålen med behandlingen.

8.4.4Sekundära ändamålsbestämmelser

Vårt förslag: Skatteverkets beskattnings- och folkbokförings- verksamheter, Tullverket och Kronofogdemyndigheten ska få behandla personuppgifter som behandlas enligt de primära ända- målsbestämmelserna för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Skälen för vårt förslag

Utlämnande av personuppgifter genom överföring, spridning eller tillhandahållande på annat sätt utgör behandling enligt EU:s data- skyddsförordning.76 Utlämnande av uppgifter kan därmed, liksom all annan behandling, bara ske om det finns en rättslig grund för den behandling som utlämnandet innebär. Förutom kravet på att behand- lingen ska vila på en rättslig grund måste även övriga krav som fram- går av den allmänna dataskyddsregleringen beaktas vid ett utlämnande, samt att utlämnandet är förenligt med eventuella bestämmelser om sekretess, se avsnitt 13.2.

Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels behandlas i myndigheternas egen verksamhet, dels behandlas för att lämnas ut till andra. Visst ut- lämnande kan ske inom ramen för ett primärt ändamål, exempelvis när uppgiftslämnandet utgör en del av myndigheternas handläggning av ärenden. Att lämna ut uppgifter till personer som direkt eller in- direkt berörs av ett ärende omfattas exempelvis av de befintliga pri- mära ändamålen för beskattningsverksamheten.77 Visst utlämnande kan också ske med stöd av generella bestämmelser i tryckfrihetsförord- ningen samt offentlighets- och sekretesslagen, t.ex. den s.k. general-

76Artikel 4.2 i dataskyddsförordningen.

77Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 99.

519

Ändamålsbestämmelser

SOU 2023:100

klausulen i 10 kap. 27 § OSL. Mer omfattande uppgiftslämnande till andra myndigheter följer dock normalt av bestämmelser som särskilt reglerar det specifika utlämnandet.

Som framgår av avsnitt 8.3.1 motsvarade de befintliga sekundära ändamålen ursprungligen de situationer där det gick att förutse att information regelmässigt skulle komma att användas av andra myn- digheter eller i annan författningsreglerad verksamhet. I samband med översynen inför att dataskyddsförordningen skulle börja tillämpas tillkom även en bestämmelse med innebörden att uppgifter även får behandlas för att fullgöra uppgiftslämnande som sker i överensstäm- melse med lag eller förordning. Regeringen uttalade då att när be- stämmelser som påbjuder eller tillåter utlämnande har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att upp- giften lämnas ut och intresset av att skydda enskilda personers integ- ritet, vid vilken man funnit att uppgiften ska eller får lämnas ut.78 I likhet med dagens primära ändamål pekar de befintliga sekundära ändamålen ut ramarna för myndigheternas personuppgiftsbehand- ling genom utlämnande.

De allra flesta registerförfattningar och annan kompletterande data- skyddsreglering innehåller i dag en uppdelning mellan primära och sekundära ändamål. Även nyare författningar, som tillkommit efter att dataskyddsförordningen började tillämpas, innehåller en liknande uppdelning av ändamål, exempelvis lagen om behandling av person- uppgifter vid Utbetalningsmyndigheten. Det får anses vara en gene- rell princip att sagda uppdelning görs i dataskyddsreglering inom dataskyddsförordningens tillämpningsområde. Vi bedömer att det inte finns skäl för att i dataskyddsregleringen för Skatteverket, Tull- verket och Kronofogdemyndigheten avvika från denna princip.

I likhet med primära ändamålsbestämmelser bör sekundära ända- målsbestämmelser kunna anses anpassa tillämpningen av dataskydds- förordningen och säkerställa en laglig och rättvis behandling av per- sonuppgifter, samt bidra till att behandlingen av personuppgifter sker på ett korrekt och öppet sätt. En sådan bestämmelse gör det tydligt för de registrerade att uppgifterna kan komma att behandlas även för utlämnande till andra. Om de nya datalagarna inte skulle innehålla sekundära ändamålsbestämmelser riskerar det att leda till otydlighet och oförutsebarhet och inte vara till nytta för vare sig myndigheterna

78Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 57.

520

SOU 2023:100

Ändamålsbestämmelser

eller de registrerade personerna. Vi föreslår därför en sekundär ända- målsbestämmelse om att personuppgifter som får behandlas enligt de primära ändamålsbestämmelserna i de nya datalagarna också ska få behandlas för att fullgöra uppgiftslämnande som sker i överens- stämmelse med lag eller förordning. Det innebär att de föreslagna bestämmelserna också motsvarar vad som redan gäller i dag.

Begränsningen till personuppgifter som behandlas enligt de primära ändamålen innebär att det inte kan bli aktuellt för myndigheterna att samla in uppgifter i det enda syftet att senare lämna ut dem. Upp- gifter som får lämnas ut med stöd av bestämmelsen måste alltså redan vara föremål för behandling enligt ett särskilt, uttryckligt angivet och berättigat ändamål som ryms inom den ram som de primära ända- målsbestämmelserna ställer upp.

Med bestämmelsen avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. Det kan såväl röra sig om en uttrycklig uppgiftsskyldighet som uppgiftslämnande sker i syfte att fullgöra skyldigheten att i rimlig utsträckning hjälpa den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter om framgår av 8 § andra stycket FL. Ett ut- lämnande kan också aktualiseras av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den för- fogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång, enligt 6 kap. 5 § OSL.

8.4.5Finalitetsprincipen

Vårt förslag: Skatteverkets beskattnings- och folkbokförings- verksamheter, Tullverket och Kronofogdemyndigheten ska få be- handla personuppgifter som behandlas enligt de primära ändamåls- bestämmelserna även för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna sam- lades in.

521

Ändamålsbestämmelser

SOU 2023:100

Skälen för vårt förslag

En grundläggande princip inom den allmänna dataskyddsregleringen

Som nämnts i bl.a. avsnitt 8.2.2 framgår av artikel 5.1 b i EU:s data- skyddsförordning att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in (finalitets- principen). Finalitetsprincipen utgör en av de grundläggande princi- perna för personuppgiftsbehandling enligt dataskyddsförordningen och det normala är därför att den gäller för myndigheters person- uppgiftsbehandling även utan det anges särskilt i kompletterande reglering.

Enligt dataskyddsförordningen kan medlemsstaterna, under vissa förutsättningar och i den utsträckning det är nödvändigt för samstäm- migheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.79 Regeringen har tidigare bedömt att tydlighetsskäl talar för att införa en uttrycklig bestämmelse i kompletterande data- skyddsreglering om att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges, så länge som behand- lingen inte är oförenlig med insamlingsändamålen.80 I regel uttrycks detta även genom en särskild bestämmelse i den aktuella författ- ningen.81 Även i Skatteverkets, Tullverkets och Kronofogdemyndig- hetens befintliga registerförfattningar kommer finalitetsprincipen till uttryck genom en särskild bestämmelse, i de flesta fall som ett av de sekundära ändamålen.82

Det kan i och för sig ifrågasättas i vilken utsträckning det krävs en uttrycklig bestämmelse om finalitetsprincipen, eftersom den som utgångspunkt gäller även utan en bestämmelse i kompletterande regler- ing. Eftersom regeringen vid flera tillfällen bedömt att en sådan be- stämmelse är påkallad av tydlighetskäl får det dock anses vara en grund- princip att finalitetsprincipen framgår av en särskild bestämmelse i sektorsspecifik kompletterande lagstiftning. Något skäl att för Skatte- verkets, Tullverkets och Kronofogdemyndighetens del avvika från

79Skäl 8 till dataskyddsförordningen.

80Se exempelvis prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för arbets- miljökunskap, s. 24 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 128.

81Jfr bl.a. prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksam- heten, s. 10 och 21.

821 kap. 5 § 4 SdbL, 1 kap. 4 § FdbL,1 kap. 5 § 4 TDL och 2 kap. 3 § 4, 2 kap. 9 § 4, 2 kap. 15 §

3och 2 kap. 20 a § 3 KFMdbL.

522

SOU 2023:100

Ändamålsbestämmelser

den principen har inte framkommit. Bestämmelser som ger uttryck för finalitetsprincipen bör alltså finnas i de nya datalagarna. Bestäm- melserna tydliggör att finalitetsprincipen i artikel 5.1 b i dataskydds- förordningen gäller vid behandling av personuppgifter enligt respek- tive lag, dvs. att personuppgifter får behandlas för andra ändamål än dem för vilka de har samlats in, under förutsättning att de nya ända- målen är förenliga med de tidigare ändamålen. Behandling av person- uppgifter enligt bestämmelsen förutsätter att uppgifterna har sam- lats in för ett primärt ändamål. Bestämmelsen ska ha samma innebörd som dataskyddsförordningens bestämmelse, och bör tolkas på samma sätt. Det innebär att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ända- mål inte ska anses vara oförenlig med insamlingsändamålen. Det innebär vidare att de omständigheter som anges i förordningen ska beaktas vid bedömningen av om behandlingen är förenlig med in- samlingsändamålen.

Utöver de primära och sekundära ändamål som anges i en sektors- specifik dataskyddsreglering, och som pekar ut ramarna för den be- handling som är tillåten, utgör finalitetsprincipen den yttersta gränsen för tillåten behandling inom författningens tillämpningsområde. I lik- het med de primära och sekundära ändamålsbestämmelser vi föreslår bör en bestämmelse som motsvarar finalitetsprincipen kunna anses anpassa tillämpningen av dataskyddsförordningen och säkerställa en laglig och rättvis behandling av personuppgifter, samt bidra till att behandlingen av personuppgifter sker på ett korrekt och öppet sätt. En sådan bestämmelse gör det tydligare för den registrerade att uppgifterna kan behandlas även för andra ändamål än de som upp- gifterna samlas in för. Om de nya lagarna inte skulle innehålla en be- stämmelse som motsvarar finalitetsprincipen riskerar det alltså att leda till otydlighet och oförutsebarhet.

Den föreslagna bestämmelsen har formulerats på det sätt som är gängse i kompletterande dataskyddsreglering efter att dataskydds- förordningen har trätt i kraft, se t.ex. 1 kap. 5 a § lagen (2001:183) om behandling av personuppgifter i verksamhet med val och omröst- ningar, 4 a § studiestödsdatalagen, 114 kap. 10 § socialförsäkrings- balken, 11 § kustbevakningsdatalag (2019:429), 7 § lagen (1996:1156) om receptregister och 9 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap.

523

Ändamålsbestämmelser

SOU 2023:100

Användningsbegränsningar

I internationella avtal och sektorspecifika rättsakter finns ibland be- stämmelser som innebär att en svensk myndighet endast får använda uppgifter som myndigheten får enligt avtalet eller rättsakten för vissa angivna ändamål eller i viss verksamhet. Det rör sig inte alltid om uppgifter som innefattar personuppgifter, men kan göra det. Användningsbegränsningar som finns i EU-förordningar gäller direkt för svenska myndigheter utan att dess artiklar behöver genomföras i svensk rätt.

Vissa användningsbegränsningar har införts i svenska författningar, t.ex. i de fall de regleras i EU-direktiv. Exempelvis finns bestämmelser med sådant innehåll i lagen (1990:314) om ömsesidig handräckning i skatteärenden, lagen (2000:1219) om internationellt tullsamarbete, lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen samt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning.

En bestämmelse om användningsbegränsning kan vara utformad på olika sätt. I t.ex. 20 § lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning anges följande.

Upplysningar som Skatteverket tar emot från en myndighet i en annan medlemsstat får användas för beskattningsändamål i fråga om de skatter som denna lag gäller för samt mervärdesskatt och andra indirekta skatter. De får också användas för fastställande och uppbörd av andra skatter och avgifter som omfattas av lagen (2011:1537) om bistånd med indriv- ning av skatter och avgifter inom Europeiska unionen eller för faststäl- lande och uppbörd av socialavgifter. De får dessutom användas i sam- band med rättsliga och administrativa förfaranden som kan leda till påföljd och som inletts på grund av överträdelse av skattelagstiftningen.

Upplysningarna får inte användas för andra ändamål än de som anges i första stycket utan att den myndighet som tillhandahåller upplysning- arna tillåter det. Om upplysningarna ursprungligen härrör från en myn- dighet i en tredje medlemsstat, kan sådant tillstånd endast beviljas av den myndigheten. Tillstånd krävs dock inte för att upplysningar, rapporter, redogörelser och andra dokument eller vidimerade kopior av eller utdrag ur sådana ska få åberopas eller användas som bevisning.

Skatteverket får använda upplysningar som det fått från en behörig myndighet i en annan medlemsstat för ändamål som den andra behöriga myndigheten har uppgett i en förteckning och meddelat att den tillåter användning för, utan att tillåtelse enligt andra stycket behövs.

En svensk myndighet ska följa de villkor som gäller för användningen av upplysningarna enligt denna paragraf, oavsett vad som annars är före- skrivet i lag eller annan författning.

524

SOU 2023:100

Ändamålsbestämmelser

Regler om användningsbegränsningar är vanligen inte placerade i kompletterande dataskyddsreglering. De får dock betydelse för hur vissa uppgifter, som ibland innefattar personuppgifter, får användas av myndigheter, däribland Skatteverket, Tullverket och Kronofogde- myndigheten. De kan också få betydelse för uppgiftsutbyte mellan myndigheter.

Bestämmelser som innehåller användningsbegränsningar har i flera svenska förarbeten inte i sig ansetts påverka allmänhetens rätt att med stöd av offentlighetsprincipen ta del av allmänna handlingar. Inne- börden har i stället ansetts vara att en svensk myndighet inte får ut- nyttja upplysningar som inhämtats från en annan medlemsstat i sin verksamhet på annat sätt än som anges i bestämmelsen. Det är vidare först när en myndighet har rätt att ta del av uppgifter för sådana ända- mål som det blir aktuellt att utnyttja sekretessbrytande regler.83

I 9 kap. 2 § OSL finns en upplysningsbestämmelse som anger att bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i vissa närmare angivna lagar som räknas upp i paragrafen. Upp- räkningen är inte uttömmande. Bestämmelsen innebär inte i sig att någon sekretess gäller och inte heller någon begränsning eftersom dessa följer av de särskilda lagarna som räknas upp.84

I den mån Skatteverket, Tullverket eller Kronofogdemyndigheten får eller samlar in personuppgifter i enlighet med internationella av- tal eller EU-rättsakter och uppgifterna omfattas av användnings- begränsningar, får myndigheterna som ovan framgår inte utnyttja upp- gifterna i sina respektive verksamheter på annat sätt än som anges i bestämmelsen. Vi bedömer att sådana användningsbegränsningar bör anses vara en del av den rättsliga grunden för behandlingen av upp- gifterna, och lagstiftaren får därmed anses antingen ha tagit ställning till att finalitetsprincipen inte ska gälla fullt ut för vissa uppgiftskate- gorier, eller i vilka fall vidarebehandling är förenlig med finalitets- principen. Flera användningsbegränsningar finns vidare i direkt tillämp- liga EU-rättsakter. Med andra ord ger finalitetsprincipen inte något stöd för att behandla uppgifter i strid med användningsbegränsningar som följer av internationella avtal eller sektorspecifika rättsakter.

83Se t.ex. prop. 2011/12:15, Genomförande av det nya EU-direktivet om bistånd med indriv- ning, s. 53–54, prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt sam- arbete i fråga om beskattning, s. 86 och prop. 2016/17:47, Dokumentation vid internprissättning och land-för-land-rapportering på skatteområdet, s. 83–84.

84SOU 2015:39, Myndighetsdatalag, s. 155–156 och 159.

525

Ändamålsbestämmelser

SOU 2023:100

8.4.6Finalitetsprincipen och databasregleringen

Vår bedömning: De bedömningar som lagstiftaren tidigare gjort avseende förenligheten mellan olika ändamål bör ha fortsatt gil- tighet trots att databasregleringen upphävs.

Skälen för vår bedömning

Möjligheten att göra undantag från finalitetsprincipen i nationell rätt

Regleringen av myndigheternas databaser omfattar bestämmelser som särskilt avser sådana uppgifter som får behandlas gemensamt i verk- samheten, se avsnitt 9.2. Att uppgifterna behandlas gemensamt inne- bär att de får behandlas för samtliga ändamål som gäller för uppgifterna i databasen. I avsnitt 9.4.2 har vi föreslagit att databasregleringen ska upphävas och inte motsvaras av bestämmelser med liknande inne- börd i de nya datalagarna.

EU:s dataskyddsförordning innehåller inte något krav på särskilda regler i nationell rätt för behandling av personuppgifter som ska an- vändas gemensamt i en myndighets verksamhet. Däremot begränsar finalitetsprincipen vidareanvändning till vad som är förenligt med in- samlingsändamålet. Att uppgifter samlas in för flera olika ändamål är dock inte ovanligt. En potentiell vidarebehandling som anges redan vid insamlingstillfället aktualiserar inte finalitetsprincipen. Det är följaktligen enbart om ett tillkommande ändamål inte angetts vid insamlingstillfället som finalitetsprincipen aktualiseras.

Vissa faktorer som ska beaktas vid prövning av vidarebehandling- ens förenlighet med insamlingsändamålet (finalitetsprövning, också kallat förenlighetsprövning) framgår av artikel 6.4 i dataskyddsförord- ningen. Där anges bl.a. att kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, samt det sammanhang inom vilket person- uppgifterna har samlats in, särskilt förhållandet mellan de registre- rade och den personuppgiftsansvarige ska beaktas. Som utgångspunkt är det den personuppgiftsansvariga myndigheten som har ansvaret för att genomföra en finalitetsprövning inför behandling för tillkom- mande ändamål (artikel 5.2).

Av artikel 13 i 1995 års dataskyddsdirektiv framgick uttryckligen att det var möjligt att göra undantag från finalitetsprincipen i natio-

526

SOU 2023:100

Ändamålsbestämmelser

nell rätt i vissa fall. Möjligheten till sådana undantag är dock inte lika tydligt uttryckt i dataskyddsförordningen. I samband med den över- syn som gjordes inför att dataskyddsförordningen skulle börja till- lämpas uttalade dock regeringen följande.

Även enligt dataskyddsförordningen är det under vissa förutsättningar tillåtet med bestämmelser som medger att insamlade personuppgifter vidarebehandlas även om det nya ändamålet är oförenligt med insam- lingsändamålet. Detta kan utläsas av skäl 50 där bl.a. följande anges. Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den per- sonuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Slutsatsen får också stöd av en motsatstolkning av artikel 6.4. Där finns en särskild bestäm- melse för det fall då en behandling för andra ändamål än det ändamål för vilket uppgifterna samlades in inte grundar sig på den registrerades sam- tycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt sam- hälle för att skydda de mål som avses i artikel 23.1.

[…]

Bland de mål som anges i artikel 23.1 nämns säkerställandet av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse. Det är tydligt att artikel 6.4, liksom skäl 50, utgår från att en sådan ytterligare behandling som utgör en nödvändig och proportionell åtgärd under alla omständigheter skulle vara tillåten. Regeringen bedömer mot bakgrund av det ovan anförda att dataskyddsförordningen i vart fall inte ger ett mindre utrymme än 1995 års dataskyddsdirektiv att föreskriva i natio- nell rätt att ytterligare behandling av personuppgifter får ske, även om den ytterligare behandlingen inte är förenlig med det ändamål för vilket uppgifterna samlades in. Lagbestämmelser som innebär att uppgifter som har samlats in för ett ändamål får eller ska behandlas för ett annat ända- mål kan i vissa fall utgöra en tillämpning av finalitetsprincipen, dvs. reger- ingen och riksdagen har gjort bedömningen att behandlingen är förenlig med den principen. I andra fall kan befintliga lagbestämmelser anses ut- göra undantag från finalitetsprincipen. Dessa måste i så fall förutsättas vara förenliga med 1995 års dataskyddsdirektiv, och är då i enlighet med ovanstående resonemang även förenliga med dataskyddsförordningen.85

Vi anser att det i dag inte finns skäl att göra någon annan bedömning av frågan om det är möjligt att i nationell rätt göra undantag från finalitetsprincipen än den regeringen gav uttryck för 2018. Sådana

85Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 47–48.

527

Ändamålsbestämmelser

SOU 2023:100

undantag bör därmed anses vara tillåtna under vissa förutsättningar. Att undantag från finalitetsprincipen är möjliga att införa i den natio- nella rätten under vissa förutsättningar framgår även av EU-dom- stolens förhandsavgörande i mål C 268/21 den 2 mars 2023, punk- terna 33–38.86

När ett undantag från finalitetsprincipen har införts i nationell rätt, exempelvis genom att vissa uppgiftsskyldigheter har införts (se avsnitt 13.2.4 om bestämmelser om utlämnande) måste den enligt vår mening innebära att den personuppgiftsansvariga myndigheten inte är skyldig att utföra en finalitetsprövning innan uppgifter vid- arebehandlas med stöd av bestämmelsen. Samma sak bör gälla bestäm- melser som utgör en tillämpning av finalitetsprincipen, dvs. när det i den nationella rätten har fastställts och närmare angetts för vilka uppgifter och syften ytterligare behandling bör betraktas som fören- lig och laglig (jfr skäl 50 till dataskyddsförordningen).

Databasregleringen

I samband med databasregleringens tillkomst uttalade regeringen att begreppet databas skulle införas som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar som används gemen- samt inom en verksamhet och för vilka särskilda regler skulle gälla. Enligt regeringen skulle en uppgift anses gemensamt tillgänglig och därmed utgöra en del av en databas om den registrerades och lagrades i ett datasystem på ett sådant sätt att tjänstemännen inom en eller flera myndigheter hade möjlighet att vid behov och i olika sammanhang

–t.ex. i samband med handläggningen av ett ärende – ta del av upp- giften direkt på automatiserad väg. Att olika personalkategorier hade olika behörighet och att vissa uppgifter därför i praktiken var åtkom- liga endast för ett begränsat antal personer hos olika myndigheter inom en myndighetsorganisation, förtog i sig inte uppgifternas egenskap som gemensamma.87

Uppgifter som får behandlas i databaserna får följaktligen även behandlas för samtliga övriga ändamål som gäller för respektive data- bas, se avsnitten 8.3.4–8.3.7, och utgör ”allmän egendom” i den verk- samheten.88 I en nyligen föreslagen förändring av ändamålen för be-

86C 268/21, Norra Stockholm Bygg, ECLI:EU:C:2023:145.

87Prop. 2000/01:33 s. Behandling av personuppgifter inom skatt, tull och exekution, s. 88–89.

88Prop. 2000/01:33 s. Behandling av personuppgifter inom skatt, tull och exekution, s. 232.

528

SOU 2023:100

Ändamålsbestämmelser

skattningsdatabasen har regeringen tydligt uttryckt att den behandling som omfattas av ändamålsbestämmelserna innebär att Skatteverket

–förutsatt att det finns behov av det – kan behandla uppgifterna i sin verksamhet för samtliga ändamål i 1 kap. 4 § SdbL och lämna upp- gifterna till andra med stöd av 1 kap. 5 § samma lag (se avsnitt 8.4.8 nedan om s.k. Cesop-uppgifter).89

Befintliga primära ändamålsbestämmelser i kombination med data- basregleringen innebär att det finns ett rättsligt stöd för vidare- behandling inom ramen för de ändamål som gäller för databasen, utan att någon prövning enligt finalitetsprincipen behöver göras. Det inne- bär dock inte att myndigheterna kan använda vilka uppgifter som helst för vilka ändamål som helst. I dag liksom vid tidpunkten för för- fattningarnas tillkomst är en grundläggande förutsättning att enbart de uppgifter som behövs för ändamålet får behandlas i det enskilda fallet, vilket tidigare framgick av 9 f § PUL och i dag framgår av arti- kel 5.1 c i dataskyddsförordningen. Den lagtekniska möjligheten till vidarebehandling för ett annat ändamål medför alltså inte att upp- gifter kan behandlas slentrianmässigt eller urskillningslöst.

Databasregleringens betydelse

Genom den kompletterande dataskyddsreglering vi föreslår i de nya datalagarna ska myndigheterna inte ges sämre möjligheter att be- handla uppgifter än vad som följer av befintlig reglering. Vi uppfattar dock att de undantag från finalitetsprincipen som är möjliga enligt dataskyddsförordningen förutsätter att vidarebehandlingen för så- dana ändamål som är oförenliga med insamlingsändamålet måste ha stöd i nationell rätt. Någon vidarebehandling för icke förenliga ända- mål kan därmed inte ske utan att det finns stöd för behandlingen i en författning.

En viktig fråga är därför om dagens databasreglering kan anses ut- göra ett undantag från finalitetsprincipen eller en tillämpning av fina- litetsprincipen. Om databasregleringen utgör ett undantag från fina- litetsprincipen skulle upphävandet av bestämmelserna om databaser, dvs. det rättsliga stödet för vidarebehandling för oförenliga ändamål, också försämra myndigheternas möjlighet att behandla personuppgif- ter. I den situationen skulle det visserligen kunna argumenteras att

89Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 108.

529

Ändamålsbestämmelser

SOU 2023:100

om myndigheterna anser att en vidarebehandling, som i dag är tillåten med stöd av databasregleringen, inte är förenlig med insamlings- ändamålen kan myndigheterna bara peka ut en ny rättslig grund för behandling och samla in uppgifterna på nytt. Det förfarandet är dock resurskrävande i alla led och skulle enligt vår mening försämra myn- digheternas möjlighet att bedriva en effektiv verksamhet. Frågan om databasregleringen utgör en tillämpning av eller ett undantag från fina- litetsprincipen bör därför behandlas.

Regeringen har som framgår ovan tidigare uttalat att bestämmel- ser som innebär att uppgifter som har samlats in för ett ändamål får eller ska behandlas för ett annat ändamål i vissa fall kan utgöra en tillämpning av finalitetsprincipen, dvs. regeringen och riksdagen har gjort bedömningen att behandlingen är förenlig med den principen. I andra fall kan befintliga bestämmelser anses utgöra undantag från finalitetsprincipen.90 Något förtydligande av vilka undantagsbestäm- melser som avsågs gavs inte i det sammanhanget. Vår bedömning är dock att uttalandet om undantag från finalitetsprincipen främst bör avse de sekundära ändamålsbestämmelserna, som i huvudsak avser utlämnande i syfte att tillgodose behov hos någon annan myndighet. Även för vidarebehandling inom en databas skulle dock databasregler- ingen kunna anses utgöra en sådan nationell reglering som medger vidarebehandling för ett annat ändamål än det ursprungliga, oavsett dess förenlighet med insamlingsändamålet. Det finns därför skäl att närmare granska de överväganden regeringen gjort i detta avseende.

Beskattningsdatabasen

Frågan om databasregleringen utgör en tillämpning av eller ett undan- tag från finalitetsprincipen blir särskilt tydlig avseende databasregler- ingen för beskattningsverksamheten. Regleringen tillämpas nämligen i själva verket även på viss verksamhet som Skatteverket ansvarar för men som inte utgör ett led i beskattningsförfarandet, se avsnitt 8.3.1 och 8.3.4. Sedan databasregleringens tillkomst tillåts exempelvis be- handling i beskattningsdatabasen för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, vilket utgör sådan verksamhet som är skild från beskattningsverksamheten. I förarbetena

90Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 47.

530

SOU 2023:100

Ändamålsbestämmelser

uttalades att de tillsynsverksamheter som avsågs (bl.a. enligt alkohol- lagstiftningen) hade en så stark koppling till beskattningsverksam- heten att det var naturligt att beskattningsdatabasen användes för denna tillsyn.91 I det fallet, och avseende övriga ändamål som funnits sedan bestämmelsernas tillkomst, får regeringen anses ha bedömt att behandlingen i databasen var förenlig med insamlingsändamålen.

Sedan bestämmelsernas tillkomst har dock flera primära ändamål tillkommit där det inte är lika enkelt att dra slutsatsen att bestäm- melserna innebär en tillämpning av finalitetsprincipen och inte ett undantag från den.

Det kan exempelvis ifrågasättas om insamlingsändamål som rör beskattning är förenligt med ändamålet hantering av sjuklönekostna- der. Sjuklönekostnaderna hanteras nämligen av Skatteverket i huvud- sak för att vidarebefordras till Försäkringskassan.92 När ändamålet hantering av sjuklönekostnader infördes i databasregleringen gjordes dock ingen uttrycklig bedömning utifrån finalitetsprincipen. Där- emot gjordes vissa uttalanden som tyder på att behandlingen skulle anses vara ett undantag från finalitetsprincipen, exempelvis konstate- rade regeringen att förslaget i praktiken innebar att det i Skatteverkets databas i vissa fall skulle komma att registreras personuppgifter, utan att Skatteverket hade behov av dessa i den egna verksamheten.93 Reger- ingen gjorde dock även andra uttalanden som tyder på att behand- lingen skulle anses vara förenlig med finalitetsprincipen, exempelvis rörande den övergripande kopplingen till skattekontot samt den gene- rella skyldigheten att lämna in arbetsgivardeklarationer till Skatte- verket, där även uppgift om sjuklönekostnad skulle anges.94

I samband med införandet av lagen om stöd vid korttidsarbete, som också utgör en sådan verksamhet som ligger vid sidan av beskatt- ningsverksamheten, gjorde regeringen en uttalad finalitetsprövning. Regeringen konstaterade i det sammanhanget att vid handläggning- en av ärenden om stöd vid korttidsarbete skulle Skatteverket behöva kontrollera uppgifter i ärendena mot uppgifter i beskattningsdatabasen som samlats in för andra ändamål, och att sådan behandling var för- enlig med de ändamål för vilka uppgifterna samlats in.95 Motsvarande bedömning har även gjorts i förarbetena till vissa andra sådana verk-

91Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124.

92Jfr 17 b och17 c §§ lagen (1991:1047) om sjuklön.

93Budgetpropositionen för 2015, prop. 2014/15:1, s. 393.

94Budgetpropositionen för 2015, prop. 2014/15:1, s. 392–394.

95Budgetpropositionen för 2014, prop. 2013/14:1, s. 377.

531

Ändamålsbestämmelser

SOU 2023:100

samheter som inte utgör ett led i beskattningsförfarandet dvs. ända- målen handläggning av ärenden enligt lagen om omställningsstöd och enligt lagen om förfarande för elstöd till företag. I förarbetena avse- ende omställningsstöd konstaterades att det fanns ett behov av att samköra de uppgifter som lämnas i ansökan om stöd med sådana be- skattningsuppgifter som Skatteverket redan hade tillgång till. I fråga om en sådan behandling kunde anses vara förenlig med finalitets- principen gjorde regeringen följande bedömning.

Den som lämnar uppgifter till Skatteverket för beskattningsändamål i t.ex. inkomstdeklarationen måste kunna räkna med att sådana uppgifter sedan kan komma att användas för andra ändamål såsom för kontroll av olika förmåner och stöd [vår kursivering]. I detta fall är flera av de upp- gifter som lämnats för beskattningsändamål relevanta för Skatteverkets kontroll och för att välja ut kontrollobjekt vid myndighetens hantering av omställningsstöd. Bedömningen görs att sådan behandling av upp- gifterna i beskattningsdatabasen är förenlig med de ändamål för vilka uppgifterna samlats in.96

Även i förarbetena avseende elstöd konstaterade regeringen att flera av de uppgifter som lämnats för beskattningsändamål var relevanta för Skatteverkets kontroll och för att välja ut kontrollobjekt vid han- tering av elstöd. Regeringens bedömning var att sådan behandling av uppgifterna i beskattningsdatabasen var förenlig med de ändamål för vilka uppgifterna samlats in.97

Trots de till synes svårförenliga ändamålen (beskattning och hand- läggning av ansökan om stöd) bedömde regeringen i dessa fall att den enskilde måste räkna med att uppgifter som lämnats i en be- skattningssituation kan komma att användas för andra ändamål och även för kontroll av vederbörandes rätt till olika förmåner. Reger- ingen drog därför slutsatsen att sådan vidarebehandling av beskatt- ningsuppgifterna inte strider mot finalitetsprincipen.

Vad gäller behandling i databasen för hantering av vissa borge- närsuppgifter m.m. framgår i förarbetena inte annat än att sådan bör tillåtas.98 Något uttalande om finalitetsprincipen gjordes alltså inte. Mot bakgrund av verksamhetens karaktär anser vi dock att bestäm- melsen bör anses utgöra en tillämpning av finalitetsprincipen.

96Prop. 2019/20:181, Extra ändringsbudget för 2020 – Förstärkt stöd till välfärd och företag, insatser mot smittspridning och andra åtgärder med anledning av coronaviruset, s. 92.

97Prop. 2022/23:107, Vissa förfarandefrågor för elstöd till företag, s. 29.

98Prop. 2006/07:99, En fristående kronofogdemyndighet m.m., s. 36.

532

SOU 2023:100

Ändamålsbestämmelser

Avseende uppgifter som behövs för hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige, konstaterade regeringen att de uppgifter som Skatteverket skulle komma att tillföras genom under- rättelserna från arbetsgivare inte föll in under något av de då före- skrivna ändamålen. Regeringen konstaterade också att Skatteverkets uppgift enligt föreslagen lagstiftning huvudsakligen skulle vara att registrera uppgifter som eventuellt skulle kunna behövas för hand- läggning av annan myndighets utredningsärenden. Enligt regeringen var det dock troligt att endast ett mindre antal av de registrerade upp- gifterna skulle komma att användas av andra myndigheter. Ändamålet med Skatteverkets behandling av uppgifterna kunde därför varken sägas vara av rent primär eller sekundär karaktär. För att syftet med behandlingen av uppgifterna skulle kunna uppfyllas krävdes dock att Skatteverket kunde behandla även känsliga personuppgifter och ända- målet borde därför klassificeras som ett primärt sådant. Regeringen föreslog därför att en ny ändamålsbestämmelse skulle föras in i 1 kap. 4 § SdbL.99 Något resonemang om finalitetsprincipen fördes inte i sammanhanget.

I förarbetena till ändamålet avseende automatiskt utbyte av upp- lysningar om finansiella konton och 22 b kap. skatteförfarandelagen, SFL, konstaterade regeringen att ändamålsbestämmelsen i 1 kap. 4 § SdbL var utformad så att i stort sett hela Skatteverkets verksamhet inom beskattningsområdet omfattades, men i klargörande syfte skulle dock ett särskilt ändamål införas.100 Någon uttalad finalitetsprövning gjordes inte, men regeringens motivering tyder enligt vår mening på att tillåtligheten av behandlingen i databasen har ansetts utgöra en tillämpning av finalitetsprincipen.

För behandling för ändamålet automatiskt utbyte av land-för- land-rapporter på skatteområdet och 33 a kap. SFL konstaterades i förarbetena enbart att uppgifterna skulle lämnas in till Skatteverket, och att ändringen av ändamålsbestämmelsen var en följdändring till införandet av lagen om automatiskt utbyte av land- för land-rappor- ter på skatteområdet.101 Någon uttalad prövning av databasbehand-

99Prop. 2012/13:125, Genomförande av direktivet om sanktioner mot arbetsgivare, s. 36–38.

100Prop. 2015/16:29, En global standard för automatiskt utbyte av upplysningar om finansiella konton, s. 67, 111 och 119.

101Prop. 2016/17:47, Dokumentation vid internprissättning och land-för-land-rapportering på skatteområdet, s. 62 och 83.

533

Ändamålsbestämmelser

SOU 2023:100

lingens förenlighet med finalitetsprincipen gjordes inte. Givet verk- samhetens karaktär förefaller dock bestämmelsen vara ett uttryck för finalitetsprincipen och inte ett undantag från den.

Vad gäller behandling för hantering av rapporteringspliktiga arrangemang, dvs, ändamålet 33 b kap. SFL, uttalade regeringen att Skatteverket skulle behöva behandla uppgifterna i beskattningsdata- basen och för att genomföra adekvata analyser av risker i skatte- systemet. Enligt regeringen var behandlingen även nödvändig för att Skatteverket skulle kunna genomföra riskbaserade urval för skatte- revisioner eller andra utredningsåtgärder för kontroll. Det kunde enligt regeringen ifrågasättas om inte den behandling som var aktuell rymdes inom de då befintliga ändamålen. Ett särskilt ändamål säker- ställde dock enligt regeringen tillåtligheten av behandlingen.102 Även vad gäller behandling i databasen för ändamålet som rör verksamhet enligt lagen om plattformsoperatörers inhämtande av vissa uppgifter på skatteområdet, lagen om automatiskt utbyte av upplysningar om inkomster genom digitala plattformar och 22 c kap. SFL gjorde reger- ingen motsvarande bedömning.103 Uttalandena i dessa sammanhang får anses tyda på att bestämmelserna motsvarar en tillämpning av finalitetsprincipen.

Sammanfattningsvis kan det alltså konstateras att regeringen i vissa fall har behandlat frågan om finalitetsprincipen när nya ändamål har tillförts beskattningsdatabasregleringen, men inte alltid. Trots att något uttalande om finalitetsprincipen inte alltid föregått införandet av nya ändamål anser vi att den övergripande bedömningen från reger- ingens sida förefaller ha varit att enbart behandling som var sinsemel- lan förenlig skulle tillåtas inom databasen. Regeringens uttalande avseende hantering av uppgifter från arbetsgivare om utlänningar som inte har rätt att vistas i Sverige tyder dock på att behandling i databasen främst förefaller ha varit den mest praktiska lösningen.

102Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 173–174.

103Prop. 2022/23:6, Rapportering och utbyte av upplysningar om inkomster genom digitala platt- formar och vissa andra ändringar i EU:s direktiv om administrativt samarbete på direktskatte- området, s. 168.

534

SOU 2023:100

Ändamålsbestämmelser

Folkbokföringsdatabasen

Till skillnad från de olika ändamål som gäller för beskattningsdata- basen är de ändamål som gäller för folkbokföringsdatabasen inte hän- förliga till någon uppgift som ligger vid sidan av vad som avses med folkbokföringsverksamhet, se avsnitten 8.3.1 och 8.3.5. Sedan data- basregleringen infördes har det inte heller tillkommit något nytt pri- märt ändamål, och de befintliga ändamålen har inte heller förändrats i sak. Den behandling som i dag får utföras för dataanalyser och urval regleras nämligen särskilt och får enbart ske i en särskild uppgifts- samling.

Mot bakgrund av regeringens uttalanden i samband med regler- ingens tillkomst bedömer vi att bestämmelserna om folkbokförings- databasen utgör en tillämpning av finalitetsprincipen, och inte ett undantag från den.

Tulldatabasen

Databasregleringen för Tullverket har likheter med den som gäller för Skatteverkets folkbokföringsverksamhet. Några ändamål som ligger vid sidan av Tullverkets generella verksamhet finns inte och de primära ändamål som gäller för tulldatabasen har inte förändrats sedan bestämmelserna infördes, se avsnitten 8.3.1 och 8.3.6.

Mot bakgrund av regeringens uttalanden i samband med regler- ingens tillkomst bedömer vi att bestämmelserna om tulldatabasen ut- gör en tillämpning av finalitetsprincipen, och inte ett undantag från den.

Regeringens bedömningar bör ha fortsatt giltighet

I avsnitten ovan har vi kunnat konstatera att dagens databasreglering för Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverket snarare förefaller utgöra en tillämpning av finalitetsprinci- pen än ett undantag från den. Inget av de primära ändamålen avser exempelvis behandling enbart för någon annan myndighets arbets- uppgifter, eller för uppgifter som en annan självständig verksamhets- gren ansvarar för. Även de ändamål inom beskattningsverksamheten som anger att Skatteverket får samla in vissa uppgifter, trots att en annan myndighet senare ska eller kan komma att använda dessa, av-

535

Ändamålsbestämmelser

SOU 2023:100

ser arbetsuppgifter i form av insamling m.m. som Skatteverket an- svarar för och som får anses ligga nära beskattningsverksamheten.

Vår bedömning att databasregleringen för Skatteverkets beskatt- nings- och folkbokföringsverksamheter samt Tullverkets verksam- het förefaller utgöra en tillämpning av finalitetsprincipen baseras delvis på de förarbetsuttalanden som gjordes i samband med för- fattningarnas tillkomst och sådana förarbetsuttalanden som gjorts i samband med att ändamålsregleringen utökats. Vid bedömningen har

vidock även tagit i beaktande att tillåtligheten av behandling inom respektive databas aldrig varit en förutsättning för att behandling för nya författningsreglerade uppgifter över huvud taget ska vara tillåten. För det fall myndigheterna inte skulle tillåtas behandla uppgifterna i respektive databas skulle behandlingen kunna ske med stöd av allmänna bestämmelser dvs. personuppgiftslagen eller dataskyddsförordningen och dataskyddslagen.

Att databasregleringen för Skatteverkets beskattnings- och folk- bokföringsverksamheter samt Tullverkets verksamhet inte utgör ett undantag från finalitetsprincipen innebär att upphävandet av data- basregleringen som vi föreslår i avsnitt 9.4.2 inte medför att det enda stödet för vidarebehandling också upphävs. Vidarebehandlingen kan nämligen fortsatt ske med stöd av finalitetsprincipen. Det kan här åter påpekas att myndigheterna redan vid insamlingstillfället har möjlig- het att ange flera ändamål med insamlingen av uppgifter. Om den tilltänkta vidarebehandlingen anges redan vid insamlingstillfället aktua- liseras inte behovet av någon finalitetsprövning.

Vi anser dock att myndigheterna bör kunna utgå från att reger- ingens överväganden om vidarebehandlingens förenlighet, som den nuvarande lagstiftningen ger uttryck för, är giltiga även i framtiden. Att databasregleringen upphävs innebär ju inte i sig att de befintliga ändamålen blir sinsemellan oförenliga. Eftersom de befintliga ända- målsbestämmelserna inte går att likställa med sådana särskilda ända- mål som en eventuell vidarebehandling ska prövas mot bör dock regeringens tidigare bedömning av olika ändamåls förenlighet anses utgöra en generell utgångspunkt. Dagens ändamålsbestämmelser mot- svaras i stora drag av de bestämmelser vi föreslår ska komplettera be- stämmelsen som anger det materiella tillämpningsområdet, se av- snitt 7.4. Det får enligt vår mening till följd att bestämmelser i de nya datalagarna som kompletterar det materiella tillämpningsområdet också bör anses ge uttryck för mellan vilka uppgifter och verksam-

536

SOU 2023:100

Ändamålsbestämmelser

heter vidareanvändning typiskt sett kan komma i fråga, utan att be- handlingen ska anses vara oförenlig med insamlingsändamålet. Det innebär också att möjligheten till vidarebehandling av uppgifter inom Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverkets verksamhet inte försämras av våra förslag.

Kronofogdemyndighetens databaser

Kronofogdemyndighetens personuppgiftsbehandling reglas i dag i fyra olika databaser. På samma sätt som för Tullverket och Skatte- verkets folkbokföringsverksamhet är de ursprungliga ändamålen för respektive databas i stora delar de samma i dag som vid tidpunkten för regleringens tillkomst. Databasregleringen förefaller därmed vara ett uttryck för finalitetsprincipen inom respektive databas, se av- snitten 8.3.1 och 8.3.7. Vissa förändringar har dock skett.

De primära ändamålsbestämmelserna för var och en av de fyra data- baserna har kompletterats på så sätt att uppgifter får behandlas för tillhandahållande av information som behövs i Kronofogdemyndig- hetens verksamhet för förebyggande av överskuldsättning. Med undan- tag för ändamålsregleringen för skuldsaneringsdatabasen har det ända- målet senare kompletterats med och information om skuldsanering och F-skuldsanering.

I förarbetena uttalade regeringen att den förebyggande verksam- heten inte var någon självständig verksamhet i förhållande till de andra verksamhetsområdena, utan snarare en kompletterande och integrerad del av dessa. För att kunna bedriva ett effektivt arbete inom området behövde denna förebyggande verksamhet ha möjlighet att använda uppgifter som behandlades i de olika databaserna. Enligt regeringen borde det också finnas möjlighet att dokumentera och samla in upp- gifter endast för den förebyggande verksamheten. Trots att den före- byggande verksamheten enligt regeringen var en integrerad del av de andra verksamhetsområdena ansågs inte de befintliga ändamålen täcka den på ett tillräckligt tydligt sätt, och en komplettering var därför nöd- vändig. Regeringen uttalade även att det inte kunde anses vara ända- målsenligt att låta den aktuella behandlingen av uppgifter ligga utan- för den reglering som redan fanns i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet.104

104Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 25.

537

Ändamålsbestämmelser

SOU 2023:100

Uttalanden om den förebyggande verksamheten som en integrerad del av de övriga verksamheterna får enligt vår mening anses innebära att regeringen har bedömt att en vidareanvändning för ändamålet att förebygga överskuldsättning är förenligt med samtliga primära ända- mål som gäller för databaserna i dag.

Tillägget avseende information om skuldsanering kom till i sam- band med den övergripande reformering av skuldsaneringsinstitutet som regeringen föreslog 2016. Då infördes även ett nytt sekundärt ändamål för alla databaser förutom skuldsaneringsdatabasen; att till- handahålla information som behövs i Kronofogdemyndighetens verk- samhet för handläggning av ärenden om skuldsanering och F-skuld- sanering. Kronofogdemyndigheten fick i detta sammanhang även i uppgift att lämna upplysningar om skuldsanering till skuldsatta som fanns i myndighetens register. Regeringen konstaterade i förarbetena att genom sin roll som verkställande myndighet hade Kronofogde- myndigheten redan kunskap om den ekonomiska situationen för gäldenärer som fanns i dess register, t.ex. med anledning av att den skuldsatte hade varit föremål för utsökning. För att Kronofogde- myndigheten skulle kunna fullgöra sin upplysningsskyldighet kräv- des dock tillgång till relevanta register. Uppgifter i utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräcknings- databasen och konkurstillsynsdatabasen skulle därför få behandlas för information om och handläggning av ärenden om skuldsanering.105 Vad gäller Kronofogdemyndighetens arbete med ärenden om skuld- sanering och F-skuldsanering betonade regeringen vikten av att Kronofogdemyndigheten hade tillgång till ett korrekt underlag för sin bedömning. Enligt regeringen var det därför nödvändigt att myn- digheten skulle få behandla personuppgifter för handläggningen av ärenden om skuldsanering och F-skuldsanering i sina databaser.106

I samband med förändringarna som nyss redogjorts för gjorde regeringen inga direkta uttalanden i fråga om finalitetsprincipen. Där- emot lyfte regeringen det nära samband som förelåg mellan skuld- saneringen och övriga verksamheter inom Kronofogdemyndigheten. Vi bedömer därför att regeringens uttalanden bör tolkas som att be- handling för skuldsaneringsändamål har bedömts vara förenligt med samtliga övriga ändamål som gäller för databaserna.

105Prop.2015/16:125, Skuldsanering – förbättrade möjligheter för överskuldsatta att starta om på nytt, s. 55 och 57.

106Prop.2015/16:125, Skuldsanering – förbättrade möjligheter för överskuldsatta att starta om på nytt, s. 65 och 116.

538

SOU 2023:100

Ändamålsbestämmelser

Vad gäller skuldsaneringsdatabasen har, utöver justeringen som föranleddes av införandet av F-skuldsanering, ett primärt ändamål tillkommit i sak sedan millennieskiftet. Enligt Europaparlamentets och rådets förordning (EU) 2015/848 om insolvensförfaranden, 2015 års insolvensförordning, ska medlemsstaterna upprätta nationella insol- vensregister där vissa uppgifter om insolvensförfaranden ska offent- liggöras. Kronofogdemyndigheten är registreringsmyndighet för in- solvensregistret och uppgifter i skuldsaneringsdatabasen får därför sedan 2019 användas för registrering i insolvensregistret över skuld- saneringar och F-skuldsaneringar. I förarbetena till ändringen uttal- ade regeringen enbart att Kronofogdemyndigheten bör kunna använda uppgifter i skuldsaneringsdatabasen för att föra insolvensregistret över skuldsaneringar och F-skuldsaneringar.107 Någon uttrycklig be- dömning avseende finalitetsprincipen gjordes inte. Däremot bör det tillkommande ändamålets karaktär utesluta någon annan slutsats än att bestämmelsen utgör en tillämpning av finalitetsprincipen.

Sammanfattningsvis förefaller förebyggandeändamål och skuld- saneringsändamål ha ansetts vara förenliga med samtliga övriga ända- mål som gäller för Kronofogdemyndigheternas databaser. Frågan blir då om de särreglerade databasernas olika primära ändamål i övrigt kan anses vara sinsemellan förenliga, på samma sätt som redogjorts för rörande Skatteverkets olika verksamheter i beskattningsdatabasen.

I förarbetena till den ursprungliga regleringen uttalade regeringen i och för sig att vissa av verksamheterna till stor del hade anknytning till varandra, och att personer som förekom i ett ärende om skuldsaner- ing i många fall även var föremål för utsökningsåtgärder. Regeringen ansåg dock att det fanns anledning att i vissa delar reglera de olika verksamhetsområdena för sig. I fråga om ändamålen med och vilka uppgifter som får behandlas i en databas var skillnaderna i vissa avse- enden så stora att lagstiftningen annars hade blivit svåröverskådlig.108

Några år efter nuvarande reglerings tillkomst föreslog Krono- fogdemyndigheten att de sekundära ändamålsbestämmelserna för ut- söknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen och skuldsaneringsdatabasen skulle komplet- teras på så sätt att uppgifter också skulle få behandlas för tillhanda- hållande av information som behövdes i annan författningsreglerad verksamhet vid Kronofogdemyndigheten. Förslaget syftade till att

107Prop. 2018/19:48, Insolvensregister enligt 2015 års insolvensförordning, s.29.

108Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 156 f.

539

Ändamålsbestämmelser

SOU 2023:100

möjliggöra ett utökat samutnyttjande av insamlade uppgifter i myn- dighetens verksamheter. Regeringen valde då att inte genomföra före- slagna ändringar på den grunden att förslaget inte var tillräckligt väl underbyggt.109 Någon ledning i frågan om de olika ändamålens för- enlighet i övrigt finns alltså inte i förarbeten.

Förenlighet mellan olika ändamål i Kronofogdemyndighetens verksamhet

Vad gäller Kronofogdemyndighetens databaser har vi nyss bedömt att regeringens uttalanden tyder på att i vart fall vidarebehandling inom dagens databaser samt för ändamål kopplade till förebyggande av överskuldsättning samt till skuldsanering och F-skuldsanering är förenligt med samtliga övriga ändamål som gäller för respektive data- bas. Regleringen bör därmed anses utgöra en tillämpning av finalitets- principen i dessa avseenden. Vad gäller förenligheten mellan övriga ändamål går det inte att dra någon slutsats utifrån tidigare förarbeten.

Enligt vår mening finns det dock vissa omständigheter som talar för att vidarebehandling för övriga befintliga ändamål som gäller för databaserna också kan anses vara förenligt med finalitetsprincipen, enligt den prövning som anges i artikel 6.4 i dataskyddsförordningen. En aspekt av finalitetsprövningen är förekomsten av lämpliga skydds- åtgärder. I detta avseende har vi föreslagit att den nya kronofogde- datalagen ska innehålla sökbegränsningar avseende känsliga person- uppgifter, krav på rutiner, samt att tillgången till personuppgifter ska begränsas till vad var och en behöver för sina arbetsuppgifter. Inom stora delar av verksamheten vid Kronofogdemyndigheten finns vid- are sekretessregler till skydd för enskildas integritet. Det bör därför anses finnas lämpliga skyddsåtgärder.

Kronofogdemyndighetens verksamhet är dessutom relativt avgrän- sad. Kopplingen mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med en möjlig ytterligare behandling får därmed anses vara förhållandevis stark. Utsökning och indrivning, olika former av skuldsanering, olika former av betalningsföreläggande och handräckning samt tillsyn i konkurs m.m. utgör områden som dels handläggs inom och en och samma myndighet som primärt sysslar med dessa frågor, dels i stor utsträckning rör frågor om in-

109Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 30.

540

SOU 2023:100

Ändamålsbestämmelser

solvens, obligationsrätt, sakrätt och avtalsrätt. De olika verksam- heterna inom Kronofogdemyndigheten får med andra ord anses ligga rättsligt nära varandra.

Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgifts- ansvarige är också betydelsefullt. Även här gör sig samma överväg- anden gällande; Kronofogdemyndighetens verksamhet är avgränsad till specifika rättsområden där olika rättsliga anspråk avseende egen- dom prövas. Vi anser att en enskild som lämnar en uppgift till Krono- fogdemyndigheten typiskt sett bör kunna förutse att den uppgiften även kan komma att behandlas inom myndigheten i ett annat sam- manhang.

Vid bedömningen ska även personuppgifternas art beaktas, sär- skilt om känsliga personuppgifter eller uppgifter om fällande domar i brottmål och överträdelser behandlas. Denna aspekt av finalitets- prövningen medför dock inte ett absolut förbud eller hinder mot vidarebehandling av sådana uppgifter. I Kronofogdemyndighetens be- fintliga databaser behandlas känsliga personuppgifter. Även uppgif- ter om olika lagöverträdelser behandlas. I den mån sådana uppgifter behandlas för ett ändamål knutet till en databas, men är relevanta, adekvata och inte för omfattande i förhållande till ett ändamål knutet till en annan databas, får uppgifternas karaktär i detta sammanhang anses ha en något mindre betydelse.

Slutligen ska också eventuella konsekvenser för den enskilde tas i beaktande. En vidarebehandling inom Kronofogdemyndigheten kan resultera i olika konsekvenser för den enskilde, beroende på omstän- digheterna i det enskilda fallet. Att en vidarebehandling kan medföra en negativ konsekvens för den registrerade medför dock inte undan- tagslöst att vidarebehandlingen därmed framstår som oförenlig. Regeringens ovan angivna uttalanden rörande beskattningsuppgifter och olika stödåtgärder illustrerar det nyss sagda.110 Givet Krono- fogdemyndighetens särskilda ställning, samt den förhållandevis av- gränsade verksamheten, bör den registrerade kunna räkna med att uppgifter kan komma att användas även i andra sammanhang inom myndigheten och även i sådana som kan vara till nackdel för honom eller henne.

110Prop. 2019/20:181, Extra ändringsbudget för 2020 – Förstärkt stöd till välfärd och företag, insatser mot smittspridning och andra åtgärder med anledning av coronaviruset, s. 92.

541

Ändamålsbestämmelser

SOU 2023:100

Sammanfattningsvis bör även vidarebehandling inom tillämpnings- området för den nya kronofogdedatalagen som huvudregel vara möj- lig med stöd av finalitetsprincipen. Liksom anges ovan bör den be- stämmelse i den nya kronofogdedatalagen som tydliggör lagens materiella tillämpningsområde därför i viss mån kunna tjäna som en utgångpunkt för vilken vidarebehandling som är förenlig med fina- litetsprincipen.

Eftersom det i dag inte finns någon gemensam databas och följ- aktligen inte heller några bedömningar i förarbeten som avser fören- ligheten mellan samtliga ändamål går det dock inte att dra någon annan slutsats än att Kronofogdemyndigheten i enlighet med artikel 5.2 i dataskyddsförordningen ansvarar för att göra en ny prövning enligt artikel 6.4 av om en vidarebehandling för ett ändamål utanför dagens respektive databasregleringar, eller för andra ändamål än förebyggande av överskuldsättning eller skuldsanering eller F-skuldsanering, är till- låten. Här kan dock åter påpekas att myndigheten har möjlighet att ange ett flertal ändamål vid insamlingstillfället.

8.4.7Reglering av vidarebehandling?

Vår bedömning: Någon ytterligare bestämmelse om tillåten vid- arebehandling bör inte införas i de nya datalagarna.

Skälen för vår bedömning

Som vi redogjort för tidigare är det enligt skäl 50 i dataskydds- förordningen möjligt att i nationell rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Vi har därför övervägt om det är lämpligt att i de nya lagarna införa en bestämmelse som tydliggör att vidarebehand- ling för ett annat ändamål inom det materiella tillämpningsområdet som utgångspunkt är tillåten. En sådan bestämmelse skulle motsvara dagens databasreglering, se avsnitt 8.4.6, och säkerställa att myndig- heterna inte ges sämre möjligheter till en effektiv informationshanter- ing än i dag.

Som vi redogjort för ovan förefaller dock de befintliga primära ändamålen inte vara sinsemellan oförenliga. De uttalanden som reger- ingen tidigare gjort avseende befintliga ändamål bör dessutom kunna

542

SOU 2023:100

Ändamålsbestämmelser

ligga till grund för en bedömning av liknande vidarebehandlings för- enlighet även i framtiden. Myndigheterna har dessutom redan i dag möjlighet att samla in uppgifter för fler än ett ändamål, och uppgifterna får då användas för samtliga dessa ändamål, utan att en finalitetspröv- ning aktualiseras. Insamlingsändamålen behöver dessutom inte vara sinsemellan förenliga. Vi anser därför att det inte finns något behov av bestämmelser som tillåter sådan vidarebehandling som både ryms inom finalitetsprincipen och som sker för ett ändamål som är nöd- vändigt för att myndigheten ska kunna utföra en arbetsuppgift som följer av den lagstiftning som faller inom respektive datalags mate- riella tillämpningsområde.

Det kan dock tillkomma ändamål för vilka regeringen eller riks- dagen anser finalitetsprincipen inte ska vara tillämplig, se exempelvis avsnitt 8.4.8 nedan. I dessa situationer kan det därför behöva göras undantag från tillämpligheten av finalitetsprincipen genom en be- stämmelse i förordning med stöd av 8 kap. 7 § RF. I avsnitt 8.4.3 har

vidärför föreslagit att en upplysningsbestämmelse ska komplettera de primära ändamålen.

Enligt artikel 5.1 a i dataskyddsförordningen ska behandling ske öppet i förhållande till den registrerade, vilket skulle kunna anses ut- göra ett skäl för att vidarebehandling inom ramen för respektive för- fattning också fortsättningsvis ska uttryckas i lag. Kravet på öppenhet bör dock anses huvudsakligen rikta sig till den personuppgiftsansvar- ige och inte till lagstiftaren, artikel 5.2 i dataskyddsförordningen. Redan genom den föreslagna bestämmelsen som motsvarar finali- tetsprincipen tydliggörs dessutom för enskilda att behandling för andra ändamål än insamlingsändamålen kan komma att aktualiseras.

8.4.8Uppgifter som lämnas av betaltjänstleverantörer till Skatteverket ska inte omfattas av någon särskild ändamålsbegränsning

Vår bedömning: De uppgifter som betaltjänstleverantörer ska lämna för att Skatteverket ska föra över dem till det centrala elektroniska systemet inom EU kallat Cesop bör inte omfattas av särskilda bestämmelser i nya beskattningsdatalagen eller beskatt- ningsdataförordningen som begränsar för vilka ändamål Skatte- verket får behandla uppgifterna.

543

Ändamålsbestämmelser

SOU 2023:100

Skälen för vår bedömning

Bakgrund

Den 25 maj 2023 beslutade regeringen om en proposition benämnd Nya krav på betaltjänstleverantörer att lämna uppgifter (prop. 2022/23:121). Propositionen har föranletts av att det den 18 februari 2020 beslutades ett nytt direktiv inom mervärdesskatte- området.111, Sammanfattningsvis innebär det att en ny skyldighet in- förs för betaltjänstleverantörer att redovisa uppgifter om vissa gräns- överskridande betalningstransaktioner som de genomför till Skatte- verket. Skatteverket ska sända uppgifterna vidare till Europeiska kommissionen som i sin tur samlar uppgifterna i ett centralt elektro- niskt system, kallat Cesop. I Cesop ska uppgifterna från betaltjänst- leverantörerna lagras, sammanställas och analyseras tillsammans med vissa andra uppgifter. Medlemsstaterna får under vissa förutsätt- ningar åtkomst till uppgifterna i Cesop för att bekämpa mervärdes- skattebedrägerier. Uppgifterna kan användas av medlemsstaterna så länge de inte strider mot användningsbegränsningarna i förordningen, jfr avsnitt 8.4.5.112 Bestämmelserna träder i kraft den 1 januari 2024.113

I 33 c kap. SFL ska anges vilken typ av uppgifter som ska lämnas av betaltjänstleverantörerna. Det handlar bl.a. om uppgifter om betaltjänstleverantörens företagsidentifieringskod samt betalnings- mottagarens namn eller företagsnamn, adress, registreringsnummer för mervärdesskatt eller annat nationellt skattenummer och IBAN- nummer eller, om IBAN-nummer inte är tillgängligt, en annan iden- tifieringskod för betalningsmottagaren. Vidare omfattas uppgifter om bl.a. datum, tidpunkt, belopp och valuta för betalningarna och för eventuella återbetalningar som är relaterade till dessa betalningar.114

Av förordningen om administrativt samarbete följer att de upp- gifter som inhämtas med stöd av förordningen från Cesop endast får användas för vissa angivna syften, bl.a. för att fastställa beskattnings- underlaget för mervärdesskatt eller för uppbörden av mervärdesskatt (artikel 55.1). Uppgifter som Skatteverket hämtar från Cesop får

111Rådets direktiv (EU) 2020/284 om ändring av direktiv 2006/112/EG vad gäller införandet av vissa krav för betaltjänstleverantörer, samt en kompletterande förordning, rådets förord- ning (EU) 2020/283 om ändring av förordning (EU) nr 904/2010 vad gäller åtgärder för att stärka det administrativa samarbetet för att bekämpa mervärdesskattebedrägeri (förordningen om administrativt samarbete).

112Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 1 och 27.

113Riksdagsskrivelse 2023/24:12.

114Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 52–53.

544

SOU 2023:100

Ändamålsbestämmelser

användas av Skatteverket och andra myndigheter för de ändamål som framgår av förordningen.115

Regeringens bedömning av att det bör införas särskilda ändamålsbegränsningar för uppgifter som samlas in från betaltjänstleverantörer

Uppgifterna som samlas in från betaltjänstleverantörer ska behand- las beskattningsdatabasen.116 Utgångspunkten för databasregleringen är att uppgifter i databasen får behandlas för andra ändamål än in- samlingsändamålet, dvs. vara gemensamt tillgängliga (se avsnitt 9.2). Skatteverket har i lagstiftningsarbetet med Cesop uppgett att upp- gifter som samlas in från betaltjänstleverantörer kan vara till nytta för kontroll av mervärdesskatt, inkomskatt och spelskatt samt vid myndighetens omvärlds- och riskanalyser. Enligt Skatteverket skulle möjligheten att behandla de från betaltjänstleverantörerna insamlade uppgifterna för dessa syften leda till en mer effektiv skattekontroll, vilket i sin tur kan antas leda till ökade skatteinkomster.117

I förarbetena till den nya regleringen avseende Cesop bedömde regeringen att den EU-rättsliga regleringen i och för sig inte hindrar att de insamlade uppgifterna används för andra ändamål än informa- tionsöverföring till Cesop.118 Enligt regeringen krävdes dock en sär- skild proportionalitetsbedömning för att bedöma om det var lämpligt att Skatteverket och andra myndigheter skulle få behandla uppgifter som lämnats av betaltjänstleverantörerna för andra ändamål än över- föring till Cesop.119 Regeringen uttalade i det sammanhanget att de flesta uppgifter som ska lämnas sannolikt kommer att avse betal- ningar som har ett kommersiellt syfte och som sker till företag som är juridiska personer. Det kunde dock inte uteslutas att även betal- ningar till någon som inte är en kommersiell aktör kommer att om- fattas. Uppgifterna kunde därför enligt regeringen komma att inne- hålla information om såväl enskilda näringsidkare som privatpersoner och om betalningar som inte har ett kommersiellt syfte. Vidare kon- staterade regeringen att de personuppgifter som kommer att be- handlas är inte sådana känsliga uppgifter som avses i artikel 9.1 i

115Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 83–88.

116Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 106.

117SOU 2022:25, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 183.

118Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 88–90.

119Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 92.

545

Ändamålsbestämmelser

SOU 2023:100

EU:s dataskyddsförordning. Regeringen ansåg dock att det kunde vara fråga om delvis integritetskänsliga uppgifter om främst enskildas ekonomiska förhållanden. Regeringen beaktade även att de insam- lade uppgifterna kommer från betaltjänstleverantörerna, dvs. tredje man, och inte från de företag som ska granskas. Enligt regeringen kommer uppgifterna när de samlas in inte ha något direkt samband med beskattningen och kommer endast till mycket liten del komma att få någon betydelse vid skattekontroll.120

Regeringens bedömning var därför att de aktuella uppgifterna inte ska få användas av Skatteverket för kontroll av mervärdesskatt, in- komstskatt eller spelskatt. Uppgifterna ska dock få användas i den utsträckning det behövs för att Skatteverket ska kunna fullgöra upp- giftslämnande som sker i överensstämmelse med lag eller förordning, t.ex. enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet eller om det är uppenbart att in- tresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda enligt 10 kap. 27 § OSL. Det ansågs alltså inte ha kommit fram tillräckliga skäl för att vid den tidpunkten låta Skatteverket använda dessa uppgifter för fler ändamål än informa- tionsöverföring till Cesop och för uppgiftslämnande som redan i dag sker med stöd av lag eller förordning. Sammanfattningsvis ansåg regeringen att Skatteverkets behov av att använda de insamlade upp- gifterna i flera fall inte uppvägde intrånget i enskildas personliga integritet.

Med anledning av detta kommer en ny ändamålsbestämmelse i 1 kap. 4 a § SdbL införas som begränsar för vilka ändamål uppgifter som betaltjänstleverantörer har lämnat till Skatteverket får behand- las.121 Skatteverkets möjligheter att använda uppgifterna som samlas in från betaltjänstleverantörer kommer därmed begränsas i svensk rätt i förhållande till vad som följer av den EU-rättsliga regleringen. Begränsningen omfattar dock inte de uppgifter som Skatteverket in- hämtar från Cesop i enlighet med artikel 24b i rådets förordning (EU) nr 904/2010.122

120Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 93–94.

121Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 90 och 106–111.

122Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 108.

546

SOU 2023:100

Ändamålsbestämmelser

Bör det införas särskilda bestämmelser i beskattningsdatalagen

eller beskattningsdataförordningen som begränsar för vilka ändamål Skatteverket får behandla uppgifterna?

Vårt förslag till ny beskattningsdatalag med tillhörande förordning innebär en genomgripande förändring i förhållande till den nuvar- ande regleringen. Ett grundläggande syfte med våra förslag är att data- skyddsförordningens regler om personuppgiftsbehandling ska få större genomslag i den kompletterande dataskyddsregleringen Vid- are gäller vår föreslagna reglering enbart behandling av uppgifter om fysiska personer och inte om juridiska personer (se avsnitt 7.4.2), varför behandling av uppgifter om juridiska personer inte kommer att vara aktuell att på något sätt reglera i den föreslagna nya beskatt- ningsdatalagen. Våra bedömningar avser med andra ord enbart upp- gifter om fysiska personer.

Till skillnad från regeringens tidigare ställningstagande gör vi be- dömningen att de uppgifter som betaltjänstleverantörer ska lämna till Skatteverket enligt den nya EU-rättsliga regleringen inte bör om- fattas av särskilda bestämmelser i beskattningsdatalagen eller beskatt- ningsdataförordningen som begränsar för vilka ändamål Skatteverket får behandla uppgifterna. Någon begränsning av finalitetsprincipen bör därmed inte göras för dessa uppgifter. Som framgår ovan har regeringen bedömt att EU-rätten inte innehåller några hinder mot att de insamlade uppgifterna från betaltjänstleverantörerna används för fler ändamål än informationsöverföring till Cesop. Vi har inte funnit någon anledning att frångå denna bedömning. Det kan där- med konstateras att det inte finns någon anledning att mot bakgrund av den aktuella EU-rättsliga regleringen införa specifika ändamåls- begränsningar i nationell sektorspecifik dataskyddsrättslig reglering. Vi anser att detta är ett tungt vägande skäl till att inte heller göra det i den föreslagna beskattningsdatalagen eller beskattningsdataförord- ningen.

De användningsbegränsningar som finns i EU-rätten gäller en- dast för uppgifter som inhämtas från Cesop, där de dessförinnan har bearbetats tillsammans med andra uppgifter från andra medlems- stater. Att Skatteverket får behandla de uppgifter som hämtas in från betaltjänstleverantörerna för andra ändamål än för att vidarebefordra dem till Cesop bör därför inte medföra att ändamålen inte längre blir begränsade i den utsträckning som föreskrivs för uppgifterna i

547

Ändamålsbestämmelser

SOU 2023:100

Cesop.123 Vidare finns bestämmelser i de aktuella EU-rättsakterna som syftar till att begränsa integritetsintrånget, såsom regler om vilka uppgifter som ska lämnas till Skatteverket, vilka aktörer som är skyl- diga att lämna uppgifter samt hur länge betaltjänstleverantörerna ska lagra uppgifterna. Att Skatteverket ges möjlighet att behandla upp- gifterna även för andra ändamål än för att lämna över uppgifterna till Cesop förtar enligt vår mening inte effekten av de nu nämnda integ- ritetshöjande åtgärderna. Skatteverket måste även, inför en eventuell vidarebehandling, göra en bedömning av den tillkommande behand- lingens förenlighet med insamlingsändamålet.

Regeringen har som ovan framgått konstaterat att de uppgifter som samlas in från betaltjänstleverantörer avser en stor mängd betal- ningsinformation och delvis integritetskänsliga uppgifter. Utifrån regeringens beskrivning av de uppgifter det handlar om, dvs. de flesta uppgifter avser betalningar som har ett kommersiellt syfte och som sker till företag som är juridiska personer samt att det inte rör sig om känsliga personuppgifter, gör vi bedömningen att det inte rör sig om en så stor andel integritetskänsliga personuppgifter, även om mängden uppgifter är omfattande. Vi anser mot denna bakgrund att varken uppgifternas art eller omfattning talar för att det rör sig om uppgifter som behöver omfattas av särskilda ändamålsbegränsningar eller en begränsning av finalitetsprincipens giltighet i den komplet- terande dataskyddsregleringen för att ett adekvat integritetsskydd ska upprätthållas. Till detta bör läggas att Skatteverkets uppgivna behov, dvs. generellt en mer effektiv skattekontroll och i sin tur ökade skatteinkomster, är berättigade behov för behandling av de aktuella uppgifterna, under förutsättning att den tillkommande behandlingen är förenlig med insamlingsändamålet.

Vidare kommer uppgifter som inhämtas från Cesop under vissa förutsättningar att vara tillåtna för Skatteverket att använda för t.ex. kontroll av inkomstskatt, så länge uppgifterna har inhämtats för rätt syfte.124 Det kan vara fråga om samma uppgifter som Skatteverket har överfört till Cesop, som eventuellt har bearbetats tillsammans från uppgifter överförda av andra medlemsstater. Att detta är tillåtet följer av den EU-rättsliga regleringen.125 Sådana uppgifter bör, till följd av den bearbetning som sker i Cesop, enligt vår mening kunna

123Jfr prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 92.

124Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 96.

125Artikel 55 i förordningen om administrativt samarbete.

548

SOU 2023:100

Ändamålsbestämmelser

antas vara mer integritetskänsliga än de som Skatteverket får direkt från betaltjänstleverantörerna, där endast en mindre del avser per- sonuppgifter. Att EU-rätten innehåller användningsbegränsningar för uppgifter som inhämtas från Cesop men inte från betaltjänst- leverantörer tyder även på att så är fallet. Även dessa omständigheter menar vi utgör skäl för att anse att det bör vara möjligt för Skatte- verket att använda uppgifter som samlas in från betaltjänstleveran- törer även andra ändamål.

Vidare bör det enligt vår mening rent principiellt inte anses vara mer integritetskänsligt att Skatteverket får vidarebehandla uppgif- terna för att utföra sina författningsreglerade uppgifter, än för att fullgöra uppgiftslämnande enligt lag eller förordning, oaktat att pro- portionalitetsbedömningar har gjorts i de senare lagstiftningsären- dena. I samband med införandet av redan befintliga uppgiftsskyldig- heter från Skatteverket till andra myndigheter har det nämligen inte gjorts några specifika överväganden avseende just de uppgifter som betaltjänstleverantörer lämnar till Skatteverket.

Det skulle i och för sig kunna hävdas att behandlingen av uppgif- terna i sin helhet som kan komma att ske inom Skatteverket skiljer sig från en behandling i form av utlämnande. Efter att uppgifterna lämnats ut till mottagaren kan de dock komma att behandlas för helt andra ändamål än de som aktualiseras inom Skatteverkets beskatt- ningsverksamhet. Efter utlämnandet är det nämligen mottagarens insamlingsändamål som blir avgörande för vilken ytterligare behand- ling som är möjlig. Utlämnandet kan dessutom komma att avse en stor mängd uppgifter, beroende på vilka behov av uppgifterna som finns hos mottagaren. Mot denna bakgrund anser vi sammantaget att det är proportionerligt att Skatteverket ges en rättslig möjlighet att behandla de insamlade uppgifterna från betaltjänstleverantörer även för andra ändamål, under förutsättning att en prövning enligt fina- litetsprincipen medger en sådan vidarebehandling. Det har alltså inte kommit fram tillräckliga skäl för att reglera sådana uppgifter på ett annat sätt än övriga uppgifter. Eftersom särskilda ändamålsbegräns- ningar i beskattningsdatalagen eller beskattningsdataförordningen inte kan anses vara behövliga för att uppnå ett adekvat integritetsskydd bör sådana bestämmelser enligt vår bedömning inte införas.

Om regeringen trots vad som anges ovan anser att det i den nya föreslagna kompletterande dataskyddsregleringen för Skatteverket bör införas särskilda ändamålsbegränsningar avseende uppgifter om

549

Ändamålsbestämmelser

SOU 2023:100

fysiska personer, bör sådana enligt vår mening föras in i den före- slagna beskattningsdataförordningen. En sådan bestämmelse skulle kunna ha en lydelse som motsvarar de föreslagna bestämmelserna i 1 kap. 4 a § och 1 kap. 5 a § SdbL, alternativt en begränsning av be- stämmelsen som motsvarar finalitetsprincipen.126

Då vår föreslagna reglering endast avser personuppgifter, dvs. uppgifter om fysiska juridiska personer, gör vi inget särskilt ställnings- tagande avseende uppgifter om juridiska personer i detta samman- hang. Vi ser dock generellt sett inte att det skulle finnas någon anled- ning att se annorlunda på sådana uppgifter.

I avsnitt 14.9.4 finns särskilda överväganden om att Skatteverket bör få använda uppgifterna för att göra mer övergripande dataanaly- ser och urval.

8.4.9Skyddet för den personliga integriteten

Vår bedömning: De föreslagna ändamålsbestämmelserna utgör ett adekvat skydd för den personliga integriteten.

Skälen för vår bedömning

För att uppfylla kraven i EU:s dataskyddsförordning behöver den nationella och unionsrättsliga reglering som utgör den rättsliga grun- den för myndigheternas personuppgiftsbehandling uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 dataskyddsförordningen). Regleringen ska dessutom vara tydlig, precis och förutsägbar för personer som om- fattas av den (skäl 41 till dataskyddförordningen). Den behandling av personuppgifter som är nödvändig för att utföra myndigheternas respektive verksamheter förutsätter, särskilt för Skatteverkets verk- samheter, tillgång till uppgifter som rör stora delar av befolkningen. Kraven på tydlighet och förutsebarhet vid utformningen av den materiella och processuella regleringen av myndigheternas verksam- het är därför höga.

De nya ändamålsbestämmelserna behöver i likhet med de nu gäll- ande täcka all den behandling som är nödvändig för att respektive

126Se prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 7–8.

550

SOU 2023:100

Ändamålsbestämmelser

myndighet ska kunna utföra sin verksamhet inom respektive data- lags materiella tillämpningsområde. Mot bakgrund av att dataskydds- förordningen ska tillämpas av myndigheterna som vore det en svensk författning bör ändamålsbestämmelserna enligt vår mening inte ut- formas på ett sätt som riskerar att ge intryck av att de har en själv- ständig betydelse, utgör sådana särskilda ändamål som avses i arti- kel 5.1 b i dataskyddsförordningen eller innebär en avvikelse från den allmänna dataskyddsregleringen. De villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig framgår nämligen av dataskyddsförordningen. Jämfört med dagens reglering innebär våra förslag att mindre detaljerade ändamålsbestämmelser ska sätta ramarna för i vilka syften personuppgifter får behandlas. Frågan är då om en brett formulerad ändamålsbestämmelse på ett mer generellt plan än vad som behandlats i avsnitten ovan kan sägas vara förenligt med ett adekvat integritetsskydd.

Vi har ovan konstaterat att dagens ändamålsbestämmelser inte kan likställas med sådana särskilda, uttryckligt angivna och berätti- gade ändamål som ska finnas för varje behandling enligt dataskydds- förordningen. Det innebär att de personuppgiftsansvariga myndig- heterna även i dag, i enlighet med principen om ansvarsskyldighet i artikel 5.2 i dataskyddsförordningen, behöver formulera de särskilda ändamålen med varje personuppgiftsbehandling och utifrån detta vidta de åtgärder som krävs avseende bl.a. säkerhet och uppgifts- och lagringsminimering. Någon förändring i detta avseende uppkommer inte med anledning av den breda primära ändamålsbestämmelse vi föreslår.

Våra förslag innebär vidare inte att myndigheterna ges några nya uppdrag eller uppgifter i sina respektive verksamheter. Den materiella verksamhetsregleringen inom respektive ny datalags tillämpnings- område påverkas inte av våra förslag. Annorlunda uttryckt medför våra förslag inte att några nya rättsliga grunder för personuppgiftsbehand- ling införs i svensk rätt. Myndigheterna kommer alltså inte behöva behandla personuppgifter för att utföra andra uppgifter eller bedriva annan verksamhet än i dag med anledning av förslagen.

Vad förslagen innebär är att ramarna för tillåten personuppgifts- behandling inom respektive datalags materiella tillämpningsområde uttrycks på ett mindre detaljerat sätt än i dag. Dagens ändamåls- bestämmelser begränsar myndigheternas möjligheter till person- uppgiftsbehandling som sker för andra ändamål än de som följer av

551

Ändamålsbestämmelser

SOU 2023:100

den materiella och processuella regleringen av myndigheternas upp- gifter. Det är dock en begränsning som redan ställs upp av data- skyddsförordningens bestämmelser om rättslig grund i artikel 6.1 c och e. Vidare är det den rättsliga grunden för behandlingen som måste uppfylla dataskyddsförordningens krav på bl.a. tydlighet precision och förutsebarhet. Att ramarna för den personuppgiftsbehandling som är tillåten enligt de nya datalagarna uttrycks på ett mindre detaljerat sätt än i dag bör därmed inte medföra att dataskyddsförordningens krav inte är uppfyllda.

Att de brett formulerade ändamålsbestämmelsernas räckvidd även omfattar exempelvis utvecklingen av nya och befintliga it-system genom bl.a. testning kan dock komma att innebära att personuppgifter behandlas i andra situationer än i dag. Den eventuella tillkommande behandlingen är dock ett resultat av den tekniska utvecklingen, och inte utformningen av de kompletterande primära ändamålsbestäm- melserna. Redan i dag bör nämligen utveckling och testning av it- system vara möjlig med stöd av de befintliga ändamålsbestämmel- serna och finalitetsprincipen. Testning och utveckling av digitala arbetssätt är dessutom ett naturligt led i den effektivisering av verk- samheterna, med bibehållet integritetsskydd, som myndigheterna måste eftersträva för att följa gällande rätt. Som tidigare har påpekats har regeringen i andra sammanhang uttalat att behandling av person- uppgifter för teständamål är något som normalt inte brukar regleras i särskilda registerförfattningar, och att det måste anses vara en slags huvudprincip att testverksamhet inte behöver regleras som ett sär- skilt ändamål.127

Mot det eventuella integritetsintrång en mindre detaljerad kom- pletterande ändamålsreglering medför, exempelvis vid testning och utveckling av digitala arbetssätt, bör ställas myndigheternas behov av att kunna bedriva en ändamålsenlig verksamhet. Vi anser att Skatte- verket, Tullverket och Kronofogdemyndigheten måste ges rättsliga förutsättningar att utnyttja de möjligheter som digitaliseringen ger för att utföra sin verksamhet, fatta materiellt korrekta beslut och i övrigt säkerställa att gällande rätt följs inom verksamheterna. Väl ut- vecklade system för informationshantering inom den offentliga sek-

127Prop. 2015/16:65, Utlänningsdatalag, s. 64 och prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 20. Jfr även regeringens uttalanden med inne- börden att behandling för ändamålen uppföljning, utveckling och testning av analys- och ur- valsmodeller inte regleras särskilt för Utbetalningsmyndigheten i prop. 2022/23:34, Utbetal- ningsmyndigheten, s. 205.

552

SOU 2023:100

Ändamålsbestämmelser

torn är enligt vår mening en förutsättning för att myndigheterna både på kort och lång sikt ska kunna utföra sina verksamheter och möta de utmaningar som globaliseringen och den digitala utveck- lingen i samhället i övrigt medför. Utvecklingen av olika AI-system är i dag oerhört snabb och sannolikt inte något som går att hejda eller begränsa på nationell nivå. AI kan förväntas bidra till att avan- cerade upplägg för exempelvis skatteundandragande eller andra fel- aktigheter blir tillgängliga för fler aktörer och i högre utsträckning än i dag. Myndigheterna bör därför ges möjligheter att förbereda sig på och hantera de utmaningar AI kan komma att innebära för den offentliga sektorn. Myndigheterna måste också ges rättsliga förut- sättningar för att vid behov utveckla e-tjänster och it-lösningar som ökar tillgängligheten och effektiviteten vid kontakt med fysiska per- soner och bolagssektorn. En sådan utveckling riskerar dock att hind- ras eller försenas av en kompletterande dataskyddsreglering som går utöver vad som är påkallat i syfte att säkerställa ett adekvat integri- tetsskydd.

De registrerades skydd för den personliga integriteten tillgodoses dessutom genom flera olika skyddsåtgärder. Den kompletterande data- skyddsregleringen föreslås innehålla begränsningar av möjligheterna att behandla känsliga personuppgifter, begränsningar av tillgången till personuppgifter, begränsningar av den längsta tid uppgifter får behandlas och krav på olika rutiner (se avsnitten 7.7, 10.7, 10.9, 11.7.6 och 12.4.3). Tillsammans med det dataskyddsrättsliga regelverket i övrigt samt sekretesslagstiftningen och den allmänna förvaltnings- rättsliga regleringen medför de föreslagna primära ändamålsbestäm- melserna i de nya datalagarna enligt vår mening ett adekvat skydd för den personliga integriteten.

Sammantaget bedömer vi att förslaget om brett formulerade pri- mära ändamålsbestämmelser tillgodoser behoven av personuppgifts- behandling vid myndigheterna samtidigt som hänsyn tas till behovet av ett adekvat integritetsskydd. Det innebär att ändamålsbestämmel- serna i den kompletterande dataskyddsregleringen inte möjliggör annan personuppgiftsbehandling än sådan som kan antas leda till att myndigheterna kan utföra sin verksamhet enligt tillämplig lagstift- ning. En brett formulerad ändamålsbestämmelse möjliggör inte heller sådan personuppgiftsbehandling som är mer omfattande än vad som behövs för att myndigheterna ska kunna utföra sin respektive verk- samhet, och inte heller sådan behandling som inte står i ett rimligt

553

9 Databasregleringen

9.1Inledning

Vårt övergripande uppdrag är att göra en fullständig översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens register- författningar. I uppdraget ligger även att överväga om det finns ut- rymme för minskad detaljreglering jämfört med i dag, t.ex. när det gäller vilka uppgifter som får behandlas i de olika databaserna. En över- syn av de nuvarande registerförfattningarnas struktur och termino- logi ingår även i uppdraget. Vi ska beakta bl.a. förslagen i betänk- andet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssyste- men (SOU 2020:35). Förslagen i det betänkandet har numera resul- terat bl.a. i prop. 2022/23:34, Utbetalningsmyndigheten, med förslag till lagstiftning med anledning av inrättandet av en ny myndighet, Utbetalningsmyndigheten, samt ny lagstiftning om bl.a. Utbetalnings- myndighetens behandling av personuppgifter.

I detta kapitel redogör vi för olika aspekter av dagens databas- reglering. Vi beskriver först översiktligt historiska aspekter av den generella regleringen av myndigheters informationssamlingar. Sedan redogör vi för relevanta bestämmelser i EU:s dataskyddsförordning1 samt ger exempel på lagstiftning som införts efter dataskyddsförord- ningen började tillämpas. Därefter redogör vi särskilt för regeringens överväganden i samband med att databasregleringen för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Krono- fogdemyndigheten infördes. Därutöver redogörs för regeringens över- väganden i samband med att dataskyddsförordningen skulle börja tillämpas, samt den befintliga regleringen av databaser i register-

555

Databasregleringen

SOU 2023:100

författningarna för Skatteverkets beskattnings- och folkbokförings- verksamheter, Tullverket och Kronofogdemyndigheten.

Slutligen redogör vi för våra överväganden avseende vilka behov av förändring som föreligger samt lämnar förslag på hur dessa behov ska tillgodoses. Vår bedömning är att databasregleringen ska upphävas och inte motsvaras av bestämmelser med liknande innebörd i de nya författningarna. Mot bakgrund av vissa lagtekniska aspekter av den nuvarande regleringen av folkbokföringsdatabasen lämnas dock vissa särskilda förslag för folkbokföringsverksamheten.

Våra överväganden i detta kapitel avser myndigheternas verksam- heter som anges ovan. Myndigheternas verksamhet med dataanalyser och urval behandlas dock särskilt i kapitel 14. Frågor som rör Skatte- verkets verksamhet med det statliga personadressregistret, SPAR, samt Skatteverkets verksamhet med äktenskapsregistret och boupp- teckningar behandlas särskilt i kapitel 16 och kapitel 17.

9.2Databasreglering och dataskydd

9.2.1Databasbegreppets bakgrund

Olika betydelse beroende på sammanhang

Enligt Svensk Ordbok (2021) är ordet databas belagt sedan 1960-talet och betyder en större samling uppgifter som finns lagrade på syste- matiskt sätt i datamaskin så att enskilda uppgifter snabbt kan hittas, t.ex. genom sökning per kategori.

I 1 kap. 2 § yttrandefrihetsgrundlagen, YGL, definieras databas som en samling av information lagrad för automatiserad behandling. I det sammanhanget betyder databas dock i princip detsamma som ordet webbplats. Det ställs inte upp några krav på att en databas be- höver innehålla kvalificerad eller väl strukturerad information för att omfattas av definitionen, och information som finns på internet träffas normalt av begreppet.2

I rent tekniska sammanhang avser databasbegreppet i dag oftast s.k. relationsdatabaser som består av ett antal tabeller som har en inbördes relation till varandra. Informationen sparas som poster i

2Axberger, Yttrandefrihetsgrundlagen (1991:1469), 1 kap. 2 §, Karnov (JUNO) [hämtad 2023-08-31].

556

SOU 2023:100

Databasregleringen

rader inuti tabellerna och för att söka fram information eller ändra i informationen används s.k. SQL, Structured Query Language.3

Ordet databas kan därmed ha olika betydelse beroende på i vilket sammanhang det förekommer, men avser i regel någon slags digita- liserad informationshantering.

I registerförfattningar och annan dataskyddsreglering avser be- greppet databas, eller liknande begrepp som uppgiftssamling eller gemensamt tillgängliga uppgifter, ofta en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i en verksam- het. En dataskyddsrättslig reglering av en databas behöver alltså inte avse en uppgiftssamling som är avgränsad tekniskt.4 I dessa samman- hang är databas i stället ofta ett rent juridiskt begrepp.

I viss dataskyddsreglering förekommer bestämmelser som avser sådana mer regelrätta register som har karaktären av en teknisk data- bas. Dessa bestämmelser föreskriver ofta att ett register ska föras för vissa avgränsade ändamål. Regleringen av det statliga personadress- registret, SPAR, är ett sådant exempel (se avsnitt 16.4.1). Redogörel- sen i avsnitten nedan avser inte sådana register som fyller en särskild och avgränsad funktion, likt SPAR, utan avser myndigheters interna uppgiftssamlingar.

Personregister och datalagen

Datalagen

I datalagen (1973:289) användes begreppet personregister som ut- gångspunkt för regleringen. Med personregister avsågs enligt 1 § data- lagen register, förteckning eller andra anteckningar som fördes med hjälp av automatisk databehandling och som innehöll personuppgift som kunde hänföras till den som avsågs med uppgiften. Varje sam- manställning av personuppgifter med hjälp av automatisk databehand- ling ansågs under datalagen innebära att ett personregister hade in- rättats.5

Iförarbetena till datalagen konstaterades att med ADB-teknik, dvs. automatisk databehandlingsteknik, var det i princip möjligt att utföra alla tänkbara åtgärder för hantering av uppgifter. Departements-

3Luleå tekniska universitet, webbsida, Vad är en databas? Tillgänglig: https://www.ltu.se/centres/2.39556/Vad-ar-en-databas-1.43398 [hämtad 2023-08-31].

4Prop. 2022/23:43, Utbetalningsmyndigheten, s. 138.

5Jfr Ds 2001:67, Behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, s. 17.

557

Databasregleringen

SOU 2023:100

chefen bedömde att ADB-tekniken hade medfört en radikal omvand- ling av informationsbehandlingen och kommit att få en sådan bety- delse att den inte längre kunde undvaras.6 Frågan om ADB-tekni- kens inverkan på enskilda människors privatliv hade dock väckt en livlig debatt. Det hade bl.a. förts fram att riskerna för en otillbörlig inblandning i enskildas privatliv hade ökat väsentligt genom ADB- teknikens utveckling, vilket departementschefen instämde i. Departe- mentschefen uttalade dock att den enskildes rätt att bli lämnad i fred aldrig kunde vara absolut och i ett utvecklat samhälle kunde man inte undvara personinformationssystem som gav underlag för beslut inom bl.a. förvaltningen. Det behövdes dock vissa spärrar som garanterade att den enskildes privatliv inte skadades på ett otillbörligt sätt. Regler om tillståndsprövning och tillsyn samt andra bestämmelser om data- registrering skulle därför tas in i en särskild lag, datalagen. Departe- mentschefen betonade att varje reglering som infördes på datahanter- ingsområdet behövde ses som ett provisorium. Det var fråga om lagstiftning på ett helt nytt område och om erfarenheten visade att regleringen i något avseende blev onödigt betungande eller hämmande för utvecklingen behövde ändringar och kompletteringar kunna genomföras.7

Utgångspunkten i datalagen var att bara den som anmält sig till Datainspektionen (numera Integritetsskyddsmyndigheten, IMY) och fått licens för det skulle få inrätta och föra personregister.8 I sam- band med att ett sådant tillstånd lämnades skulle Datainspektionen också meddela föreskrift om ändamålet med registret, och om sär- skilda skäl förelåg fick tillståndet begränsas till viss tid.9 För att få inrätta och föra känsliga register krävdes dessutom ett särskilt till- stånd från Datainspektionen. Ett sådant tillstånd behövdes i regel för att inrätta och föra register med uppgifter om brott och brottsmiss- tankar, uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personuppgifter som hämtats från något annat register.10

6Prop.1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 68.

7Prop.1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 89 och 92.

82 § datalagen.

95 § datalagen.

104 § datalagen.

558

SOU 2023:100

Databasregleringen

Om ett personregister beslutats av riksdagen eller regeringen krävdes dock inget tillstånd.11

Datainspektionen skulle enligt datalagen, i den mån det behövdes för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrifter för tillståndsgivna register. Föreskrifterna skulle i dessa fall avse bl.a. inhämtande av uppgifter för personregistret, vilka personuppgifter som fick ingå i personregistret, utförandet av den automatiska databehandlingen, den tekniska utrustningen, de bearbetningar av personuppgifterna i registret som fick göras med automatisk databehandling och de personuppgifter som fick göras tillgängliga.12

Registerlagar

Under datalagens giltighetstid reglerades ofta myndigheters person- register i särskilda lagar och dessa personregister krävde inte särskilt tillstånd från Datainspektionen. Lagstiftaren tog då ofta över Data- inspektionens roll genom att detaljerat ange bl.a. vilka uppgifter som fick finnas i registret.

För skatteförvaltningen fanns bl.a. skatteregisterlagen (1980:343). I 1 § skatteregisterlagen föreskrevs att det för vissa angivna ändamål, bl.a. revision och annan kontrollverksamhet samt redovisning, be- stämmande och betalning av skatt, med hjälp av automatisk data- behandling skulle föras ett centralt skatteregister för hela riket och ett regionalt skatteregister för varje region.

För Tullverkets del var informationshanteringen länge helt manu- ell.13 Under år 1990 utfärdades dock tullregisterlagen (1990:137) som föreskrev att Tullverket fick föra ett tullregister med hjälp av auto- matisk databehandling som bl.a. fick användas för fastställande, upp- börd, och redovisning av tull, annan skatt och avgifter som skulle betalas till Tullverket och fullgörande av övervaknings-, kontroll- och revisionsuppgifter inom Tullverkets område, 1 och 2 §§ tullregister- lagen.

För informationshantering inom exekutionsväsendet för bl.a. verk- ställighet enligt utsökningsbalken skulle det enligt 1 § utsöknings- registerlagen (1986:617) med hjälp av automatisk databehandling föras

112 a § datalagen.

126 § datalagen.

13Prop. 1989/90:40, om tullregisterlag m.m., s. 10.

559

Databasregleringen

SOU 2023:100

dels ett för hela landet gemensamt utsökningsregister (det centrala utsökningsregistret), dels ett regionalt utsökningsregister för varje region.

Personuppgiftslagen

Genom personuppgiftslagen (1998:204), PUL, upphävdes datalagen. I förarbetena uttalade regeringen att utvecklingen inom informa- tionstekniken hade gått rasande fort och inget talade för att den skulle komma att hejdas eller mattas inom den närmaste framtiden. Den nya teknikens möjligheter kunde enligt regeringen lätt användas på sätt som inte borde tolereras i ett demokratiskt samhälle, och indi- viden kunde därför kräva ett skydd mot integritetskränkningar av samhället. Enligt regeringen behövde dock också beaktas de helt legi- tima behov av att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det dåvarande. I varje välfärds- samhälle med sociala ambitioner var det enligt regeringen nödvän- digt att i viss utsträckning använda personanknuten information.14

I betänkandet Integritet Offentlighet Informationsteknik (SOU 1997:39) hade Datalagskommittén redogjort för två olika sätt att reglera dataskyddsfrågor. Regleringen kunde antingen ske genom en missbruksmodell, dvs. reglering av sådant utnyttjande av person- uppgifter som kunde karaktäriseras som ett missbruk, eller en han- teringsmodell, dvs, reglering av själva hanteringen av personuppgifter.15 Enligt kommittén syntes dock vid tidpunkten en sträng hanterings- modell dömd att misslyckas. Risken var enligt kommittén uppenbar att till och med myndigheter skulle komma att bortse från delar av regleringen.16 Mot bakgrund bl.a. av vad som krävdes enligt 1995 års dataskyddsdirektiv17 var dock kommittén av den åsikten att hanter- ingsmodellen var att föredra.18

Även regeringen ansåg att det inte var möjligt att uppfylla skyl- digheten att genomföra direktivet på annat sätt än genom att införa en lagstiftning av hanteringsmodell. Enligt regeringen framstod emel-

14Prop. 1997/98:44, Personuppgiftslag, s. 30.

15SOU 1997:39, Integritet Offentlighet Informationsteknik, s. 179.

16SOU 1997:39, Integritet Offentlighet Informationsteknik, s. 183.

17Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

18SOU 1997:39, Integritet Offentlighet Informationsteknik, s. 189–191.

560

SOU 2023:100

Databasregleringen

lertid en sådan lagstiftning som inte särskilt modern. Regeringen uttalade också att mycket av den användning av personuppgifter som den alltmer genomgripande datoriseringen har medfört borde betrak- tas som harmlös. Enligt regeringen fanns det därför starka skäl för att verka för att det skulle bli möjligt att gå ifrån en lagstiftning av hanteringsmodell, och Sveriges inflytande i EU skulle utnyttjas för att påverka i denna riktning.19

Utgångspunkten i personuppgiftslagen var att behandling av per- sonuppgifter skulle vara tillåten i de fall och på de villkor lagen an- gav.20 Det tidigare licens- och tillståndsförfarandet avseende person- register avskaffades därmed också och myndigheter kunde därför behandla personuppgifter direkt med stöd av personuppgiftslagen.

I personuppgiftslagen användes inte begreppet register över huvud taget för olika samlingar av uppgifter. Däremot uttalade regeringen i lagens förarbeten att det inom den offentliga sektorn ofta förekom stora mängder känsliga uppgifter och uppgifter som hade hämtats in med stöd av straffsanktionerad uppgiftsplikt. Därför var det särskilt viktigt med ett starkt integritetsskydd när det gällde uppgifter inom all offentlig verksamhet. Myndighetsregister med ett stort antal regi- strerade och ett särskilt känsligt innehåll skulle därför som utgångs- punkt regleras särskilt i lag, liksom tidigare.21

9.2.2Databaser och uppgiftssamlingar

En modernare form av registerlag

När datalagen ersattes av personuppgiftslagen kom också vissa äldre registerlagar, som hade införts när datalagen gällde, att ersättas av en modernare variant av registerlag. Även de äldre registerlagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tull- verket och Kronofogdemyndigheten kom att ersättas av en moder- nare form av registerlag, se avsnitt 9.3.1 nedan.

Trots att det inte längre fanns ett krav på tillstånd och licens från Datainspektionen, eller beslut av riksdag eller regering, för att en myndighet skulle få behandla personuppgifter automatiserat ansågs det i flera fall ändå finnas ett behov av att särskilt reglera myndig-

19Prop. 1997/98:44, Personuppgiftslag, s. 36.

20Prop. 1997/98:44, Personuppgiftslag, s. 64.

21Prop. 1997/98:44, Personuppgiftslag, s. 41.

561

Databasregleringen

SOU 2023:100

heters uppgiftssamlingar, och begreppet databas började då användas. Som framgår ovan hade regeringen i samband med personuppgifts- lagens införande också uttalat att myndigheters register borde regle- ras särskilt i lag även efter personuppgiftslagens ikraftträdande. Att en myndighets databas eller motsvarande skulle eller fick finnas regle- rades därför ofta i lagform. Vilka uppgifter som fick ingå i databaser, uppgiftssamlingar eller register reglerades dock normalt i förordning och inte i lag.22

I samband med att förslaget om en ny lag om behandling av per- sonuppgifter inom socialförsäkringens administration, som skulle er- sätta socialförsäkringsregisterlagen (1997:934), uttalade regeringen exempelvis att särskilda författningar som reglerar särskilt känsliga behandlingar av personuppgifter innebar bättre förutsättningar för en ändamålsenlig utformning av integritetsskyddet.23 Regeringen an- såg även att det fanns ett behov av att särskilt kunna reglera sådan automatiserad behandling av personuppgifter som innebar att fler än ett fåtal personer hade sådan tillgång till uppgifterna att de förutom att ta del av dem även kunde bearbeta dem eller förfoga över dem på annat sätt. Sådan behandling av personuppgifter var enligt regeringen typiskt sett mer integritetskänslig än när endast en enstaka person förfogade över uppgifterna. Begreppet databas skulle användas som centralt begrepp, och det avgörande för om en uppgift användes ge- mensamt i en verksamhet, och därmed utgjorde en beståndsdel i en databas, skulle vara om den behandlades på ett sätt som medförde att den utgjorde ”allmän egendom” i verksamheten.24

Även inom den arbetsmarknadspolitiska verksamheten infördes under 2002 begreppet databas som en juridisk beteckning för vissa fastställda automatiserade uppgiftssamlingar. Databasregleringen er- satte lagen (1994:459) om arbetsförmedlingsregister. Databasbegrep- pet avsåg enligt regeringen sådana uppgiftssamlingar som skulle an- vändas gemensamt inom verksamheten och för vilka särskilda regler skulle gälla beträffande känsliga och ömtåliga personuppgifter.25 Reger-

22Jfr exempelvis 4 § i den numera upphävda förordningen (2001:720) om behandling av per- sonuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, 2 § förord- ningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration och 3–5 §§ förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknads- politiska verksamheten.

23Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 39.

24Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 47–48.

25Ds 2001:67, Ny lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksam- heten, s. 34.

562

SOU 2023:100

Databasregleringen

ingen uttalade att av integritetsskäl borde stora uppgiftssamlingar som hanterades av myndigheter, och som gav möjligheter till samman- ställningar av en rad olika uppgifter om enskilda personer, omgärdas av särskilda skyddsregler. Särskilda bestämmelser skulle därför gälla för behandling av uppgifter i databaser i den arbetsmarknadspolitiska verksamheten, exempelvis avseende vilka uppgifter som skulle få be- handlas i databasen, vilken åtkomst bl.a. myndigheter skulle ha till uppgifterna samt vad som gällde vid bevarande och gallring.26

9.2.3Dataskyddsförordningen och reglering av myndigheters uppgiftssamlingar efter 2018

EU:s dataskyddsförordning

Den primära rättskällan för dataskydd

EU:s dataskyddsförordning är sedan den började tillämpas den 25 maj 2018 den primära generella rättskällan avseende dataskydd inom EU. Dataskyddsförordningen innehåller inga bestämmelser som särskilt avser myndigheters uppgiftssamlingar, register eller databaser. Där- emot innehåller den fler bestämmelser, som dessutom i många fall ställer högre krav på personuppgiftsansvariga, än 1995 års dataskydds- direktiv och personuppgiftslagen gjorde, se avsnitt 5.2.2.

Rättslig grund för behandling

För att behandling av personuppgifter över huvud taget ska vara lag- lig krävs att något av de villkor som anges i artikel 6.1 i dataskydds- förordningen är uppfyllda. De villkor som oftast blir aktuella för offentliga aktörer är de som framgår av artikel 6.1 c och e, dvs. be- handling som är nödvändig på grund av en rättslig förpliktelse eller på grund av en uppgift av allmänt intresse eller som ett led i myndig- hetsutövning. Behandling som grundar sig på en rättslig förpliktelse som den personuppgiftsansvarige har att utföra, eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, måste som utgångpunkt ha en grund i unions- rätten eller i en medlemsstats nationella rätt. Enligt dataskyddsförord-

26Ds 2001:67, Ny lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksam- heten, s. 42.

563

Databasregleringen

SOU 2023:100

ningen är det alltså lagstiftarens sak att genom lagstiftning tillhanda- hålla den rättsliga grunden för de offentliga myndigheternas behand- ling av personuppgifter.27 Unionsrätten eller den nationella rätten måste enligt dataskyddsförordningen även uppfylla ett mål av all- mänt intresse och vara proportionell mot det legitima mål som efter- strävas.28

I 2 kap. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, anges i vilka situatio- ner personuppgifter får behandlas av svenska myndigheter med stöd av artikel 6.1 c och e i dataskyddsförordningen. Såvitt här är aktuellt är det sammanfattningsvis endast om behandlingen är nödvändig för att utföra de uppgifter som myndigheten har och som framgår av lag eller annan författning, eller av beslut som har meddelats med stöd av lag eller annan författning.

Uppgiftsminimering

En av dataskyddsförordningen grundläggande principer för behand- ling är principen om uppgiftsminimering, artikel 5.1 c, som innebär att de uppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt skäl 39 till dataskyddsförordningen måste varje behandling av personuppgifter dessutom bl.a. vara rättvis, begränsad till vad som är nödvändigt för de ändamål som uppgifterna behandlas för och endast utföras om syftet med behandlingen inte rimligen kan uppnås genom andra medel.

Prövningen av vilka uppgifter som enligt principen om uppgifts- minimering får behandlas är knuten till ändamålen med behandlingen. Kravet på att all behandling måste ha en rättslig grund innebär att den materiella och processuella regleringen som styr en myndighets verk- samhet också styr för vilka ändamål myndigheten får behandla person- uppgifter (jfr avsnitt 8.2.1). Eftersom de uppgifter som får behandlas måste vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen med behandlingen, som i sin tur begränsas av den mate- riella och processuella verksamhetsregleringen, finns det följaktligen en nära koppling mellan den rättsliga grunden och de personuppgif-

27Skäl 47 till dataskyddsförordningen.

28Artikel 6.3 i dataskyddsförordningen.

564

SOU 2023:100

Databasregleringen

ter som en myndighet får behandla. Annorlunda uttryckt får en myndighet enligt dataskyddsförordningen inte behandla fler eller andra personuppgifter än vad som behövs för att utföra sin författ- ningsreglerade verksamhet. Dataskyddsförordningens bestämmelser tillåter inte att en myndighet samlar in personuppgifter för obestämda framtida behov, för att uppgifterna kan komma till nytta i framtiden eller för att skaffa fram information om förhållanden som saknar betydelse för, eller är överflödiga i förhållande till, myndighetens behov av att kunna utföra sin författningsreglerade verksamhet.

Dataskyddsförordningen innehåller även ett krav på att integritets- skydd byggs in i de tekniska system som används för behandling av personuppgifter, uttryckt genom kravet på inbyggt dataskydd och dataskydd som standard (artikel 25). Kraven enligt artikel 25 innebär bl.a. att personuppgiftsansvariga myndigheter är skyldiga att genom- föra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ända- mål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska åtgärderna säkerställa att personuppgifter inte görs tillgängliga för ett obegränsat antal fys- iska personer (artikel 25.2).

För att kunna visa att dataskyddsförordningens bestämmelser följs bör en personuppgiftsansvarig enligt skäl 78 till dataskydds- förordningen anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bl.a. bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras och att den personuppgiftsansvarige vidtar åtgärder för att kunna skapa och förbättra säkerhetsanordningar. Principerna om inbyggt data- skydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar.

I avsnitt 11.5.3 lämnas en utförligare redogörelse för de krav som artikel 25 ställer upp på den personuppgiftsansvariga.

565

Databasregleringen

SOU 2023:100

Övriga bestämmelser som är relevanta för myndigheters databaser

Enligt artikel 24 har den personuppgiftsansvariga ett ansvar att, med beaktande av bl.a. behandlingens art och omfattning samt riskerna för fysiska personers rättigheter och friheter, genomföra lämpliga tek- niska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningens be- stämmelser. Det innebär att en myndighet måste vidta tekniska och organisatoriska åtgärder med hänsyn bl.a. till vilka och hur många uppgifter som behandlas.

För att visa att datskyddsförordningens bestämmelser följs ska per- sonuppgiftsansvariga också föra register över behandling som sker under deras ansvar (skäl 82 till förordningen). Av artikel 30.1 fram- går att registret ska innehålla bl.a. en beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

Av artikel 30.4 framgår att den personuppgiftsansvariga ska göra registret tillgängligt för tillsynsmyndigheten.

Personuppgiftsansvariga ska enligt artikel 32.1 också vidta lämp- liga tekniska och organisatoriska åtgärder för att säkerställa en säker- hetsnivå som är lämplig i förhållande till riskerna med behandlingen för fysiska personers rättigheter och friheter, bl.a. utifrån behand- lingens art, omfattning, sammanhang och ändamål. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, särskilt till risken för bl.a. obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas, arti- kel 32.2. Enligt artikel 32.4 ska personuppgiftsansvariga som utgångs- punkt också vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges överinseende endast behandlar personuppgifter på instruktion från den person- uppgiftsansvariga. Det innebär att myndigheterna har en skyldighet att vidta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är lämplig bl.a. utifrån vilka och hur många uppgifter som behandlas samt den omständigheten att flera personer har möjlighet att ta del av uppgifterna, samt se till att medarbetare inte behandlar person- uppgifter på ett sätt som är omotiverat utifrån deras arbetsuppgifter.

Enligt artikel 35.1 ska den personuppgiftsansvariga också göra en konsekvensbedömning om en behandling sannolikt bedöms leda till en hög risk för fysiska personers rättigheter och friheter. Vid denna bedömning ska personuppgiftsansvariga bl.a. göra en bedömning av

566

SOU 2023:100

Databasregleringen

behovet av och proportionaliteten hos behandlingen i förhållande till syftena med den, och de åtgärder som planeras för att hantera ris- kerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att bl.a. kunna visa att dataskyddsförordningens bestämmelser efter- levs (artikel 35.7 b och d). I avsnitt 11.7.3 redogörs närmare för förfarandet vid konsekvensbedömningar och kravet på samråd med IMY enligt artikel 36 i dataskyddsförordningen.

Särskild reglering av uppgiftssamlingar även efter 2018

Även efter att dataskyddsförordningen och dataskyddslagen började tillämpas har automatiserade uppgiftssamlingar i den offentliga sek- torn ansetts behöva regleras särskilt. Exempelvis uttalade regeringen i förarbetena till bestämmelserna om det s.k. transaktionskontoregist- ret i lagen (2023:457) om personuppgiftsbehandling vid Utbetalnings- myndigheten att en reglering av formen för behandlingen vid myn- dighetens fullgörande av uppgiften att administrera systemet med transaktionskonto var lämplig. Motiveringen var bl.a. att myndig- heten på ett ordnat sätt skulle kunna organisera och få en överblick över de utbetalningar som myndigheten administrerar. Enligt reger- ingen framstod begreppet register som lämpligt för uppgiftssam- lingen. Däremot ansåg regeringen att det inte fanns skäl att i lag ange närmare vilka slags uppgifter som registret skulle få innehålla, då det varken var nödvändigt utifrån ett integritetsperspektiv eller var möj- ligt att göra.29

Också för dataanalyser och urval skulle Utbetalningsmyndigheten enligt regeringen föra en uppgiftssamling, benämnd uppgiftssamlingen för dataanalyser och urval. Regeringen konstaterade att ett stort an- tal och även känsliga uppgifter behövde behandlas för dataanalyser och urval, och att uppgifterna skulle hämtas in från andra myndig- heter och aktörer samt från transaktionskontoregistret. Regeringen bedömde därför att det med hänsyn till omfattningen och uppgifter- nas karaktär fanns ett behov av en strukturerad samling av uppgifter som satte upp gränser för vilka uppgifter som fick användas.30 Regeringen ansåg även att särskilda skyddsåtgärder borde införas för den aktuella behandlingen.31 Av 3 kap. 2 § lagen om personuppgifts-

29Prop. 2022/23:34, Utbetalningsmyndigheten, s. 138–139.

30Prop. 2022/23:34, Utbetalningsmyndigheten, s. 143.

31Prop. 2022/23:34, Utbetalningsmyndigheten, s. 146.

567

Databasregleringen

SOU 2023:100

behandling vid Utbetalningsmyndigheten framgår att endast de per- sonuppgifter som behövs för att göra dataanalyser och urval får be- handlas i uppgiftssamlingen, och att personuppgifterna som behand- las för att göra dataanalyser och urval inte får behandlas någon annan- stans än i uppgiftssamlingen. Regeringen har även bedömt att närmare reglering av vilka uppgifter som får behandlas i uppgiftssamlingen är motiverad. Sådan reglering har införts i 8 § förordningen om (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten.

Även för Myndigheten för arbetsmiljökunskap ansåg regeringen att det fanns skäl att särskilt reglera de uppgiftssamlingar som skulle förekomma inom myndigheten. Regeringen konstaterade i förarbetena till lagen (2019:663) om behandling av personuppgifter vid Myndig- heten för arbetsmiljökunskap att samlingar av stora mängder person- uppgifter som bevaras över en längre tid oundvikligen var förenade med risker för intrång i den personliga integriteten. Därför borde samlingarna vara omgärdade av särskilda säkerhetsåtgärder.32

Att myndigheters uppgiftssamlingar regleras särskilt är dock inte utan undantag, även när det gäller mycket omfattande behandling som också omfattar känsliga personuppgifter. Exempelvis finns inte någon särskilt reglering av uppgiftssamlingar i utlänningsdatalagen (2016:27) eller domstolsdatalagen (2015:728). I sammanhanget kan även nämnas att Försäkringskassan och Pensionsmyndigheten hemställt om att särregleringen av socialförsäkringsdatabasen, dvs. den databas som i dag regleras särskilt i 114 kap. socialförsäkringsbalken, ska upphävas. Förslaget har remitterats och nyligen lagts fram i en proposition.33 Det kan också nämnas att lagrådet har lämnat förslaget utan erinran.34

32Prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, s. 34.

33Prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 27.

34Lagrådet, utdrag ur protokoll vid sammanträde 2023-09-27, tillgängligt: https://www.lagradet.se/wp-content/uploads/2023/09/En-modern-dataskyddsreglering-pa- socialforsakringsomradet-1.pdf [hämtad 2023-09-30].

568

SOU 2023:100

Databasregleringen

9.3Befintlig databasreglering för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten

9.3.1Bakgrund

Databaser ersatte personregister

Reformbehovet

Som framgått av avsnitt 9.2.1 reglerades personuppgiftsbehandling inom Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och nuvarande Kronofogdemyndigheten före 2001 i ett flertal olika registerlagar.

Regeringen konstaterade i förarbetena till nuvarande reglering att de äldre registerlagarna innehöll detaljerade bestämmelser om bl.a. vilka uppgifter som fick finnas i registren.35 Ett exempel var skatte- registerlagen som på grund av den höga graden av detaljreglering hade ändrats vid ett femtiotal tillfällen sedan 1980. Enligt regeringen var lagen vid tidpunkten såväl svåröverskådlig som svårtillämpad. Den lagstiftning som skulle reglera användandet av datorstöd i framtiden behövde enligt regeringen i stället vara teknikoberoende och flexi- bel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågick. En reglering av t.ex. det närmare innehållet skulle bli mycket detaljerad och ändringar i den materiella lagstiftningen kunde enligt regeringen ofta få konsekvenser för vilka uppgifter som skulle registreras.36

Att helt undvika reglering av vilka uppgifter som fick behandlas kunde dock leda till oklarheter och svårigheter för de tillämpande myndigheterna. I lagarna borde därför anges de yttre ramarna för vad registret fick innehålla. I vissa fall, t.ex. i fråga om folkbokförings-

35Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sam- manslagning av dessa, se prop. 2002/03:99 Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket. Under en övergångstid skulle Skatteverket fun- gera som central myndighet även inom dåvarande kronofogdemyndigheternas verksamhets- område. De tio regionala kronofogdemyndigheterna avvecklades och en ny myndighet, Krono- fogdemyndigheten, med rikstäckande verksamhet inrättades den 1 juli 2006, se prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 134 och lagen (2006:671) med anledning av inrättande av Kronofogdemyndigheten. Om Kronofogdemyndighetens självständighet i förhållande till Skatteverket se prop. 2006/07:99, En fristående kronofogdemyndighet m.m.

36Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 84.

569

Databasregleringen

SOU 2023:100

verksamheten, kunde det dock vara motiverat att uttömmande reglera innehållet i lag.37

Regeringen konstaterade dock att det traditionella registerbegrep- pet vid flera tillfällen hade kritiserats och ansåg att det inte längre var ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Begreppet register var inte heller så väl lämpat att användas som be- teckning för det samlade datasystemet hos myndigheter som tillämp- ade elektronisk ärendehantering. I ett sådant system lagrades inkomna handlingar i ett ärende i en elektronisk akt efter att ha lästs av genom s.k. skanning eller sänts in av den enskilde i elektronisk form. Hand- lingar som upprättades i ärendet framställdes genom automatiserad behandling och lagrades även huvudsakligen i elektronisk form. Be- greppet register borde enligt regeringen på detta område förbehållas sådana automatiserade uppgiftssamlingar som faktiskt utgjorde register i strikt betydelse, nämligen när uppgifter var organiserade på ett syste- matiskt sätt enligt fastställda kriterier. Databas hade enligt reger- ingen rent språkligt en mer naturlig anknytning till automatiserade sammanställningar i allmänhet och hade den fördelen att det inte tek- niskt avgränsade hur en samling uppgifter var uppbyggd eller orga- niserad.38

Begreppet databas skulle införas som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar som skulle an- vändas gemensamt inom en verksamhet och för vilka särskilda regler skulle gälla. Definitionen hade enligt regeringen även den fördelen att den inte tekniskt avgränsade hur en samling uppgifter var upp- byggd eller organiserad. Det innebar att om flera register – i egentlig bemärkelse – var sammanlänkande och samtliga uppgifter i de olika registren på ett gemensamt sätt var tillgängliga för sökning med auto- matiserad behandling inom en avgränsad verksamhet, så utgjorde dessa register en databas. En databas kunde alltså innehålla flera mindre databaser, varav en del kunde vara regelrätta register. Från integri- tetssynpunkt var det dock enligt regeringen viktigt att stora uppgifts- samlingar som hanterades av myndigheter och som gav möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer, omgärdades av särskilda skyddsregler. För behandling av uppgifter i

37Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85.

38Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 88–91.

570

SOU 2023:100

Databasregleringen

databaser skulle därför särskilda bestämmelser gälla på en rad punk- ter, bl.a. i fråga om vilka uppgifter som fick behandlas.39

Även vad gällde elektroniska handlingar skulle särskilda bestäm- melser gälla.40 När det gällde behandlingen av känsliga uppgifter be- hövde det enligt regeringen göras en åtskillnad mellan behandling av uppgifter i elektroniska handlingar i ärendehanteringssystem och annan behandling. Vid registrering av mer traditionell karaktär, dvs. när uppgifter registrerades för att kunna vara sökbara och använd- bara vid den allmänna ärendehanteringen och verksamhetsdriften hos en myndighet, skulle känsliga personuppgifter och uppgifter om lag- överträdelser m.m. få behandlas i en databas endast om det var särskilt angivet i den lag som reglerade behandlingen av personuppgifter.41

Skatteverkets beskattningsverksamhet

Uppgiftskategorierna för beskattningen borde enligt regeringen ange vad som fick behandlas i den informationsbaserade delen av databasen, dvs. uppgifter som då fanns i det centrala skatteregistret eller register som fördes med tillstånd av Datainspektionen. Regeringen eller den myndighet regeringen bestämde skulle kunna ge de närmare före- skrifter om innehållet som behövdes. Enligt regeringen skulle de pri- mära ändamålen vara styrande och uppgifter som inte behövdes för de primära ändamålen skulle inte få finnas i databasen. En grundläg- gande förutsättning för att en uppgift över huvud taget skulle få be- handlas i databasen var därmed att den behövdes för beskattnings- verksamheten.42

De uppgifter som skulle få finnas i beskattningsdatabasen var samtliga uppgifter som då fanns i olika författningsreglerade eller till- ståndspliktiga register inom skatteförvaltningens beskattningsverk- samhet samt sådana ytterligare uppgifter som kunde bli nödvändiga att registrera i framtiden. Samtliga uppgifter som skattemyndigheterna

39Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 88.

40Enligt regeringen avsågs med elektroniska handlingar beslut och andra handlingar som upp- rättats i elektronisk form av skattemyndigheterna, de deklarationer som lämnats in i elektro- nisk form till myndigheterna samt de inkomna pappersbaserade handlingar som bildfångats, dvs. avbildats elektroniskt, se prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 63. Elektroniska handlingar ska alltså i sammanhanget inte förstås som syno- nymt med upptagningar för automatiserad behandling i enlighet med 2 kap. 3 § tryckfrihets- förordningen, vilket är Riksarkivets definition, se 2 kap. 1 § RA-FS 2009:1.

41Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101.

42Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 128. De ändamål som regeringen föreslog framgår av avsnitt 8.3.1.

571

Databasregleringen

SOU 2023:100

behövde för att vid ärendehantering få tillgång till nödvändig infor- mation eller för att beslut om debitering eller återbetalning av skatter och avgifter m.m. skulle kunna fattas skulle få behandlas i databasen. Utöver det skulle även beslut få registreras i databasen med angivande av skälen för beslutet, liksom yrkande och grunder i ett ärende. När uppgifter om yrkanden, grunder och beslut m.m. fördes in i data- basen på annat sätt än i elektroniska handlingar, skulle de emellertid inte få omfatta känsliga personuppgifter. Behandlingen av känsliga personuppgifter och uppgifter om lagöverträdelsen i den informa- tionsbaserade delen av databasen borde enligt regeringen regleras i lag i detalj och motsvara vad som redan gällde vid tidpunkten.43

För att täcka in uppgifter som behandlades av andra skäl än be- skattning på grund av att Sverige gentemot exempelvis EU var för- pliktigat att hantera viss information, skulle behandling i databasen få ske av uppgifter som behövdes för fullgörande av ett åliggande som följde av ett för Sverige bindande internationellt åtagande.44

Skatteverkets folkbokföringsverksamhet

Regeringen konstaterade att inom folkbokföringsverksamheten var förändringstakten förhållandevis låg i fråga om vilka uppgifter om fysiska personer som behövde behandlas på automatiserad väg i den informationsbaserade delen av databasen. Den uppräkning av upp- gifter som då fanns i lagen (1990:1536) om folkbokföringsregister var dessutom både begränsad till sin omfattning och av central be- tydelse i folkbokföringsverksamheten. Regeringen ansåg därför att de uppgifter som fick behandlas på samma sätt som tidigare skulle anges direkt i lag. Bestämmelserna om vilka uppgifter databasen fick innehålla borde i stort sett oförändrade föras över från de befintliga bestämmelserna. I folkbokföringsdatabasen skulle också uppgifter om yrkande, grunder och beslut i ett ärende samt andra uppgifter som behövdes för handläggningen av ett ärende få behandlas. Motsvar- ande uppgifter registrerades då i stor utsträckning i de handläggnings- register som fördes enligt förordningen (1991:750) om folkbokför- ingsregister.45

43Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 129.

44Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 130.

45Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141.

572

SOU 2023:100

Databasregleringen

När sådana uppgifter behandlades på annat sätt än i elektroniska handlingar skulle dock begränsningar i fråga om vilka känsliga per- sonuppgifter m.m. som fick behandlas gälla. De uppgifter som regi- strerades i det särskilda handläggningsregistret enligt förordningen om folkbokföringsregister m.m. skulle även fortsättningsvis få be- handlas, eftersom det var uppgifter som behövdes för handläggning av ärenden. Vilka övriga uppgifter som skulle få behandlas för hand- läggningen av ärenden borde regleras i förordning, framför allt upp- gifter om personer som aldrig varit folkbokförda.46

Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skulle i princip endast få behandlas i elektroniska handlingar i ärende- hanteringssystem. Känsliga personuppgifter m.m. som i andra fall skulle få behandlas i databasen borde enligt regeringen regleras ut- tryckligt i lag. För folkbokföringsdatabasens del saknades dock enligt regeringen anledning att behandla andra sådana uppgifter än de som ingick i den från lagen om folkbokföringsregister överflyttade upp- räkningen av uppgifter som fick behandlas i databasen.47

Tullverket

Regeringen konstaterade att i tullregisterlagen angavs endast ramarna för vilka uppgifter som fick finnas i registret, vilket överensstämde med vad som föreslogs i fråga om skatteförvaltningens och krono- fogdemyndigheternas verksamhet. Då gällande bestämmelser borde mot den bakgrunden överföras till den nya lagen. För att täcka in vissa uppgifter som behandlades av andra skäl än de som omfattades av Tull- verkets ordinarie verksamhet på grund av att Sverige gentemot exem- pelvis EU var förpliktigat att hantera viss information skulle även anges att behandling fick ske i databasen av uppgifter som behövdes för fullgörande av ett åliggande som följde av ett för Sverige bind- ande internationellt åtagande. Eftersom det inte kunde uteslutas att känsliga personuppgifter kunde förekomma i en handling som gavs in av en enskild borde även sådana uppgifter få behandlas i databasen, om de fanns i en handling som hade kommit in till eller upprättats av Tullverket.48

46Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141–142.

47Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 142.

48Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 178.

573

Databasregleringen

SOU 2023:100

Kronofogdemyndighetens databaser

För den särskilda behandlingen i databaser inom Kronofogdemyndig- heten ansåg regeringen att det fanns anledning att reglera de olika verksamhetsområdena för sig. I fråga om ändamålen med och vilka uppgifter som skulle få behandlas i en databas var skillnaderna i vissa avseenden så stora att lagstiftningen annars hade blivit svåröverskåd- lig. Regeringen ansåg därför att behandlingen av personuppgifter i kronofogdemyndigheternas verksamhet skulle delas in i olika data- baser för utsökning och indrivning, betalningsföreläggande och hand- räckning, skuldsanering och konkurstillsyn.49

Utsöknings- och indrivningsdatabasen

Uppgiftskategorierna som skulle anges i lag avsåg det som fick be- handlas i den informationsbaserade delen av databasen, dvs. upp- gifter som redan registrerades i det s.k. centrala utsökningsregistret. En grundläggande förutsättning för att en uppgift över huvud taget skulle få behandlas var att den behövdes för de primära ändamålen med databasen.50

Grundläggande uppgifter om enskilda som behövdes för att den exekutiva verksamheten skulle fungera behövde få registreras, bl.a. uppgifter om personnummer, namn, adress samt uppgifter om civil- stånd och hemmaboende barn. Även information om en svarandes och eventuella familjemedlemmars ekonomi var enligt regeringen av avgörande betydelse. I vissa fall krävdes att även andra uppgifter om egendom behandlades, exempelvis uppgifter om namn m.m. på pant- rättshavare och hyresgäster. Yrkande och grunder samt beslut, betal- ning, redovisning och övriga åtgärder i ett mål eller ärende skulle också få registreras i databasen. De uppgifterna skulle i stor omfattning komma att återfinnas i elektroniska handlingar i ärendehanterings- systemen, men uppgifter om beslut m.m. behövde enligt regeringen kunna återfinnas i databasen utan att en handläggare hade tillgång till den elektroniska akten i det aktuella ärendet. När uppgifter om yrkan- den, grunder och beslut m.m. fördes in i databasen på annat sätt än i elektroniska handlingar, fick de dock inte omfatta känsliga person-

49Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 157–158.

50Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 160. De ända- mål som regeringen föreslog skulle gälla för nuvarande Kronofogdemyndighetens respektive databaser framgår av avsnitt 8.3.1.

574

SOU 2023:100

Databasregleringen

uppgifter m.m. När det var nödvändigt att få tillgång till ett beslut som innehöll känsliga uppgifter och övriga handlingar i ett ärende, borde detta enligt regeringen tas fram genom ärendehanteringssyste- met. Möjligheten att behandla känsliga personuppgifter och uppgif- ter om lagöverträdelser m.m. borde dock enligt regeringen uttöm- mande regleras i lag. I den exekutiva verksamheten fanns behov av att behandla främst uppgifter om böter eller skadestånd på grund av brott i de fall dessa utgjorde grunden för en begäran om verkställig- het. Även uppgifter om att det hos åklagare hade anmälts misstanke om brott behövde behandlas. I lagen skulle det därför anges att så- dana uppgifter fick behandlas även på annat sätt än i elektroniska handlingar.51

Betalningsföreläggande-och handräckningsdatabasen

Regeringen konstaterade att de dåvarande betalningsföreläggande- och handräckningsregistren i första hand var avsedda som hjälp- medel vid målhanteringen och att innehållet i dem var anpassat efter det. I registren fick finnas identifieringsuppgifter gällande parterna samt övriga förhållanden som var av betydelse för delgivningsförfar- andet. Registren fick även innehålla uppgifter som var direkt knutna till målhanteringen, bl.a. målnummer, inkomstdag, saken, yrkanden och grunder, handlingar som kommit in eller skickats ut i målen, del- givning, frister, beslut i målet samt annat som tillförts målet och som var av betydelse för handläggningen. I likhet med vad som föreslogs

ifråga om utsöknings- och indrivningsdatabasen borde det enligt reger- ingen i lag endast anges vilka kategorier av uppgifter som skulle få behandlas i den informationsbaserade databasen. Databasens inne- håll borde enligt regeringen i huvudsak motsvara vad som då gällde enligt lagen (1991:876) om register för betalningsföreläggande och handräckning. Grundläggande identitets- och andra basuppgifter för fysiska och juridiska personer skulle få behandlas. Detsamma gällde yrkanden och grunder samt beslut och övriga åtgärder i ett mål. Enligt regeringen borde behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. även här regleras uttömmande i lag. Inom den verksamhet som rörde den summariska processen fanns behov av att behandla främst uppgifter om skadestånd på grund av

51Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 160–161.

575

Databasregleringen

SOU 2023:100

brott i de fall dessa utgjorde grund för en begäran om utslag. I lagen borde det därför anges att sådana uppgifter fick behandlas även på annat sätt än i elektroniska handlingar.52

Skuldsaneringsdatabasen

I likhet med vad som föreslogs i fråga om utsöknings- och indriv- ningsdatabasen borde det enligt regeringen i lag endast anges vilka kategorier av uppgifter som fick behandlas i den informationsbase- rade databasen. Innehållet i databasen borde enligt regeringen i huvud- sak motsvara vad som då gällde enligt förordningen (1994:348) om register för skuldsaneringsärenden. De uppgifter som skulle få behand- las i databasen var vanliga identifikationsuppgifter och handlingar som kommit in eller skickats ut samt beslut i ärendet. Detsamma gällde yrkanden och grunder och övriga åtgärder i ett mål. Slutligen borde även vissa uppgifter om skulderna och om en enskilds ekonomiska förhållanden få behandlas. Regeringen konstaterade vidare att infor- mation om en sökandes och eventuella familjemedlemmars ekonomi var av avgörande betydelse i ett ärende om skuldsanering. Med eko- nomiska förhållanden avsågs bl.a. uppgifter om inkomster, skuld- belopp, när skulder förföll till betalning, borgensåtaganden samt an- stånd med betalning. Behandlingen av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. borde uttömmande regleras i lag. Inom den verksamhet som rörde skuldsanering fanns enligt reger- ingen behov av att behandla främst uppgifter om böter eller skade- stånd på grund av brott i de fall dessa utgjorde grund för en fordran i ett ärende. I lagen skulle det därför anges att sådana uppgifter fick behandlas även på annat sätt än i elektroniska handlingar.53

Konkurstillsynsdatabasen

I likhet med vad som föreslogs i fråga om utsöknings- och indrivnings- databasen borde enligt regeringen i lag endast anges vilka kategorier av uppgifter som fick behandlas i databasen. Regeringen konstate- rade att det dåvarande konkurstillsynsregistret innehöll uppgifter om konkursförvaltare, ställföreträdare och konkursgäldenärer. Registret

52Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 164.

53Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 168.

576

SOU 2023:100

Databasregleringen

fick i fråga om dessa personer innehålla uppgifter om bl.a. namn, adress, person- eller organisationsnummer, tingsrättens beslutsdatum, förvaltararvoden och lönegaranti. De uppgifter som fick registreras skulle enligt regeringens mening även få behandlas i konkurstillsyns- databasen. Eftersom ett konkursbo var föremålet för behandlingen av uppgifter i databasen ansåg regeringen att det uttryckligen borde framgå att uppgifter om ett konkursbo skulle få behandlas. Därut- över borde yrkanden och grunder samt beslut med angivande av skälen för beslutet och övriga åtgärder i ett ärende få behandlas. Uppgifter om enskildas ekonomiska förhållanden behövde också få behandlas i ett ärende om konkurstillsyn. Detsamma gällde uppgifter om kon- kursbeslut och andra domstols- eller myndighetsbeslut som behöv- des i ett ärende. Vid prövning av lönegarantifrågor var enligt reger- ingen även uppgifter om arbetstagarens eventuella andel i företaget av betydelse och sådana uppgifter skulle därför få behandlas i data- basen. Regeringen konstaterade dock att de dåvarande konkurstillsyns- registren inte fick innehålla uppgifter om brott eller misstanke om brott, uppgifter om näringsförbud eller uppgifter som utgör om- döme eller annan värderande upplysning om den registrerade. Enligt regeringens mening fanns det inte heller något behov av att behandla sådana uppgifter i verksamheten med konkurstillsyn eller vid hand- läggningen av mål enligt lönegarantilagen. När det gällde känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skulle dock behandling av sådana uppgifter få ske om uppgifterna förekom i en handling som kommit in eller upprättats i ett ärende.54

En ny databas i folkbokföringsverksamheten

En databas för analys och urval

I samband med att Skatteverket nyligen gavs utökade möjligheter att göra dataanalyser och urval i folkbokföringsverksamheten bedömde regeringen att behandlingen var sådan att formerna för densamma borde regleras och att det fanns behov av en reglering som satte grän- ser för vilka uppgifter som skulle få användas. Regeringen konstate- rade i sammanhanget åter att behandling som innebar att fler än ett fåtal personer hade såväl tillgång till som möjlighet att bearbeta eller förfoga över uppgifter på annat sätt, typiskt sett ansågs mer integri-

54Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 171–172.

577

Databasregleringen

SOU 2023:100

tetskänslig än vad som var fallet när endast någon enstaka person för- fogade över uppgifterna. Regeringen ansåg att databasbegreppet skulle användes för den uppgiftssamling som skulle regleras och som skulle kunna användas gemensamt i verksamheten.55

Innehållet i analys- och urvalsdatabasen

I den nya databasen får i huvudsak de uppgifter som redan får be- handlas i folkbokföringsdatabasen behandlas. Kravet på att Skatte- verket skulle ha korrekta uppgifter i folkbokföringsdatabasen var dock enligt regeringen svårt att upprätthålla när myndigheten inte kan nyttja uppgifter från andra aktörer. Regeringen ansåg därför att Skatte- verket borde ges möjligheter till effektivisering i folkbokförings- verksamheten genom att i den nya databasen också få använda upp- gifter från andra verksamheter inom Skatteverket liksom från andra myndigheter.56

9.3.2Databaserna i dag

Beskattningsdatabasen

En samling uppgifter

Beskattningsdatabasen regleras i 2 kap. lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabas- lagen (SdbL). Av 2 kap. 1 § SdbL framgår att det i beskattningsverk- samheten ska finnas en samling uppgifter som med hjälp av automa- tiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges 1 kap. 4 och 5 §§ samma lag.57

55Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 22.

56Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 25.

57Se avsnitt 8.3.4 om primära och sekundära ändamål i Skatteverkets beskattningsverksamhet.

578

SOU 2023:100

Databasregleringen

Personkrets

Av 2 kap. 2 § SdbL jämfört med 1 kap. 4 § 1–9 samma lag framgår att i databasen får uppgifter behandlas om personer som omfattas av Skatteverkets verksamhet med

1.fastställande av underlag för samt bestämmande, redovisning, betal- ning och återbetalning av skatter och avgifter,

2.bestämmande av pensionsgrundande inkomst,

3.fastighetstaxering,

4.revision och annan analys- eller kontrollverksamhet,

5.tillsyn samt lämplighets- och tillståndsprövning och annan lik- nande prövning,

6.handläggning

a)enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,

b)av andra frågor om ansvar för någon annans skatter och av- gifter,

c)enligt lagen (2015:912) om automatiskt utbyte av upplys- ningar om finansiella konton och 22 b kap. skatteförfarande- lagen (2011:1244),

d)enligt lagen (2017:182) om automatiskt utbyte av land-för- land-rapporter på skatteområdet och 33 a kap. skatteförfarande- lagen,

e)enligt 33 b kap. skatteförfarandelagen,

g)enligt lagen (2022:1681) om plattformsoperatörers inhäm- tande av vissa uppgifter på skatteområdet, lagen (2022:1682) om automatiskt utbyte av upplysningar om inkomster genom digitala plattformar och 22 c kap. skatteförfarandelagen,

7.fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande,

579

Databasregleringen

SOU 2023:100

9.hantering av uppgifter om sjuklönekostnad.

Uppgifter om andra personer får enligt 2 kap. 2 § SdbL behandlas om det behövs för handläggningen av ett ärende.

Uppgifter som får behandlas

I 2 kap. 3 § SdbL anges att följande uppgifter får behandlas i beskatt- ningsdatabasen för de primära ändamålen som anges i 1 kap. 4 § samma lag:

1.en fysisk persons identitet, medborgarskap, bosättning och familje- förhållanden,

2.en juridisk persons identitet, säte, ägarförhållanden samt firma- tecknare och andra företrädare,

3.registrering för skatter och avgifter,

4.underlag för fastställande av skatter och avgifter,

5.bestämmande av skatter och avgifter,

6.underlag för fastighetstaxering,

7.revision och annan kontroll av skatter och avgifter,

8.uppgifter som behövs för handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,

9.avgiftsskyldighet till ett registrerat trossamfund och medlemskap i fackförening,

10.yrkanden och grunder i ett ärende,

11.beslut, betalning, redovisning och övriga åtgärder i ett ärende,

12.uppgifter som behövs vid hantering av underrättelser från arbets- givare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlän- ning som inte har rätt att vistas i Sverige,

580

SOU 2023:100

Databasregleringen

13.uppgifter som behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2020:548) om omställningsstöd eller för handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, och

14.uppgifter om sjuklönekostnad.

Av 2 kap. 3 § SdbL framgår också att även andra uppgifter som be- hövs för fullgörande av ett åliggande som följer av ett för Sverige bind- ande internationellt åtagande får behandlas i databasen.

Av 2 kap. 4 a § SdbL framgår att även uppgifter och handlingar som ingår i det datoriserade system som avses i artikel 1 i Europa- parlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om förflyttningar och kontroller av punktskattepliktiga varor får behandlas i databasen.

I 2 § förordningen (2001:588) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet, skattedatabasförordningen (SdbF), anges närmare vilka uppgifter som får behandlas i beskattningsdata- basen beträffande personer som avses i 2 kap. 2 § SdbL. Listan på upp- gifter är mycket omfattande och avser bl.a. uppgifter som behövs vid Skatteverkets handläggning av ärenden som görs med stöd av olika särskilt angivna lagar och andra författningar med bestämmelser om skatter och socialavgifter, samt för planerad, beslutad, pågående eller avslutad revision och annan kontroll av skatter, avgifter och stöd. I 2 § SdbF anges dock även ett flertal andra uppgiftskategorier, exempel- vis uppgifter från aktiebolagsregistret och från vägtrafikregistret.

Känsliga personuppgifter

Av 2 kap. 4 § SdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som av- ses i 1 kap. 7 § samma lag, dvs. känsliga personuppgifter och upp- gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.

581

Databasregleringen

SOU 2023:100

Folkbokföringsdatabasen

En samling uppgifter

Folkbokföringsdatabasen regleras i andra kapitlet i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet, folkbokföringsdatabaslagen (FdbL). Av 2 kap. 1 § FdbL framgår att det i folkbokföringsverksamheten ska finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära ändamålen som anges 1 kap. 4 § samma lag.58

Personkrets

Av 2 kap. 2 § FdbL framgår att i databasen får uppgifter behandlas om personer som har tilldelats personnummer eller samordnings- nummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.

Uppgifter som får behandlas

Av 2 kap. 3 § FdbL framgår att för de ändamål som anges i 1 kap. 4 § samma lag får följande uppgifter behandlas i databasen

1.person- eller samordningsnummer,

2.namn,

3.födelsetid,

4.födelsehemort,

5.födelseort,

6.6. adress,

7.folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, di- strikt och folkbokföring under särskild rubrik,

8.medborgarskap,

9.civilstånd,

58Se avsnitt 8.3.5 om ändamål i Skatteverkets folkbokföringsverksamhet.

582

SOU 2023:100

Databasregleringen

10.make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen,

11.samband enligt 10 som är grundat på adoption,

12.inflyttning från utlandet,

13.avregistrering enligt 19–22 §§ folkbokföringslagen (1991:481),

14.anmälan enligt 5 kap. 2 § vallagen (2005:837),

15.gravsättning,

16.personnummer som personen har tilldelats i ett annat nordiskt land,

17.uppehållsrätt för en person som är folkbokförd,

18.tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer,

19.vilandeförklaring enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen,

20.tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbok- förd har avlidit, och

21.fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa.

Av 2 kap. 3 § andra stycket FdbL framgår dessutom att i databasen får även uppgifter behandlas som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495), oavsett om upp- gifterna är sådana som avses i 1 kap. 6 § FdbL, dvs. känsliga person- uppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Av tredje stycket i samma paragraf framgår även att i ärenden om tilldelning av personnummer enligt 18 b § folkbokföringslagen eller samordningsnummer får även anges grunden för tilldelningen och de handlingar som har legat till grund för identifiering. I ärenden om tilldelning eller förnyelse av samordningsnummer får även anges om den enskildes identitet är styrkt, sannolik eller osäker.

583

Databasregleringen

SOU 2023:100

I 2 kap. 4 § första stycket FdbL anges att i databasen får uppgifter behandlas om yrkanden, grunder och beslut i ett ärende samt andra uppgifter som behövs för handläggningen av ett ärende.

Av 4 § första stycket förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbok- föringsdatabasförordningen (FdbF), framgår att för handläggning av ärenden får i databasen behandlas uppgifter som avses i 5 kap. 2 § offentlighets- och sekretesslagen (2009:400) och andra ärendeuppgif- ter om den person som ärendet rör. Av 4 § andra stycket i samma förordning framgår att för handläggning av sådana ärenden som av- ses i 1 § andra stycket folkbokföringslagen (1991:481) får behandlas uppgifter om personer som inte är eller har varit folkbokförda. I 4 § tredje stycket samma förordning anges att Skatteverket meddelar när- mare föreskrifter om vilka uppgifter som får behandlas enligt första och andra styckena.

Känsliga personuppgifter

Enligt 2 kap. 5 § FdbL får en handling som har kommit in i ett ärende behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lag- överträdelser som innefattar brott, domar i brottmål, straffproces- suella tvångsmedel eller administrativa frihetsberövanden. En hand- ling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets hand- läggning.

Analys- och urvalsdatabasen i folkbokföringsverksamheten

En samling uppgifter

Analys- och urvalsdatabasen i folkbokföringsverksamheten regleras i 2 a kapitlet i folkbokföringsdatabaslagen. Av 2 a kap. 1 § FdbL fram- går att i folkbokföringsverksamheten ska det finnas en samling per- sonuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de ändamål som anges i 1 kap. 4 a § samma lag.59

59Se 8.3.5 om ändamål i Skatteverkets folkbokföringsverksamhet för den särskilda databasen.

584

SOU 2023:100

Databasregleringen

Personkrets

Av 2 a kap. 1 § FdbL jämfört med 2 kap. 2 § samma lag framgår att i analys- och urvalsdatabasen får uppgifter om personer som har till- delats personnummer eller samordningsnummer, och om andra per- soner om det behövs för handläggningen av ett ärende, behandlas.

Uppgifter som får behandlas

Av 2 a kap. 3 § FdbL jämfört med 2 kap. 3 och 4 §§ samma lag framgår att i databasen får följande uppgifter behandlas:

1.person- eller samordningsnummer,

2.namn,

3.födelsetid,

4.födelsehemort,

5.födelseort,

6.adress,

7.folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, distrikt och folkbokföring under särskild rubrik,

8.medborgarskap,

9.civilstånd,

10.make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen,

11.samband enligt 10 som är grundat på adoption,

12.inflyttning från utlandet,

13.avregistrering enligt 19–22 §§ folkbokföringslagen (1991:481),

14.anmälan enligt 5 kap. 2 § vallagen (2005:837),

15.gravsättning,

16.personnummer som personen har tilldelats i ett annat nordiskt land,

17.uppehållsrätt för en person som är folkbokförd,

585

Databasregleringen

SOU 2023:100

18.tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer,

19.vilandeförklaring enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen,

20.tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbok- förd har avlidit, och

21.fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa.

Av tredje stycket i samma paragraf framgår att i ärenden om tilldelning av personnummer enligt 18 b § folkbokföringslagen eller samordningsnummer får även anges grunden för tilldelningen och de handlingar som har legat till grund för identifiering. I ärenden om tilldelning eller förnyelse av samordningsnummer får även anges om den enskildes identitet är styrkt, sannolik eller osäker.

I 2 kap. 4 § första stycket FdbL anges att i databasen får även uppgifter behandlas om yrkanden, grunder och beslut i ett ärende samt andra uppgifter som behövs för handläggningen av ett ärende.

Av 5 c § FdbF framgår att även sådana uppgifter som ska lämnas av andra myndigheter till Skatteverket för kontroll av uppgifter i folk- bokföringsverksamheten får behandlas i databasen. Uppgifter om fas- tigheter, byggnader, lagfarter och tomträtter får också behandlas.

Känsliga personuppgifter

Någon särskild bestämmelse som endast avser behandling av käns- liga personuppgifter i analys- och urvalsdatabasen finns inte. Käns- liga personuppgifter som får behandlas i folkbokföringsdatabasen med stöd av 2 kap. 5 § FdbL får inte behandlas i analys- och urvalsdata- basen.

586

SOU 2023:100

Databasregleringen

Tulldatabasen

En samling uppgifter

Tulldatabasen regleras i andra kapitlet i lagen (2001:185) om behand- ling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL). Av 2 kap. 1 § TDL framgår att i Tullverkets verksamhet ska det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamålen som framgår av 1 kap. 4 och 5 §§ samma lag.60

Personkrets

Av 2 kap. 2 § jämfört med 1 kap. 4 § 1–3 TDL framgår att i databasen får uppgifter behandlas om personer som omfattas av Tullverkets verksamhet med bestämmande, redovisning, betalning och återbetal- ning av tull, annan skatt och avgifter, övervakning, revision och annan analys- eller kontrollverksamhet, samt fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Upp- gifter om andra personer får behandlas om det behövs för handlägg- ningen av ett ärende.

Uppgifter som får behandlas

I 2 kap. 3 § TDL anges att följande uppgifter får behandlas i tull- databasen för de primära ändamålen som anges i 1kap. 4 § samma lag:

1.en fysisk persons identitet och bosättning,

2.en juridisk persons identitet, säte, firmatecknare och andra före- trädare,

3.identitetsbeteckningar för transportmedel, containrar och tankar,

4.tulltaxor,

5.registrering för skatter och avgifter,

6.underlag för tull, annan skatt och avgifter,

7.bestämmande av tull, annan skatt och avgifter,

60Se avsnitt 8.3.6 om primära och sekundära ändamål i Tullverkets verksamhet.

587

Databasregleringen

SOU 2023:100

8.revision och annan kontroll av tull, annan skatt och avgifter,

9.tillstånd och licenser som krävs för import eller export av varor,

10.yrkanden och grunder i ett ärende, och

11.beslut, betalning, redovisning och övriga åtgärder i ett ärende.

Av samma bestämmelse framgår att även andra uppgifter som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande får behandlas i databasen.

I 2 § förordningen (2001:646) om behandling av uppgifter i Tull- verkets verksamhet, tulldatabasförordningen (TDF), bemyndigas Tull- verket får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen. Några sådana föreskrifter har dock inte med- delats.

Känsliga personuppgifter

Av 2 kap. 4 § TDL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 7 § samma lag, dvs. känsliga personuppgifter och upp- gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.

Utsöknings- och indrivningsdatabasen

En samling uppgifter

Utsöknings- och indrivningsdatabasen regleras liksom övriga data- baser i Kronofogdemyndighetens verksamhet i andra kapitlet i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL). Av 2 kap. 1 § KFMdbL framgår att i verksamheten med utsökning och indrivning ska det finnas en samling uppgifter som med hjälp av automatiserad

588

SOU 2023:100

Databasregleringen

behandling används gemensamt i verksamheten för de primära och sekundära ändamålen som framgår av i 2 kap. 2 och 3 §§ KFMdbL.61

Personkrets

Av 2 kap. 4 § jämfört med 2 kap. 2 § 1–5 KFMdbL framgår att i ut- söknings- och indrivningsdatabasen får uppgifter behandlas om per- soner som omfattas av Kronofogdemyndighetens och Skatteverkets verksamhet med

1.verkställighet eller annan åtgärd som särskilt åligger Kronofogde- myndigheten enligt utsökningsbalken eller annan författning,

2.indrivning av statliga fordringar m.m.,

3.avräkning vid återbetalning av skatter och avgifter,

4.ansökan om och tillsyn över näringsförbud, och

5.förebyggande av överskuldsättning och information om skuld- sanering och F-skuldsanering.

Av 2 kap. 4 § KFMdbL framgår även att uppgifter om andra personer får behandlas i databasen om det behövs för handläggningen av ett mål.

Uppgifter som får behandlas

I 2 kap. 5 § KFMdbL anges att följande uppgifter får behandlas i utsöknings- och indrivningsdatabasen för de primära ändamålen som anges i 2 kap. 2 § samma lag:

1.en fysisk persons identitet, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte, firmatecknare och andra före- trädare,

3.en enskilds ekonomiska förhållanden,

4.näringsförbud,

5.egendom som berörs i ett mål,

6.yrkanden och grunder i ett mål eller ärende,

61Se avsnitt 8.3.7 om primära och sekundära ändamål i Kronofogdemyndighetens verksamhet.

589

Databasregleringen

SOU 2023:100

7.beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende, och

8.Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, upp- gifter om lagöverträdelser som innefattar brott eller domar i brott- mål.

Av 2 kap. 5 § andra stycket KFMdbL framgår också att i databasen får även andra uppgifter behandlas som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtag- ande.

I 2 § förordningen (2001:590) om behandling av uppgifter i Krono- fogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF), anges närmare bestämmelser om uppgifter som får be- handlas i databasen. I 6 § KFMdbF anges även att Kronofogde- myndigheten får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databaserna.

Känsliga personuppgifter

Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och upp- gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövan- den. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.

Betalningsföreläggande- och handräckningsdatabasen

En samling uppgifter

Av 2 kap. 7 § KFMdbL framgår att i verksamheten med betalnings- föreläggande och handräckning samt europeiskt betalningsföreläg- gande ska det finnas en samling uppgifter som med hjälp av automa- tiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges i 2 kap. 8 och 9 §§ samma lag.

590

SOU 2023:100

Databasregleringen

Personkrets

Av 2 kap. 10 § jämfört med 2 kap. 8 § 1–3 KFMdbL framgår att i betalningsföreläggande- och handräckningsdatabasen får uppgifter behandlas om personer som omfattas av verksamhet med

1.handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande,

2.tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande,

3.förebyggande av överskuldsättning och information om skuld- sanering och F-skuldsanering.

Uppgifter om andra personer får enligt 2 kap. 10 § KFMdbL be- handlas om det behövs för handläggningen av ett mål.

Uppgifter som får behandlas

Av 2 kap. 11 § KFMdbL framgår att för de primära ändamål som an- ges i 2 kap. 8 § samma lag får följande uppgifter behandlas i databasen:

1.en fysisk persons identitet, bosättning och anställning,

2.en juridisk persons identitet, säte, firmatecknare och andra före- trädare,

3.yrkanden och grunder i ett mål,

4.övriga förhållanden, om uppgifterna tillförs ett mål och är av be- tydelse för handläggningen,

5.beslut och övriga åtgärder i ett mål, och

6.lagöverträdelser som innefattar brott eller domar i brottmål, om uppgifterna utgör grund för en begäran om utslag.

I 3 § KFMdbF anges närmare bestämmelser om uppgifter som får behandlas i databasen. I 6 § KFMdbF anges som redan nämnts även att Kronofogdemyndigheten får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databaserna.

591

Databasregleringen

SOU 2023:100

Känsliga personuppgifter

Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och upp- gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.

Skuldsaneringsdatabasen

En samling uppgifter

Av 2 kap. 13 § KFMdbL framgår att i verksamheten med skuld- sanering och F-skuldsanering ska det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verk- samheten för de primära och sekundära ändamål som anges i 2 kap. 14 och 15 §§ KFMdbL.

Personkrets

Enligt 2 kap. 16 § jämfört med 2 kap. 14 § 1 och 2 KFMdbL får uppgif- ter behandlas i databasen om personer som omfattas av verksamhet med handläggning av ärenden om skuldsanering och F-skuldsanering eller förebyggande av överskuldsättning. Uppgifter om andra perso- ner får behandlas om det behövs för handläggningen av ett ärende.

Uppgifter som får behandlas

Av 2 kap. 17 § KMdbL framgår att för de primära ändamål som anges i 2 kap. 14 § samma lag får följande uppgifter behandlas i databasen:

1.en fysisk persons identitet, bosättning och familjeförhållanden,

2.en juridisk persons identitet, säte och företrädare,

3.en enskilds ekonomiska förhållanden,

4.yrkanden och grunder i ett ärende,

592

SOU 2023:100

Databasregleringen

5.beslut och övriga åtgärder i ett ärende,

6.lagöverträdelser som innefattar brott eller domar i brottmål, om uppgifterna utgör grund för en fordran i ett ärende, och

7.beslut, betalning, redovisning och övriga åtgärder som rör gälde- närens betalningar enligt skuldsaneringslagen (2016:675) och lagen (2016:676) om skuldsanering för företagare.

I 4 § KFMdbF anges närmare bestämmelser om uppgifter som får behandlas i skuldsaneringsdatabasen. I 6 § KFMdbF anges som redan nämnts även att Kronofogdemyndigheten får meddela närmare före- skrifter om vilka uppgifter som får behandlas i databaserna.

Känsliga personuppgifter

Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och upp- gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.

Konkurstillsynsdatabasen

En samling uppgifter

Av 2 kap. 19 § KFMdbL framgår att i verksamheten med tillsyn i kon- kurs ska det finnas en samling uppgifter som med hjälp av automati- serad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges i 2 kap. 20 och 20 a §§ KFMdbL.

Personkrets

Av 2 kap. 21 § jämfört med 2 kap. 20 § 1 och 2 KFMdbL framgår att i konkurstillsynsdatabasen får uppgifter behandlas om personer som omfattas av verksamhet med handläggning av konkurstillsynsären-

593

Databasregleringen

SOU 2023:100

den, ärenden om tillsyn över rekonstruktörer och mål enligt löne- garantilagen (1992:497), samt förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering. Uppgifter om andra personer får enligt 2 kap. 21 § KFMdbL behandlas om det be- hövs för handläggningen av ett mål eller ärende.

Uppgifter som får behandlas

Enligt 2 kap. 22 § KFMdbL får, för de primära ändamål som anges i

2 kap. 20 § samma lag, följande uppgifter behandlas i databasen:

1.ett konkursbos identitet,

2.en fysisk persons identitet och bosättning,

3.en juridisk persons identitet, säte, firmatecknare och andra före- trädare,

4.en enskilds ekonomiska förhållanden,

5.domstols eller myndighets beslut,

6.yrkanden och grunder i ett mål eller ärende, och

7.beslut och övriga åtgärder i ett mål eller ärende.

Av 5 § KFMdbF framgår närmare bestämmelser om uppgifter som får behandlas i konkurstillsynsdatabasen. I 6 § KFMdbF anges som redan nämnts även att Kronofogdemyndigheten får meddela när- mare föreskrifter om vilka uppgifter som får behandlas i databaserna.

Känsliga personuppgifter

Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och upp- gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.

594

SOU 2023:100

Databasregleringen

9.3.3Myndigheternas uppfattning om nuvarande databasreglering

Allmänt om databasregleringen

Skatteverket, Tullverket och Kronofogdemyndigheten har samtliga uppgett att befintlig reglering av databaser inte speglar deras verksam- het i dag. Att de olika databaserna är särskilt reglerade kan enligt myn- digheterna ge intryck av att uppgiftssamlingarna inom en myndighet utgör separata it-system. Dagens it-miljöer består dock av komplexa verksamhetsstöd där informationen behandlas i olika it-komponenter och tekniska databaser. It-lösningarna och dess komponenter har kom- plexa samband med varandra och kan vara verksamhetsöverskrid- ande. Juridisk avgränsning i form av reglering för särskilda databaser skapar därför vissa tolknings- och tillämpningsproblem vid utveck- lingen av verksamheternas it-stöd.

Enligt myndigheterna framstår termen databas dessutom som miss- visande och omodern. Normalt talas i stället om vilka uppgifter som är gemensamt tillgängliga för en verksamhet och om logisk separa- tion i en gemensam digital infrastruktur. Logisk separation innebär att de olika verksamheterna har egna digitala sfärer. Tekniska åtgärder gör att åtkomst och sammanblandning av uppgifter mellan de olika sfärerna som utgångspunkt inte är möjlig och en verksamhet kan följ- aktligen bara få tillgång till uppgifter i sin egen sfär. Logisk separa- tion fungerar därmed som ett slags digitalt inre skalskydd och säker- ställer regelefterlevnad. Verksamhetssystemen inom en sfär har sedan bara tillgång till de uppgifter som behövs för respektive system och en handläggare får genom behörighetsstyrd åtkomst bara tillgång till de uppgifter som han eller hon behöver utifrån sina arbetsuppgifter.

Skatteverket

Skatteverket anser att databasregleringen regelmässigt utgör en be- gränsning och innebär att uppgifter endast får användas gemensamt i en verksamhet när det särskilt föreskrivs i lag eller förordning. Denna dubbelreglering anses vara onödig eftersom myndigheten enligt de allmänna dataskyddsbestämmelserna inte får behandla fler uppgifter än de som behövs för att genomföra sitt uppdrag enligt rättsordningen. Skatteverket anser därför att de grundläggande principerna i artikel 5

595

Databasregleringen

SOU 2023:100

i EU:s dataskyddsförordning (särskilt principen om laglighet och uppgiftsminimering) tillsammans med de materiella bestämmelser som reglerar beskattnings- och folkbokföringsverksamheterna ska styra vilka uppgifter myndigheten ska få behandla gemensamt.

Nuvarande reglering av vilka uppgifter som får behandlas i Skatte- verkets databaser är dessutom inte enhetlig. Innehållsregleringen av uppgifter som får användas gemensamt i folkbokföringsverksamheten är på en detaljnivå som motsvarar regleringen av ett register och ut- går inte från det behov som finns att behandla uppgifter gemensamt i verksamheten. Detaljnivån medför också ett behov av att ändra inne- hållet i lag vid varje tillfälle verksamheten måste behandla enstaka personuppgifter gemensamt, vilket har resulterat i en svårbegriplig detaljreglering av uppgifter. Motsvarande detaljnivå föreligger inte för beskattningsverksamheten som i regel utgår från uppgifter som be- hövs för att handlägga olika typer av ärenden. I vissa andra fall kan regleringen vara mycket omfångsrik och tillåta att personuppgifter behandlas gemensamt i en verksamhet för informationsutbyte och annan handräckning enligt internationella åtaganden.

En principiell utgångspunkt för reglerna om databasernas innehåll är enligt Skatteverket vidare att de utgår från uppgifter som behövs vid handläggningen av olika typer av ärenden. Verksamheternas behov av att behandla personuppgifter finns även vid s.k. faktiskt handlande (exempelvis vid analys och urval). En reglering som endast tillåter behandling av personuppgifter vid handläggning eller vid ärende- hantering tillgodoser inte myndighetens behov att kunna behandla personuppgifter.

Vid dataanalyser och urval för kontrolländamål behandlas person- uppgifter i dag i relativt stor utsträckning även utanför beskattnings- databasen. Det sker när alla relevanta uppgifter för ett urval inte får behandlas i databasen under en urvalsprocess. Det ställer särskilda krav på behandlingen eftersom uppgifterna helt eller delvis inte får be- handlas på ett sådant sätt att de är att betrakta som gemensamt till- gängliga. Detta utgör en begränsning som försvårar hanteringen då det i regel kräver att uppgifterna hanteras i en särskild it-miljö och dessutom gäller andra bestämmelser för behandlingen. I dessa fall är det i princip först när en faktisk kontrollåtgärd övervägs som uppgif- terna återigen får hanteras gemensamt i verksamheten.

Databasregleringen medför också vissa svårlösta tillämpningsfrågor inom ramen för EU-samarbetet när uppgifter i EU-gemensamma in-

596

SOU 2023:100

Databasregleringen

formationssystem görs gemensamt tillgängliga för Skatteverkets an- ställda. Vidare är begreppet databas svårtolkat eftersom det i regel för- stås som en tekniskt avgränsad databas och inte primärt som en juri- disk definition av gemensamt tillgängliga uppgifter i en verksamhet.

Tullverket

Tullverket anser att begreppet tulldatabasen ska tas bort i den nya lagstiftningen. Nästan samtliga personuppgifter som behandlas i Tullverkets verksamhet behandlas i tulldatabasen och det saknas be- hov av att skilja på hur personuppgifter behandlas. Det är enligt Tullverket svårt att se mervärdet av särreglering mellan dessa upp- gifter och de som behandlas utanför tulldatabasen. Med ett och samma regelverk för all behandling av personuppgifter inom tillämpnings- området skulle skyddsnivån för all personuppgiftsbehandling bli en- hetlig och det skulle inte längre behövas en tidskrävande bedömning av om uppgifter är gemensamt tillgängliga eller inte. Uppdelningen skapar i dag merarbete utan uppenbara integritetsvinster.

Personuppgifter som behandlas i tulldatabasen omfattas av ett sär- skilt kapitel med extra skyddsregler. Då skyddsreglerna i nuvarande reglering skiljer sig åt beroende av om personuppgifterna ska anses behandlas i tulldatabasen eller inte behöver Tullverket kontinuerligt göra överväganden kring om uppgifter behandlas i tulldatabasen eller inte. Det är då främst frågan om i vilka situationer en uppgift ska an- ses behandlas gemensamt i verksamheten som skapar tolknings- problem.

Tulldatabasen har enligt Tullverket förlorat i betydelse som en avgränsad uppgiftssamling, dels eftersom nästan alla uppgifter inom lagens tillämpningsområde får anses behandlas gemensamt, dels efter- som uppräkningen av uppgiftskategorier inte längre ger en tydlig bild av de uppgifter som behandlas i databasen.

De tekniska möjligheterna och kraven på Tullverket att behandla och dela data elektroniskt har dessutom ökat. Den utökade elektro- niska behandlingen, främst i olika informationssystem, medför att personuppgifter i större utsträckning kan göras tillgängliga för fler och därmed betraktas som gemensamt tillgängliga.

Inte heller dagens uppräkning av uppgiftskategorier som får be- handlas i databasen ger enligt Tullverket en tydlig avgränsning av

597

Databasregleringen

SOU 2023:100

tulldatabasen. Det är EU-lagstiftning som till stor del styr vilka upp- gifter som Tullverket ska eller får behandla. Ett flertal uppgifter faller inte in under de uppräknade uppgiftskategorierna, utan får behandlas med stöd av det undantag som anger att det i databasen även får be- handlas andra uppgifter som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Tull- verkets bedömning är att ju fler uppgifter som behandlas med stöd av undantaget desto sämre återspeglar uppräkningen vilka uppgifter som behandlas i tulldatabasen. Uppräkningen av uppgiftskategorier fyller då enligt Tullverket inte någon egentlig funktion.

Kronofogdemyndigheten

Kronofogdemyndigheten har uppgett att databasregleringen, detalj- nivån till trots, uppfattas som oprecis till sin utformning. De olika kategorierna av uppgifter som uttömmande räknas upp ger nämligen utrymme för en förhållandevis vid tolkning. I vissa fall kan emeller- tid en nödvändig uppgift falla utanför regleringen, vilket leder till prak- tiska svårigheter.

Till skillnad från Skatteverkets och Tullverkets reglering är Krono- fogdemyndighetens ändamålsreglering helt kopplad till databaserna, vilket enligt Kronofogdemyndigheten medför omotiverat skarpa gränsdragningar. Det är också så att när Kronofogdemyndigheten får en ny uppgift i den materiella verksamhetsregleringen måste denna hänföras till någon av de fyra databaserna för att myndigheten ska ha rättsliga förutsättningar för att kunna utföra uppdraget. Ett exem- pel är tillsyn av näringsförbud, som egentligen inte har något sam- band med Kronofogdemyndighetens verksamhet med utsökning och indrivning, men som regleras inom ändamålen för den databasen. Regleringen utifrån databas är stämmer emellertid inte alltid överens med hur Kronofogdemyndigheten organisatoriskt hanterar arbets- uppgiften och det är inte heller givet att samma verksamhetssystem används. Kronofogdemyndigheten har dessutom uppdrag som invol- verar flera verksamheter, såsom delgivning och förebyggande av överskuldsättning och även då är regleringen utifrån databas proble- matisk. Databasbegreppet har enligt Kronofogdemyndigheten spelat ut sin roll och det uppfattas snarast försvåra tillämpningen av data- skyddsreglerna.

598

SOU 2023:100

Databasregleringen

Kronofogdemyndigheten menar att integritetsskyddsfrågan i första hand bör lösas genom grundläggande dataskyddskrav och säkerhets- bestämmelser, och inte genom reglering av särskilda uppgiftssamlingar och uppräkning av olika kategorier av uppgifter som får behandlas. Myndighetens inställning är att det saknas skäl att reglera databaser och deras innehåll i ett dataskyddssammanhang.

9.4Överväganden och förslag

9.4.1Strukturen i den kompletterande dataskyddsregleringen behöver anpassas efter den rättsliga och tekniska utvecklingen

Vår bedömning: Det finns ett behov av att anpassa den kom- pletterande dataskyddsregleringen till de rättsliga och tekniska förutsättningar för myndigheters personuppgiftsbehandling som föreligger i dag.

Skälen för vår bedömning

Databasregleringen har i dag två funktioner

Databasregleringen för Skatteverkets beskattnings- och folkbokför- ingsverksamheter, Tullverket och Kronofogdemyndigheten utgör en samling bestämmelser som enbart gäller för uppgifter som används gemensamt i respektive verksamhet och som hanteras digitalt. De särskilda regler som gäller för gemensamt tillgängliga uppgifter avser bl.a. gallring, elektroniskt utlämnande och vilka sökbegrepp som får användas. En central kategori bestämmelser är de som avser vilka uppgifter som får behandlas i databaserna, se avsnitt 9.3.2 ovan.

Som framgår av avsnitt 9.3.1 gjorde regeringen i förarbetena till dagens reglering en åtskillnad mellan uppgifter som hanterades i ären- dehanteringssystemen och uppgifter som skulle få finnas i de infor- mationsbaserade delarna av databaserna. Bestämmelserna om vilka uppgifter som skulle få behandlas i databaserna kom till i syfte att begränsa vilka uppgifter som fler än ett fåtal personer skulle få ha tillgång till, dvs. vilka uppgifter som skulle vara gemensamt tillgäng- liga med hjälp av automatiserad behandling. Någon begränsning av

599

Databasregleringen

SOU 2023:100

vilka uppgifter som får behandlas utanför databaserna finns inte i dagens reglering.

Den informationstekniska utvecklingen har dock lett till föränd- ringar av myndigheternas arbetsmetoder, vilket gör att det ställs ökade krav på ett teknikneutralt regelverk. Genom den nästan fullständiga digitaliseringen av myndigheternas verksamhet har bestämmelserna om vilka uppgifter databaserna får innehålla också kommit att utgöra en begränsning av vilka uppgifter myndigheterna över huvud taget kan behandla för att utföra sina författningsreglerade uppgifter, om det inte är möjligt att behandla uppgifter helt avskilt från övriga system, vilket vi utvecklar nedan.

Frågan om det finns skäl för att införa särskilda regler för sådan behandling som innebär att fler än ett fåtal personer har tillgång till uppgifterna bör enligt vår mening hållas skild från frågan om det finns skäl för att särskilt reglera vilka personuppgifter en myndighet får be- handla för att utföra sina uppgifter. Databasbegreppet har dessutom en stark koppling till finalitetsprincipen, som utvecklats i avsnitt 8.4.6. Finalitetsprincipen framgår av artikel 5.1 b i EU:s dataskyddsförord- ning och innebär att personuppgifter efter insamlingstillfället inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in.

Syftet med dagens databasreglering var inte att begränsa annat än vilka uppgifter som skulle få göras gemensamt tillgängliga inom myn- digheterna. Trots det anser vi att det, mot bakgrund av den funktion regleringen har kommit att få, även finns skäl att i sammanhanget be- röra frågan om det bör införas begränsningar av vilka uppgifter myn- digheterna får behandla för att utföra sina författningsreglerade upp- gifter.

Den rättsliga utvecklingen

Sedan datorer och annan digital teknik började användas inom den offentliga sektorn har det i lagstiftningsarbete genomgående lagts stor vikt vid att i integritetsskyddande syfte begränsa myndigheters möj- lighet att använda den nya tekniken (se avsnitten 9.2.1–9.2.3). De ris- ker som har ansetts vara förknippade med automatiserad informations- hantering inom offentlig verksamhet motiverade datalagens krav på tillstånd och licens, eller beslut av riksdag eller regering, för att en myn-

600

SOU 2023:100

Databasregleringen

dighet över huvud taget skulle få behandla personuppgifter automa- tiserat. De risker som har förknippats med digitaliseringen av myndig- heternas verksamhet har även motiverat detaljerad sektorsspecifik reglering bl.a. av vilka uppgifter som skulle få behandlas automati- serat i personregister. Särskild reglering av vilka uppgifter som flera personer inom en myndighet skulle få ha tillgång till har också an- setts motiverad av integritetsskäl.

I efterhand har dock regleringen av myndigheters användning av digital teknik ofta framstått som omotiverat restriktiv, trots att den tekniska utvecklingen hela tiden medfört utökade möjligheter i detta avseende. Vid skatteregisterlagens tillkomst hade exempelvis flera remissinstanser varit mycket kritiska. Kritiken rörde bl.a. att man genom den föreslagna regleringen inte hade avgränsat registerföringen tillräckligt i författning, att integritetsriskerna som var förknippade med ADB-registrering inte skulle komma att kunna bemästras genom lagen, att effektivitetskravet drivits för långt på bekostnad av integ- ritetsintresset och att sekretesskyddade uppgifter från bl.a. själv- deklarationer endast i yttersta undantagsfall borde få tas in i digitala register.62 Vid tidpunkten för den nuvarande databasregleringens till- komst var det enligt regeringen i stället skatteregisterlagen som fram- stod som både svåröverskådlig och svårtillämpad och det konsta- terades att den hade behövt genomgå ett stort antal ändringar (se avsnitt 9.3.1). Samma reglering som i slutet av 1970-talet av många uppfattades som obalanserad till nackdel för integritetsskyddet, upp- fattades alltså i slutet av 1990-talet som obalanserad till nackdel för en effektiv informationshantering inom beskattningsverksamheten. I dag är det i stället databasregleringen som kan framstå som onödigt hindrande och komplex (se avsnitt 9.3.3).

Vid tidpunkten för databasregleringens tillkomst utgjordes den all- männa dataskyddsregleringen av 1995 års dataskyddsdirektiv och per- sonuppgiftslagen, genom vilken direktivet genomfördes. Den allmänna dataskyddsregleringen vid den tidpunkten innebar större möjligheter för myndigheter att behandla personuppgifter än i dag. Då kunde även myndigheter behandla personuppgifter på den rättsliga grunden be- rättigat intresse (vilken i dag motsvaras av artikel 6.1 f i dataskydds- förordningen), och det fanns inget krav på att en uppgift av allmänt intresse skulle vara fastställd i nationell rätt (artikel 6.3 i dataskydds- förordningen), se avsnitt 5.2.2.

62Prop. 1979/80:146, med förslag till skatteregisterlag, s. 19.

601

Databasregleringen

SOU 2023:100

I dataskyddsförordningen saknas i och för sig bestämmelser som särskilt reglerar vilket skydd enskilda ska ges när uppgifter om dem behandlas i uppgiftssamlingar inom en myndighet. I avsnitt 9.2.3 har

vidock redogjort för kopplingen mellan den rättsliga grunden, ända- målen för behandlingen och principen om uppgiftsminimering enligt dataskyddsförordningen. Skyddet för enskilda i förhållande till myn- digheters personuppgiftsbehandling utgörs främst av bestämmelserna om rättslig grund för behandlingen, kraven på särskilda, uttryckligt angivna och berättigade ändamål för behandling och principerna om uppgiftsminimering och lagringsminimering, som är kopplade till ända- målen. Sammanfattningsvis har myndigheterna enligt den allmänna dataskyddsregleringen i dag en skyldighet att endast behandla person- uppgifter som är nödvändiga för att utföra sina författningsreglerade uppgifter. Det innebär att det inte är tillåtet för en myndighet att samla in personuppgifter för obestämda framtida behov, för att de kan komma att behövas eller för att skaffa information om förhål- landen som saknar betydelse för eller är överflödiga i förhållande till myndighetens behov av att utföra sina författningsreglerade uppgifter. I sammanhanget bör nämnas att också förvaltningslagen (2017:900), FL, ställer krav på myndigheterna i detta avseende. Enligt 5 § FL får en myndighet endast vidta åtgärder som har stöd i rättsordningen, och i sin verksamhet ska myndigheten vara saklig och opartisk. En myndighet får enligt samma bestämmelse ingripa i ett enskilt in- tresse endast om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får vidare aldrig vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhål- lande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot (jfr bl.a. avsnitten 5.2.6, 5.2.7 och 8.4.2).

Skyddet för enskilda enligt dataskyddsförordningen består även i de krav på säkerhetsåtgärder och tekniska åtgärder som ska säker- ställa att principen om uppgiftminimering efterlevs och inte minst de krav på vissa förfaranden som innebär att myndigheterna också måste kunna visa att så sker. Myndigheterna måste även göra konse- kvensbedömningar i vissa fall, där behovet av och proportionaliteten hos behandlingen i förhållande till syftena med den ska prövas, och samråda med IMY om behandlingen bedöms kunna vara riskfylld. I sista hand finns även möjligheten för IMY att förbjuda viss särskilt riskfylld behandling (jfr avsnitt 11.7.3).

602

SOU 2023:100

Databasregleringen

Dataskyddsförordningens bestämmelser, samt den komplettering och det förtydligande av dessa som framgår av dataskyddslagen, innebär att det i dag finns ett starkare skydd än vid databasregleringens till- komst för enskildas integritet i fråga om hur och vilka uppgifter en myndighet lagligen kan behandla i sin verksamhet. Den befintliga regleringen av databaser är därmed utformad utifrån andra rättsliga förutsättningar för myndigheters personuppgiftsbehandling än de som gäller i dag.

Mot bakgrund av de stora förändringar som skett inom den all- männa dataskyddsregleringen finns det enligt vår mening grund för bedömningen att databasregleringen inte är anpassad efter den rätts- liga utvecklingen, och att det finns ett behov av att anpassa den till dagens förhållanden. Det nyss sagda gäller särskilt med beaktande av att databasregleringen genom digitalisering har fått en annan funk- tion än den avsedda, dvs. att den ofta begränsar vilken information Skatteverkets beskattnings- och folkbokföringsverksamheter, Tull- verket och Kronofogdemyndigheten över huvud taget kan behandla.

Den tekniska utvecklingen

Under datalagens giltighetstid utgjorde digital hantering av infor- mation ett undantag från övrig verksamhet inom myndigheterna och som krävde tillstånd och licens eller beslut av regering eller riksdag för att få utföras. Även vid tidpunkten för databasregleringens till- komst var hanteringen av information inom myndigheterna till största delen manuell. Det innebär att när dagens juridiska struktur, dvs. med särreglerade databaser och reglering av vilka uppgifter databaserna får innehålla, infördes så var den en slags särreglering för användan- det av en teknik som utgjorde ett undantag från standardförfarandet. I förarbetena framgår att regeringen utgick från att det var möjligt att göra en åtskillnad mellan ärendehanteringssystemen och en infor- mationsbaserad databas, se avsnitten 9.3.1 och 9.3.3.

I dag är förhållandena i stället de motsatta. I princip all informa- tionshantering är nu digitaliserad, såväl inom myndigheter som i sam- hället i stort. Databasregleringen som ursprungligen avsett en av- gränsad form av informationshantering är alltså i dag tillämplig vid nästan all informationshantering som förekommer inom myndig- heterna. Det innebär att databasregleringen i dag har vissa likheter

603

Databasregleringen

SOU 2023:100

med den ordning som gällde under datalagen. Om en uppgift inte ingår i någon av de kategorier som enligt lag eller förordning får före- komma i databasen får den inte förekomma där, och om det inte finns möjlighet att behandla uppgiften avskilt så får uppgiften inte behandlas alls, oavsett behovet i övrigt. På grund av detta har exem- pelvis regleringen av beskattningsdatabasen behövt ändras vid ett fler- tal tillfället för att möjliggöra behandling som krävts av ny materiell reglering, se avsnitt 8.4.6.

Även om regeringens avsikt med databasregleringen var att införa databaser som ett rent juridiskt begrepp som skulle vara teknikobero- ende och flexibelt, avgränsas det rent tekniskt såväl i förarbetena och som i bestämmelsernas utformning. Som vi redan har nämnt förut- sätter dagens reglering bl.a. en uppdelning mellan en informations- baserad del av myndigheternas it-system, som i flera fall förefaller ha överförts i det närmaste oförändrat i sak från de gamla registerlagarna, och ärendehanteringssystem (se avsnitt 9.3.1). Dagens reglering för- utsätter även en särbehandling av elektroniska handlingar. Redan vid databasregleringens tillkomst ifrågasattes från myndighetshåll om inte databasbegreppet utgjorde en inadekvat beteckning för myndigheter- nas informationshanteringssystem. Även regeringen bedömde att det inte var möjligt att i lagstiftningen dra någon exakt gräns för när en viss behandling skulle anses ske i en databas och därmed omfattas av det särskilda regelverket för denna. Enligt regeringen berodde detta inte minst på att det inte var möjligt att förutse den tekniska utveck- lingen inom dataområdet och de möjligheter som kunde öppna sig i fråga om informationsöverföring.63 Mot bakgrund av den tekniska utvecklingen de senaste 20 åren förefaller den gränsdragningen i dag vara ännu svårare. I dag är it-systemen inom myndigheterna inte längre avgränsade på så sätt att det går att göra en tydlig åtskillnad mellan ärendehanteringssystem och andra former av digital hantering av upp- gifter (se avsnitt 9.3.3). Det som rent faktiskt motsvarar den juridiska definitionen av myndigheternas databaser består i dag av flera olika uppgiftssamlingar och informationshanteringssystem som kommuni- cerar i komplexa samband. Tillämpningen av databasregleringen för- utsätter dock prövningar av om uppgifter ska anses vara gemensamt tillgängliga eller inte, vilket kräver överväganden som baseras på hur de tekniska systemen är uppbyggda och hur de kommunicerar med varandra. Begreppet databas framstår därför i dag som missvisande

63Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 90–91.

604

SOU 2023:100

Databasregleringen

om syftet är att beteckna myndigheternas tekniska infrastruktur för informationsbehandling.

Databasregleringen är sammanfattningsvis utformad efter väsent- ligt andra tekniska förutsättningar för informationshantering än de som råder i dag, vilket bl.a. fått till följd att regleringen både är svår- tillämpad och har fått en annan tillämpning än vad som var avsett. I avsnittet ovan har vi gjort bedömningen att de stora förändringar som skett inom den allmänna dataskyddsregleringen medför att data- basregleringen inte kan anses vara anpassad efter den rättsliga utveck- lingen. Utifrån de stora skillnaderna mellan den allmänna dataskydds- regleringen vid tidpunkten för bestämmelsernas införande och i dag har vi bedömt att det finns ett behov av att anpassa databasregler- ingen till dagens förhållanden. Också de förändringar som skett på det tekniska området innebär enligt vår mening att databasregler- ingen inte kan anses vara anpassad efter aktuella förutsättningar för personuppgiftsbehandling. Det finns därmed ett behov av att anpassa regleringen till dagens förhållanden även utifrån tekniska aspekter.

9.4.2Att fler än ett fåtal personer har tillgång till vissa uppgifter kräver inte särskild reglering

Vår bedömning: Det saknas behov av att för Skatteverkets be- skattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten införa särskilda regler för sådan behand- ling av personuppgifter som innebär att fler än ett fåtal personer har tillgång till uppgifterna.

Skälen för vår bedömning

Dataskyddsförordningens systematik för riskhantering

Som påpekats tidigare finns det inte några bestämmelser i EU:s data- skyddsförordning som särskilt avser sådana uppgiftssamlingar inom en myndighet som fler än ett fåtal personer inom myndigheten har tillgång till. I stället innehåller dataskyddsförordningen flera olika be- stämmelser med innebörden att den personuppgiftsansvariga måste anpassa de åtgärder som vidtas, för att säkerställa att förordningens bestämmelser följs, efter de risker som är förknippade med behand-

605

Databasregleringen

SOU 2023:100

lingen, se avsnitt 9.2.3. Det innebär att myndigheterna är skyldiga att alltid anpassa dataskyddet efter de särskilda integritetsrisker som behandlingen innebär. För uppgifter som görs gemensamt tillgäng- liga, och där det alltså finns en högre risk för de registrerade än om bara ett fåtal medarbetare har tillgång till uppgifterna, måste myn- digheterna vidta särskilda tekniska och organisatoriska åtgärder som är adekvata i förhållande till bl.a. vilka och hur många uppgifter som behandlas, samt den omständigheten att flera personer har möjlighet att ta del av uppgifterna. Myndigheterna måste också kunna visa att inte fler uppgifter än som behövs för ändamålet behandlas, samt vid- ta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är lämp- lig bl.a. utifrån vilka och hur många uppgifter som behandlas samt den omständigheten att flera personer har möjlighet att ta del av upp- gifterna. Myndigheterna måste även se till att medarbetare inte be- handlar personuppgifter på ett sätt som är omotiverat utifrån dennas arbetsuppgifter. De organisatoriska åtgärder som en myndighet vid- tar ska dessutom redan från början vara utformade så att endast den minsta mängd personuppgifter som krävs för de särskilda åtgärderna behandlas, särskilt när personal med olika arbetsuppgifter och olika behov får åtkomst till uppgifter. Myndigheterna bör dessutom be- gränsa vilka som kan få tillgång till personuppgifter (och vilken typ av tillgång) grundat på en bedömning av tillgångens nödvändighet.64

Dataskyddsförordningen innehåller alltså flera bestämmelser som får betydelse för integritetsskyddet i myndigheters uppgiftssamlingar. Betydelsen för integritetsskyddet av särskilda regler för myndigheter- nas uppgiftssamlingar får mot den bakgrunden anses ha minskat väsentligt sedan 2018. Dataskyddsförordningens bestämmelser är dess- utom mer utförliga och ställer i vissa avseende högre krav på myn- digheterna än dagens databasreglering gör. Redan av den anledningen finns det enligt vår mening skäl för att inte införa en särreglering avseende uppgifter som är gemensamt tillgängliga inom Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Krono- fogdemyndigheten.

64Jfr redogörelsen i avsnitt 11.5.3 för Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard, Version 2.0.

606

SOU 2023:100

Databasregleringen

Samma kompletterande regler bör gälla för all behandling inom tillämpningsområdet

En central aspekt av dagens databasreglering är att den innebär en skillnad i skyddsnivå mellan å ena sidan uppgifter som behandlas inom en verksamhet på så sätt att de är tillgängliga för fler än ett fåtal per- soner, och å andra sidan en sådan personuppgiftsbehandling som sker avgränsat, där endast ett mindre antal personer har tillgång till upp- gifterna. Även om en mer omfattande tillgång till personuppgifter inom en myndighet medför att riskerna för de registrerades personliga integ- ritet ökar går det enligt vår mening att ifrågasätta om en sådan skill- nad i integritetsskydd i dag är motiverad.

Av avsnitt 9.2.3 framgår att den uppgiftssamling för dataanalyser och urval hos Utbetalningsmyndigheten som regleras i lagen om per- sonuppgiftsbehandling vid Utbetalningsmyndigheten inte utgör en databasreglering liknande den som gäller för Skatteverkets beskatt- nings- och folkbokföringsverksamheter, Tullverket och Kronofogde- myndigheten. Det finns exempelvis ingen bestämmelse som gäller för uppgiftssamlingen vid Utbetalningsmyndigheten som föranleder ett behov hos myndigheten att bedöma om en uppgift är gemensamt tillgänglig eller inte, och inga särskilda regler som avser när hand- lingar i uppgiftssamlingen ska gallras eller särskilda bestämmelser om elektroniskt utlämnande. I stället utgörs regleringen av uppgiftssam- lingen vid Utbetalningsmyndigheten huvudsakligen av bestämmelser som anger vilka uppgifter som får behandlas i uppgiftssamlingen, att de enbart får behandlas där, samt krav på viss dokumentation och uppföljning. Regleringen av uppgiftssamlingen för Utbetalnings- myndighetens dataanalyser och urval förefaller alltså i huvudsak re- glera vilka särskilda dataskyddsregler som ska gälla vid myndighetens verksamhet med dataanalyser och urval.65 Den avgränsar också myn- dighetens uppdrag att genomföra dataanalyser och urval till de upp- gifter som anges. Att regleringen avser en uppgiftssamling förefaller därmed inte ha motiverats av att uppgifter som flera personer inom myndigheten har tillgång till behöver omgärdas av särskilda regler.

De befintliga databaserna för Skatteverkets beskattnings- och folk- bokföringsverksamheter, Tullverket och Kronofogdemyndigheten omfattar i och för sig merparten av all den personuppgiftsbehandling som sker vid myndigheterna inom det materiella tillämpningsområ-

65Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 165–166.

607

Databasregleringen

SOU 2023:100

det. Hos myndigheterna sker dock fortfarande även viss annan be- handling av personuppgifter, t.ex. behandling som utförs av en enskild medarbetare eller av en begränsad grupp medarbetare (se avsnitt 9.3.3). Så var fallet redan vid den befintliga regleringens tillkomst och det kan i dag liksom tidigare bl.a. handla om dataanalyser som sker av- gränsat från övrig verksamhet utan möjlighet till åtkomst för andra medarbetare.66

För behandling utanför databaserna gäller inte de särskilda skydds- åtgärder som föreskrivs för uppgifter som behandlas i databaserna, frånsett vissa bestämmelser om gallring, trots att även den avgränsade behandlingen kan omfatta stora mängder personuppgifter. I register- författningarna finns inte heller några begränsningar av vilka upp- gifter som får behandlas utanför databaserna för de ändamål som anges i respektive lag, förutom det som i registerlagarna anges om känsliga personuppgifter.

Även om databasbegreppet inte utgår från någon särskild teknisk avgränsning eller utformning så rör det sig ändå om en i grunden tek- nisk fråga, dvs. om åtkomst som på ett rent tekniskt plan är begrän- sad eller gemensam. Som utgångspunkt bör dock skyddet för fysiska personer vara teknikneutralt och inte beroende av den teknik som används hos respektive myndighet, vilket framgår av skäl 15 till data- skyddsförordningen. Det går enligt vår mening att ifrågasätta om lag- stiftning som enbart låter vissa uppgifter omfattas av ett högre integ- ritetsskydd, utifrån en bedömning som utgår från hur den tekniska åtkomsten till uppgifterna är utformad, fullt ut är förenlig med kravet på ett teknikneutralt integritetsskydd.

Dataskyddsförordningens krav på säkerhet utgår dessutom från behandlingens art, omfattning, sammanhang och ändamål samt ris- kerna för fysiska personers rättigheter och friheter. Vid behandling av känsliga personuppgifter gäller krav på skyddsåtgärder oavsett om myndigheter behandlar uppgifterna i gemensamma verksamhetssystem eller i ett begränsat utrymme, se avsnitt 10.7. Som vi redan konsta- terat är risken för bl.a. obehörig spridning av personuppgifterna själv- fallet större i ett gemensamt system där personuppgifterna görs till- gängliga för fler personer än när uppgifterna finns i ett system med begränsad åtkomst. Det är dock inte bara tillgängligheten som avgör vilka åtgärder som måste vidtas för att behandlingen ska anses vara förenlig med dataskyddsförordningens bestämmelser. Också mäng-

66Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 67–68.

608

SOU 2023:100

Databasregleringen

den uppgifter och framför allt uppgifternas karaktär är viktiga fak- torer vid bedömningen av om behandlingen bör omgärdas av särskilda skyddsåtgärder. Skyddsnivån för sådana uppgifter som behandlas vid Skatteverkets beskattnings- och folkbokföringsverksamheter, Tull- verket och Kronofogdemyndigheten bör därför vara lika hög oavsett tillgänglighet i de tekniska systemen.

Sammanfattningsvis finns det enligt vår mening inte längre några skäl för att skilja på behandling av personuppgifter i myndigheternas databaser och behandling utanför databaserna. Samma skyddsåtgär- der bör i stället gälla för all behandling av personuppgifter som sker inom det materiella tillämpningsområdet för respektive ny föreslagen datalag. Någon särreglering för databaser eller andra uppgiftssamlingar enbart utifrån om de används gemensamt i verksamheterna bör där- för inte finnas i den nya dataskyddsregleringen.

9.4.3Vilka uppgifter som får behandlas bör som utgångspunkt inte regleras särskilt

Vår bedömning: Det saknas skäl att i de nya lagarna införa be- stämmelser om vilka uppgifter myndigheterna får behandla för att utföra sina uppgifter inom respektive lags materiella tillämp- ningsområde.

Skälen för vår bedömning

Reglering av vilka uppgifter som får behandlas och den rättsliga grunden för behandlingen

De rättsliga grunder för personuppgiftsbehandling som en myndig- het kan stödja behandlingen på måste enligt EU:s dataskyddsförord- ning vara fastställda i unionsrätten eller i nationell rätt (artikel 6.3). I förarbetena till dataskyddslagen klargjorde regeringen att det inte krävs en reglering av den personuppgiftsbehandling som ska ske med stöd av de rättsliga grunder som kan aktualiseras för myndigheter. Det som måste ha stöd i rättsordningen är i stället den rättsliga för- pliktelsen respektive uppgiften av allmänt intresse eller rätten att ut-

609

Databasregleringen

SOU 2023:100

öva myndighet.67 Det finns alltså inte något generellt krav inom den allmänna dataskyddsregleringen på att i författning ange vilka upp- gifter en myndighet får behandla. Redan vid tidpunkten för de be- fintliga registerlagarnas tillkomst uttalade regeringen dessutom att som utgångspunkt var det behovet av uppgifter i verksamheten som skulle styra vilka uppgifter som behandlades. Vidare konstaterade regeringen i det sammanhanget att en lag om behandling av person- uppgifter inte styrde myndighetens verksamhet, utan i stället bestäm- des verksamhetens inriktning av den materiella och processuella lag- stiftningen på området jämte de instruktioner som gällde.68

Dataskyddsförordningen ställer dock upp vissa krav på den rätts- liga grunden som kan medföra att en reglering av vilka uppgifter som får behandlas ändå framstår som nödvändig. Av artikel 6.3 framgår nämligen att unionsrätten och den nationella rätten måste vara pro- portionell mot det legitima mål som eftersträvas och enligt skäl 41 bör den rättsliga grunden vara tydlig och precis och dess tillämpning vara förutsägbar för personer som omfattas av den. I dataskydds- lagens förarbeten uttalade regeringen att skäl 41 är ett uttryck för legalitetsprincipen och därför inte utgör någon nyhet inom den svenska offentliga förvaltningen. Regeringen uttalade även att vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvän- dig måste bedömas från fall till fall, utifrån verksamhetens karaktär.69

Ett exempel på när reglering av vilka uppgifter som får behandlas har ansetts nödvändig är bestämmelserna om uppgiftssamlingen för Utbetalningsmyndighetens dataanalyser och urval (se avsnitt 9.2.3).

Enligt 1 § förordningen (2023:461) med instruktion för Utbetal- ningsmyndigheten ska myndigheten förebygga, förhindra och upp- täcka felaktiga utbetalningar från välfärdssystemen. Enligt 2 § samma förordning ska myndigheten

1.göra dataanalyser och urval,

2.genomföra inledande och fördjupade granskningar enligt lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetal- ningar, och

67Prop. 2017/18:105, Ny dataskyddslag, s. 49.

68Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.

69Prop. 2017/18:105, Ny dataskyddslag, s. 51.

610

SOU 2023:100

Databasregleringen

3.administrera ett system med transaktionskonto enligt lagen (2023:454) om transaktionskonto vid Utbetalningsmyndigheten.

Utbetalningsmyndighetens uppgift att utföra dataanalyser och urval regleras inte i någon särskild författning, utan endast i en bestäm- melse i myndighetens instruktion.70 Även i övrigt är regleringen av Utbetalningsmyndighetens uppgifter förhållandevis knapphändig och motsvaras av instruktionen och de lagar som anges i 2 § 2–3 ovan med tillhörande förordningar. Mot den bakgrunden kan en reglering av vilka uppgifter som får behandlas vid myndighetens dataanalyser och urval uppfattas som nödvändig för att uppfylla kravet på tydlig- het, förutsebarhet och proportionalitet.71

Till skillnad från regleringen av Utbetalningsmyndighetens verk- samhet med dataanalyser och urval är den nationella och unionsrätts- liga lagstiftning som styr Skatteverkets beskattnings- och folkbokför- ingsverksamheter, Tullverket och Kronofogdemyndigheten mycket omfattande, se kapitel 4 och avsnitten 14.2.1–14.2.3. Den är också i många fall mycket detaljerad avseende vilka förhållanden och upp- gifter som har betydelse för en prövning eller som krävs för tillämp- ningen av en viss rättsregel. Något annat än enstaka exempel är inte möjligt att ge här, men det sagda illustreras bl.a. av följande bestäm- melser.

Av 3 kap. 7 § inkomstskattelagen (1999:1229) framgår att i syfte att avgöra om en person som tidigare har varit bosatt i Sverige har väsentlig anknytning hit ska följande beaktas:

–om han är svensk medborgare,

–hur länge han var bosatt här,

–om han inte varaktigt är bosatt på en viss utländsk ort,

–om han vistas utomlands för studier eller av hälsoskäl,

–om han har en bostad här som är inrättad för åretruntbruk,

–om han har sin familj här,

–om han bedriver näringsverksamhet här,

70Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 114–115.

71Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 165–166.

611

Databasregleringen

SOU 2023:100

–om han är ekonomiskt engagerad här genom att inneha tillgångar som, direkt eller indirekt, ger honom ett väsentligt inflytande i näringsverksamhet här,

–om han har en fastighet här, och

–liknande förhållanden.

Vår bedömning är att det inte kan anses vara otydligt eller svårt att förutse vilka slags uppgifter Skatteverket kan komma att behöva be- handla med stöd av den rättsliga grund som 3 kap. 7 § inkomstskatte- lagen utgör.

Av 15 § första stycket folkbokföringslagen framgår att en vistelse för service och omvårdnad eller för stöd, hjälp och annan lättåtkom- lig service i en sådan bostad för äldre människor som avses i 5 kap. 5 § andra och tredje styckena socialtjänstlagen (2001:453) i en annan kommun än den där personen var eller borde ha varit folkbokförd när han eller hon flyttade till den aktuella bostaden, inte ska anses leda till ändrad bosättning om vistelsen har beslutats av den kommun där han eller hon var eller borde ha varit folkbokförd. Om personen inte längre disponerar en bostad på den fastighet där han eller hon förut var eller borde ha varit folkbokförd, anses personen bosatt en- dast i kommunen eller, om ändrade förhållanden föranleder det, på en annan fastighet.

Även om bestämmelsen i 15 § första stycket folkbokföringslagen inte uttryckligen anger de olika uppgifter som ska beaktas vid till- lämpningen, framgår tydligt vilka förhållanden som ges betydelse för var personen i fråga ska vara folkbokförd. Dessa förhållanden, bl.a. om den registrerade vid prövningstidpunkten disponerar en bostad på den fastighet där han eller hon förut var folkbokförd, är i sin tur också styrande för vilka uppgifter Skatteverket måste behandla vid tillämpningen av bestämmelsen. Det kan därför inte anses vara otyd- ligt eller svårt att förutse vilka slags uppgifter Skatteverket kan komma att behöva behandla med stöd av den rättsliga grund som 15 § första stycket folkbokföringslagen utgör.

Av artikel 47.2 i tullkodex72 framgår att inom ramen för risk- hantering och tullkontroller och om det är nödvändigt för att mini- mera risker och bekämpa bedrägerier, får tullmyndigheterna och andra

72Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen.

612

SOU 2023:100

Databasregleringen

behöriga myndigheter med varandra och med kommissionen utbyta uppgifter som mottas om införsel, utförsel, transitering, befordran, lagring och slutanvändning, inbegripet posttrafik, som befordras mellan unionens tullområde och länder eller territorier utanför unionens tullområde, om förekomst och befordran inom unionens tullområde av icke-unionsvaror och varor som omfattas av förfarandet för slut- användning samt om resultaten av eventuella kontroller. Tullmyndig- heterna och kommissionen får också utbyta sådana uppgifter med varandra i syfte att säkerställa en enhetlig tillämpning av tullagstift- ningen.

Vilka uppgifter som får behandlas av Tullverket med stöd av den rättsliga grund som artikel 47.2 i tullkodex utgör är inte lika tydligt som avseende de två andra exemplen ovan, enbart utifrån bestäm- melsens utformning. Läst tillsammans med andra bestämmelser, ex- empelvis de som avser vilka uppgifter som ska lämnas vid införsel och utförsel av varor, framstår det dock inte som oklart eller svårt att för- utse vilka uppgifter som kan komma att behöva behandlas av Tull- verket.

Av 7 § skuldsaneringslagen (2016:675) framgår att skuldsanering får beviljas om gäldenären är insolvent och så skuldsatt att han eller hon med hänsyn till samtliga omständigheter inte kan antas ha för- måga att betala sina skulder inom överskådlig tid.

Vilka uppgifter Kronofogdemyndigheten kan komma att behandla med stöd av den rättsliga grund som 7 § skuldsaneringslagen utgör är svårt att förutse, eftersom det avser samtliga omständigheter som kan vara relevanta i det enskilda fallet. I förarbetena till bestämmel- sen anges att i beräkningen måste samtliga kända omständigheter be- aktas. Exempel som tas upp är bl.a. gäldenärens ålder, hälsa, inkomst, arbetsförmåga, utbildning och möjlighet att vid arbetslöshet erhålla arbete och förväntade inkomster. Andra förhållanden som kan beaktas är t.ex. gäldenärens familjeförhållanden och förhållandena på arbetsmarknaden både på bostadsorten och i allmänhet.73 Kravet på att omständigheterna ska ha betydelse för gäldenärens förmåga att betala medför enligt vår mening att det ändå är tydligt vilken sort uppgifter som avses, dvs. sådana som kan påverka en skuldsatt män- niskas möjligheter att betala sina skulder. Att någon annan begräns- ning inte görs av vilka uppgifter som får tillmätas betydelse vid Krono-

73Prop. 2015/16:125, Skuldsanering – förbättrade möjligheter för överskuldsatta att starta om på nytt, s. 207.

613

Databasregleringen

SOU 2023:100

fogdemyndighetens prövning innebär enligt vår mening inte att den rättsliga grunden för behandlingen framstår som oprecis, oförutse- bar eller oproportionell mot det legitima mål som eftersträvas.

Den rättsliga grunden för behandling av personuppgifter vid Skatteverkets beskattnings- och folkbokföringsverksamheter, Tull- verket och Kronofogdemyndigheten kan sammanfattningsvis inte sägas vara vagt formulerad eller knapphändig. Något behov av att i författning ange vilka personuppgifter myndigheterna får behandla för att utföra sina författningsreglerade uppgifter kan därför inte anses föreligga av det skälet.

Det skulle dock kunna argumenteras att en begränsning i för- fattning av vilka uppgifter en myndighet får behandla för att utföra sina uppgifter är påkallad för att den rättsliga grunden ska vara pro- portionerlig, särskilt om det rör omfattande behandling och sådan be- handling som enskilda inte har rätt att motsätta sig. En sådan regler- ing borde även kunna motiveras av karaktären på uppgifterna och vad de ska användas till, exempelvis personuppgifter som är mycket integritetskänsliga eller skyddsvärda.

Som vi påpekat ovan är dock regleringen av myndigheternas re- spektive verksamheter mycket omfattande. I regel anges, direkt eller indirekt, vilka förhållanden och uppgifter som ska ha betydelse för tillämpningen av respektive bestämmelse. I de fall där det redan av den materiella verksamhetsregleringen framgår vilka uppgifter den ansvar- iga myndigheten får eller måste behandla för att utföra sin verksam- het, eller vilka förhållanden som påverkar utfallet av en viss prövning, bör inte kravet på proportionalitet anses kräva att dessa uppgifts- kategorier också anges i den kompletterande dataskyddsregleringen. Principen om uppgiftsminimering kräver dessutom redan att de per- sonuppgiftsansvariga myndigheterna begränsar den mängd uppgifter som behandlas för ett visst ändamål till vad som är nödvändigt för att uppnå ändamålen med behandlingen. Det avser både om vilka personer uppgifter behandlas (de som träffas av den materiella verk- samhetsregleringen) som vilka uppgifter om personerna som behand- las (de uppgifter som enligt den materiella verksamhetsregleringen tillmäts betydelse). Dessutom ska en längsta tid för behandlingen bestämmas utifrån ändamålet med behandlingen (principen om lag- ringsminimering). Redan av bestämmelserna i dataskyddsförordningen följer att Skatteverket, Tullverket och Kronofogdemyndigheten inte får samla in och senare behandla fler personuppgifter än vad som är

614

SOU 2023:100

Databasregleringen

nödvändigt för att utföra sin verksamhet enligt nationell rätt eller unionsrätten.

Databasregleringen tillkom dessutom inte i syfte att sätta upp be- gränsningar för vilka uppgifter myndigheterna över huvud taget skulle få behandla, utan i syfte att reglera vilka uppgifter som skulle få vara gemensamma i en verksamhet. Vidare ger regleringen stöd för att an- vända de gemensamma uppgifterna för samtliga reglerade ändamål. Dagens uppräkning av vilka uppgifter som får finnas i databaserna (se avsnitt 9.3.2) kan alltså främst ses som en del av den rättsliga grun- den avseende behandling som innebär att uppgifterna används gemen- samt, och att uppgifterna därmed även kan användas för andra ända- mål än insamlingsändamålet, se avsnitt 8.4.6 om finalitetsprincipen och databasregleringen. Frågan om vidarebehandling är dock en fråga som är skild från frågan om vilka uppgiftskategorier som får behand- las i syfte att utföra de uppgifter som myndigheterna enligt lag och förordning, eller unionsrätten, är skyldiga att utföra. Att bestämmel- serna ändå har fått en begränsande funktion har att göra med att de fått ett vidare tillämpningsområde genom digitaliseringen av myndig- heternas verksamhet.

Det skulle kunna argumenteras att en reglering som motsvarar data- basregleringen behövs även i en helt digitaliserad verksamhet, efter- som behovet av att särreglera gemensamt tillgängliga uppgifter också kan uppkomma utifrån ett proportionalitetskrav. Frågan om vilka uppgifter som får användas gemensamt i en verksamhet, dvs. även för andra ändamål än insamlingsändamålet, avgörs genom den pröv- ning som ska göras enligt finalitetsprincipen (finalitetsprövning, också kallat förenlighetsprövning). I den mån en kategori uppgifter inte bör användas gemensamt, eller annorlunda uttryckt vidarebehandlas, inom en myndighet förefaller dock en lämpligare lösning vara att särskilda bestämmelser införs som tar sikte på att finalitetsprincipen inte ska vara tillämplig för den uppgiftskategorin, eller att uppgifterna enbart får användas för vissa ändamål, se avsnitt 8.4.6 om finalitets- principen och databasregleringen. I den mån en sådan begränsning införs bör det också innebära att den rättsliga grunden för behand- ling av den specifika kategorin uppgifter har justerats för att göra den rättsliga grunden proportionell i förhållandet till det eftersträv- ade målet. I avsnitten 8.4.7 och 8.4.8 gör vi dock bedömningen att någon sådan reglering inte framstår som motiverad i dag.

615

Databasregleringen

SOU 2023:100

Sammanfattningsvis är vår bedömning att en reglering av vilka upp- gifter Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska få behandla inte är nöd- vändig för att den rättsliga grunden ska anses vara proportionell mot det legitima mål som eftersträvas. Det kan dock inte uteslutas att ett sådant behov uppkommer i framtiden avseende vissa särskilt skydds- värda uppgiftskategorier. Först i en sådan situation bör det enligt vår bedömning uppkomma skäl för en reglering som går utöver vad som redan följer av principen om uppgiftsminimering och finalitetsprinci- pen, som utgör grundläggande principer för behandling enligt data- skyddsförordningen.

Är reglering av vilka uppgifter som får behandlas nödvändig med hänsyn till grundlagsskyddet mot intrång i den personliga integriteten?

Skyddet mot betydande intrång i den personliga integriteten regleras i 2 kap. 6 § andra stycket RF. I de fall myndigheters personuppgifts- behandling utgör en begränsning av detta integritetsskydd har reger- ingen tidigare bedömt att ramarna för myndighetens personuppgifts- behandling måste slås fast i lag, liksom att de bestämmelser som är av central betydelse för integritetsskyddet bör ges lagform. Mer detalje- rade bestämmelser som kompletterar lagregleringen kan finnas i för- ordning och får inte utgöra ett betydande intrång i den personliga integriteten.74

I avsnitt 6.2 har vi bedömt att en behandling av personuppgifter vid myndigheterna som utgör ett intrång i det grundlagsreglerade skyddet för den personliga integriteten i vissa fall är nödvändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina respektive samhällsviktiga verksamheter.

Vi har i avsnitt 8.4.3 om ändamålsbestämmelser bedömt att grund- lagsskyddets krav på lagform tillgodoses genom den där föreslagna ändamålsbestämmelsen. I avsnitt 14.8 har vi även föreslagit en sär- skild lagreglerad ändamålsbestämmelse för dataanalyser och urval. En ändamålsbestämmelse i lag innebär att ramen för behandling av personuppgifter i ett informationssystem med ett stort antal, och i vissa fall integritetskänsliga, uppgifter fastställs av riksdagen. Ända- målsbestämmelserna är därmed de bestämmelser som ger lagstöd för

74Se t.ex. prop. 2014/15:148, Domstolsdatalag, s. 23.

616

SOU 2023:100

Databasregleringen

sådan behandling som kan anses omfattas av grundlagsskyddet för den personliga integriteten. Mot den bakgrunden har vi bedömt att det är nödvändigt att införa nya bestämmelser som tillåter myndig- heterna att behandla personuppgifter för vissa ändamål.

Enligt vår bedömning kan dock inte grundlagsskyddet också anses kräva en reglering av vilka kategorier av personuppgifter som får be- handlas inom myndigheterna.

9.4.4Folkbokföringsdatabasen och definitionen av folkbokföring

Vår bedömning: Legaldefinitionen av folkbokföring bör inte hän- visa till dataskyddsregleringen.

Skälen för vår bedömning

Från kyrkan till staten

Under flera hundra år var det kyrkan som, genom prästernas ansvar att föra husförhörslängder, registrerade uppgifter om befolkningen. Uppgifterna bevarades bl.a. i olika kyrkoböcker.75 Det rörde sig om anteckningar om dop och andra religiösa händelser, men även födelse- tid och bosättning.76 Uppgifterna i kyrkobokföringen användes tidigt även som underlag för s.k. mantalsskrivning vars huvuduppgift var att ligga till grund för beskattningen.77

Genom 1946 års folkbokföringsreform fastslogs att folkbokför- ingens huvudsakliga syfte var att hålla register över medborgarna för samhällets behov.78 1987 fattade riksdagen beslut om en ny organisa- tion för folkbokföringen med innebörden att ansvaret för den löpande folkbokföringen skulle föras över från kyrkan till de lokala skatte- myndigheterna. I samband med den nya organiseringen av folkbok- föringen konstaterade regeringen att den grundläggande betydelse

75Skatteverkets webbsida, Folkbokföringens historia, tillgänglig: https://skatteverket.se/privat/folkbokforing/attvarafolkbokford/folkbokforingenshistoria.4. 18e1b10334ebe8bc80003006.html [hämtad 2023-09-14].

76Prop. 1986/87:158, om ny organisation för folkbokföring, s. 28.

77Prop. 1986/87:158, om ny organisation för folkbokföring, s. 2–3.

78Skatteverkets webbsida, Folkbokföringens historia, tillgänglig: https://skatteverket.se/privat/folkbokforing/attvarafolkbokford/folkbokforingenshistoria.4. 18e1b10334ebe8bc80003006.html [hämtad 2023-09-14].

617

Databasregleringen

SOU 2023:100

som folkbokföringen hade för samhället förutsatte en mer rationell hantering av folkbokföringen än tidigare. Det lämpligaste var därför att skatteförvaltningen skulle ha ansvaret för den löpande folkbok- föringen.79

Folkbokföringsregister

Vid 1987 års folkbokföringsreform uttalade regeringen att de manu- ella register som fanns inom folkbokföringen skulle ersättas av ADB- förda register, dvs. datoriserade register. Regeringen konstaterade att datalagens bestämmelser skulle komma att bli tillämpliga på regist- ren, men ansåg att folkbokföringsverksamhetens registerfrågor skulle regleras i en särskild lag i syfte att stärka skyddet för de registrerades personliga integritet. I lagen skulle bl.a. registerinnehållet regleras.80 Vilka uppgifter det rörde sig om följde enligt regeringen av särskilda bestämmelser som främst återfanns i dåvarande folkbokföringslagen (1967:198) och folkbokföringskungörelsen (1967:495). Regeringen konstaterade att även många andra författningar, bl.a. namnlagen (1982:670) och föräldrabalken, innehöll bestämmelser om uppgifts- skyldighet till folkbokföringsmyndigheten.81

I registerlagen skulle slås fast dels för vilka personer som upp- gifter fick föras in, dels vilka uppgifter som registreringen fick avse. Beskrivning av innehållet skulle i allt väsentligt vara heltäckande. En- dast de uppgifter som behövdes för folkbokföringsverksamheten skulle finnas i registret, vilket i princip var fråga om de uppgifter som skulle finnas antecknade enligt bestämmelser i framför allt folkbokförings- författningarna, men också i andra författningar, t.ex. namnlagen.82

Registerlagarna och den materiella regleringen

I förarbetena till den nuvarande folkbokföringslagen, FOL, uttalade regeringen att det sedan länge hade rått enighet om att den dåvarande folkbokföringen hade brister och behövde rationaliseras och förbätt- ras.83 Som ett led i rationaliseringen och förbättringen skulle folkbok-

79Prop. 1986/87:158, om ny organisation för folkbokföring, s. 21, 22, 24 och 32.

80Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 15.

81Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 16–17.

82Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 23.

83Prop. 1990/91:153, om ny folkbokföringslag m.m., s. 81.

618

SOU 2023:100

Databasregleringen

föringsregistren börja föras med hjälp av automatisk databehandling hos skattemyndigheterna. Ett lokalt register skulle finnas för varje lokalt skattekontors verksamhetsområde och ett centralt referens- register skulle finnas för hela landet.84 Ursprungligen hade 1 § FOL därmed följande lydelse.

Folkbokföring sker fortlöpande i register som skattemyndigheten för enligt särskilda bestämmelser.

Från och med 1995 hade bestämmelsen i 1 § följande lydelse.

Folkbokföring enligt denna lag innebär fastställande av en persons bo- sättning samt registrering av uppgifter om identitet, familj och andra för- hållanden som enligt lagen (1990:1536) om folkbokföringsregister får förekomma i sådant register.85

I förarbetena till den nya lydelsen konstaterade regeringen att regler- ingen i lagen i huvudsak gick ut på att fastställa var en person skulle anses vara bosatt. Folkbokföring innefattade dock också beslut om att registrera olika personuppgifter, bl.a. civilstånd, vilket inte klart framgick av bestämmelsens tidigare lydelse. Frågan om vad som ut- gjorde ärende enligt folkbokföringslagen hade därför gett upphov till olika tolkningar. Bestämmelsen borde därför ändras så att det klar- gjordes att folkbokföring även innefattade registrering av person- uppgifter.86

I dag hänvisas inte längre till lagen om folkbokföringsregister i 1 § första stycket FOL, utan till folkbokföringsdatabaslagen. Lydel- sen i denna del kom till i samband med att databasregleringen in- fördes. Bestämmelsens förändrade lydelse var dock enligt regeringen enbart en följd av införandet av folkbokföringsdatabaslagen.87

Legaldefinitionen av folkbokföring bör inte längre hänvisa till dataskyddsregleringen

Databasregleringens syfte är att reglera vilka uppgifter som får be- handlas gemensamt inom folkbokföringsverksamheten för vissa ända- mål. Mot bakgrund av de tekniska och rättsliga förutsättningarna för personuppgiftsbehandling som råder i dag framstår en särskild regler-

84Prop. 1990/91:153, om ny folkbokföringslag m.m., s. 133.

85SFS (1994:1975).

86Prop. 1994/95:94, Ändringar i folkbokföringslagen m.m., s. 14.

87Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 227.

619

Databasregleringen

SOU 2023:100

ing av vilka uppgifter som får göras gemensamt tillgängliga inom en myndighet som obehövlig, se avsnitt 9.4.2. Den legala definitionen av vad folkbokföring utgör är dock knuten till databasregleringen, dvs. regleringen av vilka uppgifter som får behandlas gemensamt i verksam- heten. Databasregleringen borde därför också anses utgöra en ound- gänglig del av den rättsliga grunden för behandling av personuppgif- ter inom folkbokföringsverksamheten. Det skulle kunna anses ut- göra ett skäl för att även i den nya folkbokföringsdatalagen föreslå en särskilt reglerad uppgiftssamling där enbart vissa uppgifter får be- handlas. En av våra utgångspunkter för att åstadkomma en ändamåls- enlig och modern lagstiftning är dock att dataskyddsreglering och materiell reglering bör hållas åtskilda, se avsnitt 5.2.6. Utifrån den syn- vinkeln bör dagens systematik i stället förändras.

Den absoluta merparten av alla människor som kan antas komma att vistas i Sverige under minst ett år ska folkbokföras. Den rättsliga grunden för en så omfattande och därtill obligatorisk registrering bör enligt vår mening vara särskilt tydlig och förutsebar.88 Även mot bak- grund av den stora betydelse folkbokföringsuppgifter kan ha i olika situationer bör höga krav kunna ställas på den rättsliga grunden för behandlingen. Som exempel kan registrering av civilstånd eller rela- tion till barn ha betydelse i frågor om enskildas rätt till olika förmåner.

En registrering i folkbokföringsdatabasen får dessutom en presum- tionsverkan, vilket ytterligare tydliggör betydelsen av att den rättsliga grunden för folkbokföring är tydlig och förutsebar. Högsta förvalt- ningsdomstolen har uttalat att stabiliteten när det gäller registrerade identitetsuppgifter är av så central betydelse att beviskravet för att ändra sådana uppgifter måste vara högt. För att få bifall till en begäran om ändring av registrerade identitetsuppgifter, måste den enskilde pre- sentera bevisning som innebär att det klart framgår att de nya upp- gifterna är riktiga. Vid bevisvärderingen ska beaktas om den enskilde på ett tillfredsställande sätt kan förklara varför de tidigare uppgif- terna har lämnats samt i vilka avseenden eventuella handlingar och annan bevisning som har åberopats till stöd för dem är felaktiga.89

Ytterligare ett förhållande som talar för att de bestämmelser som reglerar vad folkbokföring innebär bör vara tydliga och förutsebara

88Jfr skäl 41 till EU:s dataskyddsförordning.

89Jfr Högsta förvaltningsdomstolens avgörande HFD 2019 ref. 9 i fråga om bevisbörda och beviskrav vid ändring av identitetsuppgifter i folkbokföringen.

620

SOU 2023:100

Databasregleringen

är att den som lämnar en oriktig uppgift till grund för beslut om folk- bokföring kan dömas för folkbokföringsbrott till böter eller fängelse.90 En ordning där legaldefinitionen av folkbokföring knyts till en särreglerad uppgiftssamling i dataskyddsregleringen måste dock an- ses vara både omotiverat komplicerad och svårtillgänglig, särskilt för enskilda registrerade. Det nyss sagda förstärks av att samtliga uppgifts- kategorier som anges i databasregleringen inte motsvarar sådana upp- gifter om en person som registreras i samband med folkbokföring. Syftet med databasen är att reglera vilka uppgifter som får vara gemen- samt tillgängliga inom verksamheten, inte att ange vilka uppgifter om en person som registreras i samband med folkbokföring. Ett ex- empel på att samtliga uppgifter som får behandlas i folkbokförings- databasen inte utgör personuppgifter som registreras i samband med folkbokföring är de uppgifter som får behandlas i databasen men som avser uppgifter med anknytning till systemet med samordningsnum- mer, enligt 2 kap. 3 § första stycket 18–20 FdbL. Samordningsnum- mer tilldelas dock enbart personer som inte är eller har varit folk-

bokförda.91

Ett annat exempel på att samtliga uppgifter som i dag får behand- las i databasen inte utgör sådan personinformation som registreras vid folkbokföring är de uppgifter som enligt 2 kap. 3 § andra stycket FdbL får behandlas i databasen. I bestämmelsen anges uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörel- sen. I förarbetena konstaterade regeringen att uppgifterna som fanns registrerade enligt detta stycke oftast avsåg vilket lagrum en registre- ring grundade sig på, t.ex. enligt vilken bestämmelse i namnlagen som ett namnbyte hade skett. Med stöd av bestämmelsen kunde även upp- lysningar om att en uppgift var obestyrkt finnas antecknade. Reger- ingen påpekade i sammanhanget att några nya uppgifter inte skulle komma att antecknas i folkbokföringsregistren enligt bestämmelsen. Det rörde sig enligt regeringen endast om att i det då nya folkbokför- ingsregistret föra in de uppgifter som den 30 juni 1991 fanns anteck- nade i personakter. Motsvarande nya uppgifter skulle därefter enligt regeringen föras in i diarierna och bestämmelsen hade därför karak- tären av en övergångsbestämmelse.92 De uppgifter som enligt 2 kap.

9042 § FOL.

912 kap. 1 § lagen om samordningsnummer.

92Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 41.

621

Databasregleringen

SOU 2023:100

3§ andra stycket FdbL får behandlas i databasen avser alltså inte någon specifik uppgift om en person som registreras i samband med att han eller hon folkbokförs.

I dag framgår som redan nämnts av 1 § FOL att folkbokföring innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som får förekomma i folkbokföringsdata- basen. I folkbokföringsdatabasen får dock flera uppgiftskategorier behandlas som inte motsvarar uppgifter om en person som registreras vid folkbokföring. Det kan därför upplevas som otydligt vilka upp- gifter som får, när det är relevant, registreras om en person när han eller hon folkbokförs.

Vilka uppgifter som får registreras om en person vid folkbokför- ing bör dock vara tydligt. Vår bedömning är att det inte är ändamåls- enligt att vad folkbokföring innebär i fråga om registrering av upp- gifter utgår från vilka uppgifter som får behandlas i en särskilt reglerad uppgiftssamling i den kompletterande dataskyddsregleringen. Legal- definitionen av folkbokföring bör alltså inte hänvisa till den kom- pletterande dataskyddsregleringen.

9.4.5Vad folkbokföring innebär ska framgå av folkbokföringslagen

Vårt förslag: Folkbokföring enligt folkbokföringslagen ska inne- bära fastställande av en persons bosättning samt registrering av de uppgifter om personen som får registreras enligt lagen.

Skatteverket ska få registrera följande uppgifter om en person:

1.personnummer,

2.samordningsnummer,

3.namn,

4.födelsetid,

5.födelsehemort,

6.födelseort och födelseland,

7.adress,

8.folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt,

622

SOU 2023:100

Databasregleringen

9.medborgarskap,

10.civilstånd,

11.make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt,

12.samband enligt 11 som är grundat på adoption,

13.inflyttning från utlandet,

14.avregistrering,

15.gravsättning,

16.personnummer som personen har tilldelats i ett annat nordiskt land, och

17.uppehållsrätt.

Skälen för vårt förslag

Definitionen av folkbokföring bör framgå av folkbokföringslagen

Som vi konstaterat i avsnittet ovan innebär dagens systematik, där legaldefinitionen av folkbokföring hänvisar till en särskilt reglerad uppgiftssamling i den kompletterande dataskyddsregleringen, att det kan upplevas som otydligt vilka uppgifter som registreras om en per- son när han eller hon folkbokförs. I fortsättningen bör det enligt vår mening finnas en större tydlighet kring vilka uppgifter som, när det är relevant, får registreras av Skatteverket med anledning av att en person folkbokförs. Vi har inte kunnat se att dagens systematik har motiverats av att den ansetts vara särskilt flexibel eller ändamålsenlig eller tillgodosett något annat faktiskt behov. Något annat skäl för att behålla dagens systematik har vi inte heller funnit. Vi bedömer därför att behovet av tydlighet kan bli tillgodosett genom att vad folkbokföring innebär i fråga om registrering av uppgifter anges i folkbokföringslagen. Det nyss sagda innebär att lydelsen av 1 § FOL bör ändras till att avse sådana uppgifter som får registreras enligt lagen. Vi föreslår därför att folkbokföring enligt folkbokförings- lagen ska innebära fastställande av en persons bosättning samt regi- strering av de uppgifter om personen som får registreras enligt lagen.

623

Databasregleringen

SOU 2023:100

En ny bestämmelse som i relevanta delar motsvarar regleringen av databasens innehåll

Vilka uppgifter som får registreras i samband med folkbokföring bör framgå av en ny paragraf i folkbokföringslagen. Som vi nämnt ovan utgör dock inte alla uppgifter som i dag får behandlas i folkbokför- ingsdatabasen enligt 2 kap. 3 § FdbL sådana uppgifter som ska regi- streras vid folkbokföring. Enbart de uppgifter som, när det är rele- vant, får registreras av Skatteverket med anledning av att en person folkbokförs ska anges i den nya bestämmelsen.

Skatteverket har ett ansvar för att vissa uppgifter registreras i sam- band med folkbokföring. Syftet med den nya bestämmelsen är att tyd- liggöra vilka uppgifter om en person som Skatteverket får registrera om en person i samband med att han eller hon folkbokförs. Den syftar inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla i verksamheten med folkbokföring. Som vi påpekat i avsnitt 9.4.3 ovan är det den materiella verksamhetsregleringen som styr vilka uppgifter Skatteverket får behandla för att utföra sina upp- gifter som framgår av lag och förordning. Att en uppgiftskategori inte anges i den nya bestämmelsen innebär alltså inte att Skatteverket är förhindrat att behandla sådana uppgifter, utan enbart att det inte är en sådan uppgift om en person som, om det är relevant, registreras i samband med folkbokföring.

Grundläggande folkbokföringsuppgifter

Att uppgifterna i folkbokföringen speglar befolkningens bosättning, identitet och familjerättsliga förhållanden är inte bara en förutsätt- ning för Skatteverkets fastställande av skatter utan även för att andra samhällsfunktioner ska ha ett korrekt underlag för beslut och åtgär- der. Uppgifter i folkbokföringen kan ligga till grund för bl.a. ersätt- ningar och bidrag men även samhällsplanering och forskning.93 Vissa uppgifter som i dag får behandlas i folkbokföringsdatabasen är tyd- ligt kopplade till folkbokföringens syfte och dessa uppgifter bör även anges i den nya bestämmelsen i folkbokföringslagen. Det rör sig bl.a. om uppgifter om personnummer, namn, födelsetid, adress, folkbok- föringsfastighet, medborgarskap, civilstånd, vissa familjeförhållanden

93Prop. 2020/21:160, Säkrare samordningsnummer och bättre förutsättningar för korrekta upp- gifter i folkbokföringen, s. 23.

624

SOU 2023:100

Databasregleringen

och inflyttning från utlandet. Dessa uppgifter som får behandlas i folkbokföringsdatabasen och som även bör anges i den nya bestäm- melsen i folkbokföringslagen framgår av 2 kap. 3 § första stycket 1– 13 och 15–17 FdbL. Nedan bedömer vi dock att vissa justeringar bör göras i förhållande till den reglering som i dag finns i FdbL. Vi förslår därför att uppgifter som anges i 2 kap. 3 § första stycket 1–13 och 15–17 FdbL anges i den nya bestämmelsen i folkbokföringslagen, med vissa justeringar.

Registrering av uppgift om födelseland

Enligt 2 kap. 3 § första stycket 4 och 5 FdbL får uppgift om födelse- hemort och födelseort behandlas i folkbokföringsdatabasen. Innan databasregleringen infördes fanns motsvarande bestämmelse i lagen om folkbokföringsregister. När databasregleringen tillkom fördes be- stämmelser om vilka uppgifter det tidigare folkbokföringsregistret fick innehålla i stort sett oförändrade till regleringen av vilka uppgif- ter databasen fick innehålla, och därmed göras gemensamt tillgäng- liga.94

I förarbetena till bestämmelserna i lagen om folkbokföringsregister konstaterade regeringen att med födelsehemort avsågs normalt den församling i vilken personens moder var folkbokförd när personen i fråga föddes. Med födelseort menades enligt regeringen både födelse- ort och land för en person som var född i utlandet.95 Skatteverket har uppgett till utredningen att uppgift om födelseland alltid behandlas i databasen för personer som är födda utomlands, med stöd av bestäm- melserna i folkbokföringsdatabaslagen och de nyss nämnda förarbets- uttalandena.

Som vi konstaterat ovan bör den nya regleringen vara tydlig avse- ende vilka uppgifter som registreras i samband med att en person folk- bokförs. Mot bakgrund av nämnda förarbetsuttalanden får det med födelseort, enligt vår bedömning, även anses avse födelseland för en person som är född utomlands. Av tydlighetsskäl bör detta uttryck- ligen framgå av den nya bestämmelsen i folkbokföringslagen. Detta förtydligande innebär dock ingen ändring i sak eller utvidgning av vad folkbokföring innebär.

94Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141.

95Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 40.

625

Databasregleringen

SOU 2023:100

Annan person som den registrerade har samband med inom folkbokföringen

I dag får enligt 2 kap. 3 § första stycket 10 FdbL uppgifter om make, barn, föräldrar, vårdnadshavare och annan person som den registre- rade har samband med inom folkbokföringen behandlas i folkbok- föringsdatabasen. Vad som avses med annan person som den registre- rade har samband med inom folkbokföringen framgår dock inte av den bestämmelsen. Däremot framgår av 5 § FdbF att detta begrepp avser annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt.

Det är enligt vår mening svårt att hitta ett skäl till att vad som avses ska regleras skilt från bestämmelsen i sig. Eftersom uttrycket dess- utom redan har en avgränsad betydelse bör denna av tydlighetsskäl framgå direkt av den nya bestämmelsen i folkbokföringslagen. Vi före- slår därför att uppgifter om make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt ska få registreras vid folkbokföring. Även om bestämmelsen därmed får en ändrad lydelse i förhållande till i dag bör det inte utgöra någon ändring i sak eller utvidgning av vad folk- bokföring innebär.

Anmälan enligt 5 kap. 2 § vallagen

Enligt 2 kap. 3 § första stycket FdbL får anmälan enligt 5 kap. 2 § val- lagen behandlas i folkbokföringsdatabasen. Av bestämmelsen i val- lagen framgår att svenska medborgare som inte längre är folkbokförda i landet ska tas upp i röstlängd under tio år från den dag folkbokför- ingen upphörde. Därefter ska de, för tio år i sänder, tas med i röst- längden endast om de skriftligen har anmält sin adress hos Skatte- verket. Bestämmelsen avser alltså adressanmälningar från personer som sedan mer än tio år tillbaka inte är folkbokförda i Sverige.

När bestämmelsen i folkbokföringsdatabaslagen infördes skulle ett helt nytt röstlängdsystem införas. Utlandssvenskar skulle då tas upp i röstlängd automatiskt mot bakgrund av de uppgifter som fanns i folkbokföringssystemet i tio år efter utflyttningen. I övergångs- bestämmelserna till den nya regleringen angavs att vid bl.a. val till riksdagen skulle de som inte varit folkbokförda i landet någon gång efter den 1 juli 1991 bara tas upp i röstlängd om de hade anmält att

626

SOU 2023:100

Databasregleringen

de ville finnas i den. I den då gällande särskilda röstlängden kunde det enligt regeringen finnas ett antal svenskar som inte varit folkbokförda i landet efter den 1 juli 1991, som genom att ansöka om att bli upp- tagna i särskild röstlängd deklarerat sitt intresse att delta i val i Sverige. För att säkerställa denna grupps möjlighet att rösta i kommande val föreslog regeringen att uppgifter om namn och adress över dessa väl- jare skulle få föras över till de lokala folkbokföringsregistren.96

Enligt 5 kap. 1 § andra stycket vallagen ska röstlängder i dag bl.a. grundas på de uppgifter som 30 dagar före valdagen finns i folkbok- föringsdatabasen. Uppgifterna om anmälan enligt 5 kap. 2 § vallagen fyller därmed en viktig funktion mot bakgrund av hur röstlängderna framställs. Det rör dock uppgifter om personer som sedan mer än tio år tillbaka inte är folkbokförda i Sverige. Mot den bakgrunden går det enligt vår mening att ifrågasätta i vilken utsträckning sådana uppgifter kan anses avse uppgifter som registreras om en person när han eller hon folkbokförs. Uppgifterna kan i och för sig sägas vara en konsekvens av att en person vid något tillfälle varit folkbokförd i Sverige, vilket skulle kunna tala för att de även ska anges i den nya bestämmelsen i folkbokföringslagen. Mot bakgrund av den långa tid som måste ha förflutit sedan personen senast var folkbokförd för att en anmälan enligt 5 kap. 2 § vallagen ska aktualiseras är dock vår be- dömning att uppgifterna inte kan anses avse sådana uppgifter som registreras om en person i samband med folkbokföring. I den nya bestämmelsen i folkbokföringslagen bör sådana uppgifter därför inte anges.

Det innebär inte att Skatteverket kommer att vara förhindrat att behandla uppgifter om anmälningar enligt 5 kap. 2 § vallagen inom folkbokföringsverksamheten. Som framgår ovan följer av den bestäm- melsen att Skatteverket ska ta emot anmälningar om adress från svenska medborgare som sedan mer än tio år tillbaka inte är folkbokförda i landet. Det finns följaktligen en rättslig grund för Skatteverkets be- handling av sådana uppgifter även om det inte särskilt anges i folk- bokföringslagen. Vi har dessutom i avsnitt 9.4.2 ovan föreslagit att folkbokföringsdatabasregleringen upphävs. Bestämmelsen i 5 kap. 1 § andra stycket vallagen om vilka uppgifter röstlängder ska grundas på måste alltså under alla förhållanden ändras, se avsnitt 6.3 om följd- ändringar.

96Prop. 1996/97:70, Ny vallag, s. 22, 69, 139 och 250.

627

Databasregleringen

SOU 2023:100

Registrering av uppgift om uppehållsrätt

I 2 kap. 3 § första stycket 17 FdbL anges att uppgift om uppehållsrätt för en person som är folkbokförd får behandlas i folkbokförings- databasen. Eftersom vi föreslår att dessa uppgifter i stället ska anges direkt i folkbokföringslagen framstår tillägget om att uppgiften om uppehållsrätt enbart ska registreras för den som är folkbokförd som överflödigt. Vi anser därför att det saknas skäl att ange detta i den nya bestämmelsen i folkbokföringslagen. Förslaget utgör ingen ändring i sak och innebär inte heller i övrigt någon förändring av vad folk- bokföring innebär.

Uppgifter med särskild koppling till systemet för samordningsnummer

Att enbart de uppgifter som, när det är relevant, får registreras av Skatteverket med anledning av att en person folkbokförs ska anges i den nya bestämmelsen innebär att uppgifter som i dag anges i 2 kap. 3 § första stycket FdbL, men som enbart är relevanta i systemet för samordningsnummer, inte ska anges i bestämmelsen. De uppgifter som i dag anges i 2 kap. 3 § första stycket 18–20 FdbL och som avser verk- samhet enligt lagen om samordningsnummer ska därför inte anges i den nya bestämmelsen.

I dag anges i 2 kap. 3 § 1 första stycket FdbL att person- eller samordningsnummer får behandlas i folkbokföringsdatabasen. Person- nummer är särskilt knutet till folkbokföring, vilket framgår av 18 § FOL. Den bestämmelsen anger att det för varje folkbokförd person fastställs ett personnummer som identitetsbeteckning. Det förekom- mer dock att en person blir folkbokförd efter att först ha tilldelats ett samordningsnummer. Enligt 28 § FOL ska en anmälan enligt 25 eller 26 § samma lag innehålla uppgift om person- eller samordnings- nummer. Skatteverket har uppgett till utredningen att när en person med samordningsnummer folkbokförs så diarieförs folkbokförings- ärendet på samordningsnumret. I samband med att personen folk- bokförs och personnummer fastställs sker en hänvisning mellan per- sonnumret och personens tidigare samordningsnummer (som blir vilandeförklarat).97

Mot bakgrund av att uppgift om samordningsnummer behandlas i ett folkbokföringsärende när en person med samordningsnummer

97Jfr 1 kap. 1 § och 3 kap. 2 § 2 lagen om samordningsnummer.

628

SOU 2023:100

Databasregleringen

folkbokförs bedömer vi att samordningsnummer, i likhet med nuvar- ande reglering i folkbokföringsdatabaslagen, bör anges i den nya be- stämmelsen om vilka uppgifter om en person som får registreras vid folkbokföring.

Fingeravtryck, ansiktsbilder och biometriska uppgifter

Av 2 kap. 3 § första stycket 21 FdbL framgår att fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa får behandlas i folkbokföringsdatabasen. Dessa uppgifter får dock en- bart behandlas i samband med viss identitetskontroll enligt 26 b och

26c §§ FOL eller enligt 2 kap. 3 och 4 §§ lagen om samordningsnum- mer. Efter kontrollen är utförd ska dock uppgifterna omedelbart förstöras, vilket i dag framgår av 1 kap. 7 § FdbL. De kan därmed inte anses utgöra sådana uppgifter om en person som ska registreras i sam- band med folkbokföring. Vi föreslår därför att dessa uppgifter inte ska anges i den nya bestämmelsen.

Vad gäller registrering av sådana uppgifter i ärenden om samord- ningsnummer återkommer vi till nedan.

Registrering av uppgifter som var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen

Som vi redogjort för i avsnitt 9.4.4 får vissa uppgifter som inte avser någon specifik uppgift om en person behandlas i databasen med stöd av 2 kap. 3 § andra stycket FdbL. Av bestämmelsen framgår att upp- gifter som den 30 juni 1991 enligt särskilda bestämmelser var anteck- nade i sådan personakt som avses i 16 § i den upphävda folkbokför- ingskungörelsen får behandlas i databasen. Som vi redogjort för i avsnitt 9.4.4 uttalade regeringen i bestämmelsens förarbeten att de upp- gifter som avsågs, exempelvis enligt vilken bestämmelse i namnlagen som ett namnbyte hade skett, i fortsättningen skulle registreras i dia- rierna och att några nya uppgifter inte skulle komma att antecknas enligt bestämmelsen. Det rörde sig enligt regeringen endast om att i det då nya folkbokföringsregistret föra in de uppgifter som den 30 juni 1991 fanns antecknade i personakter. Enligt regeringen hade bestäm- melsen därför karaktären av en övergångsbestämmelse.98

98Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 41.

629

Databasregleringen

SOU 2023:100

Mot bakgrund av bestämmelsens karaktär, och då några särskilda uppgifter om en person inte framgår av bestämmelsen, bedömer vi att bestämmelsen inte bör ha någon motsvarighet i folkbokföringslagen. Det innebär inte att Skatteverket kommer att vara förhindrat att i framtiden behandla dessa uppgifter i sin verksamhet. Som vi redogör för i avsnitt 9.4.3 ovan är det den materiella regleringen av verksam- heten som är avgörande för vilka uppgifter som får behandlas. I den mån uppgifterna är nödvändiga att behandla för att Skatteverket ska kunna utföra sina uppgifter som framgår av lag och förordning finns det därmed inget hinder mot att uppgifterna behandlas även i fort- sättningen.

Registrering av uppgift om kön?

Av 18 § FOL framgår att det för varje folkbokförd person fastställs ett personnummer som identitetsbeteckning. Personnumret inne- håller födelsetid, födelsenummer och kontrollsiffra. Födelsenumret består av tre siffror och är udda för män och jämnt för kvinnor. Upp- gift om kön framgår därmed alltid i samband med folkbokföring, eftersom det för alla som folkbokförs ska fastställas ett personnum- mer och det inte är möjligt att fastställa ett personnummer utan att också vederbörandes kön indirekt framgår av numret. Att person- nummer ingår i de uppgifter om en person som registreras vid folk- bokföring framgår i dag av 2 kap. 3 § första stycket 1 FdbL.

Av 2 kap. 4 § första stycket FdbL framgår att utöver de uppgifter som anges i 2 kap. 3 § samma lag får även uppgifter som behövs för handläggning av ett ärende behandlas i databasen. Skatteverket har uppgett till utredningen att för att ett personnummer ska genereras behöver handläggaren i ärendet ange om det är fråga om en man eller en kvinna. Skatteverket behandlar alltså uppgift om en persons kön i folkbokföringsdatabasen i samband med handläggning av ett folk- bokföringsärende.

Av 2 kap. 8 § FdbL framgår sammanfattningsvis att en myndighet, om det inte är olämpligt ur integritetssynpunkt, får ha direktåtkomst till samtliga uppgifter i folkbokföringsdatabasen om myndigheten be- höver uppgifterna för att fullgöra sitt uppdrag och får behandla dem, med undantag för sådana uppgifter som avses i 2 kap. 3 § andra stycket

630

SOU 2023:100

Databasregleringen

FdbL.99 Utöver det undantaget begränsas inte myndigheters tillgång till uppgifter i folkbokföringsdatabasen till de uppgifter som anges i 2 kap. 3 § första stycket.100

Trots att kön inte är en uppgiftskategori som i dag anges i 2 kap. 3 § första stycket FdbL är det en uppgift som inte enbart indirekt be- handlas i folkbokföringsdatabasen genom personnumret, utan som behandlas i databasen med stöd av 2 kap. 4 § första stycket samma lag, för att ett personnummer ska kunna genereras. Vi har därför övervägt om det i den nya bestämmelsen i folkbokföringslagen även bör anges kön som en av de uppgiftskategorier om en person som får registreras i samband med folkbokföring. Ett sådant tillägg skulle kunna anses bidra till ökad tydlighet och förutsebarhet för de regi- strerade.

Vår bedömning är dock att ett förslag med den innebörden skulle utgöra en sådan förändring i förhållande till befintlig reglering som går utanför ramen för vårt uppdrag att föreslå. Vi lämnar därför inte något sådant förslag.

9.4.6Övriga ändringar inom folkbokföringen till följd av databasregleringens upphörande

Vårt förslag: I folkbokföringslagen ska Skatteverket ges ett ut- tryckligt ansvar för registrering enligt lagen.

Att fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa omedelbart ska förstöras efter kontroll ska fram- gå av folkbokföringslagen.

I folkbokföringslagens bestämmelser om vilka uppgifter en anmälan om flyttning eller anmälan om inflyttning från utlandet ska innehålla, samt Skatteverkets rätt att förelägga en person att lämna uppgifter för kontroll, ska hänvisas till den föreslagna nya bestämmelsen om vilka uppgifter som får registreras.

Vad som är avgörande för vilket distrikt som i samband med folkbokföring ska anges för en person ska framgå av folkbokför- ingsförordningen.

99Direktåtkomst innebär att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (HFD 2015 ref. 61).

100Jfr prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts- verksamheten hos Skatteverket, s. 46.

631

Databasregleringen

SOU 2023:100

Skälen för vårt förslag

Dataskyddsreglering bör även i övrigt skiljas från materiell reglering

Utöver den betydelse databasregleringen har för legaldefinitionen av folkbokföring finns det också andra bestämmelser i den komplet- terande dataskyddsregleringen för folkbokföringsverksamheten som har materiell betydelse för Skatteverkets uppgifter enligt folkbok- föringslagen. Nya bestämmelser bör därför införas när databasregler- ingen upphävs. Mot bakgrund av vår utgångspunkt att materiell verksamhetsreglering bör skiljas från dataskyddsregleringen i så hög utsträckning som möjligt bör de nya motsvarande bestämmelserna placeras den materiella regleringen av folkbokföring.

Skatteverkets ansvar för registrering

Att Skatteverket har en skyldighet att registrera vissa uppgifter i sam- band med folkbokföring, och att registrera ändring av dessa uppgif- ter, framgår i dag av 2 § FdbF som har följande lydelse.

När en person folkbokförs eller när ändring görs av någon uppgift som får behandlas enligt 2 kap. 3 § lagen (2001:182) om behandling av per- sonuppgifter i Skatteverkets folkbokföringsverksamhet ska uppgift om detta registreras i folkbokföringsdatabasen.

Mot bakgrund av vikten av tydlighet inom folkbokföringen har vi övervägt om bestämmelsen bör ges en motsvarighet i folkbokförings- lagen. Det framgår dock redan av 1 § tredje stycket FOL att folkbok- föring sker genom Skatteverkets försorg. Uppgifterna i folkbokför- ingen ska dessutom spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder, vilket framgår av 2 § för- ordningen (2017:154) med instruktion för Skatteverket. Skatteverkets skyldighet att registrera vissa uppgifter och att hålla uppgifterna upp- daterade framgår därmed redan av folkbokföringslagen och myndig- hetens instruktion. Av artikel 5.1 d i EU:s dataskyddsförordning fram- går vidare att personuppgifter ska vara riktiga och om nödvändigt upp- daterade, och att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.

632

SOU 2023:100

Databasregleringen

Det är dock viktigt att det inte råder några tvivel om att Skatte- verket ansvarar för att registrera de uppgifter som anges i den före- slagna nya bestämmelsen. För att det inte ska råda några tvivel om Skatteverkets ansvar i detta avseende bör det framgå tydligare än i dag av 1 § FOL, som anger att folkbokföring sker genom Skatteverkets försorg. 1 § tredje stycket FOL bör i stället ange att Skatteverket an- svarar för folkbokföring. Mot den bakgrunden bedömer vi att 2 § FdbF inte behöver motsvaras av en ny bestämmelse i folkbokför- ingslagen.

Uppgifter som omedelbart ska förstöras

I syfte att stärka identitetskontrollen i samband med bl.a. inflyttning har det nyligen införts möjligheter för Skatteverket att kontrollera biometriska uppgifter som finns lagrade i vissa identitetshandlingar.101 Den utökade identitetskontrollen innebär en skyldighet för enskilda att vid inflyttning från utlandet inställa sig personligen hos Skatte- verket för identitetskontroll, och på begäran överlämna eventuellt pass, identitetskort eller annan motsvarande handling eller uppehållstill- ståndskort. Om en sådan handling har ett lagringsmedium där finger- avtryck eller ansiktsbild är sparade, ska innehavaren på begäran också låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar de som finns i handlingen. Detta förfarande regleras i dag i 26 b och 26 c §§ FOL. I samband med detta infördes även en ny bestämmelse i folkbokföringsdatabaslagen, 1 kap. 7 §, med innebörden att när kontrollen har genomförts ska finger- avtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.102 Bestämmelsen infördes samtidigt som en ändring i regleringen av vilka uppgifter som får behandlas i data- basen (2 kap. 3 § första stycket 21 FdbL).

En bestämmelse som motsvarar den som anges i 1 kap. 7 § FdbL bör därför föras in i folkbokföringslagen. Eftersom denna del av iden- titetskontrollen regleras i 26 c § FOL är det lämpligt att en sådan be- stämmelse fogas till den paragrafen som ett nytt andra stycke.

101Jfr prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 44–48.

102SFS 2022:1281 och prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 53–55.

633

Databasregleringen

SOU 2023:100

Uppgifter som ska lämnas vid anmälan om flyttning och inflyttning från utlandet samt vid föreläggande för kontroll av uppgifter

I folkbokföringslagens bestämmelser om vilka uppgifter en anmälan om flyttning eller inflyttning från utlandet ska innehålla (28 § FOL) hänvisas i dag till uppgifter som får föras in i folkbokföringsdatabasen. Även i bestämmelsen som reglerar Skatteverkets möjlighet att före- lägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av eller komplettering av uppgifter (31 § FOL) hänvisas till de uppgifter som får föras in i folkbokföringsdatabasen.

Som en följd av våra förslag ovan bör dessa hänvisningar i stället avse registrering som är tillåten enligt den föreslagna nya bestämmel- sen i 1 a § FOL.

Uppgift om distrikt

En av de uppgifter som ska registreras vid folkbokföring är distrikt. Hur distrikt ska bestämmas framgår i dag av 5 a § FdbF, som har föl- jande lydelse.

Vilket distrikt som enligt 2 kap. 3 § 7 lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska anges för en person avgörs av den personens belägenhetsadress på den fastig- het där personen är folkbokförd med stöd av 6 § folkbokföringslagen (1991:481). Med distrikt avses här detsamma som i 2 § förordningen

(2015:493) om distrikt.

Bestämmelsen i 5 a § FdbF utgör ett förtydligande av vad som avses med begreppet distrikt i folkbokföringen, och hur det ska bestämmas. Vår bedömning är därför att bestämmelsen bör finnas kvar, men an- passas efter våra förlag i övrigt. Mot bakgrund av bestämmelsens för- tydligande karaktär bedömer vi att bestämmelsen bör föras in i folk- bokföringsförordningen (1991:749), FOF.

Att uppgift om distrikt får registreras vid folkbokföring framgår i dag av 2 kap. 3 § första stycket 7 FdbL. De övriga uppgifter som anges i den bestämmelsen är folkbokföringsfastighet, lägenhetsnum- mer, folkbokföringsort, och folkbokföring under särskild rubrik. I 4 § FOF finns i dag en bestämmelse av liknande karaktär som nu- varande 5 a § FdbF, som dessutom avser en annan uppgift som anges i 2 kap. 3 § första stycket 7 FdbL, nämligen folkbokföring under sär- skild rubrik. Det framstår därför som mest lämpligt att föra in en be-

634

SOU 2023:100

Databasregleringen

stämmelse motsvarande 5 a § FdbF i folkbokföringsförordningen, i anslutning till 4 §.

9.4.7Folkbokföringsdatabasen och regleringen av samordningsnummer

Vår bedömning: Det finns ett behov av att förtydliga att även ärenden om samordningsnummer innebär registrering av vissa uppgifter.

Skälen för vår bedömning

Även ärenden om samordningsnummer kräver viss registrering

I Sverige finns två identitetsbeteckningar för fysiska personer. För personer som folkbokförs enligt bestämmelserna i folkbokförings- lagen fastställs ett personnummer som identitetsbeteckning. Perso- ner som inte är eller har varit folkbokförda får i stället på begäran eller efter ansökan tilldelas ett samordningsnummer enligt de bestämmel- ser som finns i lagen om samordningsnummer och den komplette- rande förordningen (2023:363) om samordningsnummer.

Innan systemet med samordningsnummer infördes år 2000 kunde Skatteverket tilldela personnummer till vissa personkategorier som inte skulle folkbokföras, s.k. TP-nummer.103 Lagen om samordnings- nummer innehåller även bestämmelser om sådana personnummer som tilldelats utan samband med folkbokföring.104

Varken person- eller samordningsnummer medför i sig några rät- tigheter eller skyldigheter men har stor betydelse för ett praktiskt fungerande liv i Sverige. Numrens huvudsakliga syfte är att undvika personförväxling och underlätta informationsutbyte om personer. Liksom folkbokföringsuppgifter aviseras uppgifter om personer som har tilldelats samordningsnummer till myndigheter genom Navet, Skatteverkets system för distribution av uppgifter från folkbokför- ingsverksamheten. För att ett person- eller samordningsnummer ska kunna motverka personförväxling och möjliggöra en säker överför-

103Prop. 1997/98:9, Skydd för förföljda personer, samordningsnummer, m.m., s. 74–76.

1041 kap. 1 § andra stycket lagen om samordningsnummer.

635

Databasregleringen

SOU 2023:100

ing av tillförlitliga personuppgifter mellan olika användare måste till- delning av nummer ske efter en fullgod identitetskontroll.105

Som framgår av avsnitt 9.3.2 får enligt 2 kap. 2 § FdbL uppgifter om personer som har tilldelats samordningsnummer behandlas i folk- bokföringsdatabasen. Av 1 kap. 2 § lagen om samordningsnummer framgår också att uppgifter om personer som har tilldelats samord- ningsnummer får registreras i folkbokföringsdatabasen enligt folk- bokföringsdatabaslagen. Vilka uppgifter som registreras vid handlägg- ning av ärenden om samordningsnummer avviker till viss del från vilka uppgifter som registreras vid folkbokföring.

Det finns ett behov av att tydliggöra att ärenden om samordningsnummer innebär registrering av vissa uppgifter

Samordningsnummer tilldelas efter begäran av en myndighet eller ett sådant annat organ som regeringen bestämmer, eller efter ansökan av en enskild.106 Samordningsnummer kan förnyas efter ansökan av en myndighet eller ett sådant annat organ, liksom av den enskilde, samt förklaras vilande under visa förutsättningar.107 Vad gäller s.k. TP-nummer kan dessa med stöd av lagen om samordningsnummer under vissa förutsättningar förklaras vilande eller förnyas.108

Tilldelningen av samordningsnummer medför registrering av många personer och uppgifterna som registreras är viktiga för såväl de en- skilda som för myndigheter och andra som behöver uppgifterna. Som redan nämnts aviseras uppgifter om personer som har tilldelats ett samordningsnummer ut till andra myndigheter via Navet. Uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort sin identitet sannolik lämnas också ut till enskilda genom det statliga personadressregistret, SPAR.109 Att ändra en identitetsuppgift i efterhand om den som har tilldelats ett samordningsnummer kräver att de nya uppgifterna kontrolleras med samma krav på säkerhet som vid tilldelningen av samordningsnum- mer efter styrkt identitet.110

105Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 21.

1062 kap. 1 § lagen om samordningsnummer.

1073 kap. 1–3 §§ lagen om samordningsnummer.

1083 kap. 4 § lagen om samordningsnummer.

1094 § lagen (1998:527) om det statliga personadressregistret.

1102 kap. 7 § lagen om samordningsnummer, jfr prop. 2021/22:276, Stärkt system för samord- ningsnummer, s. 141.

636

SOU 2023:100

Databasregleringen

Det är alltså viktigt att den rättsliga grunden för behandling av per- sonuppgifter är tydlig och förutsebar även avseende samordningsnum- mer, särskilt eftersom de uppgifter som registreras används för att förse andra aktörer med information om den registrerade. Att Skatteverket har en registreringsskyldighet i sammanhanget följer dock av bl.a. folk- bokföringsdatabasregleringen. Eftersom databasregleringen föreslås upphävas finns det ett behov av att i den materiella regleringen av sam- ordningsnummer tydliggöra att även ärenden om samordningsnum- mer innefattar viss registrering av personuppgifter.

9.4.8Ärenden om samordningsnummer kräver viss registrering

Vårt förslag: Av lagen om samordningsnummer ska det framgå att Skatteverket får registrera vissa uppgifter om en person som har tilldelats samordningsnummer.

Följande uppgifter får registreras om en person som har till- delats samordningsnummer:

1.samordningsnummer,

2.personnummer,

3.namn,

4.födelsetid,

5.medborgarskap,

6.födelseort och födelseland,

7.kontaktadress,

8.om personens identitet är styrkt, sannolik eller osäker,

9.tidpunkt för när vilandeförklaring kan komma att ske,

10.vilandeförklaring med angivande av med vilket stöd förklar- ingen skett, och

11.tidpunkt för när en person har avlidit.

637

Databasregleringen

SOU 2023:100

Skälen för vårt förslag

Skatteverkets skyldighet att registrera uppgifter

Av 2 § FdbF framgår att när en person folkbokförs eller när ändring görs av någon uppgift som får behandlas enligt 2 kap. 3 § FdbL ska uppgift om detta registreras i folkbokföringsdatabasen. Skatteverkets skyldighet att enligt den bestämmelsen registrera uppgifter avser alltså folkbokföring samt ändring av uppgifter oavsett i vilket sam- manhang de registrerats. Till skillnad från vad som gäller avseende folkbokföring finns det inte någon bestämmelse i förordningen med instruktion för Skatteverket som tydliggör att Skatteverket har ett ansvar för systemet med samordningsnummer.

Av 1 kap. 2 § lagen om samordningsnummer framgår dock att Skatteverket beslutar i ärenden enligt lagen och att uppgifter om per- soner som har tilldelats samordningsnummer registreras i folkbok- föringsdatabasen. Att Skatteverket har en skyldighet att registrera uppgifter om en person vid handläggning av ärenden om samord- ningsnummer framgår därmed av lagen om samordningsnummer.

Uppgifter som får registreras

Regleringen i 2 kap. FdbL över vilka uppgifter som får förekomma i folkbokföringsdatabasen är i dag bestämmande för den registrering som sker vid handläggning av ärenden om tilldelning av samordnings- nummer och andra ärenden enligt lagen om samordningsnummer. Då samordningsnummer endast tilldelas personer som inte är eller har varit folkbokförda är det inte samtliga uppgifter som anges i 2 kap. 3 § FdbL som ska registreras vid tilldelning av ett samordningsnum- mer. Som framgår av avsnitt 9.4.4 kan vissa uppgifter som i dag får registreras i folkbokföringsdatabasen dessutom inte anses vara hän- förliga vare sig till den registrering som sker vid folkbokföring eller till den registrering som sker vid tilldelning av samordningsnummer eller handläggning av andra ärenden enligt lagen om samordnings- nummer. Det är exempelvis uppgifter om anmälan enligt 5 kap. 2 § vallagen eller sådana uppgifter som omedelbart ska förstöras efter en identitetskontroll.

För att det ska vara tydligt vilka uppgifter som Skatteverket får registrera om en person som har tilldelats samordningsnummer bör

638

SOU 2023:100

Databasregleringen

en ny bestämmelse införas i lagen om samordningsnummer. Syftet med den nya bestämmelsen är att tydliggöra vilka uppgifter om en person som Skatteverket får registrera i samband med att han eller hon tilldelas ett samordningsnummer. Det är alltså fråga om de upp- gifter som aviseras ut till andra myndigheter via Navet och som i viss utsträckning också är tillgängliga för enskilda och myndigheter genom SPAR. I den nya bestämmelsen bör därför enbart de upp- gifter anges som får registreras av Skatteverket med anledning av att en person tilldelas samordningsnummer eller i samband med hand- läggning av andra ärenden om samordningsnummer enligt lagen.

Den nya bestämmelsen syftar dock inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla för att utföra verksamhet enligt lagen om samordningsnummer. Som vi påpekat i avsnitt 9.4.3 ovan är det den materiella regleringen som styr vilka uppgifter Skatteverket får behandla för att utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges i den nya bestämmelsen innebär därmed inte att Skatteverket är för- hindrat att behandla sådana uppgifter, utan enbart att det inte är en sådan uppgift om en person som registreras i samband med att han eller hon tilldelas ett samordningsnummer eller i samband med hand- läggningen av andra ärenden enligt lagen om samordningsnummer.

Grunduppgifter om en person

I den nya bestämmelsen bör för det första uppgift om samordnings- nummer anges. En person som tidigare har tilldelats ett TP-nummer har inte varit folkbokförd och kan också tilldelas ett samordnings- nummer. Även personnummer bör därför anges i den nya bestäm- melsen.

Av 6 § första stycket och 7 § förordningen om samordningsnum- mer framgår att en begäran om tilldelning av samordningsnummer bl.a. ska innehålla uppgifter om den enskildes namn, födelsetid, med- borgarskap, kön, födelseort och kontaktadress. Av 8 § samma förord- ning framgår att dessa uppgifter även ska anges i en ansökan om till- delning av samordningsnummer. I 2 kap. 3 § första stycket 2, 3, 5, 6 och 8 FdbL anges i dag att ett flertal grunduppgifter om en person får behandlas i folkbokföringsdatabasen som i stort motsvarar de upp- gifter som en begäran eller ansökan om tilldelning av samordnings-

639

Databasregleringen

SOU 2023:100

nummer ska innehålla. Det är uppgift om namn, födelsetid, medbor- garskap, födelseort och adress.

Vi föreslår därför att de uppgifter som anges i 2 kap. 3 § första stycket 1–3, 5, 6 och 8 FdbL ska anges i den nya bestämmelsen i lagen om samordningsnummer. Mot bakgrund av att det i en begäran eller ansökan om samordningsnummer ska anges en s.k. kontaktadress bör dock det begreppet användas i stället för adress.

Registrering av uppgift om födelseland

Även om samordningsnummer kan tilldelas personer som är födda i Sverige bör det vara mycket vanligt att samordningsnummer tilldelas personer som är födda i ett annat land.

Av 2 kap. 3 § första stycket 5 FdbL framgår att uppgift om födelse- ort får behandlas i folkbokföringsdatabasen. Som framgår av av- snitt 9.4.5 ovan avses enligt förarbetena till bestämmelsen inte enbart ort för den som är född utanför Sverige, utan även land.111 Mot bak- grund av nämnda förarbetsuttalanden får det med födelseort, enligt vår bedömning, även anses avse födelseland för en person som är född utomlands. Av tydlighetsskäl bör detta uttryckligen framgå av den nya bestämmelsen i lagen om samordningsnummer. Detta förtydli- gande innebär dock ingen ändring i sak eller utvidgning av vilka upp- gifter om en person som registreras i samband med tilldelning av sam- ordningsnummer eller vid handläggning av andra ärenden enligt lagen.

Uppgifter med särskild koppling till systemet med samordningsnummer

Av 2 kap. 3 § första stycket 18–20 FdbL framgår att vissa uppgifter med särskild koppling till systemet med samordningsnummer och övriga ärenden enligt lagen om samordningsnummer får behandlas i folkbokföringsdatabasen. Det är uppgifter om tidpunkt för när vilande- förklaring kan komma att ske enligt 3 kap. 2 § 1 lagen om samordnings- nummer, vilandeförklaring enligt 3 kap. 2 § samma lag, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, samt tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit.

111Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 40.

640

SOU 2023:100

Databasregleringen

Vad gäller uppgifter om när en person med personnummer som inte är eller har varit folkbokförd har avlidit avser detta personer med s.k. TP-nummer och personer som tilldelats personnummer med stöd av 18 b § FOL. TP-numren har tidigare tilldelats i situationer där det enligt senare regler i stället skulle ha tilldelats samordningsnum- mer. Mot den bakgrunden har regeringen bedömt det vara rimligt att TP-numren omfattas av samma regler om vilandeförklaring och för- nyelse som gäller för samordningsnummer.112 Syftet med den före- slagna nya bestämmelsen i lagen om samordningsnummer är dock att tydliggöra vilka uppgifter som Skatteverket får registrera om en person som har tilldelats samordningsnummer, dvs, de uppgifter om personen som kan komma att aviseras genom Navet eller lämnas ut via SPAR.

Som redan nämnts innebär inte det förhållande att en uppgift inte anges i uppräkningen att Skatteverket är förhindrat att behandla upp- giften om det är nödvändigt för att utföra uppgifter som framgår av lag eller förordning. TP-nummer förklaras vidare vilande på samma sätt som samordningsnummer, (3 kap. 4 § lagen om samordningsnum- mer), vilket innebär att Skatteverket har en rättslig grund för att be- handla uppgifter om att en person med s.k. TP-nummer har avlidit. Uppgift om att en person med personnummer som inte är eller har varit folkbokförd har avlidit bör sammanfattningsvis inte anges i den nya bestämmelsen i lagen om samordningsnummer.

Samma uppgifter som anges i 2 kap. 3 § första stycket 18–20 FdbL, med undantag för uppgift om när en person med personnummer som inte är eller har varit folkbokförd har avlidit, bör därför anges även i den nya bestämmelsen i lagen om samordningsnummer.

Av 2 kap. 3 § tredje stycket FdbL framgår, såvitt här är aktuellt, att i ärenden om tilldelning av samordningsnummer får även anges grun- den för tilldelningen och de handlingar som har legat till grund för identifiering. Av samma bestämmelse framgår att i ärenden om till- delning eller förnyelse av samordningsnummer får även anges om den enskildes identitet är styrkt, sannolik eller osäker. Regeringen har ut- talat att information om personens identitet har styrkts, gjorts sannolik eller är osäker alltid bör aviseras tillsammans med ett samordnings- nummer.113 Uppgifter om den enskildes identitet är styrkt, sannolik

112Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 94.

113Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 89.

641

Databasregleringen

SOU 2023:100

eller osäker bör därför också anges i den nya bestämmelsen i lagen om samordningsnummer.

Vad gäller grunden för tilldelning av samordningsnummer och de handlingar som legat till grund för identifiering gör vi dock en annan bedömning. Bestämmelsen har funnits i folkbokföringsdatabaslagen sedan dess tillkomst och motsvarar 7 § tredje stycket lagen om folk- bokföringsregister.114 I förarbetena till den bestämmelsen uttalade regeringen sig inte särskilt om behovet av att behandla uppgifter om grunden för tilldelningen och de handlingar som legat till grund för identifiering i folkbokföringsregistret. Uppgiftsregistreringen vid till- delning av samordningsnummer borde dock enligt regeringen främst styras av kravet på en säker nummertilldelning. Den myndighet som begärde samordningsnummer borde därför ange tillgängliga uppgif- ter om personens namn, födelsetid, kön, födelseort och medborgar- skap. De uppgifter som lämnades skulle enligt regeringens mening också få registreras.115

Bestämmelsen avser i denna del ingen specifik uppgift om en person utan utgör i stället ett stöd för att angivna uppgifter ska få behandlas i folkbokföringsdatabasen, dvs. göras gemensamt tillgängliga i verk- samheten. Databasregleringen föreslås nu upphöra, se avsnitt 9.4.2. Eftersom det inte är fråga om en eller flera specifika uppgifter om en person bör uppgifter om grunden för tilldelning av samordningsnum- mer och de handlingar som legat till grund för identifiering inte an- ges i den nya bestämmelsen i lagen om samordningsnummer.

Att Skatteverket får behandla uppgifter om grunden för tilldel- ningen följer av den materiella regleringen av systemet med samord- ningsnummer, jfr 2 kap. 1 § och 3 kap. 1 § lagen om samordningsnum- mer. Något hinder mot att Skatteverket behandlar uppgifter om de handlingar som legat till grund för identifieringen finns inte heller. Det framgår i stället av den materiella regleringen av systemet med samordningsnummer att sådan behandling är nödvändig för att Skatte- verket ska kunna utföra sina uppgifter enligt lagen. Av 6 § andra stycket förordningen om samordningsnummer framgår exempelvis att tillsammans med en begäran om samordningsnummer ska det ges in en kopia av de handlingar som Skatteverket ska lägga till grund för identifiering. I de fall begärande myndighet ska ansvara för identitets-

114Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 206.

115Prop. 1997/98:9, Skydd för förföljda personer, samordningsnummer, m.m., s. 83–84.

642

SOU 2023:100

Databasregleringen

kontrollen ska i stället en kopia av de handlingar som legat till grund för identifieringen ges in.

Registrering av uppgift om kön?

Av 2 kap. 8 § första stycket lagen om samordningsnummer framgår att samordningsnumret ska utgå från den enskildes födelsetid. Num- ret ska anges med sex siffror, två för året, två för månaden och två för dagen i nu nämnd ordning. Siffrorna för dag ska adderas med 60. Därefter anges ett tresiffrigt individnummer, som är udda för män och jämnt för kvinnor, samt en kontrollsiffra. I likhet med fastställ- ande av personnummer inom folkbokföringen innebär tilldelning av ett samordningsnummer undantagslöst att även uppgifter om kön framgår av det tilldelade numret. En begäran eller ansökan om till- delning av samordningsnummer ska dessutom innehålla uppgift om den enskildes kön (6–8 §§ förordningen om samordningsnummer).

Vi har därför övervägt om det i den nya bestämmelsen i lagen om samordningsnummer även bör anges kön som en av de uppgiftskate- gorier om en person som får registreras i samband med tilldelning av samordningsnummer eller handläggning av andra ärenden enligt lagen. Ett sådant tillägg skulle kunna anses bidra till ökad tydlighet och för- utsebarhet för de registrerade. Vår bedömning är dock att det skulle utgöra en sådan förändring i förhållande till befintlig reglering som går utanför ramen för vårt uppdrag att föreslå. Vi lämnar därför inte något förslag med den innebörden.

9.4.9Övriga ändringar rörande samordningsnummer till följd av databasregleringens upphävande

Vårt förslag: Att fingeravtryck, ansiktsbilder och biometriska upp- gifter som tas fram ur dessa omedelbart ska förstöras efter kon- troll ska framgå av lagen om samordningsnummer.

Bestämmelsen i lagen om samordningsnummer om myndig- heters underrättelseskyldighet om det kan antas att en uppgift är felaktig eller ofullständig ska hänvisa till de uppgifter som får registreras enligt lagen.

643

Databasregleringen

SOU 2023:100

Bestämmelsen om att en person med samordningsnummer ska anmäla ändring av kontaktadress ska inte hänvisa till någon sär- skild registrering.

Skälen för vårt förslag

Uppgifter som omedelbart ska förstöras efter kontroll

Samordningsnummer kan tilldelas i tre nivåer beroende på vilken identitetskontroll som föregått tilldelningen, det är antingen med styrkt, sannolik eller osäker identitet, 2 kap. 2–6 §§ lagen om sam- ordningsnummer. För att en persons identitet ska anses vara styrkt krävs som utgångspunkt personlig inställelse hos Skatteverket för identitetskontroll, och att personen på begäran överlämnar eventu- ellt pass, identitetskort eller annan motsvarande handling eller uppe- hållstillståndskort. Om en sådan handling har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på be- gäran också låta Skatteverket ta fingeravtryck och ansiktsbild i digi- talt format för att kontrollera att dessa motsvarar de som finns i handlingen. Detta förfarande regleras i dag i 2 kap. 3 och 4 §§ lagen om samordningsnummer. När kontrollen har genomförts ska, enligt 1 kap. 7 § folkbokföringsdatabaslagen, fingeravtryck och ansiktsbild samt de biometriska uppgifter som har tagits fram omedelbart för- störas (se även avsnitt 9.4.6). En bestämmelse som motsvarar den som anges i 1 kap. 7 § FdbL bör därför föras in i lagen om samordnings- nummer. Eftersom denna del av identitetskontrollen regleras i 2 kap. 4 § i den lagen är det lämpligt att en sådan bestämmelse fogas till den paragrafen som ett nytt andra stycke.

Myndigheters underrättelseskyldighet och ändring av kontaktadress

Av 4 kap. 1 § första stycket lagen om samordningsnummer framgår att en myndighet ska underrätta Skatteverket om det kan antas att en uppgift i folkbokföringsdatabasen om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. Eftersom databas- regleringen föreslås upphöra bör hänvisningen i stället göras till upp- gifter som får registreras enligt lagen. Någon förändring i sak är dock inte avsedd.

644

10Känsliga personuppgifter, uppgifter om lagöverträdelser samt person- och samordningsnummer

10.1Inledning

I detta kapitel redogör vi för regleringen av behandling av känsliga personuppgifter, uppgifter om fällande domar i brottmål och lagöver- trädelser som innefattar brott samt person- och samordningsnummer. Kapitlet omfattar Skatteverkets beskattnings- och folkbokförings- verksamheter, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet. Frågor om behandling av sådana särskilda kategorier av uppgifter samt tillåtna sökningar i det statliga personadressregistret (SPAR) och Skatteverkets äktenskapsregister- och boupptecknings- verksamheter behandlas separat i avsnitten 16.4.9, 17.4.5 och 17.4.6.

Vi gör i kapitlet bedömningen att det till följd av den generella dataskyddsregleringen, dvs. EU:s dataskyddsförordning1 och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning, dataskyddslagen, finns utrymme för en mindre detaljerad reglering av behandling av sådana särskilda kategorier av uppgifter. Vi föreslår att det ska införas nya sektorspecifika bestämmelser i lag om tillåtligheten av myndigheternas behandling av känsliga person- uppgifter. Vi gör vidare bedömningen att det inte längre finns skäl att begränsa eller på annat sätt särreglera myndigheternas behandling av uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott.

Vi föreslår också att befintliga bestämmelser om sökbegrepp ska ersättas av nya, mer ändamålsenliga, bestämmelser om sökbegräns-

647

Känsliga personuppgifter, ...

SOU 2023:100

ningar. Bestämmelserna bör som huvudregel förbjuda sökningar som görs i syfte att få fram ett urval av personer grundat på känsliga person- uppgifter. Mot bakgrund av myndigheternas behov av att i vissa fall göra sökningar för att få fram ett urval av personer grundat på sådana uppgifter ska dock vissa sektorspecifika undantag finnas. Vidare före- slår vi att sökbegränsningarna inte heller ska omfatta sökningar i en viss handling eller i ett visst ärende.

För folkbokföringsverksamheten bedömer vi att den nuvarande sär- skilda bestämmelsen om sökbegrepp som avser vissa relationssamband med en registrerad som är grundat på adoption bör finnas kvar.

När det gäller den särskilda bestämmelsen om sökbegrepp i fråga om uppgifter om utslag vid Kronofogdemyndigheten bör det inte in- föras någon motsvarande bestämmelse i kronofogdedatalagen.

Slutligen gör vi bedömningen att det inte behöver finnas särskilda bestämmelser om behandling av personnummer och samordnings- nummer i de nya lagarna.

10.2Den generella dataskyddsrättsliga regleringen

10.2.1Känsliga personuppgifter

EU:s dataskyddsförordning

Dataskyddsförordningens förbud mot att behandla känsliga personuppgifter

Enligt artikel 9.1 i dataskyddsförordningen är det förbjudet att be- handla personuppgifter som avslöjar ras eller etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.2

2Med genetiska uppgifter avses alla personuppgifter som rör nedärvda eller förvärvade gene- tiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga, se artikel 4.13. Med biometriska uppgifter avses personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter, se artikel 4.14. Med uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbe- gripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälso- status, se artikel 4.15.

648

SOU 2023:100

Känsliga personuppgifter, ...

Dessa typer av personuppgifter benämns i svensk rätt som känsliga personuppgifter.3 De kategorier av personuppgifter som avses i arti- kel 9.1 är till sin natur särskilt känsliga och ges därför ett särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande ris- ker för de grundläggande rättigheterna och friheterna.4 Bestämmel- sen i artikel 9.1 är direkt tillämplig och kräver inga åtgärder av med- lemsstaterna.5

Dataskyddsförordningens förbud ska enligt artikel 9.2 inte tillämpas om någon av de situationer som beskrivs i punkterna a–j föreligger. Det finns inte något utrymme för medlemsstaterna att föreskriva ytter- ligare undantag från förbudet. Det är dock tillåtet att behålla eller införa mer specifika bestämmelser i fråga om behandling som sker med stöd av artikel 6.1 c och e, även när det gäller känsliga personuppgif- ter (artikel 6.2 och skäl 10). Några undantag i artikel 9.2 har också uttryckliga hänvisningar till och krav på innehållet i unionsrätten och medlemsstaternas nationella rätt. Det gäller bl.a. bestämmelsen i arti- kel 9.2 g som rör behandling som är nödvändig av hänsyn till ett vik- tigt allmänt intresse.

Tröskeln för att en personuppgiftsansvarig ska få behandla käns- liga personuppgifter är alltså högre än den som gäller för behandling av andra personuppgifter i samma situation. Det innebär dock inte att undantagen måste genomföras i svensk rätt för att vara tillämpliga.6

Behandling för att fastställa, göra gällande eller försvara rättsliga anspråk

Ett undantag från förbudet i artikel 9.1 i dataskyddsförordningen är om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet (artikel 9.2 f). Denna bestämmelse föranledde inte några nationella författningsåtgärder.7

Dataskyddsförordningen innehåller inte någon definition av be- greppet rättsligt anspråk. Av skälen framgår dock att det är tillåtet med behandling av känsliga personuppgifter där så krävs för faststäl- lande, utövande eller försvar av rättsliga anspråk, oavsett om detta

3Prop. 2017/18:105, Ny dataskyddslag, s. 74–75.

4Skäl 51 till dataskyddsförordningen.

5Prop. 2017/18:105, Ny dataskyddslag, s. 74–75.

6Prop. 2017/18:105, Ny dataskyddslag, s. 75.

7Prop. 2017/18:105, Ny dataskyddslag, s. 76.

649

Känsliga personuppgifter, ...

SOU 2023:100

sker inom ett domstolsförfarande eller inom ett administrativt eller ett utomrättsligt förfarande.8 Begreppet har mot denna bakgrund tolkats så att det omfattar anspråk om vilka man kan föra talan i dom- stol eller ett domstolsliknande organ och som kan utkrävas av eller med hjälp av statsmakterna, t.ex. Kronofogdemyndigheten.9 Exem- pel på rättsliga anspråk som i svensk rätt har ansetts omfattas av be- greppet är anspråk på offentliga förmåner såsom ekonomiskt bistånd eller skatteavdrag och trossamfundens anspråk på medlemsavgifter via den statliga avgiftshjälpen.10 Själva behandlingen av de känsliga personuppgifterna behöver inte gå ut på att fastställa, göra gällande eller försvara det rättsliga anspråket. Det räcker att behandlingen av de känsliga personuppgifterna är nödvändig för att någon, t.ex. den personuppgiftsansvarige, ska kunna fastställa, göra gällande eller för- svara det rättsliga anspråket.11

Behandling av hänsyn till ett viktigt allmänt intresse

Enligt artikel 9.2 g i dataskyddsförordningen gäller ett undantag från förbudet i artikel 9.1 om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Detta undantag tillämpas huvudsakligen inom myndigheters verksamhet.12 Viktiga allmänna intressen är enligt dataskyddsförordningen exempelvis unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, bud- get- eller skattefrågor, folkhälsan och social trygghet.13 Andra exem- pel är internationella utbyten av uppgifter mellan t.ex. skatte- och tullmyndigheter.14

Det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse.15 Verksamhet som innefattar myndighetsutövning anses dock vara ett viktigt allmänt in- tresse. När det gäller myndigheters behandling anses det också utgöra ett viktigt allmänt intresse att svenska myndigheter, även utanför

8Skäl 52 till dataskyddsförordningen.

9Se Öman, Dataskyddsförordningen (GDPR) m.m. (2022, version 2A, JUNO), kommen- taren till artikel 9.2 f.

10Jfr SOU 1997:39, Integritet – Offentlighet – Informationsteknik, s. 378 och prop. 2017/18:127, Återinförande av skattereduktion för fackföreningsavgift, s. 25.

11Prop. 2017/18:113, Anpassning av domstolsdatalagen till EU:s dataskyddsförordning, s. 27.

12Jfr skäl 19 till dataskyddsförordningen.

13Jfr artikel 23.1 e i dataskyddsförordningen.

14Skäl 112 till dataskyddsförordningen.

15Prop. 2017/18:105, Ny dataskyddslag, s. 83. Jfr artiklarna 6.1 e och 9.2 g i dataskyddsförord- ningen.

650

SOU 2023:100

Känsliga personuppgifter, ...

området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rätts- säkert och effektivt sätt.16 Vid behandling av känsliga personuppgif- ter av hänsyn till ett viktigt allmänt intresse krävs även enligt arti- kel 9.2 g att uppgifterna behandlas på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Regeringen konstaterade vid införandet av dataskyddslagen17 att detta innebär att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av de som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighets- utövning som har stöd i rättsordningen. Det ställs sedan särskilda krav på det rättsliga stödet för att behandling av känsliga personuppgifter ska få ske. Detta måste också vara förenligt med det väsentliga inne- hållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläg- gande intressen. Regeringen har vidare bedömt att det kan ifrågasät- tas om tillägget i artikel 9.2 g innehåller ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behand- ling av personuppgifter i allmänt intresse. Däremot tillkommer enligt artikel 9.2 g ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen, vilket gällde redan innan dataskyddsförord- ningen trädde i kraft. Enligt regeringen innebär dock inte kravet att undantaget i sig måste införas i svensk rätt för att vara tillämpligt.18

Dataskyddslagen

Allmänt om regleringen i 3 kap. 3 § dataskyddslagen

Enligt 3 kap. 3 § dataskyddslagen får känsliga personuppgifter behand- las av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs

16Prop. 2017/18:105, Ny dataskyddslag, s. 83.

17Prop. 2017/18:105, Ny dataskyddslag, s. 84.

18Prop. 2017/18:105, Ny dataskyddslag, s. 84.

651

Känsliga personuppgifter, ...

SOU 2023:100

enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vid behandling som sker en- bart med stöd av de nu nämnda grunderna är det enligt 3 kap. 3 § andra stycket förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Bestämmelsen i dataskyddslagen kompletterar artikel 9.2 g i data- skyddsförordningen.19 När bestämmelsen infördes i dataskyddslagen konstaterade regeringen att det inte kan tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgär- der som krävs enligt artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas. Regeringen bedömde där- för att det behövdes särskilda bestämmelser i dataskyddslagen som är tillämpliga för alla myndigheter och som uppfyller kraven i arti- kel 9.2 g i dataskyddsförordningen. Bestämmelsen i 3 kap. 3 § data- skyddslagen är avsedd att gälla för offentlig verksamhet där sektor- specifik reglering avseende behandling av känsliga personuppgifter saknas. Den ersätter dock inte artikel 6 eller artikel 9.2 g i dataskydds- förordningen. Den rättsliga grunden för behandlingen måste sökas någon annanstans än i dataskyddslagen. Vidare kan de krav på lämp- liga och särskilda åtgärder som ställs i artikel 9.2 g vara uppfyllda även genom andra bestämmelser. Behandling av känsliga personuppgifter kan alltså ske med stöd av artikel 9.2 g även i andra fall, under förut- sättning att lämpliga och särskilda åtgärder fastställts.20

Behandling som krävs enligt lag

Enligt 3 kap. 3 § första stycket 1 dataskyddslagen får känsliga person- uppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheterna och behandlingen krävs enligt lag. I förarbetena uttalas att viss be- handling av känsliga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av kraven i exempelvis offentlighets- och sekretesslagen (2009:400), OSL, och förvaltningslagen (2017:900), FL. Det rör sig om bl.a. krav på diarieföring och skyldighet att ta emot e-post. Enligt regeringen är den grundlagsfästa rätten att ta del

191 kap. 1 § första stycket dataskyddslagen.

20Prop. 2017/18:105, Ny dataskyddslag, s. 85 och 91.

652

SOU 2023:100

Känsliga personuppgifter, ...

av allmänna handlingar ett viktigt allmänt intresse. Den nödvändiga behandling av personuppgifter som sker vid hanteringen av allmänna handlingar har rättslig grund i svensk rätt, framför allt i offentlighets- och sekretesslagen, arkivlagstiftningen och förvaltningslagen. Denna lagstiftning innehåller enligt regeringen lämpliga och särskilda åtgär- der som skyddar enskildas integritet, t.ex. i form av sekretess, rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring. Enligt regeringens bedömning kan därmed även känsliga person- uppgifter behandlas då det är nödvändigt i dessa sammanhang, med stöd av artikel 9.2 g i dataskyddsförordningen. För att det inte skulle råda något tvivel om att denna nödvändiga behandling var tillåten också efter ikraftträdandet av dataskyddsförordningen ansåg reger- ingen att dataskyddslagen skulle innehålla en uttrycklig bestämmelse som tydliggör detta.21

Behandling som är nödvändig för handläggningen av ett ärende

Enligt 3 kap. 3 § första stycket 2 dataskyddslagen får myndigheter också behandla känsliga personuppgifter om behandlingen är nödvän- dig för handläggningen av ett ärende. Enligt regeringen är myndig- hetsutövning och övriga uppgifter av allmänt intresse som myndig- heter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt och behandling av personuppgifter kan därmed ske på denna rättsliga grund. Det står enligt regeringens bedömning klart att det också är ett viktigt allmänt intresse att myndigheternas ärendehand- läggning kan ske på ett effektivt och rättssäkert sätt.22 Att behand- lingen måste vara nödvändig för handläggningen av ärendet innebär bl.a. att bara sådana uppgifter som behövs i ärendet får behandlas. Behandlingsåtgärden behöver dock inte vara oundgänglig.23

Behandling som inte innebär ett otillbörligt intrång

Enligt 3 kap. 3 § första stycket 3 dataskyddslagen får myndigheter behandla känsliga personuppgifter i annat fall om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte inne- bär ett otillbörligt intrång i den registrerades personliga integritet.

21Prop. 2017/18:105, Ny dataskyddslag, s. 86.

22Prop. 2017/18:105, Ny dataskyddslag, s. 87.

23Prop. 2017/18:105, Ny dataskyddslag, s. 194.

653

Känsliga personuppgifter, ...

SOU 2023:100

Av förarbetena till bestämmelsen framgår att även inom ramen för myndigheters faktiska verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden, är behandling av känsliga per- sonuppgifter ofta nödvändig med hänsyn till viktiga allmänna intres- sen. Det kan t.ex. röra sig om att myndigheten besvarar en fråga från en medborgare som via e-post uppgett känsliga personuppgifter. Mot bakgrund av vikten av att samhällets funktioner upprätthålls uttalade regeringen att dataskyddslagen på ett likartat sätt som personuppgifts- lagen (1998:204), PUL, dittills hade gjort skulle ge myndigheterna ett visst utrymme för behandling av känsliga personuppgifter även i den faktiska verksamheten. Utformningen av bestämmelsen i 3 kap.

3§ första stycket 3 är anpassad för att överensstämma med artikel 9.2 g i dataskyddsförordningen. Bestämmelsen tar sikte på sådan behand- ling som inte omfattas av övriga bestämmelser i dataskyddslagen om behandling av känsliga personuppgifter för viktiga allmänna intressen.24 Vidare är bestämmelsen i dataskyddslagen utformad på ett sätt som säkerställer att det alltid finns lämpliga och särskilda åtgärder för den registrerade, på det sätt som krävs för att nödvändig behand- ling av känsliga personuppgifter ska vara tillåten enligt artikel 9.2 g. Regeringen konstaterade i förarbetena att det i svensk rätt redan finns en omfattande sekretessreglering, till skydd för enskildas ekonomiska och personliga förhållanden, som i många fall utgör en tillräcklig skyddsåtgärd. Dessutom infördes en särskild sökbegränsning (se

3kap. 3 § andra stycket dataskyddslagen). Regeringen bedömde dock att en särskild bestämmelse som reglerar möjligheten att behandla känsliga personuppgifter i myndigheternas faktiska verksamhet borde innehålla ytterligare särskilda skyddsåtgärder. Bestämmelsen inne- håller därför ett krav på att behandlingen inte får ske om den innebär ett otillbörligt intrång i de registrerades integritet. Detta krav mot- verkar enligt regeringen att känsliga personuppgifter behandlas slen- trianmässigt i den löpande verksamheten, utan att annat författnings- stöd finns. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportionalitets- bedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Detta innebär inte att den personuppgiftsansvarige måste göra en bedömning i förhål-

24Prop. 2017/18:105, Ny dataskyddslag, s. 88–89.

654

SOU 2023:100

Känsliga personuppgifter, ...

lande till varje berörd individ. Ju mindre tydligt myndighetens behov av att behandla uppgifterna är, desto större är dock sannolikheten för att de registrerades intresse typiskt sett väger tyngre och att in- trånget därför bör betraktas som otillbörligt. Bestämmelsen kan t.ex. inte läggas till grund för att skapa integritetskänsliga sammanställ- ningar av känsliga personuppgifter.25

Sökbegränsning

Av 3 kap. 3 § andra stycket dataskyddslagen framgår att vid behand- ling som sker enbart med stöd av bestämmelsens första stycke är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

I förarbetena uttalas att en sökning som avslöjar och samman- ställer känsliga personuppgifter är en åtgärd som i sig innebär en integ- ritetskränkning. Företeelsen ligger nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, näm- ligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Med en sökbegränsning uppnås där- med ett skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna. Den befintliga bestämmelsen utformades mot bakgrund av en bestämmelse om sökbegränsning som föreslogs gälla enligt brottsdatalagen. Det är därmed förbjudet att utföra sök- ningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det innebär att det inte är tillåtet göra sökningar för att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös åskådning eller sexuell läggning.26

10.2.2Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott

I artikel 10 i dataskyddsförordningen anges att behandling av pers- onuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 (härefter benämnda uppgifter om lagöverträdelser) endast får utföras under kontroll av en myndighet eller då behand-

25Prop. 2017/18:105, Ny dataskyddslag, s. 89–90 och 194–195.

26Prop. 2017/18:105, Ny dataskyddslag, s. 90–91 och 195.

655

Känsliga personuppgifter, ...

SOU 2023:100

ling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brott- mål får endast föras under kontroll av en myndighet.27

Den del av artikel 10 som rör behandling av uppgifter under kon- troll av myndighet är direkt tillämplig. Det innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla sådana uppgifter. Det finns dock ett visst utrymme för att i nationell rätt förtydliga innebörden av artikel 10 (skäl 8 till dataskyddsförordningen). Regeringen har därför ansett att det uttryck- ligen bör framgå av dataskyddslagen att personuppgifter som rör lagöverträdelser får behandlas av myndigheter.28 Av 3 kap. 8 § första stycket dataskyddslagen framgår följaktligen att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myn- digheter.

Det finns inte något sökförbud i dataskyddslagen som omfattar sådana uppgifter som avses i artikel 10 i dataskyddsförordningen. Vid- are anses uppgifter om lagöverträdelser vara av integritetskänslig karaktär varför de ofta är omgärdade av sekretess i det allmännas verk- samhet.29

10.2.3Personnummer och samordningsnummer

Ett identifikationsnummer, t.ex. personnummer eller samordnings- nummer, är alltid en personuppgift enligt dataskyddsförordningen.30 Enligt artikel 87 får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identi- fikationsnummer eller ett annat vedertaget sätt för identifiering ska

27Begreppet säkerhetsåtgärder i artikel 10 har av regeringen bedömts som likvärdigt med straffprocessuella tvångsmedel, dvs. t.ex. häktning och anhållande enligt 24 kap. rättegångs- balken, se prop. 2017/18:105, Ny dataskyddslag, s. 98. Integritetsskyddsmyndigheten har i ett rättsligt ställningstagande bedömt att information om ett rättsligt förfarande som inletts mot en fysisk person utgör personuppgifter som rör lagöverträdelser som innefattar brott, att fri- ande domar i brottmål omfattas av begreppet brottsuppgifter samt att uppgifter om att en fysisk person har eller kan ha begått ett visst brott (brottsmisstankar) kan utgöra brotts- uppgifter, även om något rättsligt förfarande inte har inletts, om uppgifterna har en viss kon- kretionsgrad, se Rättsligt ställningstagande IMYRS 2021:1 – innebörden av begreppet ”person- uppgifter som rör lagöverträdelser som innefattar brott”, s. 2.

28Prop. 2017/18:105, Ny dataskyddslag, s. 99.

29Prop. 2021/22:59, Ett ändamålsenligt skydd för tryck- och yttrandefriheten, s. 41.

30Artikel 4.1 i dataskyddsförordningen.

656

SOU 2023:100

Känsliga personuppgifter, ...

i sådana fall endast användas med iakttagande av lämpliga skydds- åtgärder för de registrerades rättigheter och friheter enligt dataskydds- förordningen.

Personnummer och samordningsnummer är inte känsliga person- uppgifter i dataskyddsförordningens mening men har getts en sär- ställning genom artikel 87.31 Dataskyddsförordningen kräver dock inte att medlemsstaterna inför en särskild reglering av behandling av så- dana uppgifter. Detta är en skillnad i förhållande till vad som tidigare gällde enligt 1995 års dataskyddsdirektiv32, vilket ställde krav på att medlemsländerna skulle reglera användningen av personnummer i lag.33 Det har i svensk rätt införts en särskild bestämmelse om be- handling av personnummer och samordningsnummer som har sin grund i artikel 87 i dataskyddsförordningen. Enligt 3 kap. 10 § data- skyddslagen34 får personnummer och samordningsnummer behand- las utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen innebär att en intresse- avvägning mellan behovet av behandlingen och de integritetsrisker som den innebär ska göras.35 I 3 kap. 11 § dataskyddslagen finns en bestämmelse som innebär att regeringen får meddela ytterligare före- skrifter om i vilka fall behandling av personnummer och samordnings- nummer är tillåten. Några sådana ytterligare föreskrifter har ännu inte meddelats.

10.3Den nuvarande regleringen för Skatteverket, Tullverket och Kronofogdemyndigheten

Av 1 kap. 7 § lagen (2001:181) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet, skattedatabaslagen (SdbL), fram- går att känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om upp-

31Prop. 2017/18:105, Ny dataskyddslag, s. 101.

32Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

33Se artikel 8.7 i dataskyddsdirektivet samt SOU 2015:73, Personuppgiftsbehandling på utlän- nings- och medborgarskapsområdet, s. 105.

34Bestämmelsen motsvarar den tidigare gällande regleringen i 22 § PUL, se prop. 2017/18:105, Ny dataskyddslag, s. 199.

35Prop. 2017/18:105, Ny dataskyddslag, s. 199.

657

Känsliga personuppgifter, ...

SOU 2023:100

gifterna har lämnats i ett ärende eller är nödvändiga för handlägg- ningen av det. Bestämmelsen reglerar när behandling av sådana upp- gifter får göras i ett ärende i det fall behandlingen inte sker i en data- bas utan t.ex. i en föredragningspromemoria, tjänsteanteckning eller liknande.36 Dessa uppgifter får i annat fall behandlas endast om det är särskilt angivet i 2 kap.

Av 2 kap. 4 § SdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 7 §. En handling som upprättats i ett ärende får behand- las i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.

Av 2 kap. 10 § SdbL framgår att vid sökning efter handlingar som avses i 4 § får endast uppgift om namn, person- eller samordnings- nummer, beteckning för fastighet samt uppgifter som avses i 5 kap.

2§ OSL användas som sökbegrepp.37 Det innebär att datum då hand- lingen kom in eller upprättades, diarienummer eller annan beteckning handlingen fått vid registreringen, i förekommande fall uppgifter om handlingens avsändare eller mottagare och kort vad handlingen rör får användas som sökbegrepp. I bestämmelsens andra stycke anges att uppgifter som avses i 1 kap. 7 § SdbL inte får användas som sök- begrepp.

Motsvarande reglering finns även i lagen (2001:182) om behand- ling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och lagen (2001:184) om behandling av uppgifter i Kronofogdemyndig- hetens verksamhet, kronofogdedatabaslagen (KFMdbL).

Regleringen i skattedatabaslagen innebär att Skatteverket i dag sak- nar möjlighet att behandla uppgifter om t.ex. anmälningar om miss- tankar om brott i beskattningsdatabasen.38 När det gäller känsliga personuppgifter finns särskilda regler om att uppgifter om avgifts-

36Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 199.

37Sökbegrepp har i andra sammanhang ansetts avse bokstäver, koder eller siffror med vars hjälp man, tillsammans med en sökmotor eller liknande funktion, kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd, se prop. 2007/08:126, Patientdatalag m.m., s. 68. Om t.ex. namnet på en viss sjukdom används för att söka fram eller sammanställa alla handlingar som innehåller detta ord är namnet på sjuk- domen ett sökbegrepp, se SOU 2010:4, Allmänna handlingar i elektronisk form – offentlighet och integritet, s. 281–282.

38Enligt bl.a. 17 § skattebrottslagen (1971:69) har Skatteverket en skyldighet göra en anmälan till åklagaren så snart det finns anledning att anta att brott enligt den lagen har begåtts. Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 129.

658

SOU 2023:100

Känsliga personuppgifter, ...

skyldighet till trossamfund och medlemskap i fackförening får be- handlas i databasen och därmed gemensamt i verksamheten.39 I övrigt får Skatteverket inte registrera känsliga personuppgifter i beskatt- ningsdatabasen om de inte ingår i en elektronisk handling.40

När det gäller Skatteverkets folkbokföringsverksamhet framgår sedan den 1 september 2023 av 2 kap. 3 § första stycket 21 FdbL att uppgifter i form av fingeravtryck, ansiktsbilder och biometriska upp- gifter som tas fram ur dessa får behandlas i folkbokföringsdatabasen. Enligt 2 kap. 3 § andra stycket får vidare uppgifter behandlas i data- basen som den 30 juni 1991 enligt särskilda bestämmelser var anteck- nade i sådan personakt som avses i 16 § i den upphävda folkbokförings- kungörelsen (1967:495), oavsett om uppgifterna är sådana som avses i 1 kap. 6 §, dvs. känsliga personuppgifter m.m. Utöver detta finns för folkbokföringsverksamheten vissa särskilda begränsningar av vilka sökbegrepp som får användas vid sökningar i folkbokföringsdatabasen. Enligt 2 kap. 10 § första stycket FdbL får uppgifter om födelseort samt make, barn, föräldrar, vårdnadshavare och annan person som den regi- strerade har samband med inom folkbokföringen41 i de fall de är grun- dat på adoption inte användas som sökbegrepp. Detsamma gäller uppgifter om inflyttning från utlandet eller uppehållsrätt för en per- son som är folkbokförd. Vidare får uppgifter om medborgarskap användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).

I folkbokföringsdatabaslagen finns även vissa bestämmelser som uttryckligen reglerar behandling av personnummer och samordnings- nummer. Till exempel anges i 2 kap. 3 § första stycket 1 att för de ända- mål som anges i 1 kap. 4 § får person- eller samordningsnummer be- handlas i databasen. I övriga aktuella registerförfattningar finns i stället bl.a. bestämmelser om att myndigheterna får behandla uppgifter om en fysisk persons identitet inom databaserna.42

39Se 2 kap. 3 § första stycket 9 SdbL.

40Se 2 kap. 4 § SdbL och prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 129.

41Med annan person som den registrerade har samband med inom folkbokföringen enligt

2kap. 3 § 10 FdbL avses annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, se 5 § förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF).

42Se bl.a. 2 kap. 3 § första stycket 1 SdbL, 2 kap. 3 § första stycket 1 TDL och 2 kap. 5 § första stycket 1 KFMdbL.

659

Känsliga personuppgifter, ...

SOU 2023:100

Sedan den 1 maj 2023 finns ett nytt 2 a kap. i folkbokföringsdata- baslagen. Kapitlet innehåller bestämmelser om den s.k. analys- och urvalsdatabasen. Enligt 2 a kap. 3 § får för de ändamål som anges i 1 kap. 4 a § de uppgifter som avses i 2 kap. 3 och 4 §§ behandlas. Bestäm- melsen innebär att uppgifter om fingeravtryck, ansiktsbilder och bio- metriska uppgifter samt andra känsliga personuppgifter om de den

30juni 1991 enligt särskilda bestämmelser var antecknade i sådan per- sonakt som avses i 16 § i den upphävda folkbokföringskungörelsen får behandlas i databasen. Uppgifter om fingeravtryck, ansiktsbilder och biometriska uppgifter får dock endast tillfälligt behandlas i folk- bokföringsdatabasen för att kontrollera handlingars äkthet och inne- havarens identitet. Därefter ska uppgifterna i folkbokföringsdatabasen omedelbart förstöras.43 I praktiken bör det därför inte bli aktuellt att behandla sådana uppgifter i analys- och urvalsdatabasen.

I övrigt får uppgifter om känsliga personuppgifter eller uppgifter om lagöverträdelser inte behandlas i folkbokföringsverksamhetens analys- och urvalsdatabas.44

Vidare finns i 2 a kap. 4 § FdbL en bestämmelse om sökbegrepp som anger att vid sökning i analys- och urvalsdatabasen gäller det som i 2 kap. 10 § sägs om sökbegrepp vid sökning i folkbokföringsdata- basen.

I kronofogdedatabaslagen finns vissa ytterligare bestämmelser om behandling av uppgifter om lagöverträdelser. I uppräkningarna av vilka uppgifter som får behandlas i utsöknings- och indrivningsdata- basen för ett i 2 kap. 2 § angivet ändamål ingår Kronofogdemyndig- hetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål.45 I betalningsföreläg- gande- och handräckningsdatabasen får för de ändamål som anges i

2kap. 8 § uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål behandlas, om uppgifterna utgör grund för en be- gäran om utslag.46 Slutligen får i skuldsaneringsdatabasen för ett i 2 kap.

14§ angivet ändamål uppgifter om lagöverträdelser som innefattar

431 kap. 7 § FdbL. Se även prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 71.

44Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 29.

452 kap. 5 § första stycket 8 KFMdbL.

462 kap. 11 § första stycket 6 KFMdbL.

660

SOU 2023:100

Känsliga personuppgifter, ...

brott eller domar i brottmål behandlas, om uppgifterna utgör grund för en fordran i ett ärende.47

För Kronofogdemyndigheten finns också särskild reglering om sökbegrepp. I 2 kap. 29 § KFMdbL anges att efter utgången av det tredje året efter det att ett mål avslutats får endast utslagets nummer användas som sökbegrepp i betalningsföreläggande- och handräck- ningsdatabasen i fråga om uppgifter om utslag i målet.

10.4Annan lagstiftning på området

I andra myndighetsspecifika registerförfattningar finns olika typer av reglering av behandling av känsliga personuppgifter och uppgifter om lagöverträdelser, varav vissa inskränker möjligheten att behandla sådana uppgifter i förhållande till dataskyddsförordningen och data- skyddslagen. Det är relativt vanligt förekommande att regleringen är utformad på ett sådant sätt att den uttryckligen tillåter en viss myn- dighet att behandla känsliga personuppgifter och uppgifter om lag- överträdelser m.m. inom vissa angivna ramar. Det finns dock även bestämmelser som i stället anger vad som inte är tillåtet avseende be- handling av sådana kategorier av uppgifter.

Utöver detta förekommer lagstiftning som begränsar användningen av vissa sökbegrepp. Flera av de registerförfattningar som innehåller bestämmelser om behandling av de särskilda kategorier av uppgifter som här är aktuella har sitt ursprung i bestämmelser som tillkom under den tid 1995 års dataskyddsdirektiv och personuppgiftslagen gällde. Sådana bestämmelser kan i sig även ha sitt ursprung från den tid då den tidigare datalagen (1973:289) gällde. Sedan dataskydds- förordningen trädde i kraft har bestämmelserna setts över för att an- passas till denna. I många fall har det dock inte skett någon genom- gripande materiell översyn av reglerna annat än att lagstiftaren sett till att de inte strider mot dataskyddsförordningen.

I vissa registerförfattningar anges att känsliga personuppgifter och uppgifter om lagöverträdelser får behandlas för vissa i lagen angivna ändamål.48 I andra anges att endast vissa uttryckligt angivna katego- rier av känsliga personuppgifter får behandlas i vissa databaser.49 Det

472 kap. 17 § första stycket 6 KFMdbL.

48Se t.ex. 6 § studiestödsdatalagen (2009:287) och 114 kap. 11–12 §§ socialförsäkringsbalken.

499 § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshets- försäkringen.

661

Känsliga personuppgifter, ...

SOU 2023:100

finns också bestämmelser som anger att känsliga personuppgifter en- dast får behandlas för vissa i lag särskilt angivna ändamål under för- utsättning att uppgifterna är absolut nödvändiga för syftet med behand- lingen eller att sådan behandling får utföras i löpande text för vissa i lag angivna ändamål om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i viss verksamhet.50 Det förekommer vidare bestämmelser där det mer allmänt anges att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får behandlas endast om upp- gifterna har lämnats i ett ärende eller är nödvändiga för verksam- heten.51 Ytterligare en typ av bestämmelse som förekommer anger att känsliga personuppgifter får behandlas endast om det är absolut nödvändigt för syftet med behandlingen.52

Annan reglering som kan återfinnas i registerförfattningar är en bestämmelse om att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personen utifrån sådana känsliga upp- gifter som avses i artikel 9.1 i dataskyddsförordningen.53 I ytterligare annan, mer modern, registerförfattning finns det ingen särreglering som uttryckligen tillåter behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, men däremot regler som innehåller särskilda sökförbud.54 I den lag (2023:457) om behandling av person- uppgifter vid Utbetalningsmyndigheten som träder i kraft den 1 janu- ari 2024 anges i 9 § att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. I ett par nu pågående lagstiftningsärenden finns liknande förslag till regler- ing, som dock även föreslås innehålla en uttrycklig hänvisning till bl.a. artikel 9.2 g i dataskyddsförordningen.55

När det gäller sektorspecifik reglering av sökbegrepp innehåller vissa registerförfattningar bestämmelser om att det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter eller upp- gifter om lagöverträdelser eller liknande formuleringar.56 Ofta finns då sådana bestämmelser tillsammans med undantag för när sökbegrepp

5014 § utlänningsdatalagen (2016:27).

517 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

525 § kriminalvårdsdatalagen (2018:1235).

5313 § domstolsdatalagen (2015:728).

542 kap. 3–4 §§ lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter.

55Ds 2023:10, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 59–71 samt Ds 2023:13, En registerlag för Inspektionen för socialförsäkringen, s. 61–72.

56Se t.ex. 14 § domstolsdatalagen och 14 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten.

662

SOU 2023:100

Känsliga personuppgifter, ...

som avslöjar sådana uppgifter får användas57, alternativt formulerat som situationer när sökförbudet inte gäller.58 Det finns också viss regler- ing som i stället uttömmande anger vilka sökbegrepp som får användas vid sökning efter uppgifter eller i samband med sammanställningar vilket därmed utesluter användning av känsliga personuppgifter som sökbegrepp.59 Utöver detta förekommer sökbegränsningar i register- författning som anger att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brott- mål, straffprocessuella tvångsmedel eller administrativa frihetsberöv- anden. Till förbudet kan då även undantag finnas.60 I nyare lagstift- ning eller pågående lagstiftningsärenden förekommer ofta olika former av sökförbud som utgår från syftet med en viss sökning snarare än att myndigheter förbjuds att använda vissa sökbegrepp.61

10.5Myndigheternas behov

Myndigheternas uppfattningar om den nuvarande regleringen

Skatteverket och Tullverket anser att den nuvarande regleringen av behandling av känsliga personuppgifter och uppgifter om lagöverträ- delser är problematisk. Skatteverket är av uppfattningen att regler- ingen är mycket begränsande då all behandling av känsliga person- uppgifter i princip måste vara knuten till ett ärende. Detta gäller såväl behandling i som utanför de reglerade uppgiftssamlingarna. Enligt Skatteverkets uppfattning är det mest ändamålsenligt att inte särreglera behandlingen av känsliga personuppgifter. Det är också viktigt att känsliga personuppgifter kan hanteras vid utveckling av verksamheten, t.ex. för utvecklings- och teständamål, när så behövs. Avseende regler- ingen om sökbegrepp anser Skatteverket att den, om den ska finnas kvar, bör ändras till sökbegränsningar och i stället utgöra ett förbud mot att utföra sökningar för att få fram ett urval av personer grundat på känsliga personuppgifter.

57Se t.ex. 8 § studiestödsdatalagen.

58Se t.ex. 15 § domstolsdatalagen och 14 § lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten.

5915 § förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten.

60Se t.ex. 17 § utlänningsdatalagen och 6 § kriminalvårdsdatalagen.

61Se t.ex. 3 § lagen om Rättsmedicinalverkets behandling av personuppgifter, 10 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten samt Ds 2023:10, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 73–77.

663

Känsliga personuppgifter, ...

SOU 2023:100

Tullverket har särskilt poängterat att regleringen av uppgifter om lagöverträdelser är mycket mer begränsande i tulldatabaslagen än vad som är motiverat av dataskyddsförordningens reglering. Bestämmel- serna om rättslig grund och uppgiftsminimering i dataskyddsförord- ningen bör enligt Tullverket vara en tillräcklig reglering såvitt avser behandlingen av dessa uppgifter. Under alla förhållanden bör regler- ingen vara vidare än i dag och tillåta behandling om det är motiverat utifrån ändamålen med behandlingen.

Det kan enligt Tullverket också noteras att all behandling av per- sonuppgifter vid myndigheten inte sker inom ramen för handläggning av ärenden och att det därför finns skäl att inte koppla regleringen till just handläggningen av ett ärende. För Tullverkets del avser detta enligt myndigheten exempelvis behandling vid utförandet av risk- analyser och urval, men också uppföljning och utvärdering av den egna verksamheten.

Tullverket har också uppgett att syftet med den nuvarande regler- ingen är svårtolkat. Enligt myndigheten är det otydligt om begräns- ningen av tillåtna sökbegrepp avser sökningar efter inkomna och upp- rättade handlingar generellt eller endast sökningar efter handlingar som innehåller känsliga personuppgifter och uppgifter om lagöver- trädelser. Om begränsningen avser sökningar generellt medför regler- ingen enligt Tullverket direkta hinder i verksamheten. Regleringen kan då också medföra att onödiga juridiska bedömningar behöver göras i situationer där inga eller begränsade integritetsintressen gör sig gäll- ande. Det är enligt Tullverket också otydligt om sökförbudet endast gäller för att hitta ärenden och handlingar eller om det är sökning bland uppgifter generellt som är otillåtet på det sätt som anges i regleringen.

Enligt Tullverkets uppfattning bör en framtida reglering inte vara mer långtgående än vad som är nödvändigt för att tillvarata viktiga integritetsintressen. Det finns enligt Tullverket också skäl att skilja på vad som ska gälla för känsliga personuppgifter och uppgifter om lagöverträdelser. Tullverket ser inte något behov av att reglera sök- förbud kopplat till uppgifter om lagöverträdelser.

Om regleringen även fortsättningsvis ska likna den som gäller i dag behöver det enligt Tullverket finnas undantag som möjliggör utför- andet av riskanalyser och urval samt uppföljning och utvärdering av ärenden, arbetsmetoder och metoder för riskanalyser och urval.

Kronofogdemyndigheten har påpekat att den nuvarande regler- ingen är föråldrad och att det finns behov av en tydligare reglering

664

SOU 2023:100

Känsliga personuppgifter, ...

som är bättre anpassad till moderna ärendehanteringssystem där all handläggning sker digitalt. Även om dagens bestämmelser inte hindrar att uppgifter som behandlas i ett ärende förs över till andra ärenden, om de är nödvändiga för handläggningen av dem, är särregleringen vad gäller databaser problematisk. Vidare kan enligt Kronofogde- myndigheten formuleringarna av bestämmelsen om sökbegrepp vara begränsande. Regleringen är enligt myndigheten svårtolkad och inte utformad för digital ärendehandläggning. I stället för reglering av sökbegrepp vore det enligt Kronofogdemyndigheten bättre att reglera sökbegränsningar som en skyddsåtgärd. Myndigheten anser också att det saknas skäl att alls reglera sökningar som rör uppgifter om lag- överträdelser. Sökbegränsningen om utslag är därtill utformad på så sätt att motsvarande uppgifter kan sökas fram på annat sätt. Regler- ingen har därför enligt myndigheten spelat ut sin roll.

Myndigheterna behöver behandla känsliga personuppgifter och uppgifter om lagöverträdelser

Skilda behov som är svåra att kartlägga på ett uttömmande sätt

Skatteverket, Tullverket och Kronofogdemyndigheten behandlar alla i någon mån känsliga personuppgifter. Omfattningen av behovet av behandling av sådana uppgifter skiljer sig dock åt. Den behandling av känsliga personuppgifter som faktiskt äger rum är emellertid i stor utsträckning nödvändig för att myndigheterna ska kunna utföra sina uppgifter. Det är svårt att uppskatta omfattningen av respektive myn- dighets behandling av känsliga personuppgifter. I förarbetena till de nu gällande registerförfattningarna angavs att det sällan torde komma

ifråga för dessa myndigheter att behandla känsliga personuppgifter.62 Mot bakgrund av detta och med hänsyn till myndigheternas uppdrag och uppgifter kan slutsatsen dras att det inte heller i dag är fråga om en stor del av de personuppgifter som myndigheterna behandlar.

Det är också svårt att mer detaljerat ange alla kategorier av käns- liga personuppgifter som myndigheterna behandlar. Myndigheterna kan exempelvis inte styra över vilka känsliga personuppgifter som kommer in till myndigheterna från enskilda i ärenden eller i andra fall då enskilda kontaktar myndigheterna. Sådana uppgifter behöver bl.a. kunna behandlas under hela ärendehandläggningen till dess att

62Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101.

665

Känsliga personuppgifter, ...

SOU 2023:100

ett beslut har fattats. Vilka kategorier av känsliga personuppgifter som behöver kunna behandlas kan också relativt snabbt förändras till följd av ändringar i den materiella verksamhetsregleringen, som t.ex. in- komstskattelagen (1999:1229), IL, eller den unionsrättsliga tullkodexen med kompletterande lagstiftningsakter.63 Det är också ett skäl till att det är svårt att uttömmande kartlägga vilka typer av känsliga person- uppgifter som myndigheterna behöver stöd för att kunna behandla.64

Skatteverket, Tullverket och Kronofogdemyndigheten har vidare i vissa fall behov av att kunna behandla uppgifter om lagöverträdel- ser. Liksom vad gäller känsliga personuppgifter är det svårt att upp- skatta omfattningen och kategorier av uppgifter om lagöverträdelser som myndigheterna behandlar.

Även om det är svårt att på ett mer exakt sätt uppskatta och kart- lägga omfattningen och kategorierna av känsliga personuppgifter och uppgifter om lagöverträdelser som behandlas och kan komma att be- höva behandlas inom myndigheternas verksamheter ges några exem- pel i följande avsnitt.

Gemensamma behov

Myndigheterna behöver fortsatt kunna behandla känsliga person- uppgifter och uppgifter om lagöverträdelser som inkommer till myn- digheterna i bl.a. elektroniska handlingar, såsom e-postmeddelanden, från enskilda vars innehåll myndigheterna själva inte kan styra över.65 Så kan vara fallet både inom och utom ett enskilt ärende. Sådana uppgifter kan också vara i den enskildes intresse att myndigheterna behandlar och beaktar inom ramen för exempelvis ett ärende.66 Vid- are behöver myndigheterna fortsatt kunna behandla känsliga person- uppgifter och uppgifter om lagöverträdelser i handlingar som upprättas av myndigheten. Det kan röra sig om ett behov av att använda sådana uppgifter i en skriftlig motivering till ett beslut, för att skriva ner vad en enskild framför i ett telefonsamtal i en tjänsteanteckning som elek-

63Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen.

64Ett exempel på att den materiella verksamhetsregleringen kan förändras snabbt är att det tidigare gavs möjlighet till skattereduktion för fackföreningsavgift, men regleringen av denna skattereduktion togs bort den 1 april 2019 efter att enbart kort dessförinnan ha återinförts från och med den 1 juli 2018, se SFS 2018:626 och SFS 2019:128 samt prop. 2017/18:127, Åter- införande av skattereduktion för fackföreningsavgift.

65Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101–102.

66Jfr prop. 2015/16:65, Utlänningsdatalag, s. 80.

666

SOU 2023:100

Känsliga personuppgifter, ...

troniskt tillförs ett ärende eller för att upprätta en föredragnings- promemoria som förberedelse inför föredragning av ett beslut. Även själva besluten i ärendehandläggningen kan behöva innehålla käns- liga personuppgifter eller uppgifter om lagöverträdelser eftersom det i vissa fall kan vara avgörande för t.ex. utgången i det enskilda målet eller ärendet.

Utöver behandling av känsliga personuppgifter och uppgifter om lagöverträdelser som är kopplade till ärendehandläggning finns ytter- ligare situationer när myndigheterna behöver kunna behandla sådana uppgifter, nämligen i s.k. faktisk verksamhet. Berörda myndigheter har uppgett att det även finns ett behov av att kunna behandla upp- gifterna för att t.ex. utföra tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. En- ligt vår mening är det viktigt att myndigheterna kan bevaka och ut- värdera effektiviteten och kvaliteten i den egna verksamheten. Så har även regeringen tidigare bedömt vara fallet för t.ex. Migrationsverket och andra myndigheter som omfattas av utlänningsdatalagen.67 Be- hovet kan t.ex. uppkomma genom att myndigheterna av regeringen åläggs att ta fram viss statistik som bygger på känsliga personuppgif- ter, exempelvis hur många som under en viss period har medgetts befrielse från förseningsavgifter av hälsoskäl. Sådana behov kan även finnas internt hos myndigheterna för att kunna planera och fördela resurser till rätt områden inom verksamheterna. Myndigheterna har också ett behov av att kunna behandla känsliga personuppgifter och uppgifter om lagöverträdelser för att göra dataanalyser och urval. När- mare redogörelser för och överväganden av denna fråga finns i av- snitt 14.9.2.

Vid utlämnande eller inhämtande av uppgifter till eller från andra myndigheter kan myndigheterna komma att ta del av uppgifter om lagöverträdelser.68 Vidare kan det förekomma situationer när myn- digheterna gör en anmälan om misstankar om brott till Polismyndig- heten eller åklagare. Sådana uppgifter måste enligt vår mening kunna behandlas av myndigheterna, liksom uppgifter om anmälan t.ex. lett till åtal och en efterföljande fällande dom.69

67Prop. 2015/16:65, Utlänningsdatalagen, s. 82.

68Se t.ex. lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brotts- lighet med tillhörande förordning.

69Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 366.

667

Känsliga personuppgifter, ...

SOU 2023:100

Skatteverkets beskattningsverksamhet

Skatteverket behöver inom ramen för beskattningsverksamheten t.ex. kunna behandla uppgifter om människors religiösa övertygelse för att hantera kyrkoavgiften70 samt avgifter till annat registrerat trossamfund än Svenska kyrkan i inkomstdeklarationer.71 Vidare har avgift till fackförening fram till den 1 april 2019 medfört rätt till avdrag varför sådana uppgifter fortfarande behandlas vid Skatteverket.72 Det finns också ett behov av att kunna hantera uppgifter om fysiska personers hälsa i form av bl.a. sjukdomar som kan åberopas som skäl för an- stånd med betalning av skatter eller avgifter. Det kan även röra sig om fall där Skatteverket kan besluta om hel eller delvis befrielse från en särskild avgift om det är oskäligt att avgiften tas ut med fullt be- lopp, varvid det särskilt ska beaktas om den felaktighet eller passivitet som har lett till avgiften kan antas ha bl.a. berott på hälsa eller lik- nande förhållande.73 Uppgifter om hälsa behöver också kunna behand- las till följd av de individuppgifter i arbetsgivardeklarationer som läm- nas in till Skatteverket vilka t.ex. kan avse uppgifter om sjukpenning och rehabiliteringspenning.74 Vidare finns regler om att skattereduk- tion ska göras för bl.a. sjukersättning och aktivitetsersättning.75 Käns- liga personuppgifter om enskilda behöver i vissa fall även behandlas vid tilldelning av organisationsnummer för bl.a. juridiska personer enligt lagen (1974:174) om identitetsbeteckning för juridiska personer m.fl., samt vid namn- eller adressändring för juridiska personer. Det kan nämligen av inskickat underlag framgå att vissa utpekade fysiska personer är företrädare för föreningar eller andra sammanslutningar som t.ex. avser politiska partier eller religiösa samfund.

Vidare har Skatteverket ett behov av att behandla uppgifter om lag- överträdelser för att utföra vissa av sina uppdrag. Exempelvis finns en skyldighet för myndigheten att göra anmälan till åklagare så snart det finns anledning att anta att brott enligt skattebrottslagen (1971:69)

707 och 8 §§ lagen (1998:1591) om Svenska kyrkan, 16 § lagen (1998:1593) om trossamfund och 56 kap. 8 § skatteförfarandelagen (2011:1244), SFL.

71Se bl.a. 1 och 5 §§ lagen (1999:291) om avgift till registrerat trossamfund, 16 § lagen om tros- samfund och 56 kap. 8 § SFL.

72Se 67 kap. 2 § IL i sin lydelse enligt SFS 2018:626 då skattereduktion skulle göras för bl.a. fackföreningsavgift. Bestämmelsen upphävdes dock att gälla i denna del genom SFS 2019:128, se prop. 2018/19:45, Avskaffad skattereduktion för fackföreningsavgift.

73Se 51 kap. 1 § SFL. Se även prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101.

74Jfr bl.a. 2 kap. 15 § socialavgiftslagen (2000:980).

7567 kap. 2 § IL.

668

SOU 2023:100

Känsliga personuppgifter, ...

har begåtts76 eller så snart det finns anledning att anta att någon har gjort sig skyldig till bokföringsbrott eller grovt bokföringsbrott en- ligt 11 kap. 5 § brottsbalken.77 Det finns också ett behov av att be- handla uppgifter om lagöverträdelser för att kunna tillämpa regleringen som rör förbudet mot dubbla förfaranden i beskattningsverksam- heten.78 Ett annat exempel är att Skatteverket behöver ha möjlighet att behandla brottmålsdomar i utredningar om företrädaransvar. I så- dana domar kan även känsliga personuppgifter förekomma. Vidare behöver myndigheten behandla uppgifter om lagöverträdelser inför godkännande av deklarationsombud, varvid omständigheten att om- budet har dömts för brott i näringsverksamhet eller för annan eko- nomisk brottslighet har betydelse för lämplighetsbedömningen.79

Skatteverkets folkbokföringsverksamhet

I Skatteverkets folkbokföringsverksamhet finns sedan den 1 septem- ber 2023 ett behov av att kunna behandla biometriska uppgifter i form av fingeravtryck och ansiktsbild till följd av en ändring i folk- bokföringslagen (1991:481), FOL, och lagen (2022:1697) om samord- ningsnummer.80

Vidare kan uppgifter om att en person vistas på sjukhus eller i fängelse vara relevant i bosättningsutredningar, vilket indirekt i vissa fall bör kunna ses som uppgifter om hälsa samt lagöverträdelser.81 Ett annat exempel är ärenden om skyddad folkbokföring82 i vilka Skatte- verket kan behöva behandla känsliga personuppgifter om bl.a. hälsa, religiös övertygelse, politiska åsikter eller sexuell läggning. Sådana kate- gorier av uppgifter förekommer i t.ex. handlingar från den enskilde samt yttranden från psykolog eller socialtjänst. I ärenden om skyd- dad folkbokföring är det även vanligt att det förekommer uppgifter

7617 § skattebrottslagen.

7718 § första stycket 4 skatteförfarandeförordningen (2011:1261), SFF.

78Se bl.a. 49 kap. 10 a och 10 b §§ SFL.

796 kap. 6 § SFL.

80Se 26 b § och 26 c § FOL samt 2 kap. 3 och 4 §§ lagen om samordningsnummer. I den nu- varande folkbokföringsdatabaslagen anges i 2 kap. 3 § första stycket 21 att Skatteverket får behandla sådana uppgifter i folkbokföringsdatabasen för de ändamål som anges i 1 kap. 4 § samma lag.

81Se 9 § FOL.

82Se bl.a. 16 § första stycket FOL i vilken det anges att en person som av särskilda skäl kan antas bli utsatt för brott, förföljelser eller allvarliga trakasserier på annat sätt, får efter egen ansökan medges att vara folkbokförd på en annan folkbokföringsort än där personen är bosatt (skyddad folkbokföring) om åtgärden med hänsyn till den enskildes förmåga och övriga för- utsättningar kan antas tillgodose behovet av skydd.

669

Känsliga personuppgifter, ...

SOU 2023:100

om lagöverträdelser i t.ex. brottmålsdomar och yttranden från Polis- myndigheten.

Vidare kan uppgifter om medborgarskap eller inflyttning från ut- landet i förekommande fall innehålla uppgifter som avslöjar etniskt ursprung. Sådana uppgifter faller visserligen som regel utanför för- budet mot att behandla uppgifter om etniskt ursprung, men om upp- giften i det enskilda fallet avslöjar etniskt ursprung utgör den käns- liga personuppgifter.83 Uppgifterna måste dock kunna registreras av Skatteverket för att uppfylla kraven i bl.a. folkbokföringslagen.

Skatteverket har även inom folkbokföringsverksamheten en skyl- dighet att göra en anmälan till Polismyndigheten eller till åklagare så snart det finns anledning att anta att någon har gjort sig skyldig till vissa i folkbokföringsförordningen (1991:749) respektive förordningen (2023:363) om samordningsnummer särskilt uppräknade brott.84

Tullverket

Tullverket behöver t.ex. ha stöd för att behandla uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, med- lemskap i fackförening, hälsa och uppgifter om en fysisk persons sex- ualliv eller sexuella läggning. Det behövs bl.a. vid hantering av dekla- rationer för in- och utförsel av varor samt vid riskhantering i syfte att hindra in- eller utförsel av varor som kan skada människors liv eller hälsa. I sådana fall kan typen av vara, t.ex. läkemedel eller böcker samt tidskrifter, tillsammans med uppgifter om avsändare och mottagare, avslöja känsliga personuppgifter om en fysisk person.85 Det kan t.ex. avslöja vilken sjukdom en enskild person har mot bakgrund av vilket läkemedel som importeras. Vidare kan sådana uppgifter också behöva behandlas för att säkerställa efterlevnaden av produktsäkerhetskrav, t.ex. då det finns risk för läkemedelsförfalskning. Ett annat konkret exempel är in- eller utförsel av varor som adresserats till politiska, religiösa, kulturella eller fackliga organisationer vilka indirekt kan av- slöja uppgifter om enskilda personers etnicitet, politiska åsikter, reli-

83Prop. 2009/10:85, Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 325 och SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp- täcka felaktiga utbetalningar från välfärdssystemen, s. 363.

8411 § folkbokföringsförordningen och 20 § förordningen om samordningsnummer.

85Jfr prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 178 där regeringen ut- talar att smugglingsmetoder eller föremål som smugglas kan avslöja religiös övertygelse eller politiska åsikter.

670

SOU 2023:100

Känsliga personuppgifter, ...

giösa övertygelse eller medlemskap i fackförening. Inom sitt upp- drag med säkerhet och skydd behöver Tullverket även övervaka import av varor till vissa individer. Det rör sig bl.a. om individer som har bedömts förekomma i ett sammanhang där de skulle kunna ha en roll i anskaffningsförsök av varor som kan komma att användas i terroristrelaterad verksamhet.

Ett annat exempel är att Tullverket vid bedömningen av om det finns förutsättningar för hel eller delvis befrielse från tulltillägg eller förseningsavgift särskilt ska beakta om den felaktighet eller passivi- tet som lett till avgiften kan antas ha berott på bl.a. hälsa varför sådana typer av känsliga personuppgifter behöver kunna behandlas.86

Tullverket har också behov av att kunna behandla uppgifter om lagöverträdelser. Exempelvis anges i tullkodexen att kriterierna för att bevilja status som ”godkänd ekonomisk aktör”87 innefattar bl.a. frånvaro av alla former av allvarliga överträdelser eller upprepade över- trädelser av tullagstiftningen och skattereglerna, inbegripet att den sök- ande inte får vara dömd för allvarliga brott som rör hans eller hennes ekonomiska verksamhet.88 Vidare har Tullverket till följd av EU- gemensamma riskkriterier en skyldighet att beakta tidigare brottslig- het vid riskanalyser som leder till urval för kontroll.89 Ett annat ex- empel är att en tullkontroll kan resultera i ett beslag varför sådana uppgifter behöver kunna behandlas. Det är också nödvändigt att Tull- verket kan följa upp resultat och effektiviteten i myndighetens meto- der för tullkontroll.90

Kronofogdemyndigheten

Även Kronofogdemyndigheten behöver behandla känsliga person- uppgifter för att utföra vissa uppgifter. Exempelvis kan grunden för ett krav inom verksamheten med betalningsföreläggande vara ute- bliven betalning av avgift till fackförening. Vidare kan uppgifter om hälsa behöva behandlas i ärenden om skuldsanering och verkställig-

86Se 5 kap. 17 § första stycket 1 tullagen (2016:253).

87Se bl.a. artiklarna 38 och 39 i tullkodexen.

88Artikel 39 a i tullkodexen.

89Att det finns EU-gemensamma riskkriterier för tullmyndigheterna inom arbetet med säker- het och skydd framgår bl.a. av artikel 46.3 i tullkodexen. Riskkriterierna anges i en genom- förandeakt som antagits av EU-kommissionen genom artikel 50.1 i tullkodexen och är inte offentliga. Se för vidare information Europeiska kommissionens hemsida, https://taxation- customs.ec.europa.eu/measures-customs-risk-management-framework_en [hämtad 2023-03-27].

90Jfr t.ex. Riksrevisionen (2019), Tullverkets kontroll – en träffsäker verksamhet?, rapport 2019:12.

671

Känsliga personuppgifter, ...

SOU 2023:100

het. Exempelvis är enligt 7 § skuldsaneringslagen (2016:675) ett av kriterierna för skuldsanering att gäldenären inte kan antas ha för- måga att betala sina skulder inom överskådlig tid. Om gäldenären exempelvis påstår bristande arbetsförmåga som ett skäl för skuldsaner- ing kan detta behöva underbyggas genom att han eller hon ger in ett läkarintyg till Kronofogdemyndigheten. Gäldenären kan också behöva ge in t.ex. ett läkarintyg i ett omprövningsärende av en redan beviljad skuldsanering om denne ansöker om att på grund av sjukdom få be- tala mindre.

Kronofogdemyndigheten har också ett behov av att kunna behandla uppgifter om beslut om olika ekonomiska ersättningar, t.ex. sjukpen- ning, från Försäkringskassan vilka kan utgöra känsliga personuppgif- ter.91 Redan uppgiften om att någon har beviljats en socialförsäkrings- förmån har nämligen ansetts kunna utgöra en känslig personuppgift om hälsa.92

Kronofogdemyndigheten behöver vidare kunna behandla uppgifter om lagöverträdelser. Så är fallet avseende exempelvis skadestånd i brott- mål då det kan ligga till grund för en fordran inom verksamheten med betalningsföreläggande och verkställighet eller som är en del av de skulder som omfattas av en ansökan om skuldsanering.93 Förekoms- ten av en skuld på grund av skadestånd för brott kan också påverka skälighetsbedömningen enligt 9 § skuldsaneringslagen på det sättet att omständigheten måste beaktas i beslut. Kronofogdemyndigheten kan också behöva behandla uppgifter om lagöverträdelser för att kon- takta målsäganden efter dom i brottmål.94 Utöver detta behöver så- dana uppgifter bl.a. behandlas vid tillsyn över näringsförbud95 och vid tillsyn över konkursförvaltare då uppgift om brott kan ha betydelse för bedömning av lämpligheten och frågan om entledigande.96 Inom verksamheten med verkställighet kan vidare uppgifter om fällande domar i brottmål behöva behandlas som ett led i myndighetens säker- hetsbedömning inför förrättning.

91Se 3 § förordningen (1980:995) om skyldighet för Försäkringskassan och Pensionsmyndig- heten att lämna uppgifter till andra myndigheter.

92Prop. 2022/23:34, Utbetalningsmyndighetens, s. 134 och SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 363.

9312 § skuldsaneringslagen.

942 kap. 3 § andra stycket utsökningsförordningen (1981:981).

9541 § lagen (2014:836) om näringsförbud.

967 kap. 1 och 5 §§ konkurslagen (1987:672).

672

SOU 2023:100

Känsliga personuppgifter, ...

10.6Den nuvarande regleringen bör ses över och uppdateras

Vår bedömning: De nu gällande bestämmelserna om Skatte- verkets, Tullverkets och Kronofogdemyndighetens behandling av känsliga personuppgifter och uppgifter om lagöverträdelser bör ses över och uppdateras.

Skälen för vår bedömning

Känsliga personuppgifter

När de nuvarande bestämmelserna utformades och trädde i kraft gällde 1995 års dataskyddsdirektiv och den numera upphävda person- uppgiftslagen med tillhörande förordning. Personuppgiftslagen byggde på dataskyddsdirektivet som krävde införlivning i svensk rätt. Person- uppgiftslagen innehöll inte några särskilda undantag från det då gäll- ande förbudet97 mot behandling av känsliga personuppgifter som var tillämpliga i de aktuella verksamheterna.98 Den generella regleringen innebar därmed att det behövde finnas uttryckliga bestämmelser som tillät behandling av känsliga personuppgifter för att täcka nödvändig behandling.99 När personuppgiftslagen gällde var det vidare vanligt att sektorspecifika registerförfattningar innehöll särskild reglering av myndigheters behandling av känsliga personuppgifter.100 Det kan till viss del bero på att artikel 8.4 i dataskyddsdirektivet föreskrev att under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse fick medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag för behandling av känsliga personuppgifter än de som nämndes i artikel 8.2.

Till skillnad från dataskyddsdirektivet och personuppgiftslagen innebär dataskyddsförordningen att de föreskrivna undantagen från förbudet mot behandling av känsliga personuppgifter är direkt tillämp- liga för de nationella myndigheterna, även om vissa undantag i sig kräver

9713 § PUL.

98Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101.

99Jfr SOU 2015:73, Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, s. 291.

100SOU 2015:73, Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, s. 291.

673

Känsliga personuppgifter, ...

SOU 2023:100

kompletterande nationell lagstiftning.101 Myndigheterna kan därmed stödja viss behandling av känsliga personuppgifter redan på grundval av dataskyddsförordningens bestämmelser under de förutsättningar som där anges.

Berörda myndigheter har uttryckt att den nuvarande utformningen av lagstiftningen i olika avseenden är problematisk.102 Det kan kon- stateras att de nuvarande registerförfattningarna är mer detaljerade och långtgående än dataskyddsförordningen och dataskyddslagen. Berörda myndigheters reglering skiljer sig något åt till följd av de olika behoven i verksamheterna. Det kan dock konstateras att de befintliga register- författningarna huvudsakligen tillåter behandling av känsliga person- uppgifter och uppgifter om lagöverträdelser103 i följande situationer.104

•Behandling utanför databaserna får ske under förutsättning att uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det. I ett sådant fall görs ingen skillnad mellan upp- gifter i och utom elektroniska handlingar.

•Behandling inom databaserna får ske i form av uppgifter som regi- streras för att kunna vara sökbara och användbara vid den allmänna ärendehanteringen och verksamhetsdriften endast om det är särskilt angivet i den lag som reglerar behandlingen av personuppgifter.

•Behandling inom databaserna får även ske om uppgifterna finns i en elektronisk handling som har kommit in i ett ärende.

•Behandling inom databaserna får slutligen ske om uppgifterna finns i en elektronisk handling som har upprättats i ett ärende om de är nödvändiga för ärendets handläggning.

I dataskyddsförordningen och dataskyddslagen görs inte någon upp- delning mellan uppgifter som förekommer i elektroniska handlingar eller som enskilda sökbara uppgifter. Det kan visserligen finnas verk- samheter inom vilka det är motiverat att upprätthålla en mer avgränsad

101T.ex. kräver undantaget i artikel 9.2 g att det viktiga allmänna intresset ska grunda sig på unionsrätten eller nationell rätt vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

102Se avsnitt 10.5.

103Samma regler gäller generellt sett för såväl känsliga personuppgifter som uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

104Se avsnitt 10.3 för en utförligare redogörelse av gällande rätt.

674

SOU 2023:100

Känsliga personuppgifter, ...

reglering.105 Skatteverket, Tullverket och Kronofogdemyndigheten kan dock genom de nuvarande bestämmelserna hindras att utföra vissa av de författningsreglerade uppgifter som åligger dem. Exempelvis har myndigheterna begränsade möjligheter att behandla känsliga person- uppgifter i s.k. faktisk verksamhet som inte utgör ärendehandlägg- ning. Sådan behandling kan dock behöva utföras för att myndigheterna t.ex. ska kunna delta i olika nationella eller EU-rättsliga samverkans- projekt på det sätt som olika författningar eller regeringsbeslut kräver.

Den nuvarande regleringen kan också utgöra en begränsning av möjligheterna att behandla känsliga personuppgifter för ändamålen tillsyn, kontroll, uppföljning och planering av verksamheterna, samt framställning av statistik eller testverksamhet. Det hindrar också myn- digheternas möjligheter att göra vissa urval av bl.a. ärenden eller per- soner för ytterligare kontroll. Dessa begränsningar kan ifrågasättas eftersom sådan verksamhet är en förutsättning för att myndigheterna fortlöpande ska kunna bevaka effektiviteten och kvaliteten i verk- samheten. Det är bl.a. av vikt för att upprätthålla en väl fungerande ärendehandläggning, vilket i sin tur gagnar enskilda registrerade. Vi anser att det finns goda möjligheter att säkerställa ett tillräckligt integ- ritetsskydd på andra sätt än att helt undanta vissa möjligheter för myn- digheterna att över huvud taget behandla sådana uppgifter, t.ex. genom att reglera särskilda sökbegränsningar och tillgången till uppgifterna (se bl.a. avsnitten 7.7 och 10.9).

Vidare innebär dagens reglering att inkommande elektroniska hand- lingar som innehåller känsliga personuppgifter som inte hör till ett ärende inte får behandlas inom databaserna.106 Det kan t.ex. röra sig om e-postmeddelanden från enskilda med allmänna frågor som myn- digheten måste besvara till följd av den allmänna serviceskyldigheten.107 Dessa regler kan i sig påverka hur myndigheterna rent tekniskt be- höver utforma sina verksamhetsstöd. Vi bedömer att ett fullgott integritetsskydd även i sådana situationer kan uppnås genom andra

105Prop. 2017/18:105, Ny dataskyddslag, s. 91.

106När det gäller behandling av känsliga personuppgifter i handlingar som inkommer till eller upprättas av myndigheterna kan det nämnas att oaktat om behandlingen kan anses vara nöd- vändig, t.ex. för att handlägga ett ärende, kan den behöva bevaras för att uppfylla tryckfrihets- förordningens krav på utlämnande av allmänna handlingar samt arkivlagens krav på bevarande av allmänna handlingar. Sådan fortsatt behandling är dock tillåten även enligt dataskydds- förordningen med stöd av artikel 5.1 b alternativt på den grunden att tryckfrihetsförordning- ens regler har företräde framför dataskyddsförordningen och dataskyddslagen, se 1 kap. 7 § dataskyddslagen samt artikel 85 i dataskyddsförordningen.

1076 § andra stycket FL.

675

Känsliga personuppgifter, ...

SOU 2023:100

medel än en reglering som innebär att en viss typ av behandling inte är tillåten nationellt för de berörda myndigheterna.

Utöver detta bedömer vi att den nuvarande regleringen kan vara svår att tillämpa vid en helt digitaliserad ärendehandläggning. Som framgått ovan gäller i dag, med vissa undantag för Kronofogdemyndig- heten och Skatteverket, att vid handläggning av ärenden inom respek- tive databas får känsliga personuppgifter framför allt behandlas i hand- lingar som kommit in till eller upprättats av myndigheterna. I annat fall behöver behandlingen ske utanför databaserna samt avse uppgifter som lämnats i ett ärende eller är nödvändiga för handläggningen av det (se t.ex. 1 kap. 7 § SdbL). Huvuddelen av myndigheternas ärende- handläggning sker dock i dag inom databaserna vilket innebär att de uppgifter som behövs för ärendehandläggning vanligen är gemensamt tillgängliga i olika verksamhetssystem. Det finns visserligen vissa skill- nader mellan myndigheterna i detta avseende. Kronofogdemyndig- heten ser det som att i princip all ärendehandläggning vid myndig- heten i dag sker inom databaserna vilket innebär att bestämmelsen i

1kap. 6 § KFMdbL, som reglerar behandling utanför databaserna och som är vidare än bestämmelserna i 2 kap., sällan blir aktuell att tillämpa. Inom Skatteverkets beskattningsverksamhet sker dock viss ärende- handläggning utanför databaserna, vilket innebär att bestämmelsen om behandling av känsliga personuppgifter utanför beskattningsdatabasen tillämpas i vissa fall.

Oaktat de skillnader som kan finnas mellan myndigheterna kan det ifrågasättas om det mot bakgrund av den nuvarande, närmast full- ständigt, digitaliserade ärendehandläggningen fortsatt finns skäl att upprätthålla den nuvarande regleringen. Då bestämmelserna skiljer på uppgifter som behandlas inom eller utanför databaserna kan regler- ingen leda till att myndigheterna anpassar ärendehandläggningen till registerförfattningarna i stället för att utveckla det mest effektiva arbetssättet. Vidare behöver myndigheterna i vissa fall lägga tid och resurser på att avgöra vad som är en (elektronisk) handling trots att någon sådan uppdelning inte finns i dataskyddsförordningen eller data- skyddslagen. Den nuvarande regleringen riskerar dessutom att hindra myndigheternas arbete med att digitalisera ärendehandläggningen. Eftersom känsliga personuppgifter i dag enbart får behandlas i hand- lingar i verksamhetssystem som används gemensamt av fler än ett få- tal tjänstemän försvåras utvecklingen av nya system som ska användas gemensamt genom vilka enskilda kan lämna in uppgifter som inte

676

SOU 2023:100

Känsliga personuppgifter, ...

ingår i en elektronisk handling.108 Det kan här nämnas att regeringen i samband med införandet av dataskyddslagen anförde att nödvändig behandling av känsliga personuppgifter, bl.a. i elektroniska ärende- hanteringssystem, bör vara tillåten vid handläggningen av ett ärende oavsett om uppgifterna förekommer i löpande text eller inte. Enligt regeringen skulle befintliga skyddsåtgärder t.ex. i fråga om sekretess- bestämmelser i stället kompletteras med en sökbegränsning, dvs. nu- varande 3 kap. 3 § andra stycket dataskyddslagen.109

Även det förhållandet att vi föreslår att det inte längre ska finnas någon reglering av databaser (se avsnitt 9.4.2) föranleder nya över- väganden och en uppdatering av den aktuella regleringen. Vi anser att det inte längre bör göras någon skillnad på behandling av känsliga per- sonuppgifter som kan anses vara gemensamt tillgängliga eller inte. Dataskyddsförordningens särskilda reglering avseende känsliga person- uppgifter gäller oaktat om en enskild medarbetare behandlar sådana personuppgifter i ett ordbehandlingsprogram på sin dator eller om uppgifterna finns i ett verksamhetssystem som är tillgängligt för en större mängd medarbetare vid myndigheten. Så bör enligt vår mening även vara fallet vid sådan behandling som sker vid Skatteverket, Tull- verket och Kronofogdemyndigheten.

Sammantaget anser vi att de nu gällande bestämmelserna om käns- liga personuppgifter behöver ses över och uppdateras. Integritets- skäl kräver dock noggranna överväganden av en förändrad reglering som innebär att myndigheterna ges en utökad möjlighet att behandla känsliga personuppgifter m.m. i förhållande till vad som gäller i dag.110

Uppgifter om lagöverträdelser

Enligt den nuvarande ordningen gäller i huvudsak samma regler för berörda myndigheters behandling av uppgifter om lagöverträdelser som vid behandling av känsliga personuppgifter.111 Det innebär att myndigheterna får behandla uppgifter om lagöverträdelser i mindre utsträckning än vad som gäller enligt dataskyddsförordningen och dataskyddslagen. Vid tidpunkten för införandet av de nu gällande be-

108Jfr SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 444.

109Prop. 2017/18:105, Ny dataskyddslag, s. 88.

110Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 63 och prop. 2017/18:105, Ny dataskyddslag, s. 91.

111Se avsnitt 10.3 för närmare redogörelser av den nuvarande sektorspecifika regleringen.

677

Känsliga personuppgifter, ...

SOU 2023:100

stämmelserna angavs i artikel 8.5 i dataskyddsdirektivet bl.a. att be- handling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder endast fick utföras under kontroll av en myndig- het. Vidare angavs att medlemsstaterna fick föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skulle behandlas under kontroll av en myndighet. I den numera upp- hävda 21 § PUL angavs bl.a. att det var förbjudet för andra än myn- digheter att behandla personuppgifter om lagöverträdelser som inne- fattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

När Skatteverkets, Tullverkets och Kronofogdemyndighetens re- gisterförfattningar anpassades till dataskyddsförordningen konstate- rade regeringen att sådana bestämmelser om behandling av uppgifter om lagöverträdelser som fanns i registerförfattningarna inte krävs med anledning av artikel 10 i dataskyddsförordningen eller dataskydds- lagen. Regeringen konstaterade därefter att begränsningarna i berörda myndigheters registerförfattningar har införts i syfte att skydda den personliga integriteten. Då det inte hade framkommit några skäl att upphäva dessa bestämmelser bedömde regeringen att de skulle finnas kvar.112

Av de skäl som anförts ovan avseende känsliga personuppgifter anser vi dock att det inte längre är ändamålsenligt att upprätthålla den nuvarande regleringen, vilken bl.a. gör skillnad på uppgifter i hand- lingar och uppgifter i eller utom databaserna samt särreglerar be- handling som sker vid ärendehandläggning. När det gäller behandling av uppgifter om lagöverträdelser finns det dessutom inte lika begrän- sande reglering för myndigheter i fråga om sådan behandling i arti- kel 10 i dataskyddsförordningen till skillnad från vad som gäller för behandling av känsliga personuppgifter. Detsamma gäller i fråga om dataskyddslagens bestämmelser (3 kap. 8 §). Vidare har dataskydds- förordningens ikraftträdande inneburit vissa materiella skillnader i förhållande till vad som tidigare gällde enligt dataskyddsdirektivet. Exempelvis omfattas inte längre uppgifter om friande domar i brott- mål eller administrativa frihetsberövanden av ordalydelsen i den generella EU-rättsliga dataskyddsregleringen.113

112Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 66.

113Prop. 2017/18:105, Ny dataskyddslag, s. 98.

678

SOU 2023:100

Känsliga personuppgifter, ...

Mot denna bakgrund anser vi att det även finns skäl att se över och uppdatera de nu gällande bestämmelserna om behandling av upp- gifter om lagöverträdelser.

10.7En ny reglering av behandling av känsliga personuppgifter

Vårt förslag: Skatteverket, Tullverket och Kronofogdemyndig- heten ska få behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), om det är nöd- vändigt med hänsyn till ändamålet med behandlingen.

Skälen för vårt förslag

Behandling av känsliga personuppgifter för ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen

För att Skatteverket, Tullverket och Kronofogdemyndigheten ska få behandla känsliga personuppgifter vid utförandet av sina respektive uppdrag krävs att behandlingen är tillåten. Som vi redogör för i av- snitt 10.2.1 är behandling av känsliga personuppgifter som huvud- regel förbjuden enligt dataskyddsförordningen (artikel 9.1). Det finns dock ett antal undantag som innebär att förbudet inte ska tillämpas (artikel 9.2). Det undantag som framför allt kommer att komma i fråga för berörda myndigheter att tillämpa är artikel 9.2 g. Enligt den arti- keln är det tillåtet att behandla känsliga personuppgifter om behand- lingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grund- val av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmel- ser om lämpliga och särskilda åtgärder för att säkerställa den regi- strerades grundläggande rättigheter och intressen.

Regeringen har uttalat att det anses utgöra ett viktigt allmänt in- tresse att svenska myndigheter, även utanför området för myndighets- utövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt.114 För

114Prop. 2017/18:105, Ny dataskyddslag, s. 83.

679

Känsliga personuppgifter, ...

SOU 2023:100

myndigheters del innefattar detta bl.a. den behandling av känsliga personuppgifter som är nödvändig för att de ska kunna utföra sina uppdrag enligt materiell verksamhetslagstiftning och respektive myn- dighets instruktion. I skäl 112 till dataskyddsförordningen anges internationella utbyten av uppgifter mellan bl.a. skatte- eller tull- myndigheter som exempel på viktiga allmänintressen.

Syftet med Skatteverkets, Tullverkets och Kronofogdemyndig- hetens behandling av personuppgifter är exempelvis att fastställa och ta ut skatter, tullar, socialavgifter och andra avgifter för att säkerställa en riktig uppbörd115, ge olika samhällsfunktioner ett korrekt under- lag för beslut och åtgärder genom folkbokföringsuppgifterna116, över- vaka och kontrollera trafiken till och från Sverige117 eller driva in skulder i samhället.118 Myndigheternas arbetsuppgifter är bl.a. av be- tydelse för att en rad olika samhällsfunktioner ska fungera och i för- längningen för att upprätthålla samhällets tilltro till välfärdssyste- men. När myndigheterna behandlar känsliga personuppgifter som är nödvändiga för att myndigheterna ska kunna utföra sina uppgifter är det alltså fråga om sådan behandling som avses i artikel 9.2 g i data- skyddsförordningen, dvs. en behandling som är av viktigt allmänt intresse.

När det gäller myndigheternas materiella verksamhetsreglering som fastställts i svensk rätt bör utgångspunkten vara att denna uppfyller kraven på proportionalitet i artikel 6.1 c och e i dataskyddsförord- ningen.119 Som ovan nämnts ställer artikel 9.2 g krav på att behand- lingen av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet. Regeringen har tidigare uttalat att detta innebär att den rättsliga grun- den för behandlingen typiskt sett kommer att vara någon av de som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsord- ningen på det sätt som regeringen ansett är fallet avseende de rätts- liga grunderna i artikel 6.1.120 Artikel 9.2 g bör alltså tolkas så att det är den materiella verksamhetsregleringen vilken reglerar myndig-

115Jfr 1 § förordningen (2017:154) med instruktion för Skatteverket och 1 § förordningen (2016:1332) med instruktion för Tullverket.

116Jfr 2 § förordningen med instruktion för Skatteverket.

117Jfr 2 § förordningen med instruktion för Tullverket.

118Jfr 1 § förordningen (2016:1333) med instruktion för Kronofogdemyndigheten.

119Prop. 2017/18:105, Ny dataskyddslag, s. 50.

120Prop. 2017/18:105, Ny dataskyddslag, s. 84.

680

SOU 2023:100

Känsliga personuppgifter, ...

heternas uppgifter, och därmed det viktiga allmänna intresset, som ska ligga till grund för behandlingen och vara proportionerlig, vilket den som utgångspunkt kan anses vara i svensk rätt.

Vidare ställer dataskyddsförordningen särskilda krav på det rätts- liga stödet, vilket måste vara förenligt med det väsentliga innehållet i rätten till dataskydd. I förarbetena till dataskyddslagen uttalar reger- ingen att det är svårt att föreställa sig en rättslig grund för behandling av personuppgifter som uppfyller kraven i artikel 6, men som ändå inte är förenlig med det väsentliga innehållet i rätten till dataskydd. Om grunden för behandlingen inte är förenlig med det väsentliga innehållet i rätten till dataskydd, torde den enligt regeringen inte ut- göra en godtagbar rättslig grund för behandling av personuppgifter över huvud taget. Det kan enligt regeringen därför ifrågasättas om tillägget i artikel 9.2 g utgör ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse.121 Under förutsättning att berörda myndigheter, vid behandling av personuppgifter för ett allmänt in- tresse, har rättslig grund för den behandling som är nödvändig att utföra, bör alltså kravet på förenlighet med det väsentliga innehållet i rätten till dataskydd kunna ses som uppfyllt.

Utöver detta tillkommer enligt artikel 9.2 g ett krav på att gäll- ande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. I de före- slagna lagarna kommer det att finnas bestämmelser som kompletterar dataskyddsförordningens bestämmelser om när behandling av person- uppgifter kan tillåtas. Lagarna kommer också att innehålla olika for- mer av skyddsåtgärder som upprätthåller skyddet för den personliga integriteten vid den behandling av känsliga personuppgifter som myn- digheterna utför. Det handlar t.ex. om bestämmelser om personupp- giftsansvar, tillgång till personuppgifter, sökbegränsningar och längsta tid för behandling. Därutöver finns och föreslås finnas sekretess- bestämmelser som är tillämpliga inom respektive myndighets verk- samhet (se avsnitten 3.3.4–3.3.6 och 15.2–15.5).

Sammantaget innebär detta enligt vår bedömning att den behand- ling av känsliga personuppgifter som Skatteverket, Tullverket och Kronofogdemyndigheten behöver utföra uppfyller kraven i artikel 9.2 g om att den nationella rätten ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till data-

121Prop. 2017/18:105, Ny dataskyddslag, s. 84.

681

Känsliga personuppgifter, ...

SOU 2023:100

skydd och innehålla bestämmelser om lämpliga och särskilda åtgär- der för att säkerställa den registrerades grundläggande rättigheter och intressen.

Behandlingen bör regleras i de nya lagarna

När Skatteverket, Tullverket och Kronofogdemyndigheten behand- lar känsliga personuppgifter görs det i dag i enlighet med de sektor- specifika registerförfattningarna. Dessa författningar är begränsande i förhållande till dataskyddsförordningen och dataskyddslagen. Frågan är om det fortfarande kan anses vara nödvändigt med sektorspecifik reglering av behandling av känsliga personuppgifter. Om så är fallet blir nästa fråga hur en sådan reglering bör se ut.

Skatteverkets, Tullverkets och Kronofogdemyndighetens behov av att behandla känsliga personuppgifter har beskrivits i avsnitt 10.5. Vi konstaterar ovan att samtliga krav som ställs upp i artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få be- handlas med hänsyn till ett viktigt allmänt intresse är uppfyllda för den personuppgiftsbehandling som sker vid Skatteverket, Tullverket och Kronofogdemyndigheten inom ramen för de nya lagarna. Den behandling som är nödvändig för myndigheterna att utföra för att verksamheterna ska kunna bedrivas på ett korrekt och effektivt sätt är därmed enligt vår mening redan tillåten enligt dataskyddsförord- ningen. Artikel 9.2 g i dataskyddsförordningen är direkt tillämplig i myndigheternas verksamheter. Det är dock möjligt för medlems- staterna att i nationell rätt införa mer specifika bestämmelser avse- ende känsliga personuppgifter (artikel 6.2 och 6.3 samt skäl 10).122

Som framgår av avsnitt 10.2.1 finns i 3 kap. 3 § dataskyddslagen en generell bestämmelse som ger myndigheter stöd för behandling av känsliga personuppgifter för ett viktigt allmänt intresse. Enligt denna bestämmelse får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1), om behandlingen är nödvändig för handlägg- ningen av ett ärende (3 kap. 3 § första stycket 2), eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt

122Se även bl.a. prop. 2017/18:105, Ny dataskyddslag, s. 75 och prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 61.

682

SOU 2023:100

Känsliga personuppgifter, ...

intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).

Bestämmelsen i 3 kap. 3 § dataskyddslagen är enligt förarbetena avsedd att gälla för offentlig verksamhet där sektorspecifik reglering avseende behandling av känsliga personuppgifter saknas. I samma för- arbeten anges att det kan finnas anledning att för vissa sektorer när- mare precisera och avgränsa möjligheterna att behandla känsliga per- sonuppgifter ytterligare och det kan finnas ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dessa bestämmelser medger.123

Skatteverket, Tullverket och Kronofogdemyndigheten kommer enligt vår bedömning att kunna behandla personuppgifter enligt 3 kap. 3 § första stycket 1 dataskyddslagen i t.ex. de fall behandlingen krävs i myndigheternas verksamhet som en direkt följd av framför allt offent- lighets- och sekretesslagens och förvaltningslagens bestämmelser om hur allmänna handlingar ska hanteras.124 En relativt omfattande del av berörda myndigheters verksamheter består vidare av ärendehand- läggning i förvaltningslagens mening. Regleringen i 3 kap. 3 § första stycket 2 dataskyddslagen bedöms därför vara tillräcklig för att myn- digheterna ska kunna behandla känsliga personuppgifter som behövs i ett ärende.125 Det är dock inte lika tydligt att myndigheterna kom- mer att ha det stöd som krävs för att behandla känsliga personuppgif- ter i annat fall, nämligen i faktisk verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden. Enligt 3 kap. 3 § första stycket 3 dataskyddslagen får som ovan nämnts sådan annan behand- ling ske, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den regi- strerades personliga integritet. Även sådan behandling sker löpande i berörda myndigheters verksamheter. Det kan i vissa fall röra sig om ett behov av att behandla relativt stora mängder känsliga person- uppgifter, t.ex. vid hantering av inkommande handlingar som inte hör till ärenden eller vid utförande av dataanalyser och urval.

Av den allmänna motiveringen till 3 kap. 3 § första stycket 3 data- skyddslagen framkommer bl.a. att bestämmelsen har getts ett snävt tillämpningsområde för att markera att den är avsedd att användas restriktivt. Vidare framgår av motiven att kravet på att behandlingen

123Prop. 2017/18:105, Ny dataskyddslag, s. 91.

124Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194.

125Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194.

683

Känsliga personuppgifter, ...

SOU 2023:100

inte får ske om den innebär ett otillbörligt intrång i de registrerades integritet, motverkar att känsliga personuppgifter behandlas slentrian- mässigt i den löpande verksamheten utan att annat författningsstöd finns. I förarbetenas författningskommentar anges att bestämmelsen inte är avsedd att tillämpas slentrianmässigt i den löpande verksam- heten.126

Det kan göras gällande att dessa förarbetsuttalanden innebär att behandling av personuppgifter inom myndigheternas kärnverksamhet inte kan ske med stöd av 3 kap. 3 § första stycket 3 dataskyddslagen.127 Enligt vår mening bör dock inte det förhållandet att bestämmelsen inte kan tillämpas slentrianmässigt anses innebära att behandling av känsliga personuppgifter i en myndighets löpande verksamhet aldrig kan stödja sig på denna grund. Snarare bör tillämpningssvårigheter i vissa myndigheters verksamheter kunna uppkomma till följd av att bestämmelsen ska användas restriktivt samt att personuppgiftsansvar- iga myndigheter vid tillämpning av bestämmelsen, i det enskilda fallet, måste göra en bedömning av om behandlingen innebär ett otillbör- ligt intrång i den registrerades personliga integritet. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportio- nalitetsbedömning.128 Just sådana tillämpningssvårigheter kan enligt vår bedömning uppkomma om Skatteverket, Tullverket och Krono- fogdemyndigheten behöver stödja viss personuppgiftsbehandling på 3 kap. 3 § första stycket 3 dataskyddslagen. Detta mot bakgrund av den omfattande och löpande behandling av känsliga personuppgifter i faktisk verksamhet som myndigheterna har ett behov av att kunna utföra.129 Det kan därför ifrågasättas om berörda myndigheter vid varje tillfälle kommer att ha det stöd som krävs för sådan behandling i den löpande verksamheten. I förarbetena till bestämmelsen anges vidare att den inte kan läggas till grund för att skapa integritets- känsliga sammanställningar av känsliga personuppgifter.130 Sådana sammanställningar kommer dock i särskilda fall kunna aktualiseras, bl.a. till följd av de möjligheter till att göra dataanalyser och urval som myndigheterna får genom våra förslag.

126Prop. 2017/18:105, Ny dataskyddslag, s. 88–89 och 194.

127 Jfr Ds 2023:10, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 69 och Ds 2023:13, En registerlag för Inspektionen för socialförsäkringen, s. 67–68 samt SOU 2023:21, Informationsförsörjning på skolområdet – Skolverkets ansvar, s. 262.

128Prop. 2017/18:105, Ny dataskyddslag, s. 194.

129Se avsnitt 10.5 avseende myndigheternas olika behov av att kunna behandla känsliga person- uppgifter i bl.a. faktisk verksamhet.

130Prop. 2017/18:105, Ny dataskyddslag, s. 195.

684

SOU 2023:100

Känsliga personuppgifter, ...

Vi gör sammantaget bedömningen att dataskyddslagens bestäm- melser om behandling av känsliga personuppgifter för ett viktigt all- mänt intresse inte säkerställer att myndigheterna i tillräcklig utsträck- ning har det rättsliga stöd som krävs för nödvändig behandling i den löpande faktiska verksamheten.

Enligt förarbetena till dataskyddslagen kan dock de krav på lämp- liga och särskilda åtgärder som ställs i artikel 9.2 g i dataskyddsförord- ningen vara uppfyllda även genom andra bestämmelser än de som finns i 3 kap. 3 § dataskyddslagen. Av samma förarbeten framgår att behandling av känsliga personuppgifter alltså kan ske med stöd av artikel 9.2 g även i andra fall, under förutsättning att lämpliga och särskilda åtgärder fastställts.131 Vi har ovan bedömt att det kommer att finnas lämpliga och särskilda skyddsåtgärder som ska tillämpas vid myndigheternas behandling av personuppgifter, bl.a. genom de föreslagna sökförbuden nedan (se avsnitt 10.9). Även övriga krav i artikel 9.2 g bedöms vara uppfyllda. Trots att det inte står helt klart att 3 kap. 3 § första stycket 3 kommer att kunna ge det stöd som krävs för myndigheternas behandling av känsliga personuppgifter i faktisk verksamhet bör myndigheterna alltså redan med stöd av artikel 9.2 g i dataskyddsförordningen kunna behandla känsliga personuppgifter i den utsträckning som är nödvändig. Regleringen i 3 kap. 3 § data- skyddslagen infördes även för att det inte kan tas för givet att det för all offentlig verksamhet redan finns lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g för att känsliga personuppgifter ska få behandlas.132 Detta talar sammantaget för att några särskilda natio- nella bestämmelser som ger berörda myndigheter rätt att behandla känsliga personuppgifter inom de föreslagna lagarnas tillämpnings- områden inte behövs. Vi har mot denna bakgrund övervägt att inte särreglera tillåtligheten av myndigheternas behandling av känsliga per- sonuppgifter. Det skulle innebära att dataskyddsförordningens och dataskyddslagens bestämmelser i stället skulle vara tillämpliga, med undantag för de sökbegränsningar som föreslås nedan (se avsnitt 10.9).

Även om Skatteverket, Tullverket och Kronofogdemyndigheten troligen kommer att kunna behandla känsliga personuppgifter i den utsträckning som är nödvändig på grundval av den allmänna data- skyddsregleringen anser vi att det för berörda myndigheter finns skäl att införa en ny särskild reglering avseende sådan behandling i de

131Prop. 2017/18:105, Ny dataskyddslag, s. 91.

132Prop. 2017/18:105, Ny dataskyddslag, s. 85.

685

Känsliga personuppgifter, ...

SOU 2023:100

föreslagna lagarna. Det skulle göra det tydligt att myndigheterna har stöd för all den behandling av känsliga personuppgifter som är nöd- vändig i myndigheternas verksamheter. Det finns dock inte skäl att genom särskilda bestämmelser ytterligare begränsa möjligheterna att behandla känsliga personuppgifter i förhållande till vad som gäller enligt den generella dataskyddsregleringen. En sådan begränsning skulle riskera att hindra Skatteverket, Tullverket och Kronofogde- myndigheten från att kunna utföra sina författningsreglerade upp- gifter på ett ändamålsenligt sätt. Det är, som redan konstaterats, mycket svårt att förutse alla de situationer då myndigheterna kan komma att ha ett legitimt behov av att behandla känsliga personuppgifter. I av- snitt 10.6 har vi redogjort för vår bedömning att de nu gällande be- stämmelserna om Skatteverkets, Tullverkets och Kronofogdemyndig- hetens behandling av känsliga personuppgifter och uppgifter om lagöverträdelser bör ses över och uppdateras. Mot bakgrund av dessa slutsatser anser vi inte heller att de begränsningar som nuvarande reglering innefattar bör föras över till de nya lagarna.

Vi anser i stället att det i de nya lagarna bör införas bestämmelser om att Skatteverket, Tullverket och Kronofogdemyndigheten får be- handla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Det rör sig om sådana specifika be- stämmelser som det är tillåtet att införa i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Sådana särskilda bestämmelser i de föreslagna lagarna innebär att regleringen kommer att gälla före bestämmelsen om behandling av känsliga personuppgifter för ett vik- tigt allmänt intresse i 3 kap. 3 § första stycket dataskyddslagen.133 De ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförord- ningen.134

Som tidigare nämnts utför berörda myndigheter omfattande per- sonuppgiftsbehandling som rör en stor del av Sveriges befolkning. Det svårt att överblicka och på något mer precist sätt beskriva all den behandling av känsliga personuppgifter som myndigheterna behöver kunna utföra till följd av sina författningsreglerade uppgifter. Det förhållandet att myndigheternas författningsreglerade uppgifter för- ändras över tid, vilket även kan ske snabbt, ställer krav på att regler- ingen av myndigheternas personuppgiftsbehandling är tillräckligt flexibel samtidigt som den personliga integriteten värnas. En tillåtande

133Se 1 kap. 6 § dataskyddslagen.

134Jfr prop. 2017/18:105, Ny dataskyddslag, s. 91.

686

SOU 2023:100

Känsliga personuppgifter, ...

reglering som den nu föreslagna skulle enligt vår mening uppfylla dessa krav. Vidare ger det myndigheterna förutsättningar att utföra sina respektive uppdrag utan att rättslig osäkerhet begränsar det arbete som måste utföras. Det bidrar också till en ökad transparens i förhål- lande till bl.a. de registrerade och tillsynsmyndigheten. Syftet med en sådan bestämmelse skulle vidare vara att det så långt som möjligt ska stå klart för myndigheterna att det finns lagstöd för den behand- ling av känsliga personuppgifter som behöver utföras inom respek- tive verksamhet. Detta är även av vikt då myndigheternas person- uppgiftsbehandling i vissa fall innebär betydande intrång i enskildas personliga integritet. När det gäller behandling som innebär betydande intrång i den personliga integriteten och innebär övervakning eller kartläggning av den enskildes personliga förhållanden krävs även sär- skilt lagstöd enligt 2 kap. 6 och 20 §§ RF.135

Bestämmelserna om behandling av känsliga personuppgifter bör av tydlighetsskäl hänvisa till att de avser uppgifter som anges i arti- kel 9.1 i dataskyddsförordningen. Samtliga kategorier av känsliga pers- onuppgifter kommer alltså att få behandlas inom lagarnas tillämp- ningsområden. Ett skäl till detta är att det är svårt att förutse alla de kategorier av känsliga personuppgifter som berörda myndigheter har behov av att kunna behandla, bl.a. mot bakgrund av att myndighet- erna inte kan styra över vilka uppgifter som vid varje given tidpunkt kommer in till dem. Det kan därför inte uteslutas att samtliga kate- gorier av känsliga personuppgifter är nödvändiga att behandla nu eller i framtiden. Hänvisningen till artikel 9.1 innebär vidare att bestäm- melsen avser förordningen i den vid varje tidpunkt gällande lydelsen. I likhet med regeringens bedömning i andra lagstiftningsärenden be- dömer vi att någon uttrycklig hänvisning till artikel 9.2 g inte behövs, eftersom en förutsättning för regleringen är att behandlingen är nöd- vändig för ett viktigt allmänt intresse.136

Begreppet nödvändigt innebär inte ett krav på att behandlings- åtgärden ska vara oundgänglig.137 Det behöver alltså inte vara omöj- ligt för myndigheterna att utföra sina författningsreglerade uppgif- ter om inte känsliga personuppgifter behandlas. Behandlingen måste dock alltid vara motiverad utifrån de författningsreglerade uppgif- terna och behövas för att myndigheterna ska kunna bedriva respek-

135Prop. 2017/18:105, Ny dataskyddslag, s. 90.

136Se t.ex. prop. 2018/19 :118, Reglering av mikrosimuleringsmodellen Fasit, s. 33 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 132.

137Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194.

687

Känsliga personuppgifter, ...

SOU 2023:100

tive verksamhet på ett korrekt, rättssäkert och effektivt sätt.138 Om det finns andra sätt genom vilka ändamålet med behandlingen kan uppnås, bör dessa emellertid användas i stället. Det kan t.ex. handla om att uppgifterna anonymiseras eller att andra typer av uppgifter behandlas. Skatteverkets, Tullverkets eller Kronofogdemyndighetens behandling av känsliga personuppgifter som har samband med be- stämmande av skatt eller tull, för att avgöra om någon har rätt till skuldsanering eller för att avgöra om någon ska medges skyddad folk- bokföring i enlighet med i författning fastställda bestämmelser får dock typiskt sett anses vara exempel på situationer då behandlingen av känsliga personuppgifter är nödvändig av hänsyn till ett viktigt all- mänt intresse.139 Vid myndigheternas bedömning av vad som utgör nödvändig behandling av hänsyn till ett viktigt allmänt intresse behö- ver dataskyddsförordningens grundläggande principer om bl.a. upp- giftsminimering (artikel 5.1 c) och lagringsminimering (artikel 5.1 e) alltid beaktas.

Sammanfattningsvis föreslår vi alltså att de nya lagarna ska inne- hålla en bestämmelse som anger att personuppgifter som avses i arti- kel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Myndigheterna kan även komma att tillämpa andra undantag i artikel 9.2 i EU:s dataskyddsförordning

Vi har ovan bedömt att Skatteverket, Tullverket och Kronofogde- myndigheten kan behandla känsliga personuppgifter med stöd av undantaget för ett viktigt allmänt intresse i artikel 9.2 g i EU:s data- skyddsförordning. Beroende på omständigheterna i det enskilda fallet kan dock myndigheterna komma att behöva behandla känsliga person- uppgifter även på grundval av andra direkt tillämpliga undantag som föreskrivs i dataskyddsförordningen. Det finns inte heller någonting i dataskyddsförordningen som hindrar att flera undantag som tillåter behandling av känsliga personuppgifter är tillämpliga samtidigt.

138Jfr prop. 2017/18:105, Ny dataskyddslag, s. 83.

139Jfr prop. 2017/18:105, Ny dataskyddslag, s. 83.

688

SOU 2023:100

Känsliga personuppgifter, ...

Inom myndigheternas kärnverksamheter kan det exempelvis bli aktuellt att tillämpa undantaget i artikel 9.2 f.140 Enligt den bestäm- melsen är behandling av känsliga personuppgifter tillåten om den är nödvändig för att fastställa, göra gällande eller försvara rättsliga an- språk. En tillämpning av detta undantag kan t.ex. bli aktuellt vid Skatteverkets fastställande av skatteavdrag eller vid bestämmande av hur mycket en registrerad fysisk person som är medlem i Svenska kyrkan ska betala in till Skatteverket. Undantaget kan även tänkas träffa t.ex. Tullverkets arbete med att fastställa tullar, skatter och avgifter eller Kronofogdemyndighetens uppgift att meddela utslag i enlighet med en ansökan i ett mål om betalningsföreläggande eller handräck- ning. I motsats till artikel 9.2 g ställer artikel 9.2 f inte upp några sär- skilda krav på innehållet i unionsrätten eller den nationella rätten.141

Ytterligare ett exempel är att det kan bli aktuellt för berörda myn- digheter att tillämpa undantaget i artikel 9.2 j i dataskyddsförord- ningen, framför allt vid behandling som behövs för att följa regler om arkivering. Enligt den artikeln är behandling av känsliga person- uppgifter tillåten om den är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statis- tiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I detta fall ställs alltså särskilda krav på unionsrätten eller nationell rätt för att behandling ska kunna ske med stöd av undantaget.142 Ytterligare bestämmelser om behandling med stöd av artikel 9.2 j i dataskyddsförordningen finns därför i 3 kap. 6 och 7 §§ dataskyddslagen.

140Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 61.

141Jfr prop. 2017/18:105, Ny dataskyddslag, s. 75.

142Prop. 2017/18:105, Ny dataskyddslag, s. 75.

689

Känsliga personuppgifter, ...

SOU 2023:100

En utvidgning av möjligheten att behandla känsliga personuppgifter är proportionerlig

Genom att förändra regleringen avseende behandling av känsliga personuppgifter på det sätt som vi föreslår i detta avsnitt kommer myndigheterna att ges större möjligheter att behandla känsliga person- uppgifter jämfört med i dag. En utökad möjlighet till behandling inne- bär en större risk för otillåten behandling, spridning av uppgifter och i vissa fall integritetsintrång genom kartläggning av enskildas per- sonliga förhållanden.

Det kommer genom våra förslag t.ex. inte längre göras någon skillnad på vilka regler som gäller beroende på om känsliga person- uppgifter behandlas i elektroniska handlingar eller som registrerade uppgifter i olika verksamhetssystem. Om övriga krav för behandlingen av känsliga personuppgifter är uppfyllda kommer myndigheterna alltså tillåtas föra över känsliga personuppgifter från handlingar till t.ex. ett fritextfält. Det kommer vidare inte längre finnas någon mer avgränsad reglering för behandling av uppgifter som kan anses vara gemensamt tillgängliga än vad som kommer gälla för sådan behandling som utförs av t.ex. en enskild medarbetare vid dennes lokala dator i ett ordbehandlingsprogram eller i en föredragningspromemoria. Myn- digheterna kommer också kunna behandla känsliga personuppgifter i högre utsträckning i s.k. faktisk verksamhet eftersom föreslagen reglering inte kommer vara kopplad till ärendehandläggning. Det betyder också att känsliga personuppgifter kommer att kunna be- handlas för t.ex. tillsyn, kontroll, uppföljning, planering av en verk- samhet, framställning av statistik eller testverksamhet och liknande interna behov så länge dataskyddsförordningens krav är uppfyllda.143

Det kommer inte heller att finnas någon sektorspecifik lagregler- ing som närmare avgränsar på vilket sätt eller i vilken verksamhet be- handling av känsliga personuppgifter får ske. Med andra ord kommer alla typer av känsliga personuppgifter att få behandlas av myndig- heterna, med undantag för vad som nedan anges om sökförbud, så länge det finns rättsligt stöd genom ett tillämpligt undantag för be- handlingen och förutsättningarna för sådan behandling i övrigt är uppfyllda.

143Det kan här nämnas att regeringen avseende andra myndigheters personuppgiftsbehandling tidigare har bedömt att det inte behövs någon särskild ändamålsbestämmelse för att känsliga personuppgifter ska få behandlas för tillsyn, kontroll, uppföljning eller planering av en verk- samhet, se prop. 2015/16:65, Utlänningsdatalag, s. 82.

690

SOU 2023:100

Känsliga personuppgifter, ...

De nuvarande reglerna infördes bl.a. i syfte att skydda den per- sonliga integriteten.144 Våra bedömningar kan visserligen sägas inne- bära att enskildas integritetsskydd blir mindre starkt i förhållande till vad som gäller vid berörda myndigheters behandling i dag då käns- liga personuppgifter m.m. kommer tillåtas att behandlas i fler situa- tioner. Det kommer också att ställas högre krav på den personuppgifts- ansvariga myndigheten att avgöra vad som är tillåten behandling i t.ex. faktisk verksamhet.

Våra bedömningar innebär dock inte att myndigheterna ges möj- lighet att behandla känsliga personuppgifter utan att det finns en legi- tim grund för att göra det. Mot bakgrund av att en del av dataskydds- förordningens syfte är att varken begränsa eller förbjuda det fria flödet av personuppgifter inom unionen145 anser vi att det är ändamålsenligt och i linje med EU-rätten att låta motsvarande reglering om tillåten behandling av känsliga personuppgifter få större genomslag i be- rörda myndigheters verksamheter, tillsammans med de föreslagna kompletterande bestämmelserna som ger stöd för behandlingen. Mot bakgrund av den betydelse berörda myndigheter har i att upprätt- hålla ett väl fungerande välfärdssystem som enskilda har förtroende för, anser vi att det är av stor vikt att de inte hindras i arbetet med att bidra till ett väl fungerande samhälle eller bedriva sin respektive verksamhet på ett korrekt, effektivt och rättssäkert sätt.

Vidare anser vi att våra bedömningar inte medför ett otillräckligt integritetsskydd för enskilda registrerade. Det är i grunden är en direkt tillämplig EU-förordning samt en nationell lag avsedd att komplet- tera denna på det sätt som EU-förordningen kräver som kommer att avgöra vilken behandling som är tillåten. En stor del av integritets- skyddet bör därutöver anses ligga i andra reglerade skyddsåtgärder, såsom bestämmelser om sekretess, sökbegränsningar och tillgången till uppgifter.146 I dag är även personuppgiftsansvaret samt de skyl- digheter som följer av detta tydligt reglerade i dataskyddsförordningen, och det finns bestämmelser om sanktionsavgifter som kan bli till- lämpliga vid felaktig behandling.147 Det är även vår uppfattning att en dataskyddsreglering inte bör riskera att inskränka myndigheternas möjlighet att utföra de uppdrag som bl.a. riksdag och regering har

144Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 100–104.

145Artikel 1.3 i dataskyddsförordningen.

146Jfr prop. 2017/18:105, Ny dataskyddslag, s. 88.

147Se bl.a. artikel 4.7, artikel 24 samt artikel 83 i dataskyddsförordningen. Se även bl.a. 2 kap. 2–7 §§ dataskyddslagen.

691

Känsliga personuppgifter, ...

SOU 2023:100

gett dem. Som framkommit i avsnitt 10.5 har de berörda myndig- heterna också ett enligt vår bedömning legitimt behov av att i sina verksamheter behandla känsliga personuppgifter på det sätt som är tillåtet enligt den generella dataskyddsregleringen.

Vid tidpunkten då de nu gällande lagarna om personuppgifts- behandling vid berörda myndigheter justerades med anledning av dataskyddsförordningens ikraftträdande uttalade regeringen att det i lagarna fanns särskilda bestämmelser som var ägnade att värna den enskildes personliga integritet, t.ex. en begränsning till uppgifter som lämnats i ett ärende eller är nödvändiga för handläggningen av det och regler om förbud mot att söka på känsliga personuppgifter i data- baser. Regeringen uttalade vidare att denna reglering uppfyller data- skyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, varför den ansågs möjlig att behålla.148 Vi menar att oavsett det för- hållandet att våra förslag innebär att denna begränsande reglering inte längre kommer att finnas kvar, kommer regleringen att innehålla så- dana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen. Detta genom de nya lagarnas särskilda skydds- åtgärder samt befintliga och föreslagna sekretessbestämmelser.

Redan när dataskyddsförordningen skulle börja tillämpas övervägde regeringen även alternativet att låta dataskyddslagens bestämmelser om behandling av känsliga personuppgifter gälla vid behandling en- ligt berörda myndigheters registerlagar. Enligt regeringen hade det dock inneburit en utvidgning av möjligheterna att behandla känsliga personuppgifter på ett sätt som det då inte hade framkommit ett be- hov av. Bestämmelserna i berörda lagar behölls därför.149 Vi har ovan bedömt att det inte heller nu är lämpligt att låta den generella data- skyddsregleringens bestämmelser om känsliga personuppgifter gälla vid myndigheternas behandling av känsliga personuppgifter. Som framkommit i avsnitt 10.6 anser vi dock att det i dag finns skäl att uppdatera och utvidga den nuvarande regleringen mot bakgrund av den generella dataskyddsregleringens utformning och myndigheter- nas behov.

148Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 62–63.

149Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 63.

692

SOU 2023:100

Känsliga personuppgifter, ...

Behandling av känsliga personuppgifter bör dock naturligtvis aldrig ske slentrianmässigt.150 Känsliga personuppgifter bör tvärtom behandlas restriktivt och myndigheterna behöver göra en bedömning av om kraven för sådan behandling är uppfyllda i det enskilda fallet.151 Dataskyddsförordningen ställer höga krav för sådan behandling. Det måste alltid finnas en rättslig grund för behandlingen och de grund- läggande principerna för behandling samt de särskilda krav som gäller för behandling av känsliga personuppgifter måste följas. Behandling av ovidkommande uppgifter i myndigheternas verksamheter är där- med inte tillåten. Till exempel kan Skatteverket, liksom i dag, inte be- handla uppgifter om enskildas sexuella läggning vid bestämmande av skatt. Därutöver måste myndigheterna hålla en hög skyddsnivå för sådana typer av uppgifter genom att se till att det finns tillräckliga tekniska och organisatoriska säkerhetsåtgärder på plats.152 Våra öv- riga förslag som syftar till att stärka dataskyddet innebär också att ytterligare skyddsåtgärder måste vidtas. Samtliga skyddsåtgärder kom- mer vidare att gälla all behandling, oavsett vilken typ av uppgifter det rör.

Som vi konstaterat ovan anser vi att den behandling myndighet- erna behöver utföra står i proportion till det eftersträvade syftet och att behandlingen uppfyller kraven i bl.a. artikel 9.2 g i dataskydds- förordningen. Enligt vår bedömning finns det tillräckliga skäl att inte begränsa Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av känsliga personuppgifter i förhållande till dataskydds- förordningen på det sätt som gäller i dag, trots den utvidgning som den föreslagna regleringen innebär. Mot bakgrund av vad som nu har anförts får en särskild bestämmelse som tillåter nödvändig behand- ling anses stå i proportion till det intrång i de registrerades personliga integritet sådan behandling kan medföra.

Sammantaget anser vi att den nuvarande regleringen av behand- ling av känsliga personuppgifter kan utmönstras och ersättas av den föreslagna utan att det påverkar regleringens proportionalitet.

150Jfr prop. 2000/01:80, Ny socialtjänstlag m.m., s. 144.

151Jfr SOU 2017:29, Brottsdatalag, s. 270.

152Se artiklarna 24, 25 och 32 i dataskyddsförordningen. T.ex. anges i artikel 25.1 om inbyggt dataskydd och dataskydd som standard att behandlingens art samt risker för fysiska personers rättigheter och friheter ska beaktas vid genomförandet av tekniska och organisatoriska säker- hetsåtgärder så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas.

693

Känsliga personuppgifter, ...

SOU 2023:100

10.8Behandling av personuppgifter om lagöverträdelser bör inte längre

begränsas eller på annat sätt regleras särskilt

Vår bedömning: Den behandling av personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott som Skatteverket, Tullverket och Kronofogdemyndigheten behöver ut- föra bör inte längre begränsas eller på annat sätt särregleras i de nya lagarna.

Skälen för vår bedömning

Behandlingen bör inte längre begränsas eller på annat sätt särregleras i lag eller förordning

Enligt artikel 10 i EU:s dataskyddsförordning får behandling av per- sonuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgär- der enligt artikel 6.1 endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstat- ernas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fäl- lande domar i brottmål får endast föras under kontroll av en myndig- het. Regeringen har i propositionen som föregick dataskyddslagen uttalat att den del av artikel 10 som rör behandling av uppgifter under kontroll av en myndighet är direkt tillämplig och i vart fall bör inne- bära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet.153 Innebörden av artikel 10 har förtydligats i svensk rätt genom bestämmelsen i 3 kap. 8 § dataskyddslagen i vilken det anges att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndig- heter.

Behandling av uppgifter om lagöverträdelser kan anses vara sär- skilt riskfylld och är därför särskilt reglerad i dataskyddsförordningen, om än inte på ett lika begränsande sätt för myndigheter som t.ex. regleringen avseende känsliga personuppgifter i artikel 9. Särskild reglering avseende behandling av uppgifter om lagöverträdelser finns

153Prop. 2017/18:105, Ny dataskyddslag, s. 99.

694

SOU 2023:100

Känsliga personuppgifter, ...

även ofta i registerförfattningar för myndigheter. I Skatteverkets, Tullverkets och Kronofogdemyndighetens nuvarande registerlagar154 har regleringen av behandling av uppgifter om lagöverträdelser en vidare innebörd än i artikel 10 i dataskyddsförordningen.155 I de lag- arna regleras som ovan nämnts behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffproces- suella tvångsmedel eller administrativa frihetsberövanden. Så såg även regleringen ut i den numera upphävda 21 § PUL, som hade sin grund i 1995 års dataskyddsdirektiv. De nuvarande bestämmelserna om be- handling av personuppgifter om lagöverträdelser i berörda myndig- heters sektorspecifika registerförfattningar utgör alltså en begräns- ning av den generella dataskyddsregleringen i dataskyddsförordningen och dataskyddslagen.

De närmare behov av att behandla personuppgifter om lagöver- trädelser som Skatteverket, Tullverket och Kronofogdemyndigheten har framgår i avsnitt 10.5. De utgör dock inte en så stor del av den sammanlagda behandlingen av personuppgifter som någon av de be- rörda myndigheterna utför. Behoven ser vidare olika ut beroende på i vilken verksamhet sådan behandling sker. Gemensamt är dock att det inte är möjligt att förutse eller i författning avgränsa all den be- handling som myndigheterna behöver kunna göra för skilda ändamål som ett led i utförandet av respektive myndighets författningsregle- rade uppdrag. Myndigheterna kan exempelvis inte styra vilka upp- gifter som enskilda inkommer med i elektroniska handlingar men som till följd av den allmänna förvaltningsrättsliga samt verksamhets- specifika regleringen behöver behandlas i myndigheternas verksam- heter. Att Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgifter om lagöverträdelser följer redan av data- skyddsförordningen och dataskyddslagen. Några sektorspecifika be- stämmelser avseende myndigheters behandling av personuppgifter om lagöverträdelser krävs alltså inte med anledning av artikel 10 i dataskyddsförordningen eller 3 kap. 8 § dataskyddslagen för att så- dan behandling ska vara tillåten. På motsvarande sätt krävs inte heller några bestämmelser som begränsar sådan behandling.156 Vi bedömer att den generella regleringen i sig är tillräcklig för att myndigheterna ska tillåtas utföra den behandling som är nödvändig.

154Se 1 kap. 7 § SdbL, 1 kap. 6 § FdbL, 1 kap. 7 § TDL och 1 kap. 6 § KFMdbL.

155Jfr prop. 2017/18:105, Ny dataskyddslag, s. 98.

156Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 66.

695

Känsliga personuppgifter, ...

SOU 2023:100

Frågan är då om det trots allt finns skäl att i de föreslagna lagarna ytterligare begränsa Skatteverkets, Tullverkets och Kronofogde- myndighetens möjligheter till sådan behandling eller i övrigt för- tydliga tillåtligheten av här avsedd behandling.

I förarbetena till de nuvarande registerförfattningarna nämns be- handling av uppgifter om lagöverträdelser endast som behandling av känsliga personuppgifter m.m.157 Motiven innehåller inte tydliga skäl till varför sådana uppgifter ansågs behöva begränsas även i förhållande till dataskyddsdirektivet och personuppgiftslagen som då gällde. De skäl som anförs för den nuvarande regleringen synes i stället vara de samma avseende känsliga personuppgifter och uppgifter om lagöver- trädelser, dvs. av integritetsskäl, trots att det för de senare katego- rierna av uppgifter inte heller då fanns några särskilda krav för att myndigheter skulle få behandla sådana uppgifter.158 I samband med att dataskyddsförordningen skulle börja tillämpas uttalade reger- ingen att de nuvarande begränsningarna i dessa registerförfattningar infördes i syfte att skydda den personliga integriteten och att det inte fanns några skäl att upphäva de då gällande bestämmelserna med an- ledning av dataskyddsförordningens införande. Bestämmelserna kvar- stod därmed med vissa redaktionella ändringar.159 Dataskyddsförord- ningen hindrar alltså i och för sig inte nationell lagstiftning som begränsar myndigheters behandling av uppgifter om lagöverträdelser.

Vi är dock av uppfattningen att den nationella regleringen i aktu- ellt hänseende bör utgå från dataskyddsförordningens bestämmelser då det utgör en för Sverige bindande och direkt tillämplig EU-för- ordning. För det fall begränsningar av något skäl kan anses behövas, är det dessa som enligt vår mening bör kräva motivering. En motsatt utgångspunkt skulle riskera att hindra det fria flödet av personuppgif- ter inom EU160, bl.a. genom att försvåra det samarbete Skatteverket, Tullverket och Kronofogdemyndigheten har, och i vissa fall är skyl- diga att ha, med andra svenska myndigheter eller motsvarande myn- digheter i andra medlemsstater inom EU. I bl.a. skäl 9 till data- skyddsförordningen anges att skillnader i nivån på skyddet av fysiska personer rättigheter och friheter, särskilt rätten till skydd för per- sonuppgifter, vid behandling av personuppgifter i olika medlems-

157Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 100–104.

158Se artikel 8 i dataskyddsdirektivet samt 21 § PUL.

159Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 66.

160Se artikel 1.1 i dataskyddsförordningen.

696

SOU 2023:100

Känsliga personuppgifter, ...

stater kan förhindra det fria flödet av personuppgifter över hela unionen. Vidare anges att dessa skillnader därför bl.a. kan hindra myndigheterna att fullgöra skyldigheter inom unionsrätten.

Vi anser att de behov av behandling av personuppgifter om lag- överträdelser som vi redogjort för i avsnitt 10.5 talar för att det inte bör införas några ytterligare begränsningar i förhållande till data- skyddsförordningen i de föreslagna lagarna. Behandlingen krävs för att myndigheterna på ett korrekt, effektivt och ändamålsenligt sätt ska kunna utföra sina uppdrag som tilldelats dem genom lag eller förord- ning efter beslut av riksdagen eller regeringen, eller genom unions- rättslig reglering. Begränsningar av möjligheten att behandla uppgif- ter om lagöverträdelser skulle i vissa fall riskera att utgöra hinder mot sådan behandling som krävs enligt andra författningar. Vidare talar varken arten eller omfattningen av den aktuella personuppgifts- behandlingen vid någon av de berörda myndigheterna för att särskilda begränsningar av integritetsskäl bör införas. Det kommer även att säkerställas ett starkt skydd för sådana uppgifter genom den allmänna dataskyddsregleringen, de föreslagna lagarna samt befintlig och före- slagen sekretessreglering. I de fall myndigheterna har ett behov av att för egen del samla in och behandla personuppgifter om lagöver- trädelser, till skillnad från när sådana uppgifter inkommer till myn- digheterna från t.ex. enskilda, är det som ovan beskrivits hänförligt till myndigheternas respektive uppdrag där sådana typer av uppgifter i vissa fall behövs. Det står då redan klart för vilka ändamål och på vilket sätt sådana uppgifter får behandlas. I övriga fall är det inte möj- ligt för myndigheterna att formulera något ändamål för vilket upp- gifterna får behandlas. De grundläggande krav på behandlingen som anges i de nya lagarna är därmed tillräckliga begränsningar för myn- digheternas möjlighet att behandla uppgifter om lagöverträdelser.161

Vi anser sammantaget att det inte längre finns tillräckliga skäl för att begränsa eller på annat sätt särreglera berörda myndigheters be- handling av personuppgifter om lagöverträdelser. Därmed behöver det inte längre finnas sektorspecifik reglering i dessa avseenden.

161Jfr det resonemang som fördes avseende förslaget att inte införa en generell begränsning av myndigheters möjligheter till behandling av uppgifter om lagöverträdelser m.m. i förhållande till den generella dataskyddsregleringen i SOU 2015:39, Myndighetsdatalag, s. 312–313.

697

Känsliga personuppgifter, ...

SOU 2023:100

Särskilt om vissa administrativa sanktioner

Skatteverket, Tullverket och Kronofogdemyndigheten behandlar samtliga information som innehåller uppgifter om olika former av s.k. administrativa sanktioner som påminner om straffrättsliga på- följder. Exempelvis behandlar Skatteverket uppgifter om skattetillägg, Tullverket uppgifter om tulltillägg och Kronofogdemyndigheten upp- gifter om näringsförbud. Sådana uppgifter kan ofta kopplas till en viss identifierbar fysisk person.162 En fråga som har uppkommit är hur vår bedömning avseende att det inte krävs någon särskild regler- ing utöver den generella dataskyddsregleringen när det gäller upp- gifter om lagöverträdelser, förhåller sig till myndigheternas behand- ling av uppgifter om administrativa sanktioner som påminner om eller som i vissa fall kan anses utgöra en straffrättslig påföljd.

Viss ledning för frågan om artikel 10 i dataskyddsförordningen alls omfattar information som innehåller personuppgifter som rör administrativa sanktioner finns i praxis från EU-domstolen. I en dom har EU-domstolen uttalat att lagöverträdelser som innefattar brott i artikel 10 uteslutande avser just brott. Det framgår enligt EU- domstolen bl.a. av förberedelsearbetet inför antagandet av dataskydds- förordningen då Europaparlamentets förslag att låta begreppet administrativa sanktioner uttryckligen ingå i bestämmelsen inte an- togs. Mot denna bakgrund har EU-domstolen ansett att unions- lagstiftaren, genom att avsiktligt avstå från att ta med adjektivet administrativ i artikel 10 i dataskyddsförordningen, avsåg att låta det utökade skydd som föreskrivs i denna bestämmelse vara begränsat till det straffrättsliga området. Ordalydelsen ska dock i regel ges en självständig och enhetlig tolkning inom hela EU.163

Utöver detta har regeringen i propositionen Utbetalningsmyndig- heten bedömt att en hänvisning till artikel 10 i en bestämmelse om sökförbud som utgår från syftet med en sökning inte begränsar myn- dighetens möjligheter att behandla uppgifter om administrativa sank- tioner som kan anses utgöra en straffrättslig påföljd, t.ex. skatte- tillägg.164

162Jfr artikel 4.1 i dataskyddsförordningen.

163EU-domstolens dom den 22 juni 2021 i mål C-439/19, B mot Latvijas Republikas Saeima, punkterna 77–78 och 81.

164Prop. 2022/23:34, Utbetalningsmyndigheten, s. 134. Jfr även prop. 2017/18:105, Ny data- skyddslag, s. 98–99.

698

SOU 2023:100

Känsliga personuppgifter, ...

Det ovan anförda tyder enligt vår mening på att det nuvarande rättsläget är sådant att artikel 10 i dataskyddsförordningen ska tolkas så att bestämmelsen inte anses omfatta information som innefattar personuppgifter som rör administrativa sanktioner. Mot denna bak- grund gör vi bedömningen att en avsaknad av sektorspecifik regler- ing avseende tillåten behandling av personuppgifter som rör lagöver- trädelser inte kommer att begränsa Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att behandla uppgifter om så- dana administrativa sanktioner.

Inte heller i det fall rättsläget skulle tolkas på ett annat sätt, eller att ytterligare tydliggörande praxis i frågan kommer från EU-dom- stolen, anser vi att det kommer att finnas några hinder mot att myn- digheterna får behandla sådana uppgifter. Detta mot bakgrund av att artikel 10 i dataskyddsförordningen samt 3 kap. 8 § dataskyddslagen innebär att det under alla förhållanden är tillåtet för myndigheter att behandla personuppgifter som avses i artikel 10 i dataskyddsförord- ningen.

En utvidgning av möjligheten att behandla uppgifter om lagöverträdelser är proportionerlig

Vår bedömning innebär en utvidgning av berörda myndigheters möj- ligheter att behandla uppgifter om lagöverträdelser i förhållande till vad som gäller i dag. Det kommer bl.a. inte göras någon skillnad på om sådana uppgifter behandlas i elektroniska handlingar eller som registrerade uppgifter i olika verksamhetssystem. De ändringar som skedde i den EU-rättsliga generella dataskyddsregleringen i fråga om vilka uppgifter artikel 10 i dataskyddsförordningen omfattar kom- mer även få genomslag på berörda myndigheters behandling. All behandling som omfattas av artikel 10 i dataskyddsförordningen och 3 kap. 8 § dataskyddslagen kommer alltså att vara tillåten så länge övriga krav för behandling av personuppgifter är uppfyllda, oavsett på vilket sätt de behandlas och oavsett om uppgifterna förekommer i ett ärende eller inte. Myndigheterna kommer också i högre ut- sträckning att få behandla uppgifter om lagöverträdelser i s.k. faktisk verksamhet. I likhet med vad som anförts i avsnitt 10.7 om känsliga personuppgifter kommer uppgifter om lagöverträdelser därmed även att kunna behandlas för t.ex. tillsyn, kontroll, uppföljning, planering av en verksamhet, framställning av statistik eller testverksamhet och

699

Känsliga personuppgifter, ...

SOU 2023:100

andra liknande interna behov så länge förutsättningarna för detta enligt t.ex. artiklarna 5 och 6 i dataskyddsförordningen är uppfyllda. Detsamma gäller myndigheternas möjligheter att behandla sådana uppgifter när urval görs av bl.a. ärenden för ytterligare kontroll.

Som nämnts ovan infördes den nuvarande regleringen bl.a. i syfte att skydda den personliga integriteten.165 En utökad möjlighet till behandling innebär en större risk för otillåten behandling, spridning av uppgifter och i vissa fall integritetsintrång genom kartläggning av enskildas personliga förhållanden. Våra bedömningar innebär dock inte att myndigheterna ges möjlighet att behandla uppgifter om lag- överträdelser utan att det finns en legitim grund för att göra det. Det har framkommit att berörda myndigheter i flera fall har ett utökat behov av att kunna utföra behandling av uppgifter om lagöverträdel- ser i förhållande till den nuvarande regleringen. Det beror bl.a. på att myndigheterna sedan lagarnas tillkomst har tilldelats nya uppdrag och skyldigheter som medför detta utökade behov. Möjligheterna att behandla personuppgifter om lagöverträdelser kommer dock att vara begränsade till situationer vad myndigheternas respektive uppdrag kräver. Mot bakgrund av de uppdrag som Skatteverket, Tullverket och Kronofogdemyndigheten har i de delar som omfattas av denna över- syn kommer det inte att röra sig om omfattande behandling.

Vi anser att den behandling myndigheterna ges möjlighet att ut- föra genom våra bedömningar är proportionerlig. Det är angeläget att myndigheterna kan utföra sina uppdrag på ett korrekt, effektivt och rättssäkert sätt. Behandlingen är nödvändig för att myndigheterna ska kunna utföra sina författningsreglerade uppdrag, vilka är uppgifter som utgör allmänintresse. Om de nuvarande bestämmelserna behålls kommer det fortsatt försvåra tillämpningen och innebära att myn- digheterna behöver lägga resurser på att bedöma om en viss uppgift t.ex. kan anses finnas i en elektronisk handling eller inte. En sådan reglering är inte heller teknikneutral eller flexibel. Det kan även på ett obefogat sätt hindra myndigheterna från att utföra vissa befintliga eller nya arbetsuppgifter som de tilldelas genom t.ex. uppdrag från regeringen eller i syfte att lämna information till andra myndigheter i enlighet med lag eller förordning. Behandlingen kommer vidare att omgärdas av flera säkerhetsåtgärder i de sektorspecifika föreslagna lagarna, dataskyddslagen samt dataskyddsförordningen. Därtill finns tillämpliga sekretessregler. Vi anser att sådana åtgärder säkerställer

165Se prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 100–104.

700

SOU 2023:100

Känsliga personuppgifter, ...

ett fullgott integritetsskydd. Något skäl att av den anledningen för- bjuda behandling som annars hade varit tillåten enligt den generella dataskyddsregleringen finns därför inte. Artikel 10 i dataskydds- förordningen kräver därtill ingen ytterligare nationell reglering av myndigheters behandling av uppgifter om lagöverträdelser.

Mot denna bakgrund och med beaktande av myndigheternas behov anser vi att det i förhållande till den personliga integriteten är pro- portionerligt och motiverat att låta den generella dataskyddsregler- ingen gälla för Skatteverkets, Tullverkets och Kronofogdemyndig- hetens behandling av uppgifter om lagöverträdelser. Med andra ord bedömer vi att den nuvarande regleringen av behandling av uppgifter om lagöverträdelser kan utmönstras utan att det påverkar behand- lingens proportionalitet.

10.9Sökbegränsningar som särskilda skydds- och säkerhetsåtgärder

10.9.1Vissa sökbegränsningar ska regleras i de nya lagarna

Vårt förslag: Det ska som huvudregel vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på käns- liga personuppgifter.

Förbudet ska dock inte omfatta sökningar som sker i syfte att få fram ett urval av personer grundat på vissa kategorier av käns- liga personuppgifter, om sökningen är nödvändig för att myndig- heterna ska kunna utföra en uppgift i verksamhet som omfattas av respektive föreslagen lag. Vilka sökningar som ska undantas från sökförbudet ska anpassas efter respektive myndighets behov.

Förbudet ska inte heller omfatta sökningar i en viss handling eller i ett visst ärende.

701

Känsliga personuppgifter, ...

SOU 2023:100

Skälen för vårt förslag

Det ska fortsatt finnas särskilda sökbegränsningar…

Sökning är en form av behandling i dataskyddsförordningens mening i de fall en sökning innefattar personuppgifter.166 Sökningar som av- slöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och ett sökförbud kan vara ett viktigt och ändamålsenligt sätt att begränsa dessa risker.167 En vanligt förekommande skyddsåtgärd i registerförfattningar är sökbegräns- ningar. Sådana bestämmelser finns i dag även i Skatteverkets, Tull- verkets och Kronofogdemyndighetens registerförfattningar. Genom bestämmelser som föreskriver vissa sökförbud har lagstiftaren ”på förhand” klargjort att vissa sammanställningar inte ska få ske hos myndigheten.168

Dataskyddsförordningen innehåller inte något krav på att det i nationell rätt ska föreskrivas förbud mot att använda känsliga person- uppgifter eller uppgifter om lagöverträdelser vid sökning. Om be- handlingen grundar sig på artikel 9.2 g, dvs. den är nödvändig av hän- syn till ett viktigt allmänt intresse, krävs dock att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Det finns inte heller någon begränsning i dataskyddsförordningen av vilka typer eller former av sökbegränsningar som kan införas i nationell rätt.169 Ett sökförbud kan utgöra en verkningsfull åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som föreskrivs i artikel 9.2 g i dataskyddsförordningen.170 Bestämmelser om sökbegränsningar fyller därmed en viktig funktion genom att de bidrar till att säkerställa att myndigheterna ges möjlig- het att tillämpa undantaget i artikel 9.2 g i dataskyddsförordningen. Vidare gäller dataskyddslagens sökförbud endast vid behandling som sker med stöd av 3 kap. 3 § första stycket samma lag (se 3 kap. 3 § andra stycket dataskyddslagen).

De nu gällande bestämmelserna om sökbegrepp i Skatteverkets, Tullverkets och Kronofogdemyndighetens registerlagar har av reger- ingen bedömts uppfylla dataskyddsförordningens krav på lämpliga

166Artikel 4.2 i dataskyddsförordningen.

167Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 48.

168SOU 2015:39, Myndighetsdatalag, s. 211.

169Prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 37.

170Jfr prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 48.

702

SOU 2023:100

Känsliga personuppgifter, ...

och särskilda åtgärder.171 Dessa tre myndigheter har omfattande verk- samheter och inom ramen för dessa behandlas känsliga person- uppgifter och uppgifter om lagöverträdelser, även om dessa upp- gifter inte utgör en stor andel av den totala behandlingen. Behovet av att använda sådana typer av personuppgifter vid sökningar bör mot denna bakgrund kunna anses vara relativt begränsat och endast hän- föra sig till situationer då detta är relevanta omständigheter vid full- görande av en arbetsuppgift. Så kan exempelvis vara fallet för att söka efter tidigare beslut, identifiera öppna ärenden som innehåller lik- nande frågeställningar så att handläggningen kan samordnas eller an- vända sökningar för att kartlägga, strukturera och analysera ärende- strukturen vid myndigheterna.172

Sökning på känsliga personuppgifter kan möjliggöra t.ex. kart- läggning av personer på grundval av deras etnicitet, politiska stånd- punkt eller religiösa uppfattning.173 Att begränsa hur känsliga person- uppgifter får behandlas, t.ex. i fråga om sökningar efter uppgifter, bedöms mot denna bakgrund sammantaget kunna få en stor effekt för Skatteverkets, Tullverkets och Kronofogdemyndighetens verk- samheter och stärker skyddet för enskildas personliga integritet. Vi anser därför att det även fortsättningsvis bör finnas regleringar i lag som innehåller särskilda bestämmelser om sökbegränsningar i Skatte- verkets, Tullverkets och Kronofogdemyndighetens verksamheter. Det ska därför införas bestämmelser med sådan innebörd i de före- slagna lagarna. Sådana bestämmelser är skyddsåtgärder, som är tillåtna att införa i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskydds- förordning.

…men den nuvarande regleringen om sökbegrepp bör uppdateras

Skatteverket, Tullverket och Kronofogdemyndigheten har pekat på att det finns skäl att se över utformningen av den nuvarande regler- ingen om sökbegrepp.174 Det kan konstateras att de sökbegräns- ningar som finns i dag gäller generellt sett endast vid sökningar efter

171Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 62–63. Se även Ds 2017:41, En omarbetad domstolsdatalag – Anpassning till EU:s dataskyddsförordning, s. 210, där det anförs att sökbegränsningar utgör en skydds- åtgärd i dataskyddsförordningens mening.

172Jfr prop. 2014/15:148, Domstolsdatalag, s. 59–60.

173Prop. 2017/18:105, Ny dataskyddslag, s. 90 och prop. 2017/18:232, Brottsdatalag, s. 155.

174Se avsnitt 10.5.

703

Känsliga personuppgifter, ...

SOU 2023:100

handlingar i databaserna.175 Så är dock inte enbart fallet i folkbokför- ingsdatabaslagen, vilken också innehåller bestämmelser om sök- begrepp vid annan sökning i databasen än efter handlingar.176 Vidare innehåller kronofogdedatabaslagen en särskild begränsningsregel av- seende sökningar i betalningsföreläggande- och handräckningsdata- basen.177 Bestämmelserna reglerar i övrigt inte vilka sökbegrepp som får användas utanför en databas eller vid sökning efter t.ex. registre- rade enskilda uppgifter. För sådana sökningar finns i dag inga särskilda begränsningar. Det bör dock ses i ljuset av att myndigheterna inte heller får registrera känsliga personuppgifter eller uppgifter om lag- överträdelser i de informationsbaserade delarna av databaserna annat än då det särskilt anges. Få sådana bestämmelser finns i dag.

De nu gällande bestämmelserna om sökbegrepp har det gemen- samt att de går längre än vad som krävs enligt dataskyddsförordningen och vad som anges i dataskyddslagen. Så är också fallet i förhållande till viss nyare reglering på området avseende andra myndighetsspeci- fika författningar om personuppgiftsbehandling.178 Den generella data- skyddsregleringen gör heller inte skillnad på om sökningar görs för att hitta handlingar eller uppgifter som registrerats direkt i t.ex. ett fritextfält då samtliga sökningar faller under dataskyddsförordningens definition av behandling.179

Vidare kan bestämmelsernas nuvarande ordalydelser, vilka utgår från sökbegrepp, bidra till tolkningssvårigheter i vissa situationer. En striktare ordalydelsetolkning kan leda till att det är förbjudet att använda vissa begrepp som, utöver att vara en känslig personuppgift, även kan utgöra benämningen på något som inte bör vara förbjudet att använda som sökbegrepp. Det kan t.ex. leda till att orden islam eller kristen, vilka avslöjar religiös övertygelse samtidigt som det är personnamn, inte får användas som sökbegrepp. Ett annat exempel är att sökning på ett visst läkemedel för att kontrollera uppgifter i tulldeklarationer kan avslöja uppgifter om deklarantens hälsa.180

175Se 2 kap. 10 § SdbL, 2 kap. 11 § FdbL, 2 kap. 29 § KFMdbL och 2 kap. 9 § TDL samt prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 102–103.

176Se 2 kap. 10 § FdbL samt prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 208.

177Se 2 kap. 29 § andra stycket KFMdbL.

178Se avsnitt 10.4.

179Se artikel 4.2 i dataskyddsförordningen avseende definitionen av behandling.

180Jfr prop. 2017/18:232, Brottsdatalag, s. 155 och SOU 2017:29, Brottsdatalag, s. 272–273.

704

SOU 2023:100

Känsliga personuppgifter, ...

Bland annat mot denna bakgrund utgår vissa nyare bestämmelser om sökbegränsningar i stället från syftet med en viss sökning.181

Det kan även i vissa fall vara befogat att myndigheter använder känsliga personuppgifter eller uppgifter om lagöverträdelser vid sök- ningar som ett led i utförandet av sina uppgifter. Därför finns sådana möjligheter för t.ex. domstolarna, Kriminalvården och Migrations- verket.182 Även Skatteverket, Tullverket och Kronofogdemyndigheten har vissa sådana behov. Berörda myndigheter har även redogjort för de tillämpningsproblem som nuvarande bestämmelser kan ge upp- hov till (se avsnitt 10.5). Bland annat har Tullverket uppgett att be- stämmelsen om sökbegrepp hindrar analyser och uppföljning av verk- samheten samt föranleder onödiga juridiska bedömningar i situationer där inga eller begränsade integritetsintressen gör sig gällande.

För att åstadkomma en mer enhetlig, modern och ändamålsenlig reglering anser vi att det finns skäl att se över och uppdatera den nu- varande regleringen. Att vi föreslår nya bestämmelser avseende myn- digheternas behandling av känsliga personuppgifter är ytterligare ett skäl att se över och anpassa regleringen till våra övriga förslag. Det- samma gäller i fråga om vår bedömning att någon särskild reglering avseende behandling av personuppgifter om lagöverträdelser inte längre behövs.

Nya sökförbud för känsliga personuppgifter med vissa undantag hänförliga till myndigheternas behov

Vi anser att det ska införas bestämmelser om sökförbud för känsliga personuppgifter även i de nya föreslagna lagarna avseende Skatte- verket, Tullverket och Kronofogdemyndigheten. Bestämmelserna bör dock moderniseras och uppdateras i förhållande till den reglering som gäller enligt registerlagarna i dag.

Sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen gäller som ovan nämnts enbart vid behandling av känsliga personuppgifter som sker med stöd av bestämmelsens första stycke. Bestämmelsen i 3 kap. 3 § är avsedd att gälla för offentlig verksamhet där sektorspecifik regler- ing avseende behandling av känsliga personuppgifter saknas.183 Som

181Se t.ex. 3 kap. 3 § andra stycket dataskyddslagen, 2 kap. 14 § brottsdatalagen och 6 § kriminal- vårdsdatalagen.

18215 § domstolsdatalagen, 6 § andra stycket kriminalvårdsdatalagen och 17 § andra stycket utlänningsdatalagen.

183Prop. 2017/18:105, Ny dataskyddslag, s. 91.

705

Känsliga personuppgifter, ...

SOU 2023:100

framgår av avsnitt 10.7 gör vi bedömningen att det bör införas sär- skilda bestämmelser i lag som ger myndigheterna stöd för behandling av känsliga personuppgifter för viktiga allmänintressen. De nya be- stämmelserna om sökbegränsningar för Skatteverket, Tullverket och Kronofogdemyndigheten bör enligt vår mening ges en mer generell utformning till skillnad från det sökförbud som regleras i dataskydds- lagen. Dataskyddslagens sökförbud är vidare inte anpassat till berörda myndigheters behov av att kunna utföra vissa sökningar. Att det är möjligt att införa sektorspecifika sökförbud som går längre eller som är mer tillåtande än dataskyddslagens sökförbud, framgår av motiven till dataskyddslagen.184

I nyare lagstiftningsärenden på dataskyddsområdet har det införts eller föreslagits bestämmelser om sökförbud som utgår från syftet med en sökning.185 Vi anser att motsvarande bestämmelser bör in- föras även i de föreslagna lagarna. En sådan typ av sökbegränsning innebär att det som utgångspunkt är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga person- uppgifter. Om syftet med sökningen inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen.186 Genom en sådan bestämmelse är det dock som huvudregel inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av uppgif- ter om t.ex. etnicitet.187 En sådan utformning innebär alltså inte större möjligheter att använda känsliga personuppgifter som sökbegrepp vid sådana sökningar som de tidigare sökförbuden varit avsedda att hindra, såsom kartläggning av personer på grundval av känsliga personuppgif- ter.188 Den underlättar dock för myndigheterna att kunna behandla personuppgifter på ett för verksamheterna ändamålsenligt sätt.

En sökbegränsning som utgår från syftet med en sökning omfattar alla tekniska åtgärder som innebär att uppgifter används för att struk- turera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.189 Det innebär bl.a. att sökförbudet kan träffa sökningar som myndigheterna gör vid utför-

184Se prop. 2017/18:105, Ny dataskyddslag, s. 91.

185Se t.ex. 3 kap. 3 § dataskyddslagen, 2 kap. 14 § brottsdatalagen och 17 § utlänningsdatalagen samt 1 kap. 10 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten.

186Jfr prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 178.

187Se t.ex. prop. 2017/18:105, Ny dataskyddslag, s. 91.

188Jfr prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 38.

189Jfr prop. 2017/18:105, Ny dataskyddslag, s. 195.

706

SOU 2023:100

Känsliga personuppgifter, ...

andet av dataanalyser och urval för att få fram urvalsträffar. Myndig- heterna kan då inte använda känsliga personuppgifter som urvals- grund, genom t.ex. tillämpning av en riskindikator som baseras på sådana uppgifter, vid framtagandet av urvalsträffar eftersom det kan innebära att sökningar utförs för att få fram ett urval av personer grundat på känsliga personuppgifter. En sådan möjlighet kan visser- ligen effektivisera myndigheternas arbete med dataanalyser och urval ytterligare. Det finns dock även en risk att sådan behandling inte skulle kunna anses stå i proportion till integritetsintrånget det kan medföra.

Avseende de berörda myndigheterna finns det enligt vår bedöm- ning i vissa fall befogad anledning att göra sådana sökningar mot bak- grund av befintlig materiell verksamhetsreglering. Exempelvis kan Skatteverket behöva ta fram ett urval av personer som har begärt av- drag för resor med egen bil på grund av sjukdom för att välja ut ären- den som ska kontrolleras ytterligare. I ett sådant fall kan Skatte- verket behöva kunna göra sökningar baserade på vissa uppgifter om hälsa. Liknande behov av att kunna utföra vissa sådana typer av sök- ningar finns även för Tullverket och Kronofogdemyndigheten. Det bör därför av bl.a. detta skäl finnas vissa undantag från bestämmelsen om sökförbud, vilka föreslås i avsnitt 10.9.2.

Det ska vidare förtydligas att bestämmelser om sökbegränsningar som utgår från syftet med en sökning inte hindrar sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för register- vård.190 Vad begreppet tillsyn avser i detta sammanhang har inte defini- erats i lag eller i förarbetena till annan lagstiftning där detta slagits fast. Vi anser att med tillsyn i detta sammanhang bör avses myndig- heternas interna tillsyn över den löpande verksamheten, i motsats till annan extern tillsyn.191 Det innebär enligt vår mening att myndig- heterna trots de föreslagna sökförbuden kommer att kunna göra sök- ningar för att t.ex. se till att verksamheterna bedrivs som de ska eller att en framtagen och tillämpad urvalsmodell inte ger ett resultat som indirekt grundar sig på känsliga personuppgifter på ett sätt som inte

190Jfr prop. 2017/18:105, Ny dataskyddslag, s. 195 och prop. 2017/18:254, Anpassning av ut- länningsdatalagen till EU:s dataskyddsförordning, s. 62–63.

191 Jfr t.ex. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124–125.

707

Känsliga personuppgifter, ...

SOU 2023:100

är tillåtet, eller för att se till att resultatet av en sådan urvalsmodell inte blir eller har blivit diskriminerande.192

En sådan lagteknisk utformning av sökbegränsningar som nu före- slås är enligt vår mening mer flexibel, modern och ändamålsenlig i be- rörda myndigheters verksamheter än de bestämmelser om sökbegrepp som i dag finns.

Det kan konstateras att våra förslag till nya regleringar också innehåller bestämmelser som anger de yttre ramarna för all behandling av personuppgifter som sker i myndigheternas verksamheter. Därtill föreslår vi också bl.a. regler om tillgång till personuppgifter (se av- snitt 7.7). Dataskyddsförordningen innehåller vidare bestämmelser om bl.a. inbyggt dataskydd och dataskydd som standard (artikel 25) samt om säkerhet i samband med behandlingen (artikel 32) som är direkt tillämpliga i myndigheternas verksamheter. Det finns också bestämmelser om sekretess i offentlighets- och sekretesslagen, som är tillämpliga i myndigheternas respektive verksamheter, samt som föreslås gälla i dessa verksamheter (se avsnitten 3.3 och 15.2–15.5). Tillsammans med en reglering om sökförbud är det vår uppfattning att regleringen sammantaget uppfyller dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.193 Vidare får myndigheterna, trots de nedan föreslagna undantagen från sökförbuden, aldrig ut- föra sökningar om det inte finns rättslig grund för det, och data- skyddsförordningens principer för personuppgiftsbehandling måste alltid följas, t.ex. vad avser uppgiftsminimering.194

Det finns även anledning att närmare beröra hur de föreslagna sökbegränsningarna förhåller sig till myndigheternas möjligheter att söka efter och därefter lämna ut allmänna handlingar. I vissa fall har den som begär en allmän handling inte specifika uppgifter som direkt pekar ut en efterfrågad handling. Myndigheterna kan i en sådan situ- ation behöva göra sökningar för att efterkomma begäran. De före- slagna sökbegränsningarna innebär att syftet med en sökning avgör vad som är tillåtet, snarare än vilket sökbegrepp som används. Sök- begränsningarna kommer även att gälla i fler situationer än vad som

192Om t.ex. AI används i samband med att en urvalsmodell tränas kan resultatet bli felaktigt eller diskriminerande om den data som används ger en snedvriden bild av verkligheten, s.k.

”bias”, eller om den data som används inte är relevant för vad modellen ska uppnå, jfr Data- tilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 16.

193Artikel 9.2 g i dataskyddsförordningen.

194Artikel 5.1 c i dataskyddsförordningen.

708

SOU 2023:100

Känsliga personuppgifter, ...

är fallet i dag. Förslaget är dock inte avsett att begränsa myndighet- ernas möjligheter att eftersöka och lämna ut allmänna handlingar i förhållande till den nu gällande regleringen. När en myndighet läm- nar ut en allmän handling på begäran av en enskild har tryckfrihets- förordningens bestämmelser företräde framför dataskyddsregelver- ket.195 Berörda myndigheter har att i varje enskilt fall bedöma om den sammanställning av uppgifter som efterfrågas är en allmän hand- ling. Om sammanställningen är en allmän handling ska den lämnas ut, om inte uppgifterna i den omfattas av sekretess. Det gäller även om det är fråga om känsliga personuppgifter som har sammanställts genom sökning.196

Sammanfattningsvis föreslår vi alltså att det som utgångspunkt ska vara förbjudet för Skatteverket, Tullverket och Kronofogde- myndigheten att utföra sökningar i syfte att få fram ett urval av per- soner grundat på känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordningen. Genom att de föreslagna lagarna i en generell bestämmelse om behandling av känsliga personuppgifter kommer att innehålla en hänvisning till artikel 9.1 i dataskyddsför- ordningen hålls regleringen dynamisk och behöver inte ändras om den artikeln i dataskyddsförordningen ändras.

Sökförbuden i de nya lagarna bör, till skillnad från dataskydds- lagens sökförbud, kompletteras med de undantag som är nödvändiga för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna behandla personuppgifter på ett ändamålsenligt sätt i sina re- spektive verksamheter. På detta sätt tillvaratas den enskildes intresse av att begränsa behandlingen av känsliga personuppgifter i så stor utsträckning som möjligt, samtidigt som myndigheternas behov av att behandla personuppgifter för att fullgöra sina respektive uppdrag på ett korrekt, rättssäkert och effektivt sätt tillgodoses. Vilka slags sökningar som bör undantas från sökförbuden varierar beroende på Skatteverkets, Tullverkets och Kronofogdemyndighetens skilda verk- samhetsbehov. Vilka undantag vi anser bör införas i de föreslagna lagarna och motiven till dessa redogörs för nedan i avsnitt 10.9.2.

1951 kap. 7 § första stycket dataskyddslagen. Se även artikel 86 i dataskyddsförordningen, prop. 2017/18:105, Ny dataskyddslag, s. 40–43 och prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning, s. 27. Se även prop. 1997/98:44, Personuppgiftslag, s. 51–52.

196Prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskydds- förordning, s. 27.

709

Känsliga personuppgifter, ...

SOU 2023:100

Det kan här nämnas att det inte föreslås några undantag för Skatte- verkets folkbokföringsverksamhet.

De undantag som föreslås bör formuleras så att vissa sökningar inte omfattas av förbudet om sökningen är nödvändig för att myndig- heterna ska kunna utföra sina uppgifter inom respektive verksamhet som omfattas av de nya lagarna.

I dag omfattar de befintliga bestämmelserna om sökbegrepp inte sökningar i handlingar när de väl har identifierats.197 Vi anser att de sökförbud vi nu föreslår inte heller bör omfatta sökningar i en viss handling eller i ett visst ärende. I likhet med vad som anfördes i för- arbetena till de nu gällande bestämmelserna anser vi att det bl.a. av effektivitetsskäl inte framstår som befogat att förbjuda sökmöjlig- heter i t.ex. ordbehandlingsprogram för att finna ett speciellt text- avsnitt i ett enskilt textdokument eller för att på ett enklare sätt kunna handlägga ett mer omfattande ärende.198 Vi kan inte heller

idag finna att det finns integritetsskäl som skulle motivera ett sådant förbud. Regeringen har även i andra lagstiftningsärenden konstaterat att sökningar bland en begränsad mängd uppgifter innebär mindre integritetsrisker än sökningar i större uppgiftsmängder.199 Vi föreslår mot denna bakgrund att sökförbudet inte heller ska omfatta sök- ningar i en viss handling eller i ett visst ärende.

Det finns slutligen anledning att konstatera att en sökning bland personuppgifter i sig utgör en behandling som måste uppfylla samt- liga gällande krav för behandling av personuppgifter.

Sökbegränsningarna bör inte omfatta uppgifter om lagöverträdelser

Idag får Skatteverket, Tullverket eller Kronofogdemyndigheten inte använda uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden som sökbegrepp.200 Myndigheterna har dock vissa behov av att kunna utföra sökningar på grundval av uppgifter om lagöver- trädelser. Det är svårt att uttömmande redogöra för i vilka situatio- ner sådana sökningar behöver kunna utföras. Generellt sett behöver

197Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 103.

198Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 103.

199Se prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 50 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 134.

200Se 2 kap. 10 § andra stycket SdbL, 2 kap. 11 § FdbL, 2 kap. 9 § TDL och 2 kap. 29 § första stycket KFMdbL.

710

SOU 2023:100

Känsliga personuppgifter, ...

myndigheterna ha möjlighet att utföra sökningar grundade på sådana uppgifter som kan vara relevanta omständigheter vid ärendehandlägg- ningen. Det innebär att de behov av behandling av uppgifter om lag- överträdelser som har beskrivits i avsnitt 10.5 i stort även avspeglar det behov som finns i fråga om att behandla sådana uppgifter vid sök- ningar för att t.ex. kunna handlägga ärenden, sammanställa uppgifter vid vissa analyser eller för att ta fram urvalsträffar. Vissa konkreta exempel kan även ges avseende respektive myndighets behov av att göra sökningar utifrån uppgifter om lagöverträdelser.

När det gäller Skatteverkets beskattningsverksamhet finns ett mycket nära samband mellan viss typ av brottslighet, såsom skatte- brott och bokföringsbrott, och korrekt uppbörd. Skatteverket behöver t.ex. kunna söka fram ett urval av personer grundat på uppgifter om lagöverträdelser för att kunna se i vilka fall skattetillägg har utgått i beslut av domstol eller åklagare. Det hänger samman med det s.k. dubbelprövningsförbudet, vilket innebär att en person inte kan få skattetillägg och ådömas ansvar för skattebrott för samma förseelse såvida det inte sker inom samma domstolsprocess.201

Inom Skatteverkets folkbokföringsverksamhet finns behov av att t.ex. kunna söka fram ett urval av personer grundat på uppgifter om lagöverträdelser för att kontrollera att personer som är intagna inom kriminalvårdsanstalt är korrekt folkbokförda.202

Till följd av unionsrätten, bl.a. tullkodexen, har Tullverket en skyl- dighet att beakta uppgifter om tidigare brottslighet för att göra urval för kontroll. Det kan t.ex. röra sig om historik av ekonomisk brotts- lighet vilket kan utgöra en riskindikator för fel. För att fullgöra skyl- digheterna i enlighet med EU-rätten har Tullverket därmed ett behov av att genom olika typer av sökningar sammanställa uppgifter om lag- överträdelser.

Även Kronofogdemyndigheten har behov av att kunna utföra sök- ningar grundade på uppgifter om lagöverträdelser. Exempelvis kan redan själva uppgiften om en fordran eller av sökanden angivna upp- gifter i en ansökan om betalningsföreläggande innehålla en uppgift om lagöverträdelse i de fall den grundar sig på skadestånd med anled- ning av brott. Kronofogdemyndigheten behöver i sin verksamhet göra sökningar baserade på vissa sådana fordringar, b.la. i ärendehandlägg-

201Se bl.a. lag (2015:632) om talan om skattetillägg i vissa fall.

202En vistelse anses dock inte leda till ändrad bosättning om den föranleds enbart av bl.a. kriminalvård, se 9 § 1 FOL.

711

Känsliga personuppgifter, ...

SOU 2023:100

ningen och för att kunna ta fram urvalsträffar. Det kan handla om uppgifter som framgår redan av t.ex. en verkställbar dom, ett beslut eller i ett utslag. Det kan också vara en uppgift som ligger till grund för att bevilja någon skuldsanering. Utöver detta behöver Krono- fogdemyndigheten i vissa fall kunna söka och göra sammanställningar över konkursförvaltares samtliga konkurser vilka kan innehålla in- direkta uppgifter om fysiska personers lagöverträdelser som inne- fattar brott. Det gäller situationer då konkursförvaltare underrättat allmän åklagare om att en gäldenär kan misstänkas för något brott som avses i 11 kap. brottsbalken eller om gäldenären har drivit när- ingsverksamhet och det under konkursförvaltningen kommer fram att gäldenären kan misstänkas för något annat brott av inte ringa be- skaffenhet som har samband med verksamheten.203 Kronofogde- myndigheten behöver främst göra sådana sökningar och sammanställ- ningar som en del i tillsynsuppdraget.204 Vidare finns ett behov av att söka fram och sammanställa en lista med gäldenärer som har obetalda böter som härrör från brott i syfte att inleda ärenden om förvandling av böter.205

Personuppgifter som rör fällande domar i brottmål och lagöver- trädelser som innefattar brott får enligt såväl dataskyddsförordningen (artikel 10) som dataskyddslagen (3 kap. 8 § första stycket) behandlas av myndigheter. Vi föreslår inte någon generell begränsning av Skatte- verkets, Tullverkets eller Kronofogdemyndighetens behandling av sådana uppgifter (se avsnitt 10.8). Vi anser att inte heller sökförbuden bör omfatta uppgifter om fällande domar i brottmål och lagöverträ- delser som innefattar brott. Något sökförbud för uppgifter om lag- överträdelser finns inte heller i dataskyddslagen. Behovet av att göra sökningar i fråga om sådana uppgifter bedöms vara relativt begränsat mot bakgrund av Skatteverkets, Tullverkets och Kronofogdemyndig- hetens uppdrag inom dataskyddsförordningens tillämpningsområde.

2037 kap. 16 § konkurslagen.

204Se 1 § förordningen med instruktion för Kronofogdemyndigheten. En sammanställning över underrättelser som gjorts i enlighet med 7 kap. 16 § konkurslagen kan också behöva göras för att identifiera vilka konkurser en viss ställföreträdare förekommer i som en del i prövningen av om en föreslagen konkursförvaltare är lämplig, se 7 kap. 3 § konkurslagen.

205I 15 § bötesverkställighetslagen (1979:189) anges bl.a. att om böter inte har kunnat drivas in och det beror på trots från den bötfällde, ska böterna på talan av åklagare förvandlas till fängelse. Bötesförvandling ska också ske om det av särskilda skäl är motiverat från allmän syn- punkt. Enligt 17 § bötesverkställighetsförordningen (1979:197) ska Kronofogdemyndigheten, om indrivning av böter har avbrutits utan att böterna har blivit fullt betalda och om det enligt Kronofogdemyndighetens bedömning finns anledning att anta att böterna ska förvandlas, skyndsamt sända en redogörelse för förhållandet till åklagare som är behörig att föra talan om böternas förvandling.

712

SOU 2023:100

Känsliga personuppgifter, ...

Som nyligen framgått kommer det dock att finnas situationer då myndigheterna behöver göra sökningar utifrån sådana uppgifter till följd av de materiella verksamhetsregleringarna. Det är enligt vår be- dömning motiverat att myndigheterna kan utföra sådana sökningar när det behövs för utförandet av respektive myndighets uppdrag. Det är dock inte möjligt att i lag föreskriva alla de situationer då uppgifter som avses i artikel 10 i dataskyddsförordningen behöver kunna an- vändas av myndigheterna vid sökningar. Det bör alltså inte heller finnas några sökbegränsningar eller bestämmelser om vilka sökningar som är tillåtna i fråga om uppgifter om lagöverträdelser i de före- slagna lagarna.

Även sökningar eller urval grundat på personuppgifter om lagöver- trädelser kan dock vara integritetskänsliga. Myndigheternas behov av att kunna bedriva en effektiv och rättssäker verksamhet överväger dock enligt vår bedömning de integritetsrisker som ett förbud vid de aktuella myndigheterna skulle vara avsett att minska. Ett sökförbud som omfattar uppgifter om lagöverträdelser skulle riskera att hindra myndigheterna att fullgöra sina skyldigheter enligt nationell rätt eller unionsrätten och försvåra det fria flödet av personuppgifter.206 I av- snitt 10.8 anges också skäl för att möjligheterna att behandla upp- gifter som rör lagöverträdelser inte bör begränsas. Samma skäl talar även för att det inte bör införas några sökbegränsningar i fråga om sådan personuppgiftsbehandling. Trots att några sökbegränsningar inte föreslås för uppgifter om lagöverträdelser säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder i övrigt som föreslås i de nya lagarna.

Att inte reglera några sökbegränsningar i fråga om uppgifter om lagöverträdelser kan innebära att urvalsträffar tas fram utifrån tidi- gare brottslighet. Sådan behandling skulle i vissa fall möjligen inte kunna anses stå i proportion till det integritetsintrång som behand- lingen kan medföra. Som nyligen redogjorts för finns det dock för aktuella myndigheter materiell verksamhetsreglering där omständig- heten att någon är dömd för brott kan vara relevant. Även om myn- digheterna har tillgång till sådana uppgifter, och de föreslås få behand- las vid dataanalyser och urval vid framtagandet av urvalsträffar207, måste behandlingen uppfylla de grundläggande kraven på bl.a. rätts-

206Jfr artikel 1 i dataskyddsförordningen och skäl 9 till dataskyddsförordningen.

207Se avsnitt 14.9.2.

713

Känsliga personuppgifter, ...

SOU 2023:100

lig grund samt de grundläggande principerna för behandling av person- uppgifter. Om sådana uppgifter t.ex. inte är nödvändiga för att be- rörda myndigheter ska kunna utföra uppgifter av allmänt intresse eller inte är relevanta i förhållande till de ändamål för vilka de behandlas kan uppgifterna inte ligga till grund för att ta fram urvalsträffar. Det kommer med andra ord inte, trots avsaknad av ett sådant sökförbud, att vara möjligt för myndigheterna att använda uppgifter om att någon tidigare dömts för brott som urvalsgrund för att det i ett visst fall framstår som ”bra att ha” vid framtagandet av urvalsträffar. Den reglering vi föreslår avseende dataanalyser och urval innefattar vidare krav på myndigheterna att bl.a. löpande dokumentera, följa upp och utvärdera på vilka grunder urval görs, se avsnitt 14.11.3. Detta för att säkerställa att resultaten inte blir skeva utifrån myndigheternas upp- drag, eller diskriminerande på något sätt.

Sammanfattningsvis gör vi bedömningen att det inte bör införas några sökförbud för uppgifter om lagöverträdelser i de nya lagarna.

Något om de föreslagna sökförbudens förhållande till offentlighetsprincipen

I vilken utsträckning det är möjligt att effektivt begränsa använd- ningen av integritetskänsliga sökbegrepp påverkas av offentlighets- principen.208 Handlingsoffentligheten enligt tryckfrihetsförordningens reglering om detta omfattar fysiska handlingar och elektroniskt lag- rade uppgifter som ingår i s.k. färdiga elektroniska handlingar, dvs. uppgiftssammanställningar som redan har ett fixerat innehåll och där- för inte förutsätter någon sökning för att återskapas. Det kan t.ex. vara e-postmeddelanden och handlingar i fasta filformat (pdf, docx m.m.), som beslut i elektronisk form och handlingar inskickade av enskilda. Offentlighetsprincipen omfattar dock också uppgifter som ännu inte har sammanställts men som kan sammanställas med hjälp av tillgänglig teknik och rutinbetonade åtgärder, t.ex. en sökning (2 kap. 6 § andra stycket TF). Sådana sammanställningar kallas poten- tiella handlingar.209

Enligt den s.k. begränsningsregeln i 2 kap. 7 § TF anses en poten- tiell handling inte förvarad hos myndigheten om sammanställningen

208Prop. 2014/15:148, Domstolsdatalag, s. 52. Offentlighetsprincipen innebär i huvudsak att allmänheten har rätt att ta del av offentliga allmänna handlingar hos en myndighet.

209Prop. 2014/15:148, Domstolsdatalag, s. 52.

714

SOU 2023:100

Känsliga personuppgifter, ...

innehåller personuppgifter och myndigheten enligt lag eller förord- ning saknar befogenhet att göra sammanställningen tillgänglig. Med personuppgift avses i bestämmelsen all slags information som direkt eller indirekt kan hänföras till en fysisk person. Syftet med begräns- ningsregeln i 2 kap. 7 § TF är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av upp- gifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är förhindrad att ta fram i sin egen verksam- het.210 Begränsningsregeln kan därmed ses som ett uttryck för lik- ställighetsprincipen.211 Att en handling inte anses förvarad hos en myn- dighet, t.ex. på grund av att kraven i begränsningsregeln är uppfylld, innebär att den inte är en allmän handling (2 kap. 4 § TF). Det inne- bär i sin tur att handlingen inte omfattas av allmänhetens rätt att ta del av densamma enligt offentlighetsprincipen (2 kap. 1 § TF).

Sektorspecifika dataskyddsbestämmelser i lag eller förordning som avser förbud mot att utföra vissa sökningar kan alltså till följd av begränsningsregeln få betydelse för i vilken omfattning potentiella handlingar, såsom t.ex. sammanställningar som görs genom sökningar grundade på känsliga personuppgifter, utgör allmänna handlingar vid en myndighet. Frågan är hur begränsningsregeln förhåller sig till en sådan form av sökbegränsning som vi föreslår, dvs. som utgår från syftet med en viss sökning och som reglerar vissa uttryckliga undan- tag baserade på myndigheternas behov av att utföra vissa sökningar.

Det får enligt gällande rätt anses klarlagt att bestämmelser i register- författningar om för vilka ändamål en myndighet får behandla uppgif- terna (s.k. ändamålsbegränsningar), inte anses inskränka myndighetens skyldighet enligt offentlighetsprincipen att sammanställa person- uppgifter.212 När det gäller frågan om i vilken mån reglerade sök- begränsningar innebär att begränsningsregeln i 2 kap. 7 § TF blir aktuell att tillämpa har regeringen i en proposition avseende domstolars be- handling av personuppgifter bedömt att sökbegränsningar som tillåter sökning under särskilt angivna förutsättningar inte inskränker myn- dighetens skyldighet att sammanställa personuppgifter. En sökbegräns- ning som är absolut formulerad och som under inga omständigheter

210Prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 23.

211SOU 2010:4, Allmänna handlingar i elektronisk form – offentlighet och integritet, s. 145.

212Se t.ex. prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 69, prop. 2009/10:85, Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 154, prop. 2014/15 :148, Domstolsdatalag, s. 53 och SOU 2010:4, Allmänna handlingar i elektronisk form – offentlighet och integritet, s. 148.

715

Känsliga personuppgifter, ...

SOU 2023:100

tillåter användningen av ett visst sökbegrepp har dock av regeringen bedömts få genomslag enligt begränsningsregeln.213 Det har i en annan, nyare, proposition förekommit ett uttalande som till viss del möjligen kan anses ge uttryck för en annan hållning avseende ett föreslaget sökförbud i 114 kap. socialförsäkringsbalken som utgår från syftet med en sökning. I denna proposition uttalar regeringen, med hänvis- ning till att begränsningsregeln ger uttryck för likställighetsprinci- pen, att en sammanställning som innehåller personuppgifter bör ses som en allmän handling endast om myndigheten, med beaktande av sökbegränsningen, får ta fram den för ett internt syfte i sin egen verk- samhet.214

Det är enligt vår mening inte helt klart hur de föreslagna sökförbu- den skulle anses förhålla sig till begränsningsregeln i rättstillämp- ningen. I andra lagstiftningsärenden i vilka liknande sökbegränsningar har föreslagits har frågan inte heller diskuterats på något mer omfat- tande sätt. Det kan i vart fall konstateras att berörda myndigheter i varje enskilt fall har att bedöma om den sammanställning av upp- gifter som efterfrågas utgör en allmän handling hos myndigheten. Om sammanställningen utgör en allmän handling ska den lämnas ut, såvida inte uppgifterna i den omfattas av sekretess. Detta gäller även om det är fråga om känsliga personuppgifter som har sammanställts genom sökning.215 Oaktat hur rättstillämparen skulle se på frågan i förhållande till ett visst specifikt sökförbud kan det konstateras att det i de fall en sammanställning anses förvarad hos en myndighet, och därmed utgör en allmän handling, kan alltså sekretess hindra att uppgifterna i sammanställningen blir offentliga.

För uppgifter som behandlas hos Skatteverket, Tullverket och Kronofogdemyndigheten råder olika former av sekretess. Även styr- kan på sekretessen varierar. Exempelvis gäller absolut sekretess i en stor del av Skatteverkets verksamhet genom skattesekretessen216, medan det tvärtom finns en presumtion för offentlighet avseende upp- gifter som förekommer i folkbokföringsverksamheten.217 I Tullverkets

213Prop. 2014/15:148, Domstolsdatalag, s. 53. Liknande hållning har framförts i doktrin, se Heuman, Tryckfrihetsförordningen (1949:105) 2 kap. 7 §, Karnov (JUNO) [hämtad 2023-06-02] där det anges att sökbegränsningar som inte är absoluta, utan tillåter sökning under särskilt angivna förutsättningar, anses sakna betydelse för frågan huruvida sammanställningen utgör en allmän handling.

214Prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 69.

215Prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskydds- förordning, s. 27.

216Se t.ex. 27 kap. 1 § OSL.

21722 kap. 1 § OSL.

716

SOU 2023:100

Känsliga personuppgifter, ...

verksamhet gäller ofta ett omvänt skaderekvisit, dvs. en presumtion för sekretess.218 Inom Kronofogdemyndigheten gäller sekretess i verksamhet med indrivning och utsökning med ett omvänt skade- rekvisit.219 Sekretess finns vidare i bl.a. verksamhet med skuldsaner- ing220 och tillsyn i konkurs.221 Vid sidan av de verksamhetsspecifika sekretessbestämmelserna finns även vissa allmänna bestämmelser om sekretess som kan bli tillämpliga oavsett i vilken verksamhet uppgif- terna förekommer, t.ex. 21 kap. 5 och 7 §§ OSL.

Skillnaden i sekretessnivå och räckvidd av sekretessen mellan de olika verksamheterna innebär, beroende på hur en tillämpning av be- gränsningsregeln faller ut i förhållande till föreslagna sökförbud, att fler sammanställningar grundade på känsliga personuppgifter kan komma att bli offentliga i vissa verksamheter. Det gäller framför allt Skatteverkets folkbokföringsverksamhet222 och Kronofogdemyndig- hetens verksamhet med betalningsföreläggande och handräckning.223

Ett alternativ för att säkerställa att sammanställningar av känsliga personuppgifter inte blir offentliga, av hänsyn till skyddet för den personliga integriteten, är att föreslå en ny sekretessbestämmelse. Detta för att ett absolut sökförbud enligt vår mening är onödigt be- gränsande vid myndigheternas fullgörande av sina uppgifter. En så- dan sekretessbestämmelse skulle förslagsvis innebära att sekretess gäller till skydd för enskild hos Skatteverket, Tullverket och Krono- fogdemyndigheten för uppgift i en sammanställning av känsliga per- sonuppgifter, dvs. att absolut sekretess skulle gälla för en sådan upp- gift.224 Ett annat alternativ är att införa en sekretessregel med ett omvänt skaderekvisit i stället för absolut sekretess. Det skulle dock innebära att myndigheterna i vissa fall behöver göra resurskrävande sekretessprövningar då sammanställningar kan innehålla uppgifter om många personer. En ny sekretessbestämmelse skulle sammanfattnings- vis kunna utformas så att våra förslag om ändrade sökförbud inte inne- bär några sakliga ändringar i praktiken vid begäran om utlämnande

218Se t.ex. 27 kap. 3 § jämförd med 27 kap. 1 § OSL.

219Se bl.a. 34 kap. 1 § OSL.

22034 kap. 6 § OSL.

22134 kap. 7 § OSL.

222Enligt 22 kap. 1 § OSL gäller ett rakt skaderekvisit, vilket innebär en presumtion för att uppgifterna är offentliga.

223Inom detta verksamhetsområde vid Kronofogdemyndigheten finns ingen särskild sekretess- regel, utan det är de generella sekretessreglerna som är tillämpliga inom samtliga myndigheter, t.ex. 21 kap. OSL, som kan tillämpas.

224Jfr SOU 2017:29, Brottsdatalag, s. 643.

717

Känsliga personuppgifter, ...

SOU 2023:100

av vissa sammanställningar grundade på känsliga personuppgifter och uppgifter om lagöverträdelser.

Vikten av att säkerställa enskildas personliga integritet är givetvis stor när det gäller frågan om offentliggörande av sammanställningar grundade på känsliga personuppgifter och uppgifter om lagöverträ- delser. Mot detta står intresset av insyn och öppenhet vilket är vik- tigt för att offentlighetsprincipen ska kunna upprätthållas, och som är mycket starkt i myndigheters verksamhet som innefattar myndig- hetsutövning. Aktuella typer av sammanställningar kommer att om- gärdas av omfattande dataskyddsregler. Redan i dag finns, som ovan nämnts, även sekretessreglering som är anpassad efter respektive verk- samhet på det sätt att det redan gjorts en avvägning mellan enskilda och allmänna intressen i aktuella verksamheter. Enligt 21 kap. 7 § OSL gäller vidare sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med data- skyddsförordningen eller dataskyddslagen. I 21 kap. OSL finns ytter- ligare sekretessbestämmelser som är tillämpliga oaktat i vilken verk- samhet uppgifterna förekommer.

Vi bedömer sammantaget att den sekretessreglering som redan gäller ger ett väl avvägt skydd för både enskilda och allmänna intres- sen i nu aktuellt avseende. En regel om sekretess för sammanställ- ningar grundade på känsliga personuppgifter behövs därför inte. Som redan nämnts gäller att om en enskild framställer en begäran som innebär att myndigheterna behöver ta fram vissa uppgifter för ett ut- lämnande har myndigheten att pröva om de uppgifter som efterfrågas utgör en allmän handling hos myndigheten. Utgör uppgifterna en all- män handling ska de lämnas ut såvida de inte omfattas av sekretess. Det finns redan sekretessregler som aktualiseras vid sådana begäran i myndigheternas respektive verksamhet.225 Enligt vår uppfattning behövs det alltså inte någon förändring av befintlig sekretessregler- ing till följd av att de absoluta sökförbuden inte ges någon motsvar- ighet i de nya lagarna. Se dock våra särskilda bedömningar avseende det nuvarande sökförbudet i 2 kap. 10 § FdbL i avsnitt 10.9.3 nedan.

225Jfr prop. 2017/18:232, Brottsdatalag, s. 417.

718

SOU 2023:100

Känsliga personuppgifter, ...

Särskilt om behandling i EU:s gemensamma informationssystem

Bestämmelserna om sökbegränsningar kommer att vara tillämpliga inom de verksamheter som omfattas av respektive ny lag. I avsnitt 7.4.4 föreslås att beskattningsdatalagen, tulldatalagen och kronofogde- datalagen inte ska gälla vid behandling av personuppgifter i Euro- peiska unionens gemensamma informationssystem. Tullverket har anfört att detta innebär att det generella sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen kommer att bli tillämpligt när myndigheten behandlar känsliga personuppgifter i EU:s gemensamma informa- tionssystem.226 Det skulle enligt Tullverket kunna utgöra ett hinder vid fullgörandet av myndighetens uppgifter som följer av EU-rätts- lig lagstiftning, bl.a. då bestämmelsen inte innefattar verksamhets- specifika undantag.

Enligt vår bedömning innebär förslagen dock inte att det sök- förbud som finns i 3 kap. 3 § andra stycket dataskyddslagen vid varje tillfälle blir tillämpligt vid sådan behandling. Dataskyddslagens sök- förbud gäller endast vid behandling av känsliga personuppgifter som sker enbart med stöd av 3 kap. 3 § första stycket dataskyddslagen. I den mån berörda myndigheter behöver kunna behandla känsliga personuppgifter i EU-gemensamma system, bör det i princip vid varje tillfälle ske på grundval av unionsrätten. Enligt artikel 9.2 g i data- skyddsförordningen ska förbudet mot behandling av känsliga person- uppgifter inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller med- lemsstaternas nationella rätt, vilken ska stå i proportion till det efter- strävade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättig- heter och intressen. I den mån behandlingen sker på grundval av unionsrätten följer det enligt vår mening av ordalydelsen att det är denna som ska uppfylla övriga krav i artikel 9.2 g, samt den eventu- ella kompletterande nationella specifika rätt som i förekommande fall krävs. Det bör därför i de flesta fall inte bli aktuellt för myndig- heterna att tillämpa det generella sökförbudet i 3 kap. 3 § dataskydds- lagen enbart i syfte att uppfylla dataskyddsförordningens särskilda krav på det rättsliga stödet vid behandling av känsliga personuppgifter för

226Jfr 1 kap. 5 § första stycket dataskyddslagen.

719

Känsliga personuppgifter, ...

SOU 2023:100

ett viktigt allmänintresse när uppgifter i EU-gemensamma system behandlas.

Undantaget från tillämpningsområdet i de nya lagarna avseende behandling i EU-gemensamma system innebär inte heller per auto- matik att berörda myndigheter vid sådan behandling måste tillämpa bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen för att över huvud taget kunna behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen.227 Kraven på skyddsåtgärder kan nämligen anses vara tillgodosedda genom annan typ av reglering, t.ex. bestämmelser om sekretess, och så bör även vara fallet genom unionsrätten med eventuell kompletterande specifik nationell rätt när behandling sker på grundval av denna. I den mån myndigheterna gör bedömningen att det i ett visst fall trots allt inte finns sådana lämp- liga och särskilda åtgärder som krävs enligt artikel 9.2 g för att be- handling av känsliga personuppgifter ska få ske men behandlingen, t.ex. en sökning, krävs för att utföra uppgifter som regleras i EU- rättslig lagstiftning bör principen om EU-rättens företräde i stället kunna tillmätas avgörande betydelse i de allra flesta sådana fall.

10.9.2Verksamhetsspecifika undantag från sökbegränsningarna

Vårt förslag: Skatteverket ska i beskattningsverksamheten tillåtas utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fack- förening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna beskattnings- datalagen.

Tullverket ska tillåtas utföra sökningar i syfte att få fram ett ur- val av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna tulldata- lagen.

227Jfr prop. 2017/18:105, Ny dataskyddslag, s. 84, där det framgår att den generella regleringen i 3 kap. 3 § dataskyddslagen tillkom bl.a. mot bakgrund av att det inte ansågs kunna tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas.

720

SOU 2023:100

Känsliga personuppgifter, ...

Kronofogdemyndigheten ska tillåtas utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verk- samhet som omfattas av den föreslagna kronofogdedatalagen.

Vår bedömning: Det krävs inte något undantag från sökförbudet för Skatteverkets folkbokföringsverksamhet.

Skälen för vårt förslag och vår bedömning

Skatteverkets beskattningsverksamhet

Skatteverket behöver i beskattningsverksamheten i vissa fall kunna göra sökningar för att få fram ett urval av personer grundat på person- uppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa. Som beskrivs i avsnitt 10.5 finns flera situationer där behand- ling av sådana uppgifter är nödvändig för att Skatteverket ska kunna fullgöra sina uppdrag.

Skatteverket administrerar stora mängder individorienterade ären- den i sin handläggande verksamhet, vilket bl.a. för med sig ett behov av att kunna söka och göra ett urval av personer och ärenden baserat på vissa uppgifter som kan utgöra känsliga personuppgifter. Behovet finns även för att ta fram urvalsträffar för kontroll i den mån sådana uppgifter är relevanta omständigheter för det som ska kontrolleras. Det kan t.ex. vara fråga om personuppgifter om hälsa som förekom- mer vid ansökningar om avdrag för faktiska kostnader för resor till och från arbetet på grund av sjukdom228, då enskilda begärt befrielse från förseningsavgift på grund av sjukdom229 eller vid skattereduk- tion för sjukersättning.230 Det kan också handla om personuppgifter om religiös övertygelse som är av betydelse för avgifter till Svenska kyrkan och andra trossamfund samt uppgifter om medlemskap i fack- förening som fram till nyligen var en avdragsgill kostnad.

Uppgifter om hälsa, religiös övertygelse samt medlemskap i fack- förening är känsliga personuppgifter på det sätt som avses i artikel 9.1 i dataskyddsförordningen, och bör mot bakgrund av Skatteverkets behov undantas från det föreslagna sökförbudet. Undantaget bör ut-

228Se 12 kap. 30 § IL.

229Se 51 kap. 1 § SFL.

230Se 67 kap. 2 § IL.

721

Känsliga personuppgifter, ...

SOU 2023:100

formas så att Skatteverket i beskattningsverksamheten tillåts utföra sökningar i syfte att få fram ett urval av personer grundat på person- uppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verk- samhet som omfattas av den föreslagna beskattningsdatalagen.

Vi har i övrigt inte identifierat något behov att i beskattnings- verksamheten göra sammanställningar på grundval av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, filosofisk över- tygelse, genetiska eller biometriska uppgifter eller uppgifter om en fysisk persons sexualliv eller sexuella hälsa. Några undantag hänför- liga till sådana uppgifter föreslås därför inte.

Genom att undantagen från sökförbudet enbart omfattar sådana uppgifter som Skatteverket har ett behov av att kunna göra sökningar och sorteringar utifrån, upprätthålls enligt vår mening integritets- skyddet på en rimlig nivå samtidigt som myndigheten inte hindras i utövandet av sin verksamhet.

Skatteverkets folkbokföringsverksamhet

Skatteverket har avseende folkbokföringsverksamheten fört fram att myndigheten t.ex. behöver ha möjlighet att söka på civilstånd, vilket kan avslöja uppgifter om någons sexuella läggning231, och på medbor- garskap, eventuellt i kombination med ytterligare utökade sökbegrepp, vilket skulle kunna avslöja uppgifter om etnicitet. Det föreslagna sökförbudet hindrar inte sådana sökningar under förutsättning att sökningen inte görs i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Skatteverket kan alltså utan hinder av sökförbudet göra sökningar för att t.ex. kontrollera att uppgifter registreras på ett enhetligt sätt avseende enskilda personer inom en familj.232 Detta eftersom utformningen av sökförbudet innebär att det kommer att vara tillåtet att göra sökningar som avser en enda per- son, eftersom sökresultatet då inte kommer att utvisa något urval av personer. Vad gäller uppgifter om medborgarskap utgör detta som utgångspunkt inte uppgifter som i sig anses vara känsliga person- uppgifter. Ytterligare resonemang kring detta samt vad som bör gälla vid just Skatteverkets möjligheter att inom folkbokföringsverksam-

231Se EU-domstolens dom den 1 augusti 2022 i mål C-184/20, OT mot Vyriausioji tarnybinės etikos komisija.

232Jfr prop. 1990/91:53, om lag om folkbokföringsregister m.m., s. 35.

722

SOU 2023:100

Känsliga personuppgifter, ...

heten använda uppgifter om medborgarskap vid sökningar görs sär- skilda bedömningar i avsnitt 10.9.3 nedan.

Vidare har Skatteverket fört fram att det kan finnas behov av att göra urval av personer som är folkbokförda på behandlingshem av olika slag för kvalitetsuppföljning. Ett sådant urval skulle enligt Skatte- verket sannolikt baseras på typ av fastighet där någon är bosatt. Att det finns en vårdinrättning eller annan typ av institution för vård på fastigheten skulle enligt myndigheten indirekt kunna var att betrakta som en uppgift om hälsa. Bakgrunden till Skatteverkets behov av sådana urval är bl.a. att det i 9 § första stycket 3 FOL framgår att en vistelse inte anses leda till ändrad bosättning om den föranleds en- bart av vård vid en institution för sjukvård, vård av unga, kriminal- vård eller vård av missbrukare. Enligt vår uppfattning hindrar dock inte den föreslagna regleringen att Skatteverket gör sökningar eller urval på vissa fastigheter i syfte att kontrollera att ingen felaktigt är folkbokförd där. Sådana sökningar får nämligen inte anses göras i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa. Det kan även framhållas att sökförbudet syftar till att hindra möjligheten att göra sammanställningar och kartlägga enskilda grun- dat på uppgifter om t.ex. hälsa, dvs. för att exempelvis få fram vilka personer som lider av sjukdom. Att Skatteverket gör sökningar på vissa adresser för att kontrollera att lagstiftningen följs bör inte anses göras i detta syfte, oaktat att adressen i sig går till t.ex. ett sjukhus. Vi anser därför att det inte finns skäl att införa ett särskilt undantag från sökförbudet i folkbokföringsverksamheten för uppgifter om hälsa till följd av vad Skatteverket har fört fram avseende myndighetens behov i denna del.

I övrigt har det inte kommit fram att Skatteverket inom folkbok- föringsverksamheten har något behov av att kunna utföra sökningar som innebär att sammanställningar grundade på känsliga personuppgif- ter skapas. Det gäller även användningen av sådana uppgifter som risk- indikatorer för att ta fram urvalsträffar. En annan sak är att det kan förekomma känsliga personuppgifter i bl.a. sådan data som en urvals- modell tränas på.

Vi bedömer mot denna bakgrund att det inte bör införas några sär- skilda undantag från sökförbudet för Skatteverkets folkbokförings- verksamhet.

723

Känsliga personuppgifter, ...

SOU 2023:100

Tullverket

I jämförelse med Skatteverket och Kronofogdemyndigheten har Tullverket ett relativt stort behov av att kunna göra sökningar som innebär att sammanställningar grundade på känsliga personuppgifter skapas. Tullverket behöver t.ex. kunna identifiera urval av personer i arbetet med riskanalyser och tullkontroller för att fullgöra bl.a. den del av uppdraget som avser säkerhet och skydd.233 En del i detta upp- drag är att hitta och förhindra att varor som kan orsaka skada når personer under hot. Hotbilden kan grunda sig på uppgifter som av- slöjar t.ex. etniskt ursprung, religiös eller filosofisk övertygelse, poli- tiska åsikter, facklig tillhörighet eller sexuell läggning. Det kan i så- dana fall vara nödvändigt för Tullverket att identifiera ett urval av personer som berörs av det aktuella hotet.

Vidare behöver Tullverket kunna ta fram riskprofiler, t.ex. av pro- duktsäkerhetsskäl, för att göra urval av personer som importerar eller exporterar varor vilket kan grunda sig på känsliga personuppgifter. Exempelvis kan ett visst läkemedel i en deklaration för införsel av varor innehålla en känslig personuppgift om hälsa sett tillsammans med uppgiften om den som vill föra in läkemedlet i landet. Utöver detta behöver Tullverket kunna göra sökningar baserade på vissa käns- liga personuppgifter för att ta fram urvalsträffar i arbetet med att säkerställa en riktig uppbörd. Det handlar om uppgifter som är av be- tydelse för att t.ex. kontrollera att korrekt tull betalas in vid import av varor. I likhet med vad som nämns ovan kan typen av varor till- sammans med avsändare eller mottagare innebära att ett visst urval baseras på känsliga personuppgifter, t.ex. uppgifter om hälsa vid im- port av läkemedel eller sexualliv vid import av sexhjälpmedel.

Det kan alltså konstateras att det behöver göras vissa undantag från sökförbudet till följd av Tullverkets arbetsuppgifter.234 Undan- taget bör mot bakgrund av vad som anförts ovan utformas så att för- budet inte omfattar sökningar i syfte att få fram ett urval grundat på uppgifter om etniskt ursprung, politiska åsikter, religiös eller filo-

233Se bl.a. artikel 128 tullkodexen.

234Det kan nämnas att vissa undantag från sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) görs i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Exempelvis anges i 2 kap. 6 § samma lag att sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) inte hindrar sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sex- ualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemen- samt tillgängliga.

724

SOU 2023:100

Känsliga personuppgifter, ...

sofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna tulldatalagen.

När det gäller personuppgifter som avslöjar uppgifter om ras gör

viingen annan bedömning än den regeringen har gjort i andra lag- stiftningsärenden avseende personuppgifter, nämligen att det inte kan finnas något behov av att göra sammanställningar grundade på ras eftersom det inte finns någon vetenskaplig grund för att dela in människor i skilda raser.235

Vi har inte identifierat att Tullverket har behov av att kunna ut- föra sökningar för att få fram ett urval av personer grundat på gene- tiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Möjligheten att utföra sådana sökningar bör därför inte undantas från förbudet.

Kronofogdemyndigheten

Vi har identifierat att Kronofogdemyndigheten har behov av att kunna göra sökningar för att få fram ett urval av personer grundat på upp- gifter om hälsa. Behovet är framför allt hänförligt till myndighetens verksamhet inom verkställighet och skuldsanering. Uppgifter om hälsa, såsom olika förmåner eller stöd hänförliga till sjukdom samt uppgif- ter i läkarintyg, är relevanta vid bedömning av bl.a. betalningsförmåga. Sådana uppgifter kan även ligga till grund för verkställighet av olika fordringar, t.ex. underhåll i form av utgifter för barns sjukdom. Vid- are kan utmätning ske av t.ex. sjukpenning eller annan ersättning som lämnas på grund av sjukdom.236 Det finns även undantag från utmät- ning där hänsyn ska tas till om gäldenären eller någon som tillhör dennes familj lider av lyte eller allvarlig sjukdom.237 Kronofogde- myndigheten behöver mot denna bakgrund kunna sammanställa, sortera, välja ut och analysera ärenden där uppgifter om hälsa är av materiell betydelse för handläggningen.

Det bör mot denna bakgrund göras undantag från sökförbudet avseende Kronofogdemyndigheten som innebär att det inte omfat-

235Prop. 2017/18:232, Brottsdatalag, s. 151 och prop. 2017/18:269, Brottsdatalag – kompletter- ande lagstiftning, s. 179.

236Se 7 kap. UB.

2375 kap. 2 § UB.

725

Känsliga personuppgifter, ...

SOU 2023:100

tar sökningar i syfte att få fram ett urval grundat på uppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verk- samhet som omfattas av den föreslagna kronofogdedatalagen.

Vi gör bedömningen att ett undantag från sökförbudet för upp- gifter om hälsa inte påverkar de säkerhetsbestämmelser som finns i kreditupplysningslagen (1973:1173). Bestämmelsen i 6 § kreditupplys- ningslagen innebär nämligen att personuppgifter som avses i arti- kel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) inte får behandlas i kreditupplysningsverksamhet.

Kronofogdemyndigheten har även uttryckt ett behov av att inom verksamheten med att motverka överskuldsättning kunna utföra sök- ningar för att få fram ett urval av personer grundat på uppgifter om födelseland och medborgarskap. Detta har av myndigheten motive- rats med att sådana faktorer kan ha betydelse för sannolikheten att bli överskuldsatt. Som anges i avsnitt 10.9.3 nedan utgör sådana upp- gifter i normalfallet inte känsliga personuppgifter i den mening som avses i dataskyddsförordningen. Vi bedömer därför att något ytter- ligare undantag inte behöver regleras med anledning av detta.

10.9.3Det ska fortsatt finnas en särskild bestämmelse om vissa sökbegrepp inom Skatteverkets folkbokföringsverksamhet

Vårt förslag: Det ska vara förbjudet att som sökbegrepp inom folkbokföringsverksamheten använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sam- bandet är grundat på adoption.

Vår bedömning: Nuvarande bestämmelser i folkbokföringsdata- baslagen som förbjuder Skatteverket från att använda uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en per- son som är folkbokförd samt vissa uppgifter om medborgarskap som sökbegrepp bör inte ha någon motsvarighet i den föreslagna folkbokföringsdatalagen.

726

SOU 2023:100

Känsliga personuppgifter, ...

Skälen för vårt förslag och vår bedömning

De nuvarande bestämmelserna om förbud mot att använda vissa sökbegrepp inom folkbokföringsverksamheten

I 2 kap. 10 § FdbL anges i dag att vid sökning i databasen får upp- gifter som avses i 3 § första stycket 5, 11, 12 och 17 inte användas som sökbegrepp. Vidare anges att uppgifter som avses i 3 § första stycket 8 får användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgar- skap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).

Genom hänvisningen till 2 kap. 3 § första stycket 5, 11, 12 och 17 framgår att de uppgifter som avses är uppgifter om födelseort, sam- band enligt 10 som är grundat på adoption, dvs. make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen, inflyttning från utlandet samt uppe- hållsrätt för en person som är folkbokförd. Enligt 5 § FdbF avses med annan person som den registrerade har samband med inom folkbok- föringen enligt 2 kap. 3 § 10 FdbL annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt. Med uppgifter som avses i 3 § första stycket 8 menas uppgifter om med- borgarskap.

De nu gällande bestämmelserna härrör från den tidigare lagen (1990:1536) om folkbokföringsregister.238 Lagen innehöll bl.a. en bestämmelse i 6 § som på ett detaljerat sätt i en lista angav vilka upp- gifter om personer som är eller har varit folkbokförda som fick finnas i ett lokalt folkbokföringsregister. I 12 § fanns en bestämmelse som uttömmande angav vilka sökbegrepp som var tillåtna att använda i ett lokalt folkbokföringsregister eller centralt referensregister. Detta gjordes genom hänvisningar till specifika uppgifter i 6 §. Vid tidpunk- ten för lagens upphävande239 gällde enligt 12 § att i ett lokalt folkbok- föringsregister fick som sökbegrepp användas uppgifter om födelsetid och personnummer, namn, adress, folkbokföringsfastighet, lägen- hetsbeteckning, folkbokföringsort och folkbokföring under särskild rubrik, civilstånd samt make, barn, föräldrar och vårdnadshavare eller annan person som den registrerade hade samband med inom folk-

238Vid införandet av lagen gällde datalagen (1973:289) i fråga om s.k. personregister. Data- skyddsdirektivet hade ännu inte trätt i kraft, utan gjorde så först den 24 oktober 1995.

239Lagen upphävdes 2001-10-01 genom SFS 2001:182.

727

Känsliga personuppgifter, ...

SOU 2023:100

bokföringen med undantag för uppgift om adoption. I det centrala referensregistret fick som sökbegrepp användas uppgift om person- nummer, samordningsnummer, födelsetid, namn och avregistrering. Som sökbegrepp i ett register enligt lagen fick också, enligt de när- mare föreskrifter som kunde meddelas av regeringen eller den myn- dighet som regeringen bestämde, användas uppgifter om make, barn, föräldrar och vårdnadshavare eller annan person som den registre- rade har samband med inom folkbokföringen och om sambandet är grundat på adoption. Uppgifter om bl.a. födelseort, födelsehemort, medborgarskap eller inflyttning från utlandet fick alltså inte använ- das som sökbegrepp i registren.240

Frågan om vilka sökmöjligheter som skulle finnas i ett person- register ansågs vid denna tid vara av stor betydelse inte minst från integritetssynpunkt. I förarbetena anfördes även att man måste be- akta att det av offentlighetsprincipen följer att en myndighet måste använda alla tillåtna sökbegrepp och tekniska möjligheter som står myndigheten till buds för att ur dess register ta fram uppgifter som någon begär. Regeringen anförde att om det tillåts att i ett person- register använda alla eller många typer av registeruppgifter som sök- begrepp fanns således risk för att oönskade och oförutsedda konse- kvenser uppkommer. Vidare anförde regeringen att vid utformandet av de sökmöjligheter som då skulle byggas in främst i de lokala regist- ren skulle självfallet hänsyn också tas till kravet på en effektivt och rationellt bedriven folkbokföringsverksamhet. Av förarbetena fram- går även att det var ett begränsat antal sökmöjligheter som var nöd- vändiga för verksamheten, varför dessa kunde anges uttömmande. De sökbegrepp som väl infördes motiverades bl.a. med att de var nöd- vändiga för handläggningen av folkbokföringsärenden, eller för att kunna göra olika kontroller av uppgifterna i syfte att kunna garantera en god datakvalitet i de då nya registren.241 De begränsningar som fanns avseende vilka uppgifter som skulle få användas gjordes av integ- ritetsskäl, dvs. i fråga om uppgifter om bl.a. födelseort, medborgar- skap, inflyttning från utlandet eller relationsbegrepp som urskiljer adoptivförhållanden från biologiska relationer.

Införandet av den nu gällande folkbokföringsdatabaslagen inne- bar att de tidigare registren folkbokföringsregistret (reglerad i lagen

240Regeringen föreslog dock att uppgifter om medborgarskap skulle få användas som sök- begrepp, vilket alltså inte blev fallet, se prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35–36.

241Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 34–35.

728

SOU 2023:100

Känsliga personuppgifter, ...

om folkbokföringsregister) och aviseringsregistret (reglerad i lagen [1995:743] om aviseringsregister) slogs samman till en databas. I för- arbetena till 2 kap. 10 § FdbL anförde regeringen att förutom de be- gränsningar vid sökning som allmänt skulle gälla för behandling av uppgifter i elektroniska handlingar borde av integritetsskäl de då gäll- ande begränsningarna i sökmöjligheter enligt lagen om folkbokför- ingsregister i huvudsak tillämpas även i framtiden.242 Regeringen an- förde dock bl.a. att det inte fanns några integritetsskäl för att uppgift om födelsehemort, dvs. den ort i Sverige där modern var folkbok- förd när personen föddes, inte skulle få användas som sökbegrepp varför detta tilläts. Uppgift om födelseort, vilket angavs för personer födda utomlands, skulle dock fortsatt omfattas av särskilda sök- begränsningar. Vidare möjliggjordes sökning på uppgifter om med- borgarskap i de nordiska länderna eller om någon är medborgare i ett land inom EU eller inte, bl.a. då de ansågs behövas för framställ- ning av röstlängder och för avisering till vissa myndigheter.243 Sam- mantaget blev det genom bestämmelsen förbjudet för Skatteverket att som sökbegrepp vid sökning i databasen använda uppgifter om födelseort, vissa relationssamband grundat på adoption, inflyttning från utlandet och uppgifter om medborgarskap med undantag från medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen.

År 2014 blev det även förbjudet att använda uppgifter om uppe- hållsrätt för en person som är folkbokförd som sökbegrepp.244 Änd- ringen gjordes i samband med att uppehållsrätt infördes som ett uttryckligt villkor för folkbokföring, vid sidan av uppehållstillstånd. I samband därmed tilläts Skatteverket att registrera en uppgift om uppehållsrätt i folkbokföringsdatabasen när uppgiften ligger till grund för ett beslut om folkbokföring. Regeringen anförde att det i lagen redan fanns bestämmelser som av integritetsskäl begränsar möjlig- heterna att använda uppgifter med anknytning till utlänningar och

242Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 146. Utred- ningen som låg till grund för lagstiftningen anförde att uppgifter om födelseort, familjesam- band som grundas på adoption, inflyttning från utlandet och gravsättning på olika sätt är käns- liga, och att det inte heller fanns något direkt behov av att använda uppgifterna som sökbegrepp, se SOU 1999:105, Skatt – Tull – Exekution – Normer för behandling av personuppgifter, s. 318.

243Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 146.

244Ändringen infördes genom SFS 2013:382, se prop. 2012/13:120, bet. 2012/13:SkU25, rskr. 2012/13:254.

729

Känsliga personuppgifter, ...

SOU 2023:100

invandrare som sökbegrepp. En sådan begränsning borde enligt reger- ingen mot denna bakgrund även gälla för uppgift om uppehållsrätt.245

Skatteverkets behov

Skatteverket får i dag registrera uppgifter om födelseort, medbor- garskap, inflyttning från utlandet och uppehållsrätt för en person som är folkbokförd i folkbokföringsdatabasen. Vidare får uppgifter om make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen som är grundat på adoption registreras.246

När det gäller uppgifter om inflyttning från utlandet registreras uppgift om datum och från vilket land personen i anmälan har upp- gett att han eller hon har flyttat från. Då en person kan flytta till och från Sverige vid flera tillfällen kan en person ha flera ärenden om flytt till Sverige i vilka olika inflyttningsländer kan ha registrerats. I fråga om uppgifter om uppehållsrätt för en person som är folkbokförd regi- streras det förhållandet att en person har uppehållsrätt, men inte på vilken grund. Omständigheterna som ligger till grund för personens uppehållsrätt finns dock i ärendet genom bl.a. beslutet om folkbok- föring.

Skatteverket har fört fram att det inte finns något utökat behov av att kunna använda uppgifter om vissa relationssamband grundade på adoption som sökbegrepp inom folkbokföringsverksamheten. Där- emot har myndigheten till utredningen anfört att det finns behov av att kunna använda övriga uppgifter som i dag räknas upp i 2 kap. 10 § FdbL som sökbegrepp. En grundförutsättning för att Skatteverket ska kunna utnyttja de utökade möjligheterna att behandla person- uppgifter vid dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringen är enligt myndigheten att verksamheten kan använda nu aktuella uppgifter som sökbegrepp. Dessa uppgifter har associerats med risker för felaktiga uppgifter i folkbokföringen. Om det inte är möjligt att använda de riskindika- torer som krävs blir urvalet enligt myndigheten inte användbart. Inom verksamhetsområdet ”Flytta till Sverige” avslutades exempelvis drygt 109 000 ärenden under 2022.247 Om Skatteverket inte ges möj-

245Prop. 2012/13:120, Folkbokföringen i framtiden, s. 40–41 och 48–49.

246Se 2 kap. 3 § första stycket 5, 8, 11, 12 och 17 FdbL.

247Skatteverkets årsredovisning 2022, s. 64.

730

SOU 2023:100

Känsliga personuppgifter, ...

lighet att söka på sådana uppgifter kommer det enligt myndigheten att bli svårt att få fram något urval inom detta verksamhetsområde över huvud taget.

Som redogörs för i det följande har Skatteverket till utredningen även fört fram ett flertal andra exempel på varför myndigheten anser att den har behov av att göra sökningar grundade på de aktuella upp- gifterna kopplade till en persons nationalitet eller härkomst.

I ärenden där bosättning utreds behöver Skatteverket enligt myn- digheten kunna använda inflyttning från utlandet som sökbegrepp. Skatteverket ser även ett behov av att använda uppehållsrätt som sök- begrepp för att t.ex. göra urval av inkommande ärenden och kvalitets- uppföljning med anledning av ärendenas komplicerade natur. Möjlig- heten att söka fram urval av personer som är medborgare inom EES och som har uppehållsrätt som arbetstagare i Sverige skulle vidare enligt Skatteverket ge myndigheten bättre möjligheter att förebygga och förhindra felaktig folkbokföring för dessa personer. Skatteverket lägger stora resurser på uppföljning av ärenden om personer som hör till denna grupp men kan i dag inte basera ett urval på uppgift om uppehållsrätt. Det är även relevant att använda detta som sökbegrepp vid urval för förebyggande arbete.

Det förekommer vidare falska pass från vissa EU-länder i ärenden om att flytta till Sverige. Att kunna göra urval grundade på uppgifter om bl.a. medborgarskap tillsammans med andra typer av urvals- parametrar skulle enligt Skatteverket innebära bättre förutsättningar för myndigheten att kunna identifiera falska och oriktiga handlingar.

En ny särskild bestämmelse om sökbegrepp i den föreslagna folkbokföringsdatalagen

Vårt förslag till nytt sökförbud i avsnitt 10.9.1 innebär att det blir förbjudet för Skatteverket att inom folkbokföringsverksamheten göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförord- ningen. Därigenom kommer personuppgifter som avslöjar ras eller etniskt ursprung att omfattas av sökförbudet.

Vissa av de kategorier av uppgifter som den nuvarande bestämmel- sen om sökbegrepp i 2 kap. 10 § FdbL omfattar kan tänkas innebära behandling som avslöjar känsliga personuppgifter, om de t.ex. kombi- neras med andra uppgifter eller beroende på i vilket sammanhang de

731

Känsliga personuppgifter, ...

SOU 2023:100

förekommer. Det rör sig om uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap som i vissa fall tänkas avslöja en persons ras248 eller etniska ursprung. Uppgifter om relationsbegrepp som urskiljer adop- tivförhållanden från biologiska relationer är till skillnad från detta inte en kategori av uppgifter som enligt vår mening kan avslöja så- dana känsliga personuppgifter som avses i artikel 9.1 i dataskydds- förordningen.

Regeringen har dock tidigare bedömt att olika typer av uppgifter som avslöjar en persons nationalitet normalt inte utgör känsliga per- sonuppgifter. I propositionen till lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten har regeringen uppgett att en isolerad uppgift om medborgarskap varken avslöjar ras eller etniskt ursprung.249 I en annan proposition har reger- ingen i linje med detta bedömt att uppgifter om att en viss person är t.ex. spansk medborgare, född i Spanien eller inrest från Spanien inte omfattas av ett sökförbud i polisens verksamhet som avsåg uppgifter om bl.a. en persons ras eller etniska ursprung. Regeringen anförde dock att skulle en sådan uppgift i det enskilda fallet t.ex. avslöja etniskt ur- sprung faller den in under ett sådant förbud.250

I den mån uppgifter om nationell anknytning i ett enskilt fall utgör känsliga personuppgifter, kommer det sökförbud vi föreslår i avsnitt 10.9.1 att vara tillämpligt. Normalt är dock inte isolerade uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap sådana uppgifter som avslöjar känsliga personuppgifter.

Frågan är om det i dag finns skäl att införa en bestämmelse i den nya folkbokföringsdatalagen som motsvarar den nuvarande 2 kap. 10 § FdbL.

När det gäller uppgifter om personer som har samband till regi- strerade som är adopterade har de nuvarande sökbegränsningarna som ovan framgått införts av integritetsskäl. Även om uppgifterna inte ut- gör känsliga personuppgifter i dataskyddsförordningens mening anser

248Enligt riksdagen och regeringen är det inte önskvärt att använda ordet ras om människor i författningar. Eftersom det inte finns någon vetenskaplig grund för att dela in människor i olika raser, finns det ur biologisk synpunkt inte någon grund för att använda ordet ras om män- niskor, se prop. 2017/18:59, Ett utvidgat straffrättsligt skydd för transpersoner, s. 32–33.

249Prop. 2001/02:144, Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verk- samheten, s. 41.

250Prop. 2009/10:85, Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 325. Jfr även SOU 2015:39, Myndighetsdatalag, s. 328–329.

732

SOU 2023:100

Känsliga personuppgifter, ...

viatt det fortsatt finns vissa särskilda integritetsrisker för enskilda registrerade om t.ex. sammanställningar baserade på sådana upp- gifter tillåts göras genom sökningar, beroende på hur mottagaren avser att använda dem.251 Sådana sammanställningar kan visserligen skyddas av sekretess i vissa fall genom bestämmelserna i 21 kap. 7 § eller 22 kap. 1 § OSL. Enligt båda dessa bestämmelser gäller dock en presumtion för offentlighet. Vidare har det inte heller kommit fram att Skatteverket i dag har något utökat behov av att kunna utföra sökningar genom att använda sådana uppgifter som sökbegrepp. Mot denna bakgrund föreslår vi att det ska införas en bestämmelse i folk- bokföringsdatalagen som innebär att det är förbjudet att som sök- begrepp använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption. Det motsvarar den typ av absoluta sökbegränsning som i dag finns i 2 kap. 10 § FdbL avseende sådana uppgifter. Bestämmelsen är enligt vår mening möjlig att införa genom artikel 6.2 och 6.3 i dataskydds- förordningen.

I fråga om uppgifter om födelseort, inflyttning från utlandet, uppe- hållsrätt för en person som är folkbokförd eller medborgarskap som

idag omfattas av det särskilda sökförbudet anser vi till skillnad från vad som nu sagts att det inte bör införas en motsvarande bestäm- melse i den nya lagen. Uppgifterna utgör i normalfallet inte sådana känsliga personuppgifter som avses i dataskyddsförordningen. Det har vidare kommit fram att möjligheten att söka på uppgifterna är av stor betydelse för att Skatteverket ska kunna utföra sitt uppdrag inom folkbokföringsverksamheten på ett så effektivt, korrekt och rättssäkert sätt som möjligt, dvs. att se till att uppgifterna i folkbokför- ingen speglar befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder.252 De utökade möjligheter att göra data-

251Jfr prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35.

252Se 2 § andra stycket förordningen (2017:154) med instruktion för Skatteverket. Det kan här nämnas att det i Skatteverkets regleringsbrev för bl.a. 2023 anges att uppgifterna i folk- bokföringen ska hålla en hög kvalitet och folkbokföringsfelet ska vara så litet som möjligt. Skatteverket ska vidare bedöma folkbokföringsfelets storlek och redovisa vilka åtgärder som har vidtagits för att öka kvaliteten i folkbokföringen. Skatteverket ska särskilt beskriva hur fel förebyggs och vilka åtgärder som vidtagits för att stärka möjligheterna att utifrån riskbedöm- ningar prioritera arbetet med att minska felen, se Regeringsbeslut 2022-12-22, Regleringsbrev för budgetåret 2023 avseende Skatteverket, Fi2022/03445 (delvis), s. 2.

733

Känsliga personuppgifter, ...

SOU 2023:100

analyser och urval som Skatteverket har fått och föreslås få genom våra förslag riskerar även att få mindre genomslagskraft om sök- begränsningarna i 2 kap. 10 § FdbL oförändrade förs över till den nya lagen. Eftersom de uppgifter som finns registrerade i folkbokföringen är av stor betydelse för bl.a. andra myndigheters verksamhet, t.ex. vid bedömningen av om en enskild har rätt till bosättningsbaserade förmåner från välfärdssystemet, anser vi att Skatteverkets verksam- hetsbehov väger tungt vid bedömningen av om aktuella sökbegräns- ningar bör ha någon motsvarighet i den nya lagen. Det finns enligt vår mening starka skäl för att Skatteverket ska tillåtas använda upp- gifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap som sökbegrepp inom folkbokföringsverksamheten.

Även om uppgifterna i normalfallet inte utgör känsliga person- uppgifter i dataskyddsförordningens mening kan de anses vara sär- skilt integritetskänsliga i vissa situationer. Exempelvis har det, förutom i folkbokföringsverksamheten, införts en särskild sökbegränsning av- seende uppgifter om nationell anknytning i 14 § första stycket dom- stolsdatalagen. Inom folkbokföringsverksamheten behandlar Skatte- verket vidare en stor mängd uppgifter som avslöjar nationell anknyt- ning. Möjligheten att ta fram och därigenom kunna lämna ut sam- manställningar av personer på grundval av uppgifter om i vilket land de är medborgare, födelseort eller varifrån de flyttat kan t.ex. utnytt- jas för att kartlägga och förfölja vissa grupper av personer av utländsk härkomst.253

Möjligheterna för allmänheten att ta del av sådana sammanställ- ningar begränsas dock i vissa fall av sekretess. Enligt 21 kap. 5 § OSL gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhål- landet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Sekretessen är inte begränsad till någon viss verksamhet och ska alltså tillämpas även av Skatteverkets folk- bokföringsverksamhet då det är aktuellt. Vidare gäller sekretess enligt 22 kap. 1 § OSL för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften före- kommer i verksamhet som avser folkbokföringen. Utöver detta finns

253Jfr prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35.

734

SOU 2023:100

Känsliga personuppgifter, ...

vissa möjligheter att sekretessbelägga personuppgifter enligt 21 kap. 7 § första stycket 1 OSL, om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med EU:s dataskydds- förordning, t.ex. vid en begäran om massuttag av uppgifter.

Samtliga dessa sekretessbestämmelser innefattar raka skaderekvisit, vilket innebär att det föreligger en presumtion för att uppgifterna är offentliga. Om sökbegränsningen i 2 kap. 10 § FdbL avseende upp- gifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap inte skulle ges någon motsvarighet i den nya lagen finns det risk för att integritetskänsliga sammanställningar blir offentliga.254 Som tidigare konstaterats kommer vidare det föreslagna sökförbudet inte heller att omfatta sådana sök- ningar i de flesta fall. Trots detta anser vi att Skatteverkets behov av att kunna använda uppgifterna vid sökningar inom folkbokförings- verksamheten innebär att det särskilda sökförbudet avseende dessa inte bör ha någon motsvarighet i den nya lagen. Det krävs inte heller enligt den generella dataskyddsregleringen. Däremot anser vi att sammanställningar baserade på sådana uppgifter fortsatt bör ha ett starkt skydd inom folkbokföringsverksamheten. Vi föreslår därför att det i stället för ett absolut sökförbud, ska införas en särskild sekre- tessbestämmelse till skydd för uppgifterna i Skatteverkets folkbok- föringsverksamhet, se avsnitt 15.2. På detta sätt säkerställs att Skatte- verket kan bedriva en effektiv och rättssäker verksamhet så att myn- digheten kan fullgöra sitt uppdrag på ett adekvat sätt, samtidigt som enskildas personliga integritet värnas på det sätt vi anser behövs. I praktiken är förslaget avsett att ge samma effekt som det absoluta sökförbudet innebär i dag, dvs. att hindra offentliggörande av särskilt integritetskänsliga sammanställningar. Vi bedömer dock att det bidrar till en mer ändamålsenlig reglering att i ett fall som detta låta upp- gifterna omfattas av sekretess för att skydda enskildas personliga in- tegritet, vilket inte hindrar Skatteverket i utförandet av sitt uppdrag.

Mot bakgrund av att det nuvarande sökförbudet i 2 kap. 10 § FdbL även gäller vid sökning i den befintliga analys- och urvalsdata- basen255, finns särskilda överväganden avseende sådana sökningar vid dataanalyser och urval i avsnitt 14.11.6.

254Jfr 2 kap. 7 § TF.

2552 a kap 4 § FdbL.

735

Känsliga personuppgifter, ...

SOU 2023:100

10.9.4Den särskilda bestämmelsen om sökbegrepp i fråga om uppgifter om utslag vid Kronofogdemyndigheten bör inte längre finnas kvar

Vår bedömning: Nuvarande bestämmelse i kronofogdedatabas- lagen om sökbegrepp som föreskriver att efter utgången av det tredje året efter det att ett mål avslutats får endast utslagets num- mer användas som sökbegrepp i betalningsföreläggande- och hand- räckningsdatabasen i fråga om uppgifter om utslag i målet bör inte ha någon motsvarighet i den föreslagna kronofogdedatalagen.

Skälen för vår bedömning

I 2 kap. 29 § andra stycket KFMdbL finns en särskild bestämmelse om sökbegrepp. Bestämmelsen föreskriver att efter utgången av det tredje året efter det att ett mål avslutats får endast utslagets nummer användas som sökbegrepp i betalningsföreläggande- och handräck- ningsdatabasen i fråga om uppgifter om utslag i målet.

Bakgrunden till bestämmelsen är att vid införandet förlängdes den gallringsfrist som skulle gälla för uppgifter om utslag i mål om betal- ningsföreläggande från tre år till tio år (se 2 kap. 12 § KFMdbL). Skälet för den förlängda gallringsfristen var att myndigheten ansågs ha behov av att få tillgång till utslagen så länge de kan ligga till grund för verkställighet, vilket kunde vara under längre tid än tre år. Av hän- syn till skyddet för den enskildes personliga integritet infördes sam- tidigt regler som begränsar möjligheten att söka fram utslagen efter tre år.256 Frågan är om det finns skäl att i den föreslagna kronofogde- datalagen särskilt skydda uppgifter om utslag i mål genom att begränsa möjligheterna att söka efter dem.

Kronofogdemyndigheten har uppgett att den nuvarande sök- begränsningen avseende utslag är utformad på så sätt att motsvarande uppgifter kan sökas fram på annat sätt. Den nuvarande regleringen har därför i praktiken inte haft avsedd effekt. Vi föreslår i avsnitt 12.4.3 att det ska införas regler om längsta tid för behandling i stället för gallring. En följd av principen om lagringsminimering är att uppgif- ter som inte längre behövs i verksamheten inte ska behandlas där. Uppgifter som inte längre är aktuella som grund för verkställighet

256Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 165–166.

736

SOU 2023:100

Känsliga personuppgifter, ...

bör därför efter en viss tid i många fall enbart kunna behandlas för arkivändamål. När uppgifterna enbart behandlas för arkivändamål saknas som utgångspunkt möjlighet för en enskild handläggare att söka efter dem. Utöver detta är uppgifter om utslag inte sådana käns- liga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Uppgifterna är vidare som regel offentliga då de inte omfattas av någon särskild sekretessbestämmelse. De uppgifter som den nuvarande sök- begränsningen har avsett att skydda har alltså inte bedömts vara sär- skilt skyddsvärda inom sekretesslagstiftningen eller i den allmänna dataskyddsregleringen.

Vår bedömning är sammantaget att det saknas skäl att fortsatt begränsa Kronofogdemyndighetens möjligheter att söka efter utslag i mål till enbart utslagets nummer efter att en viss tid har förflutit. Vi bedömer därför att det inte bör finnas någon bestämmelse mot- svarande den nuvarande 2 kap. 29 § andra stycket KFMdbL i den före- slagna kronofogdedatalagen.

10.9.5De förändrade sökbegränsningarna innebär att behandlingen fortsatt är proportionerlig

Som redan konstaterats är de nu gällande bestämmelserna om sök- begränsningar i Skatteverkets, Tullverkets och Kronofogdemyndig- hetens verksamheter mer långtgående än de föreslagna sökbegräns- ningarna som utgår från syftet med en sökning. Våra förslag kan därför i vissa fall leda till utvidgade möjligheter för myndigheterna att be- handla känsliga personuppgifter och uppgifter om lagöverträdelser. Sökbegränsningarna kommer exempelvis inte att avse ett förbud mot att i varje situation använda vissa sökbegrepp vid sökning efter hand- lingar. Formuleringen innebär även att det inte kommer att finnas några hinder mot sökningar som görs för andra ändamål än att iden- tifiera ett urval av personer.257 Det kommer också att vara tillåtet att göra sökningar som avser en enda person, eftersom sökresultatet då inte kommer att utvisa något urval av personer.258

De sökningar som kommer att vara tillåtna för Skatteverket, Tull- verket och Kronofogdemyndigheten att utföra genom en huvudregel som utgår från syftet med en sökning bedöms dock inte medföra några väsentligen större integritetsrisker i förhållande till de risker

257Jfr prop. 2017/18:105, Ny dataskyddslag, s. 56.

258Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 69.

737

Känsliga personuppgifter, ...

SOU 2023:100

som även de nuvarande sökbegränsningarna avser att förhindra. De föreslagna sökbegränsningarna är, liksom andra typer av sökbegräns- ningar, nämligen avsedda att förhindra sammanställningar av integ- ritetskänsliga sökresultat, vilka skulle möjliggöra kartläggning av per- soner på grundval av t.ex. etnicitet eller politiska åsikter.259

De föreslagna verksamhetsspecifika undantagen från sökbegräns- ningarna kan dock komma att innebära vissa integritetsrisker genom att Skatteverket, Tullverket och Kronofogdemyndigheten i vissa fall tillåts göra urval av personer grundat på känsliga personuppgifter. Vid en avvägning mellan å ena sidan myndigheternas behov av att på ett effektivt och rättssäkert sätt kunna fullgöra sina verksamheter, och

åandra sidan de integritetsrisker som vidare sökmöjligheter kan inne- bära, bedömer vi dock att det är rimligt att Skatteverket, Tullverket och Kronofogdemyndigheten tillåts att i vissa fall, som är tydligt kopplade till verksamhetsbehoven, utföra sökningar för att få fram ett urval av personer grundat på vissa specifika kategorier av känsliga personuppgifter. Detsamma bör gälla sökningar på sådana uppgifter i enskilda handlingar och ärenden. Bestämmelsernas utformning be- döms sammantaget stå i proportion till det eftersträvade syftet, dvs. att myndigheterna ska kunna fullgöra sina författningsreglerade uppgif- ter på ett effektivt och rättssäkert sätt. Även övriga skyddsåtgärder som föreslås i lagarna kommer att gälla vid sökningar och det finns sekretessreglering som kan tillämpas på uppgifterna i respektive verk- samhet. Vid dataanalyser och urval föreslås därtill att absolut sekretess ska gälla för enskildas personliga eller ekonomiska förhållanden (se av- snitt 15.3). Det kommer därmed att finnas bestämmelser om lämpliga och särskilda åtgärder i den nationella rätten (artikel 9.2 g i dataskydds- förordningen). I fråga om uppgifter om lagöverträdelser bedöms så- dan behandling vara proportionerlig utan särskilda begränsningar (jfr avsnitt 10.8). Utöver detta krävs som vid all behandling, att det finns en tillämplig rättslig grund och att de grundläggande princi- perna för behandling av personuppgifter följs.

Genom bestämmelsernas verksamhetsspecifika undantag, som är mer tillåtande än dataskyddslagens bestämmelser, kan även regerings- formens skydd mot betydande intrång i den personliga integriteten aktualiseras i de fall en sådan åtgärd som tillåts innebär kartläggning av den enskildes förhållanden (2 kap. 6 § andra stycket RF).260 Be-

259Jfr prop. 2017/18:105, Ny dataskyddslag, s. 89.

260Jfr prop. 2017/18:105, Ny dataskyddslag, s. 90.

738

SOU 2023:100

Känsliga personuppgifter, ...

gränsningar av skyddet mot betydande intrång i den personliga in- tegriteten får endast göras genom lag för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningarna får aldrig heller gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett dem och inte heller sträcka sig så långt att de utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grund- valar (2 kap. 20 och 21 §§ RF). De föreslagna undantagen från sök- begränsningarna kommer att finnas i lag och är, som framgår ovan, enligt vår bedömning utformade för legitima syften och på ett sätt som är proportionerligt.

Vi bedömer sammantaget att de nya bestämmelserna om sök- begränsningar är utformade på ett sätt som innebär att myndigheternas behandling av personuppgifter är proportionerlig. Bestämmelserna bedöms vidare vara förenliga med både dataskyddsförordningens och regeringsformens bestämmelser.

10.10Behandling av personnummer och samordningsnummer behöver inte regleras särskilt

Vår bedömning: Det behöver inte finnas särskilda bestämmelser om behandling av personnummer och samordningsnummer i de nya lagarna.

Skälen för vår bedömning

I dag regleras myndigheternas möjligheter att behandla person- och samordningsnummer inom databaserna i registerlagarna. Det inne- bär att behandling av sådana uppgifter som är gemensamt tillgängliga regleras i de sektorspecifika lagarna medan övrig behandling som sker utan samtycke regleras av dataskyddslagens bestämmelser.261

Det är av vikt att Skatteverket, Tullverket och Kronofogdemyndig- heten fortsättningsvis får behandla person- och samordningsnummer inom ramen för de nya föreslagna lagarnas tillämpningsområden efter- som det bl.a. utgör ett medel för säker identifiering. Den absoluta huvuddelen av den behandling av sådana uppgifter som utförs sker utan samtycke från de registrerade. Vi bedömer att den generella

2611 kap. 6 § dataskyddslagen.

739

11Elektroniskt utlämnande av personuppgifter

11.1Inledning

I våra direktiv anges att ett vanligt sätt att skilja på olika former av elektroniskt utlämnande är att skilja mellan utlämnande på medium för automatiserad behandling, t.ex. genom e-post, och utlämnande genom s.k. direktåtkomst. Vidare anges att digitaliseringen medför att det ställs ökade krav på att myndigheter ska ha möjlighet att lämna uppgifter elektroniskt till framför allt enskilda, och att det kan finnas ett behov av en mer flexibel reglering av möjligheten till elek- troniskt utlämnande på annat sätt än genom direktåtkomst.

En fråga som enligt direktiven behöver utredas är om nuvarande regler om direktåtkomst är ändamålsenliga. Enligt direktiven bör elek- troniskt utlämnande på annat sätt än genom direktåtkomst i vissa fall, genom tillämpning av adekvat teknik, kunna tillgodose samma behov som direktåtkomst. I direktiven anges även att frågan behand- las i eSamverkansprogrammets (eSam) publikation Elektroniskt in- formationsutbyte – en vägledning för utlämnande i elektronisk form (maj 2016).

Ytterligare en fråga som enligt våra direktiv bör utredas är om dagens regler om elektroniskt utlämnande till utländska myndigheter, som gäller vid elektroniskt informationsutbyte inom ramen för det internationella samarbetet, är utformade på ett ändamålsenligt sätt. Det är enligt direktiven viktigt att regleringen inte skapar omotive- rade hinder för detta samarbete.

Vårt uppdrag består i att ta ställning till om nuvarande regler om elektroniskt utlämnande är utformade på ett ändamålsenligt sätt.

I kapitlet går vi igenom olika aspekter av elektroniskt utlämnande och särskilt frågor om direktåtkomst. Vi redogör för befintliga be-

741

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

stämmelser i registerförfattningarna samt regeringens överväganden i samband med att regleringen tillkom.

Informationshanteringsutredningen hade som huvuduppdrag att se över registerlagstiftningen och vissa därmed sammanhängande frågor. I delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) redovisades utredningens bedömningar bl.a. i frågan om det finns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande. I slutbetänkandet Myndighetsdatalag (SOU 2015:39) redovisades ytterligare övervägan- den kring direktåtkomst som är relevanta för vårt uppdrag. Vi redo- gör därför särskilt för Informationshanteringsutredningens ställ- ningstaganden i frågan om vilka särskilda effekter och risker som direktåtkomst medför, och som motiverat den utredningens bedöm- ning att direktåtkomst inte bör likställas med övrigt elektroniskt utlämnande.

I kapitlet redogör vi även för det i sammanhanget centrala s.k. LEFI Online-avgörandet från Högsta förvaltningsdomstolen (HFD 2015 ref. 61), samt vägledningen från eSam, och en senare publika- tion från samma organisation. Vi redogör även för relevanta bestäm- melser i EU:s dataskyddsförordning1, den svenska generella data- skyddsregleringen, samt Europeiska dataskyddstyrelsens vägledning om inbyggt dataskydd och dataskydd som standard. Vi redovisar även myndigheternas uppfattningar om nuvarande reglering. Slutli- gen lämnar vi förslag på ny reglering och redogör för de bedöm- ningar som ligger till grund för våra förslag.

11.2Olika former av elektroniskt utlämnande

11.2.1Allmänt om elektroniskt utlämnande

Informationsutbyte i elektronisk form är i dag en integrerad del i myndigheternas verksamhet. Skatteverket, Tullverket och Krono- fogdemyndigheten har ett dagligt elektroniskt utbyte av information med andra myndigheter och enskilda. Det finns även ett omfattande digitalt informationsutbyte mellan myndigheterna i EU:s medlems-

742

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

stater. Elektroniskt uppgiftslämnande kan ske på flera olika sätt, exem- pelvis genom e-post eller direkt överföring mellan olika it-system.

Utlämnande av personuppgifter utgör behandling av personuppgif- ter enligt EU:s dataskyddsförordning.2 För att behandling i form av utlämnande ska vara tillåten krävs följaktligen att de grundläggande förutsättningarna för behandling är uppfyllda. Det innebär bl.a. att det måste finnas en rättslig grund enligt artikel 6.1 för utlämnandet, exempelvis en tvingande bestämmelse om uppgiftsskyldighet eller underrättelseskyldighet som bryter eventuell sekretess.

I avsnitt 8.4.4 har vi föreslagit att det i de nya datalagarna ska finnas en bestämmelse om att personuppgifter som behandlas inom verk- samheten också får behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Den föreslagna bestämmelsen utgör inte en rättslig grund för uppgiftslämnande i dataskyddsförordningens mening. Bestämmelsen är i stället snarast en upplysningsbestämmelse som tydliggör att uppgifter kan komma att behandlas även för behov som ligger utanför den verksamhet som omfattas av respektive lags tillämpningsområde. Den rättsliga grun- den för behandling genom utlämnande utgörs i stället av de bestäm- melser som tillåter eller kräver att uppgifter lämnas ut.

Uppgifter som behandlas av en myndighet skyddas ofta av bestäm- melser som anger att sekretess alltid eller under vissa förutsättningar råder för uppgifterna utanför det sammanhang där de behandlas. Be- stämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400), OSL. Om en sekretessbestämmelse är tillämplig för en viss uppgift gäller sekretessen såväl i förhållande till enskilda som i förhållande till andra offentliga aktörer (och andra självständiga verk- samhetsgrenar inom myndigheten).3

I avsnitten 3.3.4–3.3.6 har vi redogjort för de sekretessbestäm- melser som gäller i Skatteverkets, Tullverkets och Kronofogdemyn- dighetens respektive verksamheter. Sammanfattningsvis råder som utgångspunkt absolut sekretess för uppgifter om en enskilds person- liga eller ekonomiska förhållanden i Skatteverkets beskattnings- verksamhet och för uppgifter som behandlas i beskattningsdatabasen.4 För uppgift om en enskilds personliga förhållanden i Skatteverkets

2Av artikel 4.2 i dataskyddsförordningen framgår att med behandling avses bl.a. utlämning genom överföring, spridning eller tillhandahållande på annat sätt.

38 kap. 1–2 §§ OSL.

427 kap. 1 och 2 §§ OSL.

743

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

folkbokföringsverksamhet finns en presumtion för offentlighet.5 För vissa särskilt angivna uppgifter eller ärenden gäller dock absolut sekretess eller en presumtion för detsamma.6 I Tullverkets verksam- het och för uppgifter som behandlas i tulldatabasen råder en presum- tion för sekretess för uppgifter om en enskilds personliga eller eko- nomiska förhållanden.7 I Kronofogdemyndighetens verksamhet och för uppgifter som behandlas i de olika databaserna råder dock enbart i vissa fall en presumtion för sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden. I många fall råder i stället en presumtion för offentlighet. Endast i undantagsfall, dvs. när Krono- fogdemyndigheten har blockerat en uppgift, råder absolut sekretess.8

En uppgiftsskyldighet i lag eller förordning bryter sekretess i förhållande till andra myndigheter, vilket framgår av 10 kap. 28 § OSL. För att sekretessbelagda uppgifter ska kunna lämnas ut från en myndighet till en annan måste det alltså föreligga en skyldighet i lag eller förordning att lämna ut uppgifterna, om utlämnandet inte kan ske med stöd av någon generellt sekretessbrytande bestämmelse. För att sekretessbelagda uppgifter ska kunna lämnas ut till enskilda krävs att det framgår av offentlighets- och sekretesslagen att så får ske, eller att det anges i lag eller förordning som offentlighets- och sekre- tesslagen hänvisar till.9 I kapitel 13 redogör vi närmare för olika aspek- ter av informationsutbyte mellan myndigheter samt Skatteverkets, Tullverkets och Kronofogdemyndighetens respektive skyldigheter att lämna ut uppgifter i vissa fall. Vi redogör därför inte närmare för de generella förutsättningarna för uppgiftslämnande i detta samman- hang. I det följande behandlas i stället sådan reglering som begränsar eller tillåter att en myndighet lämnar ut uppgifter elektroniskt.

Enligt 2 § förordningen (2003:770) om statliga myndigheters elek- troniska informationsutbyte ska en myndighet i sin verksamhet främja utvecklingen av ett säkert och effektivt elektroniskt informations- utbyte inom den offentliga förvaltningen. I dag finns det inte någon generell reglering av vilka särskilda former myndigheters elektroniska informationsutbyte ska ha, eller vilka tekniska lösningar som får an- vändas. Däremot finns bestämmelser om formerna för myndigheters kommunikation med andra aktörer avseende beslut. Ett beslut som

522 kap. 1 § första stycket OSL.

622 kap. 1 § andra stycket OSL och 22 kap. 1 a samt 2 §§ OSL.

727 kap. 1–3 §§ OSL.

834 kap. OSL.

98 kap. 1 § OSL.

744

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

ska tillhandahållas bör skickas med post, om inte något annat har begärts. Om det är lämpligt får en handling skickas med telefax eller elektronisk post eller på annat sätt tillhandahållas i elektronisk form.10 Bestämmelser som begränsar en myndighets möjlighet att lämna ut uppgifter elektroniskt både till enskilda och andra myndigheter finns dock ofta i sektorsspecifik kompletterande dataskyddsreglering.

Offentlighetsprincipen innebär att allmänheten ska ha insyn i statens och kommunernas verksamhet. Principen kommer bl.a. till ut- tryck genom rätten att ta del av allmänna handlingar, som regleras i 2 kap. tryckfrihetsförordningen,TF. Genom offentlighetsprincipen ges enskilda rätt att ta del av allmänna handlingar hos Skatteverket, Tullverket och Kronofogdemyndigheten. Såvitt avser utlämnande av allmänna handlingar från myndigheter till enskilda finns det en gene- rell reglering av formen för utlämnande i tryckfrihetsförordningen. Enskilda har genom 2 kap. 15 § TF rätt att ta del av allmänna hand- lingar hos den myndighet som förvarar dem, på ett sådant sätt att den kan läsas eller avlyssnas eller uppfattas på annat sätt. Den som önskar det har även rätt att mot en fastställd avgift få en avskrift eller kopia av en allmän handling, till den del handlingen får lämnas ut, vilket framgår av 2 kap. 16 § TF.

En myndighet är dock enligt 2 kap. 16 § TF inte i större utsträck- ning än vad som följer av lag skyldig att lämna ut en upptagning för automatiserad behandling (dvs. digitalt) i annan form än genom ut- skrift. Bestämmelsen kallas utskriftsundantaget. Av förarbetena till tryckfrihetsförordningen framgår att det var framför allt register- och databashantering som avsågs med upptagning för automatiserad be- handling. Ett utlämnande av sådana handlingar i form av kopia an- sågs kunna riskera att uppgifter behandlades automatiserat på ett sätt som kunde medföra otillbörliga integritetsintrång. Det var mot den bakgrunden som utskriftsundantaget infördes. Med ”utskrift” avses att en teknisk upptagning överförs till skrift. Bestämmelsen innebär dock inte något förbud mot att handlingar lämnas ut i elektronisk form.11

109–10 §§ förordningen (2003:234) om tiden för tillhandahållande av domar och beslut, m.m. Förordningens bestämmelser är dock enligt 1 § andra stycket subsidiära i förhållande till av- vikande bestämmelser i annan författning.

11Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 80–82, 86 och 113, och prop. 1975/76:160, om nya grundlagsbestämmelser angående allmänna handlingars offentlighet s. 82–83 och 189.

745

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Sedan den 1 augusti 2022 gäller en ny lag om den offentliga sek- torns tillgängliggörande av data. Lagen (2022:818) om den offentliga sektorns tillgängliggörande av data, öppna datalagen, gäller när en myndighet tillgängliggör data för vidareutnyttjande och innehåller bl.a. krav på i vilka format olika slags data ska göras tillgängliga. När data lämnas mellan myndigheter är dock lagen inte tillämplig.12 Lagen påverkar inte tillämpningen av bestämmelser i någon annan författ- ning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt. Lagen påverkar inte heller tillämpningen av bestämmel- ser i någon författning om skyddet av personuppgifter.13

11.2.2Utlämnande genom direktåtkomst

En särskild form av elektroniskt utlämnande

Som redan nämnts kan ett elektroniskt informationsutbyte ske på olika sätt. Direktåtkomst är en form av elektronisk informations- överföring som sammanfattningsvis innebär att den utlämnande myn- digheten ger mottagaren möjlighet att hämta information direkt från den utlämnande myndighetens it-system. Det skiljer sig alltså från sådant elektroniskt utlämnande som föregås av en manuell eller auto- matiserad kontroll eller annan prövning av om utlämnandet ska ske.

Det som i dag kallas direktåtkomst benämndes tidigare terminal- åtkomst. Utlämnande genom det som i dag benämns som direkt- åtkomst kännetecknades ursprungligen av en tillgång via terminal eller liknande till en ”dataanläggning.”14 I de tidiga systemen för terminal- åtkomst ansågs det saknas teknisk möjlighet att begränsa den enskilde medarbetarens åtkomst till enbart sådana uppgifter som han eller hon behövde för sitt arbete.15 Att en uppgift var tillgänglig ”via terminal” ansågs därför öka risken för att någon obehörigen tog del av den, vilket i sin tur försvagade sekretesskyddet.16

Ett vanligt sätt att beskriva direktåtkomst har tidigare varit att ett sådant utlämnande innebär att mottagaren på egen hand kan söka i den utlämnande myndighetens informationssamling, men utan att

121 kap. 8 § andra stycket lagen om den offentliga sektorns tillgängliggörande av data.

131 kap. 2 § lagen om den offentliga sektorns tillgängliggörande av data.

14Jfr beskrivningen i prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryck- frihetsförordningen m.m., s. 77.

15Prop. 1979/80:146, med förslag till skatteregisterlag, s. 21.

16Prop. 1979/80:146, med förslag till skatteregisterlag, s. 31.

746

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

kunna påverka innehållet. I begreppet direktåtkomst ligger också att den utlämnande myndigheten saknar kontroll över vilka faktiska upp- gifter, av de som åtkomst har medgetts till, som den externa parten vid ett visst tillfälle tar del av.17 Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar därmed inte något beslut om utlämnande av uppgifter i varje enskilt fall som den mottagande myndigheten tar del av uppgifterna. I stället måste den utlämnande myndigheten göra en förhandsprövning av förutsättningarna för utlämnande i samband med att åtkomsten rent tekniskt upprättas. En sådan prövning inne- fattar alla uppgifter som mottagaren har möjlighet att ta del av genom direktåtkomsten. Beroende på vad direktåtkomsten avser kan pröv- ningen behöva omfatta en stor informationsmängd, exempelvis typer eller kategorier av uppgifter avseende en fördefinierad grupp av per- soner.

Sedan direktåtkomst började användas vid informationsutbyte mel- lan myndigheter har den tekniska utvecklingen ökat möjligheterna att avgränsa mottagarens möjlighet att ta del av uppgifter hos den mot- tagande myndigheten. I dag utmärks direktåtkomst av att den mot- tagande myndigheten har en digital och direkt tillgång till viss infor- mation som finns hos den utlämnande myndigheten, som ofta finns på en särskild och avgränsad yta. Med dagens teknik kan åtkomsten även begränsas hos den mottagande myndigheten till att endast avse uppgifter som behövs för de arbetsuppgifter den enskilda medarbe- taren har.

Lagstiftaren har ofta bedömt att direktåtkomst är en så integritets- känslig form av personuppgiftsbehandling att den i princip endast är tillåten om det finns stöd för den i lag.18 Det har dock även förekom- mit oreglerat uppgiftslämnande genom direktåtkomst.19 Bestämmelser som förbjuder direktåtkomst, eller som anger i vilka fall direktåtkomst får förekomma, finns i regel i sektorsspecifik dataskyddsreglering. Bestämmelser som tillåter direktåtkomst är ofta utformade på så sätt att en myndighet under vissa förutsättningar får ha direktåtkomst till vissa uppgifter hos en annan myndighet. Sådana bestämmelser inne- bär dock endast att lagstiftaren eller regeringen ger den utlämnande

17Jfr tex. prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 83, prop. 2005/06:52 Elektronisk informationsöverföring hos arbetslöshetskassorna och inom Arbetsmarknadsverket, s. 8 och prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklara- tionen, s. 127.

18Jfr bl.a. redogörelsen i SOU 2010:4, Allmänna handlingar i elektronisk-form – offentlighet och integritet, s. 133–134 och 365.

19SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 121.

747

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

myndigheten rätt att bevilja den mottagande myndigheten direkt- åtkomst till de angivna uppgifterna. Om bestämmelser om direkt- åtkomst inte är tvingande är det därför den utlämnande myndigheten som ansvarar för att bedöma om utlämnande genom direktåtkomst kan ske på ett säkert sätt från integritetssynpunkt.20 Dessa överväg- anden måste i dag göras utifrån de krav som ställs upp i EU:s data- skyddsförordning, se avsnitt 11.7.3.

Direktåtkomst och sekretess

Bestämmelser om sekretess

En bestämmelse som tillåter en myndighet att lämna ut uppgifter genom direktåtkomst är inte sekretessbrytande om den inte är tving- ande för den utlämnande myndigheten.21 Om sekretess gäller hos den utlämnande myndigheten för de uppgifter som ska lämnas ut krävs därför att det också finns en sekretessbrytande bestämmelse som är tillämplig och som inte kräver bedömningar som behöver göras av en människa i varje enskilt fall.22 Möjligheten att över huvud taget utnyttja direktåtkomst för informationsöverföring mellan två myn- digheter kan alltså vara begränsad redan på grund av utformningen av de sekretessbrytande bestämmelserna (jfr avsnitt 13.4.4).

I bestämmelser som tillåter direktåtkomst anges ofta att den mot- tagande myndigheten får ha direktåtkomst till vissa uppgifter hos den utlämnande myndigheten, men enbart avseende personer som är aktuella i ett ärende hos den mottagande myndigheten. Den mottag- ande myndigheten får då endast söka efter uppgifter efter att en person har blivit aktuell i ett ärende hos den mottagande myndigheten. Rent tekniskt kan den mottagande myndigheten emellertid behöva ha möj- lighet att ta del av uppgifter om alla personer som förekommer med relevanta uppgifter hos den utlämnande myndigheten. Det beror på att den mottagande myndigheten inte i förväg kan veta vilka perso- ner som kan komma att bli aktuella i ärenden och ett närmare urval kan vara tekniskt omöjligt. Uppgifter som en mottagande myndig- het har direktåtkomst till är därför i normalfallet att anse som ut-

20Jfr prop. 2020/21:224, Behandling av personuppgifter vid Försvarsmakten och Försvarets radio- anstalt s. 105.

21Se t.ex. prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 83 och prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 151.

22Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 73.

748

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

lämnade dit i och med att direktåtkomsten upprättats och är aktiv (se avsnitt om överskottsinformation nedan). Det spelar i det samman- hanget ingen roll om den mottagande myndigheten faktiskt tar del av en viss uppgift eller inte.23 Eventuella sekretessbrytande bestämmel- ser måste därför omfatta även sådan information som den utlämnande myndigheten rent tekniskt gör tillgänglig för den mottagande myn- digheten i samband med att direktåtkomsten upprättas. De sekretess- brytande bestämmelserna som krävs för att direktåtkomst ska vara möjlig måste alltså ha ett relativt stort tillämpningsområde och avse alla uppgifter som den mottagande myndigheten kan antas komma att ha ett behov av.24

När en sekretessreglerad uppgift lämnas från en myndighet till en annan är huvudregeln att sekretessen inte följer med uppgiften. Det finns dock bestämmelser om överföring av sekretess inom vissa om- råden, bl.a. vid direktåtkomst. Om en myndighet har elektronisk till- gång hos en annan myndighet till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir enligt 11 kap. 4 första stycket OSL sekretessbestämmelsen tillämp- lig även hos mottagaren. Bestämmelsen ska dock inte tillämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten, vilket framgår av 11 kap. 4 § andra stycket OSL. Det innebär att vid direktåtkomst ska sekretesskyddet hos den utlämnande myndigheten gälla även hos den mottagande myndigheten, så länge uppgiften som utlämnats genom direktåtkomst inte ingår i ett beslut hos den mot- tagande myndigheten. Det gäller dock enligt 11 kap. 8 § OSL enbart om det inte hos den mottagande myndigheten finns en sekretess- bestämmelse till skydd för samma intresse som redan är tillämplig på uppgifterna hos den mottagande myndigheten. Om det finns en sekre- tessbestämmelse som är primärt tillämplig hos den mottagande myn- digheten är det därmed den bestämmelsen som ska tillämpas i stället för den överförda sekretessen. Det gäller oavsett om den primära sekretessen är starkare eller svagare än den sekundära sekretessen.25

23Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 73.

24Kommittédirektiv 2011:86, Integritet, effektivitet och öppenhet i en modern e-förvaltning, s. 11–12.

25Se Hollunger Wågnert, Offentlighets- och sekretesslag (2009:400) 11 kap. 4 §, Karnov (JUNO) [hämtad 2023-04-21]. Med uttrycket primär sekretess avses en sekretessbestäm- melse som är direkt tillämplig hos en viss myndighet. Med uttrycket sekundär sekretess avses en sekretessbestämmelse som normalt inte ska tillämpas av en viss myndighet, men som kan komma att bli tillämplig där genom bestämmelser om överföring av den sekretessbestäm- melsen från den myndighet där den är primär.

749

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Databassekretess hos Skatteverket, Tullverket och Kronofogdemyndigheten

I kapitel 9 har vi redogjort för den databasreglering som finns i de befintliga registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndig- heten. Databasregleringen utgörs sammanfattningsvis av bestäm- melser som endast gäller för uppgifter som behandlas gemensamt i den aktuella verksamheten.

I offentlighets- och sekretesslagen finns särskilda sekretessbestäm- melser för uppgifter i myndigheternas databaser, den s.k. databas- sekretessen. Databassekretessen är även tillämplig hos en mottagande myndighet som har direktåtkomst till uppgifter i databasen.26 Data- bassekretessen utgör en primär sekretessbestämmelse, inte bara hos den utlämnande myndigheten utan även hos andra myndigheter som har direktåtkomst till uppgifter i respektive databas. Sekretessbestäm- melsens utformning gör att den är tillämplig hos de genom direkt- åtkomst anslutna myndigheterna så länge som uppgifterna inte har tagits ut ur databasen. Databassekretessen är därmed tillämplig när uppgifterna endast är tekniskt tillgängliga hos den mottagande myn- digheten.

Databassekretessen upphör dock att vara tillämplig hos den mot- tagande myndigheten när en uppgift ur databasen används i den mot- tagande myndighetens verksamhet.27 Databassekretessen innebär alltså att samma sekretesskydd som gäller vid myndigheternas behandling av uppgifter också gäller hos mottagaren, fram till dess uppgifterna ingår i ett ärende där.

I avsnitt 9.4.2 föreslår vi att den särskilda databasregleringen ska upphöra. I avsnitt 15.5.3 föreslår vi nya sekretessbestämmelser med innebörden att sekretess motsvarande databassekretessen även i fort- sättningen ska gälla vid direktåtkomst.

2627 kap. 1 § andra stycket 1 OSL avseende Skatteverket, 27 kap. 3 § andra stycket OSL avse- ende Tullverket och 34 kap. 1 § och 2 § första stycket OSL avseende Kronofogdemyndigheten.

27Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 184 och prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 12.

750

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Överskottsinformation vid direktåtkomst

Handlingsoffentligheten och direktåtkomst

Redan för cirka 15 år sedan konstaterade regeringen att teknik- utvecklingen hade lett till att skillnaden mellan direktåtkomst och annat elektroniskt utlämnande blivit så liten att det ibland kunde vara svårt att dra en gräns mellan de olika formerna för elektronisk informationsöverföring.28 Liknande bedömningar har gjorts i flera andra sammanhang sedan dess. Användarupplevelsen blir exempelvis densamma i en s.k. fråga-svar-tjänst (se avsnitt 11.4.2 om LEFI Online- avgörandet) som vid direktåtkomst. I båda fallen lämnas uppgifter ut momentant, utan någon mänsklig inblandning.29 Vid direktåtkomst uppkommer dock vissa rättsliga konsekvenser som innebär att det finns rättsliga skillnader mellan direktåtkomst och andra former för elektroniskt utlämnande.

I 2 kap. TF finns bestämmelser om den s.k. handlingsoffentlig- heten. Handlingsoffentligheten, som innebär att var och en ha rätt att ta del av allmänna handlingar, slås fast i 2 kap. 1 § TF. Rätten att ta del av allmänna handlingar begränsas dock av offentlighets- och sekre- tesslagens bestämmelser.

Med handling avses enligt 2 kap. 3 § TF bl.a. en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller upp- fattas på annat sätt. Det innebär att även digitalt hanterade uppgifter omfattas av handlingsoffentligheten. Det krävs dock att uppgiften är fixerad på något sätt.30

En handling är vidare allmän bara om den förvaras hos en myn- dighet och är att anse som inkommen till eller upprättad hos en myn- dighet, 2 kap. 4 § TF. En upptagning anses enligt 2 kap. 6 § TF första stycket31 förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas

28Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 58.

29Jfr SOU 2021:46, Snabbare lagföring – ett snabbförfarande i brottmål, s. 416 och Skatteverkets remissvar 2020-04-20, Promemorian, De brottsbekämpande myndigheternas direktåtkomst till beskattningsdatabasen, Ju2020/00320/L4, s. 4.

30Prop. 1973/33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 75.

31Regleringen fanns tidigare i 2 kap. 3 § TF. Ändringarna, som infördes den 1 januari 2019, är endast språkliga och redaktionella, se prop. 2017/18:49, Ändrade mediegrundlagar, s. 192.

751

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

eller uppfattas på annat sätt.32 En handling anses enligt 2 kap. 9 § första stycket TF ha kommit in till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om en upptagning som avses i 2kap. 3 § TF gäller i stället att den anses ha kommit in till myndigheten när någon annan har gjort den tillgänglig för myndigheten på det sätt som anges i 2 kap. 6 § TF.

All elektroniskt lagrad information hos en annan myndighet som en myndighet har möjlighet att överföra till läsbar, hörbar eller annan uppfattbar form, med hjälp av utrustning som mottagarmyndigheten förfogar över, utgör alltså allmän handling hos mottagarmyndigheten om inget undantag är tillämpligt. Detta gäller redan i och med att överföringsmöjligheten uppstår, exempelvis genom upprättandet av en direktåtkomst till vissa uppgifter.33

Så kallade potentiella handlingar, dvs. sammanställningar av upp- gifter ur en upptagning för automatiserad behandling, anses dock enligt 2 kap. 6 § andra stycket TF förvarade hos den mottagande myn- digheten bara om sammanställningen kan göras tillgänglig där med rutinbetonade åtgärder. Om den myndighet som tar emot uppgifter via direktåtkomst måste använda sig av mer än rutinbetonade åtgär- der för att få fram sammanställningen är den därmed inte allmän hos den mottagande myndigheten. Av praxis följer att en arbetsinsats på 4–6 timmar för att göra en sammanställning överstiger vad som kan ses som rutinbetonade åtgärder (HFD 2015 ref. 25). Potentiella hand- lingar är inte heller allmänna hos den myndighet som tar emot upp- gifter via direktåtkomst om den myndigheten, enligt lag eller förord- ning, saknar befogenhet att göra sammanställningen tillgänglig (2 kap. 7 § TF, den s.k. begränsningsregeln). Det innebär att om det i den mottagande myndighetens verksamhet finns ett förbud mot att göra vissa sökningar, exempelvis ett förbud mot att använda känsliga person- uppgifter som sökbegrepp, gäller det förbudet även för de uppgifter som direktåtkomsten omfattar (se även avsnitt 10.9 om sökbegräns- ningar).

I 2 kap. 14 § första stycket TF anges ytterligare undantag från när en handling är att betrakta som allmän, bl.a. om den ingår i ett biblio-

32Enligt Informationshanteringsutredningen borde direktåtkomst avgränsas på så sätt att den endast skulle anses föreligga om en myndighet hos en annan myndighet har sådan teknisk tillgång till upptagningar som avses i nuvarande 2 kap. 6 § andra stycket TF, se avsnitt 11.4.1 nedan. Högsta förvaltningsdomstolen använde i LEFI Online-avgörandet en motsvarande definition av direktåtkomst, se avsnitt 11.4.2 nedan.

33Jfr SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 113.

752

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

tek (den s.k. biblioteksregeln). Biblioteksregeln innebär att informa- tion på öppna webbplatser som en myndighet har åtkomst till inte är att anse som allmänna handlingar.34

Uppgifter som inte behövs

Om de uppgifter som lämnas ut genom direktåtkomst är sekretess- belagda hos den utlämnande myndigheten krävs, som vi redan nämnt, att det finns en sekretessbrytande bestämmelse som avser samtliga uppgifter som direktåtkomsten omfattar. En direktåtkomst omfattar dock i regel enbart sådana uppgifter som den utlämnande myndig- heten på förhand och i samråd med den mottagande myndigheten bedömer att den mottagande myndigheten har rätt att, och kan komma att behöva, ta del av. Som en generell utgångspunkt kan dock förutsättas att en mottagande myndighet inte kommer att faktiskt ta del av samtliga uppgifter som lämnas ut genom direktåtkomst. Det är först när det uppkommer ett sakligt behov av uppgifterna som den mottagande myndigheten får ta del av dem. Den mottagande myn- digheten saknar alltså i normalfallet rättslig grund i dataskyddsförord- ningens mening för att behandla samtliga uppgifter som lämnas ut genom direktåtkomst (se avsnitt 3.2.5). Exempelvis måste den mottag- ande myndigheten normalt anses sakna rättslig grund för behandling av uppgifter om person som inte förkommer i den egna verksamheten, men som är aktuell hos den utlämnande myndigheten i ett sådant sammanhang att uppgifter om personen omfattas av direktåtkomsten. Den information som den mottagande myndigheten har teknisk till- gång till genom direktåtkomsten, men som myndigheten inte har skäl att faktiskt ta del av utgör överskottsinformation. I Informations- hanteringsutredningens delbetänkande definierades överskottsinfor- mation enligt följande.

Med överskottsinformation avses externt tillgänglig […] information som en mottagande myndighet (mottagarmyndighet) vid direktåtkomst eller liknande elektronisk tillgång till en annan myndighets (värdmyndig- het) elektroniska informationssamling tekniskt sett har tillgång till men som mottagarmyndigheten, av hänsyn till värnandet om enskilda regi- strerades personliga integritet, inte får använda i ett enskilt fall eller ta del av utan att t.ex. vissa förutsättningar är uppfyllda. Med överskotts- information avses också information som mottagarmyndigheten visser-

34SOU 2015:39, Myndighetsdatalag, s. 391.

753

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

ligen får men ännu inte har använt i sin verksamhet. […] En mottagar- myndighet kan alltså ofta ha direktåtkomst till uppgifter om personer som visar sig aldrig bli aktuella i mottagarmyndighetens verksamhet.35

I rättslig mening är dock samtliga upptagningar som direktåtkomsten omfattar inkomna till den mottagande myndigheten. Uppgifter i upp- tagningar som direktåtkomsten omfattar är därmed som utgångs- punkt allmänna handlingar hos mottagaren, om inget undantag är tillämpligt. Det gäller oavsett om den mottagande myndigheten har tagit del av dem eller inte.

Direktåtkomst får dock inte medges till uppgifter som det på för- hand går att konstatera att den mottagande myndigheten inte har rätt att ta del av. Den faktiska begränsningen av direktåtkomst görs i dag med hjälp av olika tekniska lösningar, beroende på hur omfatt- ningen av direktåtkomsten har begränsats i det enskilda fallet. Direkt- åtkomst utformas i dag ofta på så sätt att den information som om- fattas av de eventuella sekretessbrytande bestämmelserna läggs över på en särskild digital yta i den utlämnande myndighetens system. En mottagande myndighet har då enbart tillgång till denna avgränsade yta. Överskottsinformationen utgörs därmed inte av den totala uppgifts- mängden hos den utlämnande myndigheten. I dag finns det följakt- ligen inte någon faktisk möjlighet för den mottagande myndigheten att vid direktåtkomst fritt söka i den utlämnande myndighetens totala uppgiftsmängd.

11.2.3Utlämnande av uppgifter på medium för automatiserad behandling

Många olika former av elektroniskt utlämnande

Till skillnad från direktåtkomst avser utlämnande på medium för automatiserad behandling inte någon särskild form av elektronisk informationsöverföring. Det finns inte heller någon legaldefinition av begreppet. Vad som avses har dessutom varierat beroende på vilken informationsteknik som varit tillgänglig för tillfället. Utlämnande på medium för automatiserad behandling karaktäriseras dock av att det inte utgör direktåtkomst. Ursprungligen avsågs en fysisk bärare av information som krävde någon form av automatiserad teknik för att

35SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 12

754

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

avläsas eller avlyssnas. Vid millennieskiftet angavs utlämnande på mag- netband eller diskett som exempel, tekniker som är helt utdaterade i dag.36 Ännu tidigare exempel är s.k. hålkort och hålremsor.37

I takt med att tekniken för digital informationshantering har ut- vecklats har också begreppet utlämnande på medium för automatise- rad behandling fått en vidare innebörd än att avse ett överlämnande av elektroniskt lagrade uppgifter via något slags fysiskt medium för lagring eller överföring. Med dagens teknik kan utlämnande av infor- mation ske exempelvis genom e-post eller genom direkt överföring från ett digitalt informationshanteringssystem till ett annat. Vid ett mer omfattande informationsutbyte mellan myndigheter är det oftast den senare metoden som används. Utlämnande på medium för auto- matiserad behandling innebär som regel att information lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan vidarebearbeta informationen. Detta innebär effektivitetsvinster för mottagaren, sam- tidigt som det kan innebära risker för den personliga integriteten.

Så kallade batch-körningar utgör en form av utlämnande på medium för automatiserad behandling som ofta används mellan myndigheter. Stora informationsmängder, batcher, lämnas då över till den mottag- ande myndigheten med viss fördröjning. Ett annat sätt att beskriva förfarandet är att de uppgifter som ett reglerat uppgiftslämnande om- fattar lämnas över i bulk, utan en prövning av behovet i det enskilda fallet hos den mottagande myndigheten. Den fördröjning som är in- byggd i systemet, jämfört med om utlämnandet hade skett genom direktåtkomst, anses innebära en möjlighet för utlämnaren att kon- trollera vilken information som ska lämnas ut. Den faktiska sekretess- prövningen sker dock i praktiken i samband med att den tekniska för- bindelsen som möjliggör körningen upprättas mellan myndigheterna.38 Någon ytterligare prövning av uppgifterna i samband med det fak- tiska utlämnandet sker alltså inte vid batch-körningar, även om det är teoretiskt möjligt.

Ytterligare en modern variant av utlämnande på medium för auto- matiserad behandling är helt automatiserade fråga-svar-tjänster. En sådan tjänst karaktäriseras av att uppgiftslämnandet från en myndig- het till en annan sker momentant. Liksom batch-körningar bygger en fråga-svar-tjänst på en i förväg genomförd sekretessprövning och

36Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 234.

37Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen m.m., s. 75.

38Jfr SOU 2015:39, Myndighetsdatalag, s. 128.

755

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

automatiserade kontroller (se avsnitt 11.4.2 om LEFI Online-avgör- andet nedan).

Vad som ska lämnas ut avgörs av den utlämnande myndigheten

Vid utlämnande på medium för automatiserad behandling, är det den utlämnande myndigheten som rättsligt förfogar över prövningen av om och i så fall vilka uppgifter som ska lämnas ut till mottagaren. Utmärkande för sådant elektroniskt utlämnande är att mottagaren frågar efter uppgiften och utlämnaren prövar om utlämnandet får och ska genomföras. Den utlämnande myndighetens prövning sker bl.a. med beaktande av eventuella regler om sekretess och rättsliga begräns- ningar av möjligheten att lämna ut uppgifter elektroniskt. Vid utläm- nande på medium för automatiserad behandling finns det som utgångs- punkt en möjlighet för den utlämnande parten att neka eller stoppa utlämnandet i det enskilda fallet. Som påpekats ovan är denna möjlig- het i dag i många fall enbart teoretisk, eftersom informationsutbytet i dag är helt automatiserat och prövningarna har skett på förhand.

En annan form av överskottsinformation

Normalt tillåter sekretessbrytande bestämmelser utlämnande i vissa typsituationer. Särskilt vid uppgiftsutbyte mellan myndigheter kan dessa typsituationer vara mycket brett formulerade, se exempelvis avsnitt 13.3 om vissa befintliga bestämmelser om utlämnande från Skatteverkets beskattnings- och folkbokföringsverksamheter, Tull- verket och Kronofogdemyndigheten. Ett exempel från det nyss nämnda avsnittet är att Tullverket har rätt att ta del av vissa uppgifter om skatter och avgifter som behandlas i Skatteverkets beskattnings- verksamhet, avseende en person som är eller kan antas vara gäldenär enligt tullagstiftningen. Vid ett utlämnande på medium för automa- tisk behandling är de uppgifter som inte lämnas ut, men som typiskt sett skulle kunna lämnas ut om förutsättningarna varit uppfyllda, inte tillgängliga för den mottagande parten innan den utlämnande myn- digheten reagerat på en begäran om utlämnande och faktiskt medgett densamma. I exemplet ovan innebär det att Tullverket inte har tek- nisk möjlighet att ta del av uppgifter om skatter och avgifter i fråga om andra personer än den som begäran i det enskilda fallet avser.

756

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Detta gäller alltså oavsett om prövningen och utlämnandet hos den utlämnande myndigheten är helt automatiserat och sker momentant, eller om det kräver manuell hantering eller sker med viss fördröjning. Till skillnad från direktåtkomst blir inte någon annan information än den som faktiskt lämnas över till den mottagande myndigheten all- män handling hos den mottagande myndigheten. Någon sådan över- skottsinformation som vid direktåtkomst uppstår därför inte.

Däremot innefattar även vissa varianter av överlämnande på medium för automatiserad behandling av information som är överflödig i för- hållande till den mottagande myndighetens behov. Ett omfattande informationsutbyte myndigheter emellan kan dessutom sägas alltid kräva viss överflödig personuppgiftsbehandling, oavsett om den sker elektroniskt eller inte. Den mottagande myndigheten kan exempel- vis behöva skicka en fråga till den utlämnande myndigheten med angivande av personnummer för personer som är aktuella hos den mottagande myndigheten i ett sådant sammanhang att de eventuella sekretessbrytande bestämmelserna aktualiseras. I den situationen kan det förutsättas att samtliga personnummer behöver behandlas hos den myndighet som har en skyldighet att lämna ut uppgifter, i syfte att kontrollera om de förekommer hos den myndigheten eller inte. Be- handlingen av alla de personnummer som inte är aktuella hos den utlämnande myndigheten kan då sägas vara överflödig i förhållande till skyldigheten att lämna ut uppgifter som den utlämnande myn- digheten förfogar över. Att de behandlas i förfrågan avslöjar samtid- igt att personerna är aktuella hos den mottagande myndigheten. Till skillnad från vid direktåtkomst krävs i dessa situationer en faktisk behandling av uppgifter som inte behövs, men den överflödiga be- handlingen sker vid den utlämnande myndigheten.

Några exempel

Skatteverket har exempelvis påpekat att viss överskottsinformation uppstår i Skatteverkets folkbokföringsverksamhet, i den del som av- ser avisering till andra myndigheter via Navet (se 16.4.11 om det stat- liga personadressregistret, SPAR, och Navet). I de fall Skatteverket själv inte har möjligheten att göra urvalet vid en s.k. ändringsaviser- ing (alla poster som ändrats i en viss population) så skickar den fråge- ställande myndigheten, exempelvis Arbetsförmedlingen, en s.k. in-fil

757

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

till Skatteverket. In-filen utgör en sammanställning av alla de personer som förfrågan avser, exempelvis alla som är inskrivna vid myndigheten. Skatteverket använder sig då av in-filen vid sin sökning och gör en sammanställning avseende de personer vars folkbokföringsuppgifter

m.m.har ändrats och skickar resultatet till Arbetsförmedlingen. I den situationen måste Skatteverket hantera ett överskott av information i förhållande till de uppgifter som får lämnas ut, eftersom Arbets- förmedlingen skickar över uppgifter om alla personer som är inskrivna vid myndigheten. I normalfallet har dock enbart en mindre del av en given population ändrade folkbokföringsuppgifter m.m. under en viss period.

Ytterligare ett exempel på när en annan slags överskottsinforma- tion uppkommer är vid Tullverkets utlämnande till Skatteverket för att Skatteverket ska kunna utföra sitt uppdrag som beskattnings- myndighet för mervärdesskatt vid import. Det är dock Tullverket som ansvarar för att bl.a. fastställa tullvärdet som ligger till grund för beskattningsunderlaget och den informationen behövs hos Skatte- verket. Det grundläggande urvalet av vilka uppgifter som ska lämnas ut baseras på uppgift om deklaranten är registrerad för mervärdes- skatt i Sverige. När det gäller övriga uppgifter som lämnas från Tull- verket har bedömningen skett utifrån ett antagande om vilka uppgifter som Skatteverket i normalfallet behöver för att kunna fatta ett kor- rekt beslut och uppfylla sitt utredningsansvar. I vilken utsträckning varje uppgift i varje enskilt fall alltid behövs av Skatteverket är dock svårt att avgöra på förhand. Behovet av uppgifter kan exempelvis variera från ärende till ärende. En generell utgångspunkt vid utformningen av utlämnandet har dock varit att en helhetsbild av införseln medför bättre möjlighet att utreda och förstå de omständigheter som är rele- vanta för frågan om beskattning. Det är dock inte alltid givet att all information som får lämnas ut och som också lämnas ut behövs och kommer att användas av Skatteverket. Det kan därför vara svårt att bedöma vilka uppgifter som i sammanhanget kan betraktas som över- skottsinformation.

Även Kronofogdemyndigheten har påpekat att det förekommer motsvarande överskottsinformation också vid andra former av elek- troniskt utlämnande än direktåtkomst. Exempelvis får Kronofogde- myndigheten information från Skatteverket om bl.a. rot- och rut-er- sättningar samt information från Jordbruksverket rörande utbetalningar av olika EU-stöd, inför utredning om utmätning. Informationsflödet

758

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

är automatiserat och en viss mängd information skickas mellan myn- digheterna vid regelbundna tider. Eftersom Kronofogdemyndig- heten enbart behöver uppgift om de personer som är gäldenärer hos Kronofogdemyndigheten så överlämnar myndigheten varje gång upp- daterad information om samtliga gäldenärers personnummer. Detta innebär att Skatteverket respektive Jordbruksverket får uppgifter även om de personer som inte är aktuella hos dessa myndigheter, vilket utgör en slags överskottsinformation. Det tillvägagångssättet har dock ansetts vara mindre integritetspåverkande än alternativet. Alternativet är nämligen att Skatteverket respektive Jordbruksverket hade lämnat information till Kronofogdemyndigheten om samtliga personer med aktuella utbetalningar, dvs. även de som inte är gälde- närer hos Kronofogdemyndigheten. Enligt Kronofogdemyndigheten är det, trots att myndigheterna arbetar löpande med att minimera förekomsten, omöjligt att vid uppgiftsutbyte helt eliminera hantering av överflödig information, oavsett vilken form av utlämnande som väljs. Kronofogdemyndigheten har i sammanhanget påpekat att även en manuell process hade lett till samma mängd överskottsinforma- tion, men på ett mindre effektivt sätt.

Behandling i strid med dataskyddsregleringen

Om en uppgift inte omfattas av någon specifik sekretessbestäm- melse (eller om en sekretessbrytande bestämmelse är tillämplig) och den utlämnande myndigheten har rättsliga möjligheter att lämna ut uppgiften på medium för automatiserad behandling, kan ett sådant utlämnande som utgångspunkt genomföras. Det finns dock en sär- skild generell skyddsbestämmelse i 21 kap. 7 § OSL som kan med- föra att ett utlämnande ändå inte är tillåtet. Om det kan antas att personuppgiften efter utlämnandet kommer att behandlas i strid med bl.a. EU:s dataskyddsförordning och lagen (2018:218) med komplet- terande bestämmelser till EU:s dataskyddsförordning, dataskydds- lagen, gäller nämligen sekretess för uppgiften. Undersökningar om behandlingen efter utlämnandet får dock endast göras om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregler- ingen, t.ex. massuttag eller selekterade uttag. Finns det inga sådana

759

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

indikationer behöver inte någon bedömning enligt dataskyddsregler- ingen göras.39

11.3Befintlig reglering i registerförfattningarna

11.3.1Bakgrund

Utlämnandeformerna har reglerats sedan tillkomsten

Sedan tillkomsten har registerförfattningarna för Skatteverket, Tull- verket och Kronofogdemyndigheten omfattat bestämmelser som reglerat formerna för och tillåtligheten av elektroniskt uppgiftsläm- nande från myndigheterna.40 Utlämnande på papper har dock inte reglerats särskilt. Trots att författningarna av naturliga skäl genom- gått en mängd förändringar sedan de infördes, på grund av tillkom- mande uppdrag och ny materiell reglering, finns den ursprungliga uppdelningen mellan olika former av elektroniskt utlämnande kvar i dag.41

I förarbetena till nu gällande reglering angav regeringen att de vik- tiga ramarna för behandling av personuppgifter skulle anges i lag. I vilka fall direktåtkomst skulle vara tillåten var ett av de förhållanden som enligt regeringen krävde lagreglering.42 Regeringen konstaterade även att det normalt gjordes åtskillnad mellan direktåtkomst och övriga former för utlämnande på ADB-medium.43 Med direktåtkomst avsågs

39Prop. 2017/18:105, Ny dataskyddslag, s. 135–136.

40Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en samman- slagning av dessa, se prop. 2002/03:99 Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket. Under en övergångstid skulle Skatteverket fungera som central myndighet även inom dåvarande kronofogdemyndigheternas verksamhetsområde. De tio regionala kronofogdemyndigheterna avvecklades och en ny myndighet, Kronofogde- myndigheten, med rikstäckande verksamhet inrättades den 1 juli 2006, se prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 134 och lagen (2006:671) med anledning av inrättande av Kronofogdemyndigheten. Om Kronofogdemyndighetens självständighet i förhållande till Skatteverket se prop. 2006/07:99, En fristående kronofogdemyndighet m.m.

41Bland annat kan nämnas att fler myndigheter i dag får ha tillgång till vissa uppgifter i beskatt- ningsdatabasen genom direktåtkomst. Sedan 2019 får exempelvis Försäkringskassan, Migrations- verket och Arbetsförmedlingen för vissa ändamål medges direktåtkomst till beskattnings- databasen i fråga om vissa uppgifter på individnivå i arbetsgivardeklarationen. Syftet med den regleringen var bl.a. att förbättra myndigheternas kontrollmöjligheter och effektivisera deras arbete, se prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen.

42Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 84.

43ADB är en förkortning för automatisk databehandling.

760

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

att den som använde registret44 på egen hand kunde söka i detta och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet. Regeringen konstaterade i och för sig att det i vissa fall kunde vara svårt att dra en gräns mellan direktåtkomst och andra former för utlämnande, och att skillnaderna mellan direktåtkomst och annat utlämnande på automatiserad väg kunde bli försumbara på grund av den tekniska utvecklingen. När det gällde frågan om att när- mare definiera vad som avsågs med direktåtkomst och annat utläm- nande i elektronisk form ansåg dock regeringen att det inte fanns skäl att använda begreppen på annat sätt än tidigare. Enligt regeringens mening fanns det inte heller skäl att i sammanhanget frångå den prin- cip som då gällde. Direktåtkomst innebar alltså enligt regeringen att uppgifter lämnades ut utan att den ansvariga myndigheten i det en- skilda fallet hade kontroll över vilka uppgifter som lämnades ut. Regeringen konstaterade också att ett sådant utlämnande behövde vara förenligt med sekretessregleringen, och att de uppgifter som av- sågs måste få lämnas ut till mottagaren, där det skulle finnas ett god- tagbart sekretesskydd. Regeringen bedömde därför att det behövdes särskilda regler för i vilken utsträckning direktåtkomst skulle få finnas.45

Utlämnande på medium för automatiserad behandling

Utlämnande till myndigheter

Regeringen bedömde att myndigheter borde få tillgång till uppgifter som myndigheter fick ta del av enligt bestämmelser i sekretesslagen46 eller andra författningar, på medium för automatiserad behandling.47 Det kunde enligt regeringen innebära stora effektivitetsvinster för myndigheter att uppgifter som skulle behandlas på automatiserad väg hämtades in genom automatiserade förfaranden. En utgångspunkt borde därför vara att myndigheter skulle kunna utnyttja automatise- rade förfaranden i sin ärendehantering i största möjliga omfattning, dock under förutsättning att behandlingen av personuppgifter inte medförde risk för otillbörligt intrång i enskildas personliga integritet.

44Med register avsågs vid tidpunkten en myndighets digitala informationshantering, se 1 § data- lagen (1973:289).

45Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110–111.

46Sekretesslagen (1980:100) upphävdes i juni 2009 när OSL trädde i kraft.

47Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110.

761

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Regeringen konstaterade i sammanhanget att det för myndigheter vanligtvis fanns särskilda författningar som reglerade på vilket sätt personuppgifter fick behandlas. I dessa författningar reglerades även ändamålen med behandlingen. Regeringen uttalade att det inte borde finnas någon risk för att mottagande myndigheter skulle behandla per- sonuppgifter som hämtats in på medium för automatiserad behand- ling på ett sätt som inte var avsett. Under förutsättning att den ut- lämnande myndigheten hade möjlighet att avgöra vilka uppgifter som skulle lämnas ut saknades det därför anledning att reglera när upp- gifter fick lämnas ut på medium för automatiserad behandling. Enligt regeringen fanns det inte några bärande skäl för att i informations- utbytet mellan myndigheter skilja på utlämnande som gjordes på papper och utlämnande som skedde elektroniskt. Om en myndighet fick eller skulle lämna ut uppgifter till annan myndighet, t.ex. med stöd av sekretesslagen eller andra författningar, borde det vara upp till myndigheterna att avgöra på vilket sätt det skulle göras. Någon reglering av möjligheterna för myndigheterna att lämna ut uppgifter till andra myndigheter på medium för automatiserad behandling be- hövdes därför inte.48

Utlämnande till enskilda

Regeringen ansåg att uppgifter endast skulle få lämnas ut på medium för automatiserad behandling till andra än myndigheter om reger- ingen hade medgett det.49 Regeringen konstaterade att utlämnande av uppgifter på medium för automatiserad behandling till bl.a. företag kunde förväntas öka. I dessa fall saknades normalt särskilda bestäm- melser om hur personuppgifter fick behandlas hos mottagaren. För mottagaren var det därför vanligtvis personuppgiftslagens50 bestäm- melser som var tillämpliga på behandlingen av de mottagna uppgifterna. Med hänsyn till de integritetsrisker som kunde följa med utlämnan- de av personuppgifter på medium för automatiserad behandling till företag och privatpersoner ansåg regeringen att sådant utlämnande endast borde vara tillåtet när det efter särskild prövning ansågs lämp-

48Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 111–112. I dag finns dock viss reglering av utlämnandet av uppgifter på medium för automatiserad be- handling till andra myndigheter i Tullverkets och Kronofogdemyndighetens registerförfatt- ningar, se avsnitt 11.3.2 nedan.

49Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110.

50Personuppgiftslagen (1998:204) upphävdes den 25 maj 2018 då dataskyddslagen trädde i kraft.

762

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

ligt. Uppgifter borde därför få lämnas ut till enskilda på medium för automatiserad behandling endast om det var särskilt föreskrivet. Reger- ingen ansåg emellertid att det inte var möjligt att i lag reglera i vilka fall uppgifter skulle få lämnas ut. Det borde i stället åligga regeringen att göra dessa bedömningar.51

Utlämnande genom direktåtkomst

Utlämnande till myndigheter

Vid bedömningen av vilka myndigheter som skulle ges direktåtkomst till en viss databas borde enligt regeringen en gränsdragning göras mellan myndigheter inom en myndighetsorganisation och myndig- heter utanför.52 Regeringen ansåg därför att dåvarande Riksskatte- verket och skattemyndigheterna borde ha fullständig tillgång till de uppgifter som skulle finnas i beskattningsdatabasen. Regeringen fram- höll att en obegränsad direktåtkomst till en databas inom en myn- dighetsorganisation inte innebar att samtliga anställda har tillgång till uppgifterna. Tvärtom medförde personuppgiftslagens allmänna be- stämmelser om grundläggande krav på och säkerhet vid behandling

m.m.att olika åtgärder behövde vidtas som förhindrade missbruk. Det kunde enligt regeringen t.ex. innebära att åtkomst till olika upp- gifter inom en myndighet var starkt begränsad till olika behörighets- nivåer, vilket i sin tur innebar att det i slutändan var ett högst begrän- sat antal personer som hade tillgång till samtliga uppgifter. Att dessa personer organisatoriskt befann sig på olika myndigheter kunde en- ligt regeringens mening inte anses så allvarligt från integritetssynpunkt att det borde hindra utvecklingen av effektiva datasystem. Detta ställde dock krav på att den i fråga om säkerhetsåtgärder personuppgifts- ansvariga myndigheten satte upp klara och tydliga gränsdragningar i fråga om vilka personer som skulle ha tillgång till vilka uppgifter. Under sådana förutsättningar blev riskerna för oacceptabla integri- tetsintrång små och borde enligt regeringen inte förhindra möjlig-

51Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 112–113.

52Övervägandena avseende direktåtkomst till uppgifter i beskattningsdatabasen refererades av regeringen i övriga avsnitt som behandlade direktåtkomst till uppgifter i andra databaser, se prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, avsnitten 12.14 och 13.3. Av utrymmesskäl refereras här därför enbart de överväganden som gjordes avseende beskattningsdatabasen och folkbokföringsdatabasen.

763

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

heterna att bedriva en effektiv myndighetsverksamhet med utnytt- jande av de fördelar som ny teknik gav.

Avseende myndigheter utanför skatteförvaltningen fanns det dock enligt regeringen starka integritetsskäl för att möjligheterna till direkt- åtkomst var kraftigt begränsade. Hänsyn behövde enligt regeringen också tas till att det rådde absolut sekretess för uppgifter i beskatt- ningsverksamhet samt till att de uppgifter som behandlades ofta hade lämnats av enskilda enligt tvingande bestämmelser i skattelagstift- ningen. Det fanns därför starka skäl för att vara återhållsam med att tillåta direktåtkomst för andra än de personuppgiftsansvariga myn- digheterna. I första hand borde enligt regeringen i stället andra metoder för en effektiv informationshantering övervägas.53

Regeringen konstaterade att kronofogdemyndigheternas tillgång till uppgifter i skatteregistret genom direktåtkomst hade motiverats med den nära kopplingen mellan beskattningsverksamhet och indriv- ningsverksamhet.54 Det fanns enligt regeringens mening inte anled- ning att av integritetsskäl inskränka den möjlighet som kronofogde- myndigheterna hade att på ett snabbt och effektivt sätt få tillgång till uppgifter som behandlas inom skatteförvaltningen, utan kronofogde- myndigheter skulle även fortsatt få ha direktåtkomst till uppgifter i beskattningsdatabasen. Det skulle dock finnas uppgifter i beskatt- ningsdatabasen vilka kronofogdemyndigheterna inte skulle ha något eller mycket litet behov att få del av. Enligt regeringens mening borde myndigheterna inte ha direktåtkomst till sådana uppgifter, eftersom direktåtkomst endast borde förekomma när det fanns starka effek- tivitetsskäl som talade för det.

Regeringen konstaterade att det även mellan Tullverket och skatte- förvaltningen i många fall förekom ett nära samarbete. Regeringen ansåg därför att Tullverket borde ges möjlighet till direktåtkomst till beskattningsdatabasen, dock inte till de elektroniska handlingarna. Tullverkets åtkomst skulle vidare begränsas till att endast avse upp- gifter som det bedömdes vara av stor betydelse att Tullverket snabbt fick tillgång till i olika situationer. Uppgifterna skulle vidare endast avse den som var eller kunde antas vara gäldenär enligt tullagstift- ningen eller skyldig att betala skatt för vara vid import. I likhet med kronofogdemyndigheterna skulle Tullverkets åtkomst regleras i lag.

53Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 131–132.

54Skatteregistret föregick beskattningsdatabasen, se avsnitt 9.3.1.

764

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Utöver Tullverket och kronofogdemyndigheterna fanns det enligt regeringen flera myndigheter som regelmässigt behövde tillgång till olika uppgifter i beskattningsdatabasen. Regeringen uttalade att i de flesta fall borde dessa behov kunna tillfredsställas genom ett effektivt utlämnande av uppgifter på medium för automatiserad behandling. I vissa fall kunde det dock efter en avvägning mellan effektivitets- och integritetsskäl finnas anledning att medge vissa myndigheter direktåtkomst till en begränsad mängd uppgifter. Någon allmän direktåtkomst till uppgifter i beskattningsdatabasen skulle dock inte medges. Mot bakgrund av att den utlämnande myndigheten vid direkt- åtkomst inte hade möjlighet att i varje enskilt fall ta ställning till om de eftersökta uppgifterna skulle lämnas ut ansåg regeringen att det borde ankomma på riksdagen att ta ställning till i vilka fall direkt- åtkomst borde medges.55

Enligt regeringen skulle en myndighet få ha direktåtkomst till vissa uppgifter i folkbokföringsdatabasen utan vidare krav. Direkt- åtkomst till andra uppgifter skulle medges en annan myndighet om myndigheten enligt lag eller förordning fick behandla uppgifterna. Mot bakgrund av den dåvarande tillgången till personuppgifter via aviseringsregistret56 och då uppgifterna inte skyddades av någon star- kare sekretess ansåg regeringen att det ur integritetsskyddssynpunkt inte kunde anses innebära någon skillnad om en myndighet hämtade in uppgifter genom direktåtkomst eller på något annat sätt med hjälp av automatiserad behandling. Regeringen föreslog därför att en myn- dighet skulle få ha direktåtkomst till de uppgifter som myndigheten själv fick registrera. Regeringen framhöll att de föreslagna bestäm- melserna om direktåtkomst inte medförde att eventuell sekretess för uppgifterna bröts. Det skulle därför ankomma på dåvarande Riks- skatteverket att bedöma om uppgifterna kunde lämnas ut genom direktåtkomst.57

55Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 132–134.

56Aviseringsregistret fördes med stöd av lagen (1995:743) om aviseringsregister och föregick Skatteverkets utlämnande av uppgifter till myndigheter via Navet, se avsnitt 16.4.11.

57Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 143–144.

765

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Utlämnande till enskilda

En fysisk eller juridisk person skulle enligt regeringen få ha direkt- åtkomst till uppgifter om sig själv i databasen, men endast om reger- ingen medgett det. Regeringen eller den myndighet som regeringen bestämde skulle meddela närmare föreskrifter om vilka uppgifter som fick omfattas av sådan direktåtkomst.58

I och med att allt fler personer hade fått tillgång till internet upp- kom enligt regeringen frågor om hur de möjligheter till informations- behandling som därigenom gavs skulle kunna användas av myndig- heter. Ett användningsområde för internet, som enligt regeringen låg nära till hands, var möjligheten för enskilda att lämna uppgifter till myndigheter. I många fall skulle en effektiv hantering dock kräva att enskilda inte endast kunde lämna uppgifter, utan även ha möjlighet att ta del av myndighetens uppgifter om sig själva. Under förutsätt- ning att säkerheten var tillräcklig ansåg regeringen att det inte fanns några integritetsskäl som talade mot att enskilda kunde ta del av upp- gifter om sig själva via internet. Tvärtom kunde det enligt regeringen, om än i begränsad omfattning, ge enskilda möjlighet att kontrollera att de uppgifter om dem som behandlades hos myndigheter var kor- rekta. Det förelåg enligt regeringen inte heller någon fara från integ- ritetssynpunkt att lämna ut uppgifterna. En förutsättning för att enskilda skulle ges direktåtkomst var att det fanns tillräckligt säkra tekniska lösningar som gjorde att enskilda inte fick tillgång till upp- gifter om andra personer. Det borde ankomma på myndigheterna att se till att den tekniska lösning som valdes garanterade att tillräcklig säkerhet uppnåddes. De integritetsrisker som fanns vid utlämnande på medium för automatiserad behandling fanns dock enligt reger- ingen även vid ett utlämnande genom direktåtkomst. Enligt reger- ingens mening borde enskildas möjligheter till direktåtkomst vara särskilt reglerat i lag.59

58Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 113.

59Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 113–115.

766

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

11.3.2Bestämmelser i registerförfattningarna som reglerar formen för utlämnande

Allmänt

I registerförfattningarna för Skatteverkets beskattningsverksamhet, Skatteverkets folkbokföringsverksamhet, Tullverket och Kronofogde- myndigheten finns bestämmelser som reglerar vilka uppgifter respek- tive myndigheten får lämna ut, på vilket sätt de får lämnas ut och till vem. Sekretessbrytande bestämmelser som reglerar myndigheternas skyldighet att lämna ut uppgifter finns dock även i andra författningar, och kan vara generella eller specifika. Uppgiftsskyldigheterna kan även finnas i internationella rättsakter och avtal, och kräva gränsöver- skridande utlämnanden. Uppgiftslämnandet som regleras i register- författningarna behandlas närmare i avsnitten 13.3.2-13.3.3.

Nedan redogörs för de bestämmelser i registerförfattningarna som avser formen för elektroniskt uppgiftslämnande, och som alltså regle- rar en annan fråga än om uppgifter ska eller får lämnas ut.

Skatteverkets beskattningsverksamhet

Bestämmelser om formerna för utlämnande av uppgifter finns både i lagen (2001:181) om behandling av uppgifter i Skatteverkets be- skattningsverksamhet, skattedatabaslagen (SdbL), och förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattnings- verksamhet, skattedatabasförordningen (SdbF).

Skatteverket har ett omfattande uppdrag att försörja flera andra myndigheter med information, både utom och inom Sveriges gränser. Någon särskild reglering av Skatteverkets elektroniska utlämnande på medium för automatiserad behandling till myndigheter finns inte. Utlämnande genom direktåtkomst till myndigheter regleras dock sär- skilt i registerförfattningarna. Skattedatabasförordningen innehåller även bestämmelser om Skatteverkets skyldighet att lämna vissa upp- gifter till Europeiska kommissionen. På vilket sätt uppgifterna ska lämnas regleras dock genom föreskrifter meddelade av Myndigheten för tillväxtpolitiska utvärderingar och analyser.60

6015 § SdbF.

767

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Utlämnande på medium för automatiserad behandling

För utlämnande på medium för automatiserad behandling till en- skilda, dit även arbetslöshetskassor räknas, gäller enligt skattedata- baslagen att sådant utlämnande enbart är tillåtet om regeringen har meddelat föreskrifter om det.61 I förordningen finns bestämmelser om i vilka fall sådant utlämnande är tillåtet, dock under förutsättning att det inte finns hinder mot det enligt någon författning.62

Vissa uppgifter om en arbetstagares eller uppdragstagare (namn, personnummer och viss information om skatt som personen ska betala) får lämnas ut till arbetsgivare eller uppdragsgivare.63 Ytterligare upp- gifter av liknande karaktär (bl.a. registrering för mervärdesskatt eller som arbetsgivare) får lämnas ut till uppdragsgivare på samma sätt, för kontroll i samband med upphandling och under avtalstiden.64

Uppgifter i beskattningsdatabasen får lämnas ut till viss kredit- upplysningsverksamhet, dock inte uppgifter som grundar sig på brott.65 Om en enskild behöver uppgifter om vissa typer av godkännande och befrielse från skatt i sin verksamhet, och för att säkerställa en

korrekt beskattning, får uppgifterna lämnas ut till denna.66

Till registrerat trossamfund får uppgifter som utgör underlag för beräkning av avgift till trossamfundet lämnas ut.67

Till arbetslöshetskassorna får vissa uppgifter på individnivå i arbets- givardeklarationen lämnas ut om de behövs för beräkning eller kon- troll av arbetslöshetsersättning. Även andra uppgifter får lämnas ut om det föreligger en underrättelseskyldighet rörande felaktiga utbetal- ningar från välfärdssystemen.68

Uppgifter om den enskilde själv får lämnas ut till denna.69 Även uppgifter om bl.a. köpare, säljare och köpeskilling beträffande fas- tighetsöverlåtelser som legat till grund för fastställande av riktvärden i ett värdeområde där den enskildes fastighet är belägen får lämnas ut till denna. Dessutom får generella uppgifter om en fastighet, bl.a. indelning i typ av taxeringsenhet, lämnas ut till enskilda.70

612 kap. 6 § SdbL.

629 § SdbF.

6310 § SdbF.

6410 a § SdbF.

6511 § SdbF.

6611 a § SdbF.

6712 § SdbF.

6812 a § SdbF.

6913 § SdbF.

7014 § SdbF.

768

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Utlämnande genom direktåtkomst

En registrerad får enligt skattedatabaslagen ha direktåtkomst till så- dana uppgifter om sig själv i databasen som får lämnas ut till den regi- strerade, om regeringen har meddelat föreskrifter om det.71 Enligt skattedatabasförordningen ska den registrerades identitet kontrolleras genom en säker metod för identifiering vid sådan direktåtkomst.72

En behörig myndighet i annat land inom EU får ha direktåtkomst till uppgifter om mervärdesskatt.73

Av de många svenska myndigheter som Skatteverket har en upp- giftsskyldighet till är det enbart ett fåtal som får medges direktåtkomst. För de myndigheter som får ha direktåtkomst gäller dessutom att det även finns sekretessbrytande bestämmelser som avser uppgiftsläm- nande på begäran av den mottagande myndigheten, dvs. genom andra former av informationsutbyte än direktåtkomst, i nästan samtliga fall omfattar fler uppgifter än de som den mottagande myndigheten får medges direktåtkomst till, se avsnitten 13.3.2-13.3.3.74

Bestämmelser som anger omfattningen av tillåten direktåtkomst finns både i skattedatabaslagen och skattedatabasförordningen. I skatte- databaslagen anges att Skatteverkets brottsbekämpande verksamhet, Tullverket, Kronofogdemyndigheten, Försäkringskassan, Arbets- förmedlingen, Migrationsverket och socialnämnder har rätt att under vissa förutsättningar ta del av vissa uppgifter genom direktåtkomst.75 I skattedatabasförordningen finns en sekretessbrytande uppgiftsskyl- dighet som anger att dessa myndigheter har rätt att ta del av uppgifter vid direktåtkomst enligt bestämmelserna i lagen. I vissa fall innehåller dessa bestämmelser ytterligare begränsningar av direktåtkomsten.

Skatteverkets brottsbekämpande verksamhet får enligt skattedata- baslagen ha direktåtkomst till uppgifter i beskattningsdatabasen om bl.a. en fysisk persons identitet, medborgarskap, bosättning och famil- jeförhållanden, olika uppgifter som avser skatter och avgifter, uppgif- ter om revision och vissa angivna uppgifter i ett ärende.76 I skatte- databasförordningens sekretessbrytande bestämmelse föreskrivs ingen

712 kap. 9 § första stycket SdbL.

7216 § SdbF.

73Jfr 17 § SdbF och där angiven EU-förordning.

74Jfr 4–8 j §§ SdbF.

752 kap. 7–8 d §§ SdbL.

762 kap. 7 § SdbL.

769

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

begränsning av den direktåtkomst som får medges enligt 2 kap. 7 § skattedatabaslagen.77

Tullverket får enligt bestämmelsen i skattedatabasförordningen ha direktåtkomst till samma uppgifter i beskattningsdatabasen som Skatteverkets brottsbekämpande verksamhet, med undantag för upp- gifter om revision och annan kontroll av skatter och avgifter, och en- bart avseende den som är eller kan antas vara gäldenär enligt tullag- stiftningen, skyldig att betala skatt för vara vid import eller föremål för Tullverkets punktskattekontrollverksamhet. Tullverket får även ha direktåtkomst till uppgifter och handlingar som ingår i det EU-rättsliga datoriserade systemet om uppgifter om förflyttningar och kontroller av punktskattepliktiga varor.78 I skattedatabasförord- ningens sekretessbrytande bestämmelse begränsas direktåtkomsten enligt till att avse uppgifter om enskilda.79

Kronofogdemyndigheten får enligt skattedatabaslagen ha direkt- åtkomst till samma uppgifter som Tullverket, och sådana uppgifter som behövs för Skatteverkets hantering av vissa borgenärsuppgifter. Direktåtkomsten får dock enbart avse den som har ansökt om skuld- sanering eller F-skuldsanering, är registrerad som gäldenär hos Krono- fogdemyndigheten, samt make eller likställd med make till dessa.80 I skattedatabasförordningens sekretessbrytande bestämmelser begrän- sas inte lagens bestämmelser.81

Försäkringskassan får enligt skattedatabaslagen ha direktåtkomst till uppgifter i beskattningsdatabasen om uppgifterna behövs i ett ärende om betalningsskyldighet för en bidragsskyldig förälder, bestämmande av sjukpenninggrundande inkomst eller beräkning av bostadsbidrag. Direktåtkomsten får endast omfatta uppgifter per betalningsmotta- gare i arbetsgivardeklaration eller förenklad arbetsgivardeklaration, identifikationsuppgifter för den uppgiftsskyldige och betalningsmotta- garen, och uppgift om den redovisningsperiod som deklarationen avser.82 I skattedatabasförordningens sekretessbrytande bestämmelse upprepas bestämmelsen i lagen avseende vilka uppgifter i beskattnings- databasen som får lämnas ut genom direktåtkomst.83

775 b § SdbF.

782 kap. 8 § andra och tredje styckena SdbL.

795 § andra stycket och 5 a § Sdbf.

802 kap. 8 § SdbL.

814 § andra stycket SdbF.

822 kap. 8 c § SdbL.

837 § tredje stycket SdbF.

770

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Arbetsförmedlingen får enligt bestämmelsen i skattedatabaslagen ha direktåtkomst till samma uppgifter i beskattningsdatabasen som Försäkringskassan, om uppgifterna behövs i ett ärende om stöd till arbetsgivare för anställning av en enskild person.84 I skattedatabas- förordningens sekretessbrytande bestämmelse begränsas direktåtkoms- ten till att avse endast vissa ärenden om stöd till arbetsgivare.85

Under förutsättning att uppgifterna behövs i ett ärende om dag- ersättning åt asylsökande får även Migrationsverket ha direktåtkomst till samma uppgifter i beskattningsdatabasen som Försäkringskassan och Arbetsförmedlingen enligt bestämmelsen i skattedatabaslagen.86 I skattedatabasförordningens sekretessbrytande bestämmelse anges att uppgifterna får lämnas ut från beskattningsdatabasen genom direktåtkomst i den utsträckning det behövs för beräkning eller kon- troll av dagersättning.87

En socialnämnd får enligt skattedatabaslagen ha direktåtkomst till uppgifter om en fysisk persons identitet, medborgarskap, bosätt- ning och familjeförhållanden, samt vissa uppgifter om skatter och avgifter, om uppgifterna behövs i ärende om ekonomiskt bistånd.88 Regleringen skiljer sig dock från lagens övriga bestämmelser om direkt- åtkomst på så sätt att direktåtkomst får medges först sedan Skatte- verket har försäkrat sig om att handläggare hos socialnämnden bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Särregleringen för socialnämnderna tillkom efter att dåvar- ande Datainspektionen hade gett uttryck för att direktåtkomst för socialnämnderna var förenlig med kraven på skydd för den person- liga integriteten endast under förutsättning att åtkomst till person- uppgifter skulle begränsas till att motsvara aktuella ärenden genom olika tekniska åtgärder. Regeringen konstaterade att det gick att ut- forma system som innebär att det vid direktåtkomst var möjligt att söka på uppgifter om en viss person hos utlämnande myndighet en- bart om den mottagande myndigheten hade ett ärende avseende denna person.89 Till skillnad för vad som gäller andra aktörer som medges direktåtkomst finns det inga ytterligare bestämmelser om direkt-

842 kap. 8 d § SdbL.

858 c § SdbF.

862 kap. 8 b § SdbL.

878 b § SdbF.

882 kap. 8 a § SdbL.

89Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 146–149.

771

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

åtkomst för socialnämnder i skattedatabasförordningen. De sekre- tessbrytande bestämmelserna finns i stället i andra författningar.90

Skatteverkets folkbokföringsverksamhet

Bestämmelser om utlämnande finns både i lagen (2001:182) om be- handling av personuppgifter i Skatteverkets folkbokföringsverksam- het, folkbokföringsdatabaslagen (FdbL), och i förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet, folkbokföringsdatabasförordningen (FdbF). Regleringen skiljer sig från den för beskattningsverksamheten främst genom att utgångspunkten för folkbokföringsverksamheten är att andra myn- digheter får medges direktåtkomst till uppgifter i folkbokförings- databasen (se avsnitt 16.4.11).

Utlämnande på medium för automatiserad behandling

Uppgifter i databasen får enligt folkbokföringsdatabaslagen lämnas ut på medium för automatiserad behandling till en enskild endast om regeringen har meddelat föreskrifter om det.91 I folkbokföringsdata- basförordningen anges vilka uppgifter som får lämnas ut på detta sätt, bl.a. till Svenska kyrkan, central registreringsmyndighet för folkbok- föring i annat nordiskt land, och till arbetslöshetskassorna.92

Till en enskild får uppgifter om den enskilde själv lämnas ut på medium för automatiserad behandling. Uppgifter om en annan per- son än den enskilde själv får lämnas ut om uppgiften ingår i en hand- ling i ett ärende som avser den enskilde, eller ett personbevis eller motsvarande utdrag som avser den enskilde eller ett barn under 18 år som den enskilde är vårdnadshavare för. Enstaka uppgifter om annan person får även i övrigt lämnas ut till en enskild. Ett utlämnande får dock inte göras om det är olämpligt ur integritetssynpunkt.93

9011 kap. 11 b § socialtjänstlagen (2001:453) och 6 § förordningen (2008:975) om uppgifts- skyldighet i vissa fall enligt socialtjänstlagen (2001:453).

912 kap. 6 § FdbL.

9213–14 a §§ FdbF.

9315 § FdbF.

772

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Utlämnande genom direktåtkomst

Liksom vid utlämnande på medium för automatiserad behandling får en enskild ha direktåtkomst till uppgifter i databasen endast om regeringen har meddelat föreskrifter om det.94 Åtkomst till uppgifter om annan person än den enskilde själv får dock enligt folkbokförings- databaslagen medges endast till uppgift om person- eller samordnings- nummer, namn, adress, folkbokföringsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folkbokför- ingen, samt till uppgifter om samband inom folkbokföringen med den enskilde eller med barn under 18 år som den enskilde är vård- nadshavare för.95

En enskild får enligt folkbokföringsdatabasförordningens bestäm- melser ha direktåtkomst till person- och ärendeuppgifter om sig själv. Vid en sådan direktåtkomst får den enskilde även medges direkt- åtkomst till uppgifter som anges ovan avseende make, barn, förälder eller vårdnadshavare som den enskilde har samband med inom folk- bokföringen samt uppgift om dessa personers samband med den en- skilde.96

I folkbokföringsdatabasförordningen finns bestämmelser som medger att Svenska kyrkan har direktåtkomst till uppgifter om per- son- eller samordningsnummer, namn, adress, folkbokföringsfastig- het, lägenhetsnummer, distrikt och folkbokföringsort samt avregi- strering från folkbokföringen.97

Vårdnadshavare får även ha direktåtkomst till uppgifter om ett barn under 18 år, samt då även uppgifter om förälder eller vårdnads- havare som barnet har samband med samt uppgift om dessa personers samband med barnet.98

Skatteverket är genom en bestämmelse i folkbokföringsdatabas- förordningen bemyndigat att meddela närmare föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt styckena ovan.99

942 kap. 6 § och 9 § första stycket FdbL.

952 kap. 9 § andra stycket FdbL.

9617 § första stycket FdbF.

9716 § FdbF, dvs. uppgift om person- eller samordningsnummer, namn, adress, folkbokför- ingsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folk- bokföringen.

9817 § andra stycket FdbF.

992 kap. 9 § andra stycket FdbL och 17 § tredje stycket FdbF.

773

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Skatteverket har meddelat sådana föreskrifter, vari bl.a. ställs krav på enskilda att i vissa fall legitimera sig genom e-legitimation.100

För utlämnande till andra myndigheter gäller som redan påpekats att direktåtkomst som utgångspunkt får medges. En myndighet får enligt folkbokföringsdatabasförordningen ha direktåtkomst till upp- gift om person- eller samordningsnummer, namn, adress, folkbok- föringsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folkbokföringen.101 En myndighet får även ha direktåtkomst till andra uppgifter i folkbokföringsdatabasen om myndigheten behöver uppgifterna för att fullgöra sitt uppdrag och får behandla dem. Uppgifter som den 30 juni 1991 enligt särskilda be- stämmelser var antecknade i sådan personakt som avses i 16 § i den numera upphävda folkbokföringskungörelsen (1967:495) får dock inte lämnas ut genom direktåtkomst (se avsnitt 9.4.4). Direktåtkomst får inte heller medges om det är olämpligt ur integritetssynpunkt.102 Det finns dock inga bestämmelser i folkbokföringsdatabasförordningen som närmare begränsar möjligheten att medge myndigheter direkt- åtkomst till nämnda uppgifter.

Tullverket

Bestämmelser om formerna för utlämnande av uppgifter finns både i lagen (2001:185) om behandling av uppgifter i Tullverkets verk- samhet, tulldatabaslagen (TDL), och i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförord- ningen (TDF). Tullverket har ett omfattande uppdrag att försörja flera andra myndigheter med information, både inom och utom Sveriges gränser, se avsnitt 13.3.5. För utlämnande till andra myndig- heter regleras dock enbart utlämnande genom direktåtkomst särskilt i registerförfattningarna.

100Skatteverkets föreskrifter om vilka uppgifter i folkbokföringsdatabasen som får omfattas av enskilds direktåtkomst; SKVFS 2004:31.

1012 kap. 8 § första stycket FdbL.

1022 kap. 8 § andra stycket FdbL.

774

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Utlämnande på medium för automatiserad behandling

Enligt tulldatabaslagen får, utöver vad som följer av tullagstiftningen, uppgifter i databasen lämnas ut till en enskild på medium för auto- matiserad behandling endast om regeringen har meddelat föreskrifter om det.103

Uppgifter i tulldatabasen om den enskilde själv får enligt tulldata- basförordningen lämnas ut till den enskilde eller dennes ombud, om det inte finns hinder mot det enligt någon författning.104

Enligt tulldatabasförordningen får uppgifter lämnas ut på medium för automatiserad behandling till behörig myndighet i ett annat land om det följer av en internationell överenskommelse eller en författ- ning.105

Som nämnts finns det i registerförfattningarna inga begränsningar av Tullverkets möjlighet att lämna ut uppgifter till andra myndigheter på medium för automatiserad behandling. I tulldatabasförordningen finns dock en bestämmelse som anger att vissa uppgifter om kontrol- ler av kontanta medel ska lämnas ut till Polismyndigheten. Bestäm- melsen finns under rubriken Utlämnande av uppgifter på medium för automatiserad behandling, vilket får tolkas som att den endast avser att reglera formen för utlämnandet.106

Utlämnande genom direktåtkomst

En enskild får ha direktåtkomst till sådana uppgifter i databasen som får lämnas ut till den enskilde om regeringen har meddelat före- skrifter om det.107

Enligt tulldatabasförordningen får en enskild eller dennes ombud får medges direktåtkomst till uppgifter om den enskilde själv i tulldata- basen. Ett tullombud får dessutom medges direktåtkomst till sådana uppgifter i tulldatabasen som tullombudet behöver för sin huvudmans räkning vid sina kontakter med Tullverket i samband med de åtgärder och formaliteter som krävs enligt tullagstiftningen. Även vissa ekono- miska aktörer får enligt tulldatabasförordningen medges direkt-

1032 kap. 5 § TDL.

1045 § TDF.

1056 § TDF.

1066 a § TDF.

1072 kap. 8 § första stycket TDL.

775

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

åtkomst till sådana uppgifter i tulldatabasen som aktören behöver för att kunna fullgöra sina förpliktelser enligt tullagstiftningen.108

I tulldatabasförordningen bemyndigas Tullverket att meddela när- mare föreskrifter om vilka uppgifter som får omfattas av enskildas direktåtkomst.109 Tullverket har meddelat sådana föreskrifter, med innebörden att en enskild, eller annan för dennes räkning, under vissa förutsättningar får ha direktåtkomst till samtliga de uppgifter som en- ligt tulldatabaslagen får behandlas i tulldatabasen och som rör den enskilde själv.110 I registerförfattningarna finns ingen bestämmelse om utländska myndigheters direktåtkomst.

Av de svenska myndigheter som Tullverket har en uppgiftsskyldig- het gentemot är det enbart Skatteverket och Kronofogdemyndig- heten som enligt tulldatabaslagen får medges direktåtkomst till vissa uppgifter.

Skatteverket får ha direktåtkomst till uppgifter i databasen i fråga om personer som är eller kan antas vara skattskyldiga eller före- kommer i ett punktskattekontrollärende, dock inte vissa identitets- beteckningar för transportmedel m.m., tulltaxor, revision och annan kontroll av tull, annan skatt och avgifter, eller tillstånd och licenser som krävs för import eller export av varor.111

Kronofogdemyndigheten får ha direktåtkomst till samma upp- gifter i databasen som Skatteverket, men enbart i fråga om den som är registrerad som gäldenär hos Kronofogdemyndigheten eller make till gäldenären eller någon annan som likställs med make.112

Det finns inga sekretessbrytande bestämmelser i förordningen som särskilt avser direktåtkomst för myndigheter.

Kronofogdemyndigheten

Bestämmelser om elektroniskt utlämnande finns både i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), och i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF). Krono-

1087 § första till tredje styckena TDF.

1097 § fjärde stycket TDF.

1106 § Tullverkets föreskrifter om Tullverkets e-tjänster och enskilds direktåtkomst till upp- gifter i tulldatabasen, TFS 2016:21.

1112 kap. 7 § första stycket TDL.

1122 kap. 7 § andra stycket TDL.

776

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

fogdemyndigheten har en uppgiftsskyldighet till flera myndigheter, se avsnitt 13.3.6.

För utlämnande till myndigheter regleras enbart utlämnande genom direktåtkomst särskilt i registerförfattningarna.

Utlämnande på medium för automatiserad behandling

Uppgifter i Kronofogdemyndighetens databaser får enligt krono- fogdedatabaslagen lämnas ut till en enskild på medium för automa- tiserad behandling endast om regeringen har meddelat föreskrifter om det.113

Enligt en bestämmelse i kronofogdedatabasförordningen får ut- lämnande av uppgifter på medium för automatiserad behandling ske enligt bestämmelserna i förordningen om det inte finns hinder mot det enligt någon författning.114

Uppgifter i utsöknings- och indrivningsdatabasen får lämnas ut till den som har tillstånd bedriva kreditupplysningsverksamhet.115

För inkassoändamål får vissa uppgifter ur utsöknings- och in- drivningsdatabasen även lämnas ut till den som har tillstånd av Integ- ritetsskyddsmyndigheten att bedriva inkassoverksamhet eller som bedriver inkassoverksamhet och står under Finansinspektionens till- syn, Trafikförsäkringsföreningen, och arbetslöshetskassor som har registrerats hos Inspektionen för arbetslöshetsförsäkring, dock endast avseende personer som vid tidpunkten för begäran är aktuella för inkassoåtgärd hos den som begär ut uppgifterna. Uppgifterna får dock endast avse bl.a. exekutionstitel, skuldbelopp, skuldsanering och F-skuldsanering, och redovisning av verkställighetsuppdraget.116 Upp- gifter i utsöknings- och indrivningsdatabasen som grundar sig på brott får inte lämnas ut på medium för automatiserad behandling.117

Uppgifter i utsöknings- och indrivningsdatabasen om en fysisk eller juridisk persons identitet och totalt fordringsbelopp som är föremål för verkställighet får lämnas ut för inhämtande av uppgifter från tredje man om eventuell utmätningsbar egendom samt för med- delande om vissa förbud och underrättelser.118

1132 kap. 25 § KFMdbL.

11411 § KFMdbF.

11512 § första stycket KFMdbF.

11612 andra och tredje styckena KFMdbF.

11712 § fjärde stycket KFMdbF.

11812 a § KFMdbF.

777

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Uppgifter ur utsöknings- och indrivningsdatabasen får lämnas ut till den som får i uppdrag av Kronofogdemyndigheten att sälja egen- domen.119

Vissa uppgifter i utsöknings- och indrivningsdatabasen om en upp- dragstagare, bl.a. exekutionstitel, skuldbelopp och dag när skulden fastställdes, får lämnas ut till uppdragsgivare för kontroll i samband med upphandling och under avtalstiden.120 Uppgifter ur utsöknings- och indrivningsdatabasen får även lämnas ut för utbetalning av in- flutna medel och för annan redovisning.121

Uppgifter ur betalningsföreläggande- och handräckningsdatabasen får lämnas ut för redovisning till sökanden i målet och till den som har tillstånd att bedriva kreditupplysningsverksamhet.122

Uppgifter ur skuldsaneringsdatabasen får lämnas ut till gäldenär- en, borgenärerna och andra enskilda som berörs av och kan bidra till utredningen i ärendet, om det inte är olämpligt.123

Uppgifter ur skuldsaneringsdatabasen får även lämnas ut för ut- betalning av inbetalda medel och för annan redovisning.124

Beslut om utmätning enligt 7 kap. utsökningsbalken får lämnas ut till gäldenärens arbetsgivare när det behövs för verkställighet av be- slut om indrivning.125

Uppgifter i databaserna om den enskilde själv får lämnas ut till denna.126

Uppgifter i databaserna får lämnas ut till arbetslöshetskassorna när det föreligger en underrättelseskyldighet avseende felaktiga utbetal- ningar från välfärdssystemen.127

För kontroll och tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning får vissa uppgifter ur utsöknings- och indrivningsdatabasen lämnas ut på medium för automatiserad behand- ling till vissa prövnings- och tillståndsmyndigheter inom vägtrafik- området. De uppgifter som får lämnas ut är bl.a. uppgifter om en fysisk persons identitet, bosättning och familjeförhållanden, och om skul- dens storlek för fordringar som drivs in i ett allmänt mål. I samma

11912 b § KFMdbF.

12012 c § KFMdbF.

12113 § KFMdbF.

12214 § KFMdbF.

12314 a § KFMdbF.

12414 b § KFMdbF.

12515 § KFMdbF.

12616 § KFMdbF.

12717 a § KFMdbF.

778

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

bestämmelse ges även anvisningar om hur de uppgifter som får läm- nas ut på medium för automatiserad behandling får sambearbetas med andra uppgifter i vägtrafikregistret.128

Utlämnande genom direktåtkomst

Enligt kronofogdedatabaslagen får en enskild ha direktåtkomst till sådana uppgifter om sig själv i databasen som får lämnas ut till denna om regeringen har meddelat föreskrifter om det.129 I kronofogdedata- basförordningen bemyndigas Kronofogdemyndigheten att meddela närmare föreskrifter om vilka uppgifter som får omfattas av enskildas direktåtkomst.130 Kronofogdemyndigheten har dock inte meddelat några sådana.

I kronofogdedatabaslagen anges vidare att den som är sökande i ett mål eller ett ärende får ha direktåtkomst till uppgifter om målet eller ärendet, om regeringen har medgett det, dock inte till elektro- niska handlingar i databaserna som innehåller känsliga personuppgif- ter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden.131 Enligt kronofogdedatabasförordningen får en sökande eller dennas ombud ha direktåtkomst till vissa uppgifter i utsök- nings- och indrivningsdatabasen om mål eller ärenden som sökanden har gett in.132

Tullverket och Säkerhetspolisen får enligt kronofogdedatabas- lagen ha direktåtkomst till flertalet uppgifter som får finnas i utsök- nings- och indrivningsdatabasen. De uppgifter som direktåtkomst får medges avseende är bl.a. en fysisk persons identitet, bosättning och familjeförhållanden, en enskilds ekonomiska förhållanden, egen- dom som berörs i ett mål samt beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende. Detsamma gäller Skatteverket i beskattningsverksamheten och i Skatteverkets handläggning vid han- tering av vissa borgenärsuppgifter.133 Några sekretessbrytande bestäm-

12817 § KFMdbF.

1299 § första stycket KFMdbF och 2 kap. 28 § första stycket KFMdbL.

1309 § andra stycket KFMdbF.

1312 kap. 28 § andra stycket KFMdbL som hänvisar till 2 kap. 24 § KFMdbL som i sin tur hän- visar till 1 kap. 6 § KFMdbL.

13210 § KFMdbF, direktåtkomsten får endast omfatta uppgifter som avses i 34 kap. 1 § andra- femte styckena offentlighets- och sekretesslagen (2009:400). De angivna styckena anger när sekretess enligt 34 kap. 1 § första stycket OSL inte gäller.

1332 kap. 26 § KFMdbL.

779

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

melser som särskilt avser direktåtkomst finns dock inte i krono- fogdedatabasförordningen.

11.4Frågan om direktåtkomst i vissa andra sammanhang

11.4.1Informationshanteringsutredningen

Uppdraget

I Informationshanteringsutredningens direktiv angavs att den tek- niska utvecklingen hade medfört att det uppfattades som oklart hur begreppen direktåtkomst och utlämnande på medium för automati- serad behandling skulle tillämpas på modernare metoder för infor- mationsutbyte. Mot den bakgrunden skulle utredningen bl.a. ta ställ- ning till om det fanns skäl att i registerförfattningar upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt ut- lämnande.134

Direktåtkomst kräver förberedande åtgärder

Enligt utredningen karaktäriserades direktåtkomst av att den utläm- nande myndigheten bildligt talat öppnade sina dörrar för den mot- tagande myndigheten. Den mottagande myndigheten tilläts genom åtkomsten träda in innanför dörrarna och, i den omfattning som med- getts, söka fritt i den utlämnande myndighetens informationssam- lingar. Från ett principiellt perspektiv var den omständigheten att åtkomsten var direkt det mest betydelsefulla, eftersom det innebar att den utlämnande myndigheten redan vid den tidpunkt då åtkomsten etablerades hade lämnat ut berörda uppgifter till den mottagande myn- digheten. Direktåtkomst bedömdes därför vara en betydligt mer vitt- omfattande form av elektroniskt utlämnande än andra former.135 Direktåtkomst krävde enligt utredningen flera ställningstaganden.

Det behövde bedömas om det fanns ett tillfredsställande sekre- tesskydd för uppgifterna hos den mottagande myndigheten eller om ett sådant skydd behövde införas. Det behövde också bedömas om

134Kommittédirektiv 2011:86, Integritet, effektivitet och öppenhet i en modern e-förvaltning, s. 18–20.

135SOU 2015:39, Myndighetsdatalag, s. 136.

780

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

det fanns en sekretessbrytande regel som möjliggjorde att de sekretess- reglerade uppgifterna lämnades ut till den mottagande myndigheten genom direktåtkomst. Om inte, behövde även en föreskrift som om- fattade direktåtkomsten i hela dess vidd införas i form av lag eller för- ordning. I underlaget för bedömningen av vilken omfattning en sekre- tessbrytande regel skulle ha behövde det i de flesta fall även finnas med en analys av hur direktåtkomsten kunde ordnas rent tekniskt.

Förberedande tekniska åtgärder behövde vidtas för att direkt- åtkomsten endast skulle komma att omfatta de personuppgifter som åtkomsten fick omfatta. Det skulle även behöva göras säkerhets- analyser och eventuella åtgärder behövde därefter vara vidtagna för att motverka de risker som kunde uppstå på grund av att myndig- heternas tekniska system, och därmed verksamheter, i viss mån skulle komma att kopplas ihop.

Andra förberedande åtgärder hos den mottagande myndigheten var att vidta tekniska och andra åtgärder, t.ex. fördelning av behörig- het och åtkomstbegränsningar, samt mekanismer som möjliggjorde kontroller och uppföljning av hur åtkomsten användes.

Både den utlämnande och mottagande myndigheten skulle komma att i olika delar och på olika nivåer vara personuppgiftsansvariga för behandlingen. Direktåtkomst krävde därmed att vissa ställnings- taganden och behövliga åtgärder hade vidtagits i förväg på myndig- hetsnivå. Ur den enskilde registrerades perspektiv var det enligt utredningen av stor vikt att det alltid skulle vara tydligt vem som var personuppgiftsansvarig för en viss behandling.136

En fråga som också behövde analyseras i förväg var om det be- hövdes regler som begränsade användningen av sökbegrepp hos mot- tagaren för att uppnå ett tillfredsställande skydd för personuppgifter även hos den mottagande myndigheten.137

Behovet av fortsatt åtskillnad mellan olika former av elektroniskt utlämnande

I sitt slutbetänkande bedömde Informationshanteringsutredningen att principiella och rättsliga skäl, samt krav på förberedande analyser och åtgärder medförde ett behov av en fortsatt åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. Att myn-

136SOU 2015:39, Myndighetsdatalag, s. 138–140.

137SOU 2015:39, Myndighetsdatalag, s. 140–141.

781

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

digheternas gränser i rättslig mening upprätthölls uttalades vara ett starkt rättssäkerhetskrav. Det kravet ansågs i sin tur ställa höga krav på myndigheterna på båda sidor utlämnandet att agera i förväg och vidta nödvändiga åtgärder innan en direktåtkomst faktiskt medgavs, bl.a. för att säkerställa att en sådan åtkomst var förenlig med bestäm- melser om sekretess. Samtliga dessa frågor behövde enligt Informa- tionshanteringsutredningen vara lösta innan den mottagande myn- digheten ”släpptes in” hos den utlämnande myndigheten.138

Det som enligt utredningen kunde innebära risker för den en- skildes integritet i samband med direktåtkomst var att man inte be- aktade de särskilda frågor och krav på skydd som den gav upphov till samt att man inte ägnade uppmärksamhet åt frågor som hängde sam- man med att myndigheternas gränser öppnades upp och att inblan- dade myndigheters ansvar för både verksamhet, säkerhet och person- uppgifter därmed behövde klargöras. Om man inte behöll en rättslig åtskillnad mellan begreppen direktåtkomst och annat elektroniskt utlämnande fanns det enligt utredningen en risk för att dessa frågor inte fick den uppmärksamhet som krävdes. Utan en distinktion mellan olika former av utlämnande riskerade, enligt utredningen, myndig- heternas respektive ansvar i olika hänseenden att bli otydligt.139

Förslag på generell reglering av direktåtkomst

Utredningen föreslog att direktåtkomst till sekretessreglerade person- uppgifter som utgångspunkt skulle behöva ha stöd i lag eller förord- ning.140 En utlämnande myndighet skulle dessutom också behöva göra en risk- och sårbarhetsanalys innan myndigheten medgav en annan myndighet eller enskild aktör direktåtkomst till personuppgifter. Den särskilda risk- och sårbarhetsanalysen skulle vara inriktad på att ge det underlag som behövdes för att sedan kunna bedöma om och hur det var möjligt att åstadkomma en lämplig säkerhetsnivå genom ade- kvata tekniska och organisatoriska säkerhetsåtgärder. Myndigheten skulle också behöva komma överens med mottagaren om hur behöv- ligt skydd för personuppgifterna skulle säkerställas. Av överenskom-

138SOU 2015:39, Myndighetsdatalag, s. 135 och 141.

139SOU 2015:39, Myndighetsdatalag, s. 150–151.

140SOU 2015:39, Myndighetsdatalag, s. 397.

782

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

melsen skulle framgå hur utövandet av de skyldigheter som person- ansvaret innefattar skulle ske.141

11.4.2HFD 2015 ref. 61 (LEFI Online)

Som vi nämnt tidigare har det i olika sammanhang och under en lång tid uttryckts att den tekniska utvecklingen har medfört att det är svårt att särskilja direktåtkomst från annat elektroniskt utlämnande.142 Även i Informationshanteringsutredningens slutbetänkande påpeka- des att det fanns en rättslig gråzon mellan direktåtkomst och annat elektroniskt utlämnande där exempelvis s.k. batch-körningar och olika former av fråga-svar-tjänster befann sig.143

Ett visst klargörande beträffande gränsdragningen mellan direkt- åtkomst och annat elektroniskt utlämnande har dock skett genom Högsta förvaltningsdomstolens avgörande HFD 2015 ref. 61 (det s.k. LEFI Online-avgörandet) där fråga var om socialnämnderna kunde anses ha direktåtkomst till Försäkringskassans socialförsäkrings- databas.

LEFI Online är ett helt automatiserat fråga-svar-system för in- formationsutbyte.144 Informationsutbytet beskrivs på följande sätt i den dom från kammarrätten som överklagades till Högsta förvalt- ningsdomstolen.

Kommunen begär att få information om en person i socialförsäk- ringsdatabasen genom att ställa en elektronisk fråga till Försäkrings- kassan. Vid begäran legitimerar sig kommunen med sitt organisations- nummer via ett elektroniskt certifikat. Efter att behörighetskontrollen är gjord kontrollerar Försäkringskassans it-system att det i begäran endast efterfrågas sådan information som kommunen med hänsyn till sekretessregler är behörig att få ut. Utifrån kommunens begäran hämtar Försäkringskassans it-system sedan in informationen från olika interna källor. Försäkringskassans it-system sammanställer sedan

141SOU 2015:39, Myndighetsdatalag, s. 39–40 och 387–388.

142 Jfr bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110–111, SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 199 och Kommittédirek- tiv 2023:11, Tilläggsdirektiv till Utredningen om förbättrade möjligheter att utbyta information med brottsbekämpande myndigheter (Ju 2022:03), s. 3.

143SOU 2015:39, Myndighetsdatalag, s. 146. LEFI Online-avgörandet meddelades samma år som Informationshanteringsutredningen hade lämnat sitt slutbetänkande, men efter att det skett.

144En utförlig teknisk beskrivning av systemet finns på Försäkringskassans hemsida, tillgäng- lig: https://www.forsakringskassan.se/myndigheter-och-samarbetspartner/e-tjanster-for- myndigheter-och-samarbetspartner/lefi-online/beskrivning-av-tjansten-lefi-online [hämtad 2023-04-22].

783

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

svaret och en ytterligare (automatisk) kontroll görs så att uppgifter som omfattas av sekretess inte lämnas till kommunen (utifrån det krav på behörighet som är uppsatt för tjänsten). Under förutsättning att den ytterligare kontrollen visar att de efterfrågade uppgifterna kan lämnas ut fattas ett automatiskt beslut och uppgifterna lämnas ut/expedieras till kommunen.

Enligt 114 kap. 22 § socialförsäkringsbalken får en socialnämnd ha direktåtkomst till socialförsäkringsdatabasen först sedan Försäkrings- kassan har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Dåvarande Datainspektionen (numera Integritetsskyddsmyndigheten, IMY) hade gjort gällande att socialnämndernas tillgång till uppgifter genom LEFI Online innebar att nämnderna hade direktåtkomst till uppgifterna. Eftersom Försäkringskassan inte vidtar någon reell pröv- ning i det enskilda fallet ansåg Datainspektionen att förutsättning- arna för att medge direktåtkomst inte var uppfyllda. Det fick enligt Datainspektionen till följd att det integritetsskydd som lagstiftaren avsett att ge enskilda genom införandet av 114 kap. 22 § socialförsäk- ringsbalken sattes ur spel.

Försäkringskassan hade å sin sida anfört att LEFI Online inte utgjorde direktåtkomst.

Högsta förvaltningsdomstolen konstaterade att beskrivningar av begreppen direktåtkomst och utlämnande på medium för automa- tiserad behandling inte gav inte några tydliga hållpunkter för hur be- greppen ska förstås när det gäller helt automatiserade system för ut- byte av uppgifter mellan myndigheter. Domstolen konstaterade dock att de allmänna handlingar hos en myndighet som en annan myndig- het får tillgång till genom direktåtkomst utgör allmänna handlingar även hos den mottagande myndigheten. Domstolen anförde vidare att den avgränsning som på detta sätt görs av begreppet direkt- åtkomst, genom tillämpning av TF:s bestämmelser om allmänna hand- lingars offentlighet, kan användas även för att bestämma innehållet i detta begrepp i 114 kap. 22 § socialförsäkringsbalken. I det aktuella fallet var därmed frågan om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. Domstolen konstaterade därefter att socialnämnderna inte på egen hand kunde söka information i socialförsäkringsdatabasen, utan ett utlämnande förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan ansågs

784

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

därmed förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i nuvarande 2 kap. 6 § första stycket TF ansågs socialnämnderna inte ha, vilket innebar att LEFI Online inte var att betrakta som direkt- åtkomst enligt socialförsäkringsbalken.

Bedömningarna i LEFI Online-avgörandet har senare gjorts gene- rellt tillämpliga genom notisavgörandet HFD 2020 not. 16. Det inne- bär att de inte enbart är tillämpliga vid bedömning enligt socialförsäk- ringsbalken.

11.4.3eSam

Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form

Som nämnts i avsnitt 11.1 hänvisas i våra direktiv till eSamverkans- programmets (eSam) publikation Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form (maj 2016).145

Med hänvisning till Informationshanteringsutredningens slut- betänkande, och med hänsyn till de risker för integritetsintrång och annan spridning av känsliga uppgifter som överskottsinformation med- för, anförde eSam i vägledningen att nya tjänster för utlämnande inte borde utformas för direktåtkomst.

Enligt eSam:s vägledning skulle Högsta förvaltningsdomstolens bedömning av systemet LEFI Online bli avgörande även för andra tjänster, när de är av samma slag och den prövning som kan krävas av den utlämnande myndigheten endast är av formell art. eSam förde även fram att Högsta förvaltningsdomstolen grundat bedömningen av om ett förfarande utgör direktåtkomst endast på sättet för utläm- nande. Frågan om det utgör direktåtkomst eller annat elektroniskt utlämnande hade alltså enligt eSam frikopplats från vilken nivå av persondataskydd som en tjänst av samma slag som LEFI Online ger.

145E-delegationen (dir. 2009:19) hade sedan 2009 i uppdrag att samordna myndigheternas it-base- rade utvecklingsprojekt och skapa goda möjligheter för myndighetsövergripande samordning. Delegationen fick 2010 ett tilläggsdirektiv (dir. 2010:32) med uppdrag om vidareutnyttjande av offentlig information och riktlinjer för myndigheters användning av sociala medier. eSam- verkansprogrammet, eSam, bildades 2015 när E-delegationen slutfört sitt regeringsuppdrag. Generaldirektörerna för myndigheterna som ingick i E-delegationen beslöt att på frivillig grund fortsätta samarbetet kring digital utveckling. I dag ingår 36 medlemsorganisationer.

785

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

En modern registerförfattning 2022

eSam har i juni 2022 publicerat promemorian En modern register- författning, där frågan om direktåtkomst åter berörs.146 De slutsatser som förs fram i promemorian skiljer sig från de som redogjorts för ovan. I promemorian anför eSam i stället att såväl direktåtkomst som utlämnande på medium för automatiserad behandling ställer krav på autentisering och auktorisering. Båda formerna av utlämnande kräver att överenskommelser mellan myndigheter görs, och ofta även att loggning av trafik sker hos den utlämnande myndigheten. Oavsett form behöver samtliga av dessa krav vara uppfyllda. I promemorian hänvisar eSam till artiklarna 25 och 32 i EU:s dataskyddsförordning (se avsnitt 11.5.1) och uttalar att samtliga de kriterier som kan ingå i en lämplighetsbedömning vid elektroniskt utlämnande är sådana som tillgodoses genom reglering i dataskyddsförordningen och offent- lighets- och sekretesslagen.

eSam lyfter i promemorian även fram att eftersom den tekniska utvecklingen har lett till att samma effektivitetsvinster som vid direkt- åtkomst kan uppnås med en fråga-svar-funktion, så väljer myndig- heter ofta en sådan lösning. Personuppgiftsbehandling som möjlig- gör nedladdning i bulk, urval och bearbetningar kan dock enligt eSam medföra att det uppstår ökade integritetsrisker jämfört med om infor- mationen görs tillgänglig via direktåtkomst. För att minska sådana risker kan direktåtkomst utformas som sök- och visningstjänster och då ligger informationen kvar hos den registerhållande myndigheten. En sådan direktåtkomst innebär ökad kontroll över informationen. Enligt eSam bör den personuppgiftsansvariga myndigheten själv ha möjlighet att bedöma vilken form för utlämnande som är lämplig, med beaktande av tekniska och organisatoriska skyddsåtgärder. Regler- ingen i registerförfattningar bör enligt eSam som utgångspunkt vara teknikneutral.

146ES2022-06.

786

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

11.5Den allmänna dataskyddsregleringen

11.5.1EU:s dataskyddsförordning

För att behandling av personuppgifter över huvud taget ska vara lag- lig enligt EU:s dataskyddsförordning krävs att något av de villkor som anges i artikel 6.1 i förordningen är uppfyllda. I den artikeln anges på vilka rättsliga grunder personuppgifter får behandlas. Det måste därmed finnas en rättslig grund för all behandling, se avsnitt 3.2.5. Av artikel 6.3 framgår att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i data- skyddsförordningen, bl.a. typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rätt- vis behandling. Det bör därför vara tillåtet att i den nationella rätten begränsa myndigheters möjlighet att lämna ut personuppgifter elek- troniskt.

I dataskyddsförordningen finns dock inga särskilda bestämmel- ser som särskilt reglerar olika former eller tekniker för utlämnande av personuppgifter. Det finns inte heller någon bestämmelse som sär- skilt hanterar frågan om överskottsinformation vid direktåtkomst.147 Däremot finns det bestämmelser som har betydelse för de frågor som uppkommer i relation till elektrosnikt utlämnande både genom direkt- åtkomst och genom andra tekniska lösningar, särskilt avseende frågor om teknisk och organisatorisk säkerhet vid behandlingen och om inbyggt dataskydd och dataskydd som standard. Nedan följer en redo- görelse för några av de bestämmelser i dataskyddsförordningen som myndigheter behöver iaktta i samband med att ett elektroniskt utläm- nande av personuppgifter övervägs.

Enligt artikel 5.1 c ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de be- handlas (principen om uppgiftsminimering).

147Av skäl 31 andra stycket till dataskyddsförordningen framgår visserligen att varje begäran från en offentlig myndighet ska vara skriftlig, motiverad, läggas fram i det enskilda fallet och inte gälla ett helt register eller leda till att register kopplas samman. Stycket kan, läst för sig, tolkas som ett förbud mot informationsöverföring som är att jämställa med direktåtkomst. Direktåtkomst innebär ju nämligen, i vart fall i viss mån, att register kopplas samman. Vi anser

dock att andra stycket i skäl 31 bör läsas tillsammans med vad som anges i första stycket. I första stycket pekas en särskild situation, vari offentliga myndigheter inte bör betraktas som mottagare i dataskyddsförordningens mening; dvs. om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild utredning av allmänt intresse. Skäl 31 bör alltså enligt vår mening inte tolkas som ett förbud mot direktåtkomst.

787

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten be- handling och mot förlust, förstöring eller skada genom olycks- händelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (principen om integritet och konfidentialitet).

Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och fri- heter ska den personuppgiftsansvarige enligt artikel 24.1 genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförord- ningen. Dessa åtgärder ska ses över och uppdateras vid behov.

Med beaktande av bl.a. den senaste utvecklingen, genomförande- kostnader och behandlingens art, omfattning, sammanhang och ända- mål samt riskerna för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige enligt artikel 25.1, både vid fastställ- andet av vilka medel behandlingen utförs med och vid själva behand- lingen, genomföra lämpliga tekniska och organisatoriska åtgärder. Åtgärderna ska vara utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integ- rering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas.

Enligt artikel 25.2 ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att i standardfallet säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

Enligt artikel 32.1 ska den personuppgiftsansvarige vid behand- ling av personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhål- lande till de risker som behandlingen medför. Det kan röra sig om att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna, eller att regelbundet testa, undersöka och utvärdera effektiviteten hos de

788

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

tekniska och organisatoriska åtgärder som ska säkerställa behand- lingens säkerhet.

Av artikel 32.2 framgår att vid bedömningen av lämplig säkerhets- nivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet bl.a. till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ända- mål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, enligt artikel 35.1, före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Bedömningen ska enligt artikel 35.7 åtminstone innehålla bl.a. en systematisk beskrivning av den planerade behandlingen och behandlingens syften, en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena, en bedömning av risker och de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att dataskyddsförordningen efterlevs.

Av artikel 85.1 framgår att medlemsstaterna i lag ska förena rätten till integritet i enlighet med dataskyddsförordningen med yttrande- och informationsfriheten.

Av artikel 86 framgår att personuppgifter i allmänna handlingar som förvaras bl.a. av en myndighet eller ett offentligt organ för utför- ande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfat- tas av, för att jämka samman allmänhetens rätt att få tillgång till all- männa handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.

11.5.2Dataskyddslagen

Liksom EU:s dataskyddsförordning saknar dataskyddslagen bestäm- melser som direkt reglerar uppgiftslämnande från en myndighet till en extern part. Det finns heller inga bestämmelser om de olika for- merna för sådant utlämnande.

789

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Av 1 kap. 7 § första stycket dataskyddslagen framgår dock att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Enligt regeringens bedömning gav regler- ingen i dataskyddsförordningen (bl.a. artiklarna 85.1 och 86) ett tyd- ligt stöd för att den EU-rättsliga dataskyddsregleringen inte inkräktar på den grundlagsreglerade offentlighetsprincipen. Den nödvändiga sammanjämkning som avses i dataskyddsförordningen kommer en- ligt regeringen i svensk rätt till uttryck bl.a. genom bestämmelserna i offentlighets- och sekretesslagen, som är resultatet av noggranna avvägningar mellan allmänhetens intresse av insyn i det allmännas verk- samhet och den enskildes behov av skydd för sin personliga integ- ritet.148

11.5.3Europeiska dataskyddstyrelsens riktlinjer om inbyggt dataskydd och dataskydd som standard

Europeiska dataskyddsstyrelsen (EDPB)149 har antagit riktlinjer om inbyggt dataskydd och dataskydd som standard, som konkretiserar vad principerna innebär för de personuppgiftsansvariga.150 Rikt- linjerna syftar bl.a. till att utreda och ge vägledning avseende kraven på inbyggt dataskydd i artikel 25.1 i dataskyddsförordningen, respek- tive dataskydd som standard i artikel 25.2 i dataskyddsförordningen. I riktlinjerna ges även exempel på hur inbyggt dataskydd och data- skydd som standard kan omsättas i praktiken genom en förteckning över centrala komponenter i inbyggt dataskydd och dataskydd som standard för var och en av de grundläggande principerna för dataskydd (se avsnitt 3.5.2). Av riktlinjerna framgår bl.a. följande avseende artikel 25.1 och 25.2 i dataskyddsförordningen.

148Prop. 2017/18:105, Ny dataskyddslag, s. 41–43.

149Europeiska dataskyddsstyrelsen (EDPB) är ett oberoende europeiskt organ som bidrar till en enhetlig tillämpning av dataskyddsreglerna inom hela EU/EES och främjar samarbetet mellan dataskyddsmyndigheterna. EDPB kan ge allmän vägledning för att klargöra begrepp inom europeisk dataskyddslagstiftning och därmed ge en enhetlig tolkning av de rättigheter och skyldigheter som följer av regelverket. Genom dataskyddsförordningen har EDPB även befogenhet att fatta bindande beslut gentemot nationella tillsynsmyndigheter för att säker- ställa en enhetlig tillämpning. EDPB består av medlemsstaternas tillsynsmyndigheter samt Euro- peiska datatillsynsmannen (EDPS). IMY deltar aktivt i arbetet i samtliga undergrupper som utför EDPB:s arbetsuppgifter. Se IMY:s webbsida, EDPB, tillgänglig: https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/edbp/ [hämtad 2023-04-11].

150Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt data- skydd och dataskydd som standard, Version 2.0, s. 5.

790

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Artikel 25.1

Tekniska och organisatoriska åtgärder och nödvändiga skyddsåtgär- der ska tolkas i vid mening, som samtliga metoder eller medel som en personuppgiftsansvarig kan använda vid behandlingen. En teknisk eller organisatorisk åtgärd och en skyddsåtgärd kan vara allt från an- vändning av avancerade tekniska lösningar till grundläggande utbild- ning av personalen. Beroende på sammanhanget och de risker som är förbundna med den aktuella behandlingen kan exempel vara tillhanda- hållande av information om lagringen av personuppgifter, inrättande av system för hantering av integritet och informationssäkerhet etc. Vid genomförandet av lämpliga tekniska och organisatoriska åtgär- der bör åtgärderna och skyddsåtgärderna vara utformade så att var och en av principerna för dataskydd och det efterföljande skyddet av rättigheter kan genomföras på ett effektivt sätt. De valda åtgärderna och skyddsåtgärderna bör utformas för genomförandet av princi- perna för dataskydd i just den aktuella behandlingen. Frågan om åt- gärder är effektiva beror därför på omständigheterna i samband med behandlingen i det enskilda fallet och på en bedömning av vissa om- ständigheter som bör beaktas vid fastställandet av medlen för behand- lingen. Den personuppgiftsansvariga bör kunna dokumentera de tek- niska och organisatoriska åtgärder som genomförts.

Hänvisningen till den senaste utvecklingen innebär en skyldighet för personuppgiftsansvariga att beakta de aktuella framsteg på teknik- området som är tillgängliga på marknaden vid fastställandet av lämp- liga tekniska och organisatoriska åtgärder. Kravet är att personuppgifts- ansvariga ska ha kunskap om och hålla sig uppdaterade om tekniska framsteg, om hur teknik kan medföra datasäkerhetsrisker eller möj- ligheter för behandlingen och om hur de åtgärder och skyddsåtgär- der som säkerställer ett effektivt genomförande av principerna och de registrerades rättigheter ska genomföras och uppdateras.

Personuppgiftsansvariga måste ta hänsyn till behandlingens art, omfattning, sammanhang och ändamål när de fastställer nödvändiga åtgärder. Dessa faktorer bör tolkas i överensstämmelse med deras roll i andra bestämmelser i dataskyddsförordningen, i syfte att låta princi- perna för dataskydd bli en del av behandlingen. Begreppet art kan kortfattat uttryckt förstås som behandlingens inneboende egenskaper, exempelvis särskilda kategorier av personuppgifter, automatiskt be- slutsfattande, skeva maktförhållanden, oförutsägbar behandling osv.

791

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Omfattningen avser behandlingens storlek och räckvidd. Samman- hanget hänför sig till omständigheterna vid behandlingen, vilka kan påverka den registrerades förväntningar, medan ändamålet avser be- handlingens syfte.

Vid genomförandet av den riskanalys som krävs för efterlevnad av artikel 25 måste den personuppgiftsansvarige identifiera de risker för de registrerades rättigheter som en överträdelse av principerna innebär, och fastställa deras sannolikhet och allvar så att han eller hon kan vidta åtgärder för att effektivt minska de identifierade ris- kerna. Vägledning om hur dataskyddsrisker ska bedömas och om hur en bedömning av dataskyddsrisker ska genomföras tillhandahålls i EDPB:s riktlinjer om konsekvensbedömning avseende dataskydd.151

Det är under arbetet med att fatta beslut om hur behandlingen ska utföras och på vilket sätt behandlingen ska ske och vilka meka- nismer som ska användas för att utföra behandlingen som den person- uppgiftsansvarige är skyldig att bedöma de lämpliga åtgärderna och skyddsåtgärderna för att principerna och de registrerades rättigheter ska genomföras på ett effektivt sätt i behandlingen. Att redan i ett tidigt skede överväga inbyggt dataskydd och dataskydd som standard är avgörande för ett framgångsrikt genomförande av principerna och skyddet av de registrerades rättigheter.

När behandlingen har inletts är den personuppgiftsansvarige fort- satt skyldig att upprätthålla inbyggt dataskydd och dataskydd som standard, dvs. fortsätta att på ett effektivt sätt genomföra principerna för att skydda rättigheterna, hålla sig à jour med den senaste tekniken, ompröva risknivån osv. Behandlingarnas art, omfattning och samman- hang samt risken kan förändras under behandlingens gång, vilket innebär att den personuppgiftsansvarige kontinuerligt måste utvär- dera sin behandling genom regelbundna översyner och bedömningar av effektiviteten hos de åtgärder och skyddsåtgärder som valts.

Artikel 25.2

Den personuppgiftsansvarige bör välja och vara ansvarig för att in- föra standardinställningar och alternativ på ett sådant sätt att endast sådan behandling som är absolut nödvändig för att uppnå det fast-

151Riktlinjerna antogs ursprungligen av dåvarande Artikel 29-arbetsgruppen för skydd av per- sonuppgifter och under sitt första plenarsammanträde godkände Europeiska dataskydds- styrelsen Artikel 29-gruppens olika vägledningar avseende dataskyddsförordningen.

792

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

ställda, lagliga ändamålet utförs som standard. Här bör de person- uppgiftsansvariga utgå från sin bedömning att behandlingen är nöd- vändig sett till de rättsliga grunderna i artikel 6.1. Grundkravet är att dataskyddet ska vara inbyggt i den behandling som utförs som stan- dard. Åtgärderna ska som standard vara lämpliga för att säkerställa att endast personuppgifter som är nödvändiga för varje särskilt ända- mål med behandlingen behandlas. De organisatoriska åtgärder som stöder behandlingen ska, redan från början, vara utformade så att en- dast den minsta mängd personuppgifter som krävs för de särskilda åtgärderna behandlas. Detta ska särskilt beaktas när personal med olika arbetsuppgifter och olika behov får åtkomst till uppgifter.

Den personuppgiftsansvarige bör begränsa vilka som kan få till- gång till personuppgifter (och vilken typ av tillgång) grundat på en bedömning av tillgångens nödvändighet, och även se till att person- uppgifterna faktiskt är tillgängliga för dem som vid behov behöver dem, t.ex. i kritiska situationer. Åtkomstkontroller bör iakttas för hela dataflödet under behandlingen.

11.6Myndigheternas uppfattningar om nuvarande reglering av elektroniskt utlämnande

Skatteverket

Skatteverket anser att det inte ska regleras i vilken form uppgifter får lämnas ut, och att det väsentliga är att utlämnandet sker på ett säkert sätt och i övrigt enligt den allmänna dataskyddsregleringen. Den en- skilde får ett tillräckligt skydd genom artikel 32 i EU:s dataskydds- förordning, den allmänna regleringen i övrigt och sekretessregler- ingen. De sekretessbrytande bestämmelserna bör enligt Skatteverket därför också vara teknikneutrala och endast ange vilka uppgifter som får lämnas ut för att bryta sekretessen och inte ange i vilken form utlämnande ska ske.

Skatteverket är vidare av uppfattningen att myndigheten har för- måga att själv bedöma om det är fråga om direktåtkomst när det gäller tillämpning av allmänna bestämmelser som reglerar detta. Skatte- verkets uppfattning är även att ett effektivt informationsutbyte i dag inte förutsätter direktåtkomst, utan det kan i regel uppnås på annat sätt. I vissa fall kan dock direktåtkomst vara mest ändamålsenligt, exempelvis när det rör informationshantering i ett system som an-

793

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

vänds gemensamt av flera myndigheter, eller om det rör uppgifts- utbyte mellan olika verksamhetsgrenar inom en och samma myndighet.

Skatteverket anser även att den nuvarande regleringen utgör ett hinder för sådant elektroniskt utlämnande som är nödvändigt för hand- läggningen av vissa ärenden och har tidigare lyft frågan i olika sam- manhang. Exempelvis har Skatteverk i december 2022 föreslagit regel- ändringar som möjliggör elektroniskt utlämnande i de fall där det finns ett behov av att lämna uppgift om en enskild i en kontakt med tredje man, som vid exempelvis tredjemansförelägganden.152 Skatte- verket har även i remissvar påpekat sina behov i detta avseende.153

Hur uppgifter lämnas ut är enligt Skatteverket en fråga om en av- vägning mellan effektivitet och restriktivitet. Det effektivaste är att den mottagande myndigheten alltid får tillgång till all information som den kan komma att behöva och därefter själv avgör vilken informa- tion som ytterst behövs i ett ärende, vid kontroll eller för annan åt- gärd.154 Ett mer restriktivt förhållningssätt är enligt Skatteverket att enbart de uppgifter som myndigheten på förhand kan avgöra att det finns ett behov av lämnas ut. Det medför att ett eventuellt överskott blir minimalt. Så snart ett nytt behov uppstår behöver dock en upp- datering göras av leveransen av uppgifter vilket kräver fler åtgärder och ett närmre samarbete mellan den utlämnande och mottagande myndigheten. En avvägning måste därför göras mellan dessa två ut- gångspunkter.

Tullverket

Enligt Tullverkets uppfattning skapar uppdelningen i utlämnande på medium för automatiserad behandling och direktåtkomst stora pro- blem för myndigheten, särskilt inom ramen för samarbetet inom EU. I det samarbetet görs inte någon rättslig åtskillnad mellan olika for- mer av elektroniskt informationsutbyte.

152Skatteverkets promemoria, Rättslig möjlighet för Skatteverket att skicka uppgifter om enskilda digitalt till tredje man, dnr 8-2059717.

153Skatteverkets remissvar, Promemorian Genomförande av EU:s direktiv om finansiell infor- mation (Ds 2021:5), dnr 8-763633.

154Det sker i princip alltid en teknisk bearbetning av den information som mottas för att den ska få ett kompatibelt format och kunna användas med stöd av de arbetsverktyg som verk- samheten använder och överflödiga uppgifter kan avskiljas även i detta steg, utifrån vad som närmare behövs i den mottagande myndighetens verksamhet.

794

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Tullverket har särskilt påpekat att av artikel 6.1 och 6.2 i tull- kodexen155 framgår att utbyte och lagring av uppgifter mellan tull- myndigheterna, samt mellan ekonomiska aktörer och tullmyndig- heterna, ska ske med hjälp av elektronisk databehandlingsteknik. Tullverket har även påpekat att enligt artikel 16.1 i tullkodexen ska medlemsstaterna samarbeta med kommissionen för att utveckla, underhålla och använda elektroniska system för utbyte av uppgifter mellan olika tullmyndigheter och med kommissionen i enlighet med kodexen. Tullverket har vidare lyft att i artikel 17.1 i tullkodexen anges att kommissionen genom genomförandeakter ska specificera de tekniska arrangemangen för utveckling, underhåll och använd- ning av de elektroniska system som avses i artikel 16.1. Detta är gjort med kommissionens genomförandeförordning156 som innehåller re- glering av hur uppbyggnaden och informationsutbytet ska ske i systemen. I genomförandeförordningen finns det inte någon upp- delning i direktåtkomst eller annat elektroniskt utlämnande.

Tullverket har vidare påpekat att dagens reglering kräver analyser som både är tidskrävande och inte nödvändigtvis bidrar till ett ökat integritetsskydd. Utöver att säkerställa att ett utlämnande är förenligt med bl.a. offentlighets- och sekretesslagen, uppfyller kraven i data- skyddsförordningen och interna säkerhetskrav kopplade till informa- tionssäkerhet m.m. är det också nödvändigt för Tullverket att analy- sera utformningen av den tekniska lösningen för utlämnandet för att säkerställa att lösningen faller inom den kategori av utlämnande som registerförfattningarna medger i det aktuella fallet. Enligt Tullverkets bedömning kräver digitaliseringen andra överväganden för att säker- ställa skyddet av skyddsvärds uppgifter. Tullverkets uppfattning är att formen för utlämnande inte bör regleras särskilt. Reglering av tillåtna tekniska lösningar kommer enligt Tullverket att bli omodern, förlora relevans och bli onödigt kostsam. I stället borde det vara en fråga för parterna att avgöra vad som i det enskilda fallet är mest lämpligt utifrån säkerhet, integritet och kostnadseffektivitet m.m.

Enligt Tullverket är de faktiska skillnaderna mellan olika former av elektroniskt utlämnande i dag små, såväl ur integritetssynpunkt som rent tekniskt. Det bör därför vara tillräckligt med den reglering

155Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen.

156Kommissionens genomförandeförordning (EU) nr 2023/1070 av den 1 juni 2023 om tek- niska arrangemang för utveckling, underhåll och användning av elektroniska system för utbyte och lagring av information enligt Europaparlamentets och rådets förordning (EU) nr 952/2013.

795

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

som finns i dataskyddsförordningen, offentlighets- och sekretesslagen och övrig befintlig informationssäkerhetsreglering. De överväganden som nuvarande registerförfattningar kräver framstår mot den bak- grunden enligt Tullverket som överflödiga och riskerar att hämma den tekniska utvecklingen. Om hänsyn inte längre behöver tas till krav som inte förstärker integritetsskyddet kan det sparas tid och resurser till utveckling av den för ändamålet bästa metoden för utlämnande.

Kronofogdemyndigheten

Kronofogdemyndigheten är av uppfattningen att frågan om utläm- nandeform är en säkerhetsfråga. Vid elektroniskt utlämnande måste det enligt Kronofogdemyndigheten säkerställas att rätt mottagare får del av uppgifterna, att mottagaren är behörig att ta del av uppgifterna, att ingen obehörig får tillgång till uppgifterna och att uppgifterna inte får omotiverad exponering. Dessa frågor är dock desamma oav- sett om uppgifterna lämnas ut digitalt eller i pappersform.

Enligt Kronofogdemyndigheten innebär den nuvarande regleringen stora problem för myndigheten, vilket föranlett en hemställan om änd- ring i myndighetens registerförfattningar.157 Bestämmelserna begrän- sar möjligheterna till utlämnande i stor utsträckning och detta gäller även offentliga uppgifter. Regleringen bygger enligt Kronofogde- myndigheten på antagandet att digitalt utlämnande alltid är känsligt ur integritetssynpunkt. Med hänsyn till den tekniska utvecklingen är detta inte längre ett aktuellt antagande. Det finns många säkra sätt att elektroniskt lämna ut uppgifter, exempelvis inom en e-tjänst med autentiseringskrav eller via Mina meddelanden.158 Begreppet ”medium för automatiserad behandling” som används i myndighetens register- författningar är dessutom inaktuellt.

Enligt Kronofogdemyndigheten medför den befintliga regleringen av elektroniskt utlämnande att myndigheten har svårt att på ett ända- målsenligt sätt tillhandahålla information till enskilda. Den begränsar också Kronofogdemyndighetens möjligheter att utforma e-tjänster.

157Kronofogdemyndighetens promemoria Bättre och snabbare service i Kronofogdemyndighetens verksamhet, KFM 22992–2020.

158Enskilda kan få digital post från de myndigheter, kommuner och regioner som är anslutna som avsändare till tjänsten Mina meddelanden. Det är namnet på den myndighetsgemensam- ma infrastrukturen för säker digital post.

796

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Dataskyddsförordningens säkerhetsbestämmelser ger enligt Krono- fogdemyndigheten ett starkt integritetsskydd för de registrerade och den befintliga regleringen i den kompletterande dataskyddslagstift- ningen framstår därför som omotiverad. Den detaljerade regleringen ställer också krav på återkommande ändringar i kronofogdedatabas- förordningen, allt eftersom fler privata subjekt framställer behov av elektronisk tillgång till skuldinformation. Enligt Kronofogdemyndig- heten kompliceras tillämpningen också av att regleringen av elek- troniskt utlämnande skiljer på direktåtkomst och annat utlämnande. Enligt Kronofogdemyndighetens uppfattning bör formerna för utläm- nande inte regleras över huvud taget.

11.7Överväganden och förslag

11.7.1Nuvarande reglering av elektroniskt utlämnande är inte ändamålsenlig

Vår bedömning: Nuvarande bestämmelser om elektroniskt utlämnande är inte ändamålsenliga.

Skälen för vår bedömning

Målet för digitaliseringspolitiken

Målet för digitaliseringspolitiken är sedan flera år att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.159 Reger- ingen har 2018 uttalat att målet för digitaliseringen av den offentliga förvaltningen bl.a. är en enklare vardag för medborgare och högre kva- litet och effektivitet i verksamheten. Vidare har regeringen gjort be- dömningen att digitalt ska vara förstahandsval i den offentliga förvalt- ningens verksamhet och i kontakter med privatpersoner och företag, samtidigt som säkerheten och skyddet för den personliga integriteten ska säkerställas.160 I budgetpropositionen för 2023 har regeringen ut- talat att det behövs en ambitionshöjning för att nå sagda mål. Reger- ingen har i sammanhanget påpekat att det faktum att flera andra län- der lyckas bättre än Sverige trots sämre förutsättningar, visar på att

159Budgetpropositionen för 2012, prop. 2011/12:1 utg. omr. 22, s. 84.

160Budgetpropositionen för 2019, prop. 2018/19:1 utg. omr. 2, s. 53.

797

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Sverige ännu inte lyckats använda digitaliseringens möjligheter fullt ut.161

Användningen av digitala kommunikationssätt har ökat markant bland enskilda under de senaste 20 åren, vilket framgår av Statistiska centralbyråns, SCB, statistik över befolkningens internetanvänd- ning. År 2003 använde 31 procent av befolkningen i åldern 16–74 år internet aldrig eller bara sällan.162 Det kan ställas mot att 85 procent av befolkningen i åldern 16–85 år hade legitimerat sig vid användning av internet genom Mobilt Bank-ID eller Bank-ID med kortläsare under en undersökt period år 2020. Endast 3 procent hade under samma period inte använt någon form av digital legitimering. Under 2021 hade 86 procent av befolkningen i åldern 16–85 år använt inter- net i stort sett varje dag. Över 60 procent av befolkningen i åldern 16–85 år hade under år 2022 fått myndighetspost via ett konto (t.ex. Mina meddelanden). En lika stor andel av befolkningen hade hämtat information på en myndighets hemsida, respektive fått tillgång till information som lagras om personen t.ex. om pension eller hälsa genom en myndighets hemsida.163 Att digital informationshantering ökar på bekostnad av den analoga motsvarigheten illustreras också av att antalet skickade brev sedan millennieskiftet har minskat med ungefär hälften, vilket fått till följd att vanlig post numera delas ut varannan dag.164

I flera sammanhang har på olika sätt påpekats att sektorsspecifik dataskyddsreglering ofta utgör ett hinder för myndigheter att an- vända digitaliseringens möjligheter, genom bestämmelser som i vissa fall kräver pappershantering och i praktiken innebär ett förbud mot elektroniskt utlämnande genom exempelvis e-post.165 Även Skatte- verket och Kronofogdemyndigheten behöver i viss utsträckning kom- municera med enskilda i pappersform, som ett resultat av bestäm- melser i den kompletterande dataskyddsregleringen, se avsnitt 11.3.2 och 11.6 ovan. Med hänsyn till hur stor del av Sveriges befolkning

161Budgetpropositionen för 2023, prop. 2022/23:1, utg. omr. 22, s. 105.

162SCB, Privatpersoners användning av datorer och Internet 2009, s. 13.

163SCB, Befolkningens it-användning, tillgänglig på SCB:s webbsida, https://www.scb.se/le0108 [hämtad 2023-04-14].

164Postnords pressmeddelande Så fungerar varannandagsutdelning, tillgängligt på Postnords webbsida, https://www.postnord.se/om-oss/pressmeddelanden/framtidens-post/sa- fungerar-varannandagsutdelning [hämtad 2023-04-14].

165Jfr bl.a. SOU 2015:39, Myndighetsdatalag, s. 148, SOU 2018:25. Juridik som stöd för för- valtningens digitalisering, s. 71 och Ds 2022:13, Utökat informationsutbyte s. 59.

798

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

som i dag kommunicerar digitalt kan det te sig främmande att kom- munikation med en myndighet sker via pappersbrev.

Den befintliga regleringen av elektroniskt utlämnande är inte ändamålsenlig

Redan mot bakgrund av att en stor del av befolkningen i dag regel- bundet använder sig av digitala informationskanaler och legitimer- ingssätt framstår det enligt vår bedömning inte som motiverat att på ett generellt plan begränsa Skatteverkets, Tullverkets och Krono- fogdemyndighetens möjligheter att lämna ut information till en- skilda elektroniskt. Även samhällets generella övergång till digital informationshantering talar för detta och en manuell informations- hantering kan i dag inte sägas vara ett realistiskt alternativ för vare sig myndigheter eller företag.166 Vi anser därför att nuvarande bestäm- melser som i praktiken i vissa fall kräver kommunicering i pappers- form inte är ändamålsenliga. Sådan reglering avviker dessutom från regeringens uttalade målsättning att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakt med en- skilda. Utgångspunkten bör i stället vara att det i dag är nödvändigt för myndigheterna att använda tekniska hjälpmedel både vid hand- läggning av ärenden och vid informationsutbyte med andra myndig- heter och enskilda. Det är därför viktigt att det finns goda rättsliga möjligheter för elektroniskt informationsutbyte från, och mellan, myndigheter.

Vad gäller direktåtkomst är regleringen i dag mycket begränsande även i förhållande till andra myndigheter. Sådant utlämnande tillåts enbart om det finns stöd för det i nuvarande registerlagar. Som fram- går av avsnitt 11.3.1 var dock skillnaden mellan direktåtkomst och ut- lämnande i annan elektronisk form ifrågasatt redan vid tidpunkten för den nuvarande regleringens tillkomst. Bland annat i ljuset av Högsta förvaltningsdomstolens avgörande HFD 2015 ref. 61 (LEFI Online- avgörandet) framstår frågan som än mer aktuell i dag. Som framgår av avsnitt 11.4.3 kan det hävdas att de omedelbara integritetsskydds- frågorna genom LEFI Online-avgörandet har kopplats bort från frågan om direktåtkomst föreligger eller inte. Både vid direktåtkomst och vid uppgiftslämnande genom en fråga-svar-tjänst har mottagaren näm-

166Jfr prop. 2017/18:105, Ny dataskyddslag, s. 47.

799

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

ligen en momentan tillgång till information från den utlämnande myn- digheten och eventuella sekretessprövningar är gjorda på förhand. Också IMY har nyligen uttalat att det kan finnas skäl att i ljuset av rättsutvecklingen och den tekniska utvecklingen på området utreda frågan om direktåtkomst fortsättningsvis bör särregleras i förhål- lande till annat utlämnande.167

Vi anser att frågan om det finns skäl att i fortsättningen upprätt- hålla en särreglering av utlämnande genom direktåtkomst behöver analyseras förutsättningslöst. Tidigare ställningstaganden, som utgår från väsentligt andra rättsliga och tekniska förutsättningar än idag, bör inte längre vara avgörande för bedömningen. Analysen bör i stället utgå från de faktiska rättsliga och tekniska förhållanden som råder, där den snabba tekniska utvecklingen är en viktig aspekt. Som vi redo- gör för nedan är vår bedömning att det med hänsyn till EU:s data- skyddsförordning och den rättsliga utvecklingen i övrigt i dag saknas skäl att upprätthålla en åtskillnad mellan olika former av elektroniskt utlämnande.

Sammanfattningsvis finns det enligt vår bedömning i dag flera omotiverade begränsningar eller hinder för myndigheterna att lämna ut personuppgifter elektroniskt. Dagens reglering av Skatteverkets, Tullverkets respektive Kronofogdemyndighetens möjligheter att lämna ut uppgifter elektroniskt kan därför inte anses vara väl avvägd i för- hållande till den tekniska och rättsliga utvecklingen, och kan inte sägas vara utformad på ett ändamålsenligt sätt.

11.7.2Teknikneutralitet och dataskydd

Vår bedömning: Det kan ifrågasättas om en särreglering av olika former av elektroniskt utlämnande är förenligt med målsättning- en om ett teknikneutralt skydd för den personliga integriteten.

167IMY:s yttrande, eSam:s promemoria En modern registerförfattning (ES 2022:6), IMY-2022- 1665, s. 9.

800

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Skälen för vår bedömning

Teknikneutralitet som utgångspunkt

I kapitel 5 har vi redogjort för våra utgångspunkter vad gäller en modern och ändamålsenlig kompletterande dataskyddsreglering. En av utgångspunkterna är att den kompletterande dataskyddsregler- ingen bör vara teknikneutral, vilket kräver överväganden om vilka frågor som över huvud taget ska regleras (se avsnitt 5.2.5). Vi gör där även bedömningen att teknikneutralitet dels följer av EU:s dataskydds- förordning (skäl 15 till förordningen), dels är en förutsättning för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna hålla jämna steg med den tekniska utvecklingen i samhället i övrigt och kunna effektivisera verksamheten till nytta för både myndigheter och enskilda.

Regeringen har i andra sammanhang konstaterat att även om det inte finns något generellt hinder mot elektroniskt utlämnande i data- skyddsförordningen finns det enligt artikel 6.3 möjlighet att i natio- nell rätt införa regler som preciserar förutsättningarna för sådant ut- lämnande.168 Mot den bakgrunden har bestämmelser i kompletterande lagstiftning som i praktiken begränsar en myndighets möjligheter att använda vissa tekniska lösningar vid uppgiftslämnande ansetts vara förenliga med den generella dataskyddsregleringen.169 Vi anser dock att även om dataskyddsförordningen inte ställer upp något hinder mot sådana begränsningar är regeringens tidigare förhållningssätt svår- förenligt med målsättningen om ett teknikneutralt skydd för den personliga integriteten.

Risken för inlåsningseffekter

I tidigare lagstiftningsärenden där formerna för utlämnande varit i fråga har regeringen konstaterat att både i Sverige och inom EU uppmuntras myndigheter att i så stor utsträckning som möjligt dra nytta av de effektivitetsvinster som modern teknik kan ge.170 Enligt

168Av artikel 6.3 andra stycket framgår att den rättsliga grunden kan innehålla särskilda be- stämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. avseende förfaranden för behandling, se avsnitt 11.5.1 ovan.

169Jfr bl.a. prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 54–55 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 140.

170Jfr prop. 2020/21:224, Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt s. 104.

801

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

dataskyddsförordningen har personuppgiftsansvariga dessutom en skyldighet att beakta de aktuella framsteg på teknikområdet som är tillgängliga vid fastställandet av lämpliga tekniska och organisatoriska åtgärder för personuppgiftsbehandling. Som framgår av avsnitt 11.5.3 finns det ett krav på att de personuppgiftsansvariga ska ha kunskap om och hålla sig uppdaterade om tekniska framsteg, om hur teknik kan medföra datasäkerhetsrisker eller möjligheter för behandlingen och om hur de åtgärder och skyddsåtgärder som säkerställer ett effek- tivt genomförande bl.a. av de grundläggande principerna för behand- ling ska genomföras och uppdateras.

Reglering av under vilka förutsättningar en viss teknisk lösning får förekomma kräver dock, likt annan normgivning, att bedöm- ningar görs i förväg. I dag är den tekniska utvecklingen mycket snabb och den rättsliga utvecklingen i frågor om dataskydd är ständigt på- gående. Ändring av gällande författningar är i jämförelse med den tekniska utvecklingen en långsam process som kräver både resurser och politisk vilja. Begränsningar av tillåtligheten av en viss teknisk lösning vid utlämnande medför därmed att det kan uppstå omotive- rade inlåsningseffekter som hindrar myndigheterna från att dra nytta både av de effektivitetsvinster och det utökade integritetsskydd som modern teknik skulle kunna ge. Av dataskyddsförordningen framgår dessutom att kravet på teknikneutralitet i integritetsskyddshänseende är motiverat av att bestämmelser som syftar till att skydda enskildas personliga integritet inte ska kunna kringgås (skäl 15 till förordning- en). Det bör enligt vår mening förstås på så sätt att integritetsskyd- det som dataskyddsförordningen syftar till att åstadkomma ska gälla oaktat vilken teknisk lösning som används vid uppgiftslämnande. Detta framgår inte minst genom bestämmelser som utgår från risken med en viss behandling. Personuppgiftsansvariga förväntas identifi- era riskerna och vidta de åtgärder som krävs för att göra dessa han- terbara oavsett behandlingens tekniska format, se avsnitt 11.7.3 nedan.

Annat elektroniskt utlämnande än direktåtkomst

Av avsnitt 11.3.2 framgår att aktuella begränsningar av myndigheter- nas möjlighet till elektroniskt utlämnande på annat sätt än genom direktåtkomst i princip uteslutande avser utlämnande till enskilda. Be- gränsningarna motiverades ursprungligen av de högre integritetsrisker

802

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

som ansågs kunna följa med utlämnande av uppgifter på medium för automatiserad behandling, och utlämnande av uppgifter på ett sådant sätt skulle därför endast få ske om det var särskilt föreskrivet (se av- snitt 11.3.1). I de fall uppgifter ska lämnas ut till någon annan än den enskilde själv är därför Skatteverket och Kronofogdemyndigheten i regel rättsligt förhindrade att lämna ut även offentliga uppgifter via exempelvis e-post.

Som framgår av avsnitt 11.2.3 har begreppet utlämnande på medi- um för automatiserad behandling, i takt med att tekniken utvecklats, fått en vidare innebörd än att avse ett överlämnande av elektroniskt lagrade uppgifter via något slags fysiskt medium för lagring eller överföring, som en diskett eller ett usb-minne. I dag kan elektroniskt utlämnande av uppgifter exempelvis ske genom säker e-post eller kräva identifiering av mottagaren via en av myndigheten godkänd e-legiti- mation. Användande av säker e-post kan exempelvis innebära olika former av kryptering, eller att informationen inte skickas direkt till mottagaren utan i stället lagras på en säker server. Mottagaren får i stället ett aviseringsmeddelande med en länk för att få tillgång till meddelandet. Meddelandet öppnas inte i ett vanligt e-postprogram utan kan enbart läsas från den säkra servern, vilket innebär att utom- stående inte kan få tillgång till informationen på väg till mottagaren. Säker e-post kan också kräva att mottagaren anger en kod som sänts till denna via ett annat medium, exempelvis sms, för att få tillgång till informationen. Pappershandlingar riskerar däremot att komma på av- vägar såväl inom posthanteringen som på andra sätt. Dagens teknik tillåter dessutom att pappershandlingar mycket enkelt omvandlas till digitala handlingar, exempelvis pdf-format, genom allmänt tillgäng- liga applikationer för mobiltelefoner. Därefter kan dessa hanteras på samma sätt som annan digital information.

Det går inte att ifrågasätta att automatiserad behandling av stora mängder personuppgifter kan medföra förhöjda risker ur integritets- synpunkt. Vi anser dock att det inte längre är riktigt att utgå från att integritetsriskerna alltid är lägre vid ett analogt utlämnande än vid ett elektroniskt utlämnande. Användandet av funktioner som säker e-post kan i stället innebära en högre grad av skydd för personuppgif- ter än om ett pappersbrev hade skickats. Under förutsättning att ut- lämnandet sker med tillämpning av tillgängliga tekniker för säker in- formationsöverföring kan elektroniskt utlämnande alltså innebära ett starkare integritetsskydd än vid analog hantering. Det bör mot

803

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

den bakgrunden kunna ifrågasättas om en reglering som i praktiken innebär att elektroniskt utlämnande i vissa fall inte är tillåtet är för- enlig med målsättningen att skyddet för fysiska personer ska vara teknikneutralt och inte beroende av den teknik som används.

Direktåtkomst

När direktåtkomst ska upprättas ställs det höga krav på myndig- heterna på båda sidor av utlämnandet (se avsnitten 11.4.1 och 11.7.3 nedan). Ett utlämnande genom en fråga-svar-tjänst likt LEFI Online fyller dock i många situationer samma behov som tidigare motiverat inrättandet av system för direktåtkomst, dvs. effektivitet och aktuali- tet. Det framstår därför som osannolikt att direktåtkomst i dag skulle vara förstahandsvalet i en situation där formerna för ett i övrigt tillåtet utlämnande övervägs. Även fortsättningsvis kommer det dock med stor sannolikhet finnas system för informationsöverföring som rätts- ligt sett är att betrakta som direktåtkomst, utifrån den gränsdragning som gäller i dag. Utöver befintliga anslutningar för direktåtkomst kan frågan om upprättandet av ett nytt system för direktåtkomst komma att aktualiseras i situationer som omfattar ett informationsförsörj- ningsuppdrag, när uppgifterna är offentliga eller vid informations- överföring mellan olika självständiga verksamhetsgrenar inom en myndighet. Även i situationer där två eller flera myndigheter är gemen- samt ansvariga för att utföra en viss uppgift kan direktåtkomst komma att framstå som det mest ändamålsenliga sättet för utlämnande.

Även om direktåtkomst är ett juridiskt begrepp utgår det, enligt Högsta förvaltningsdomstolens LEFI Online-avgörande, från en bedömning av det tekniska förfarandet vid överföring. Om ett auto- matiserat system för informationsöverföring inte kräver en reaktion av den utlämnande myndigheten föreligger direktåtkomst. Om syste- met däremot kräver en (helt automatiserad) reaktion från den utläm- nande myndigheten, och ger användaren samma momentana svar som vid direktåtkomst, föreligger inte direktåtkomst. Frågan om det finns skäl att upprätthålla en åtskillnad mellan direktåtkomst och andra former av elektroniskt informationsutbyte blir därmed även en fråga om att särreglera vissa tekniska lösningar. Därmed bör det kunna ifrågasättas om en begränsande reglering av utlämnande ge- nom direktåtkomst är förenlig med målsättningen om att skyddet

804

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

för fysiska personer ska vara teknikneutralt och inte beroende av den teknik som används, för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås.

Kraven på inbyggt dataskydd och dataskydd som standard (se avsnitt 11.5.3) är vidare något som alla personuppgiftsansvariga i dag måste uppfylla, oavsett hur omfattande eller komplicerad behandlingen är.171 Det bör enligt vår mening tolkas som att kraven på inbyggt dataskydd och dataskydd som standard är desamma oavsett vilken teknisk lösning som används. Med utgångspunkt i ansvarsprincipen (artiklarna 5.2 och 24.1 i dataskyddsförordningen) måste utlämnande och mottagande myndigheter i samverkan utarbeta tekniker för infor- mationsutbyte som är säkra och ändamålsenliga oberoende av vilken teknik som bedöms vara mest lämplig i det enskilda fallet och hur den klassificeras rättsligt i den nationella rätten. Här bör även nämnas att befintliga system för utlämnande omfattas av samma krav på inbyggt dataskydd och dataskydd som standard som nya system. Om ett äldre system inte redan uppfyller kraven på inbyggt dataskydd och data- skydd som standard, och ändringar inte kan göras för att uppfylla kraven, uppfyller det inte kraven i dataskyddsförordningen. Det får då inte användas för att behandla personuppgifter genom utläm- nande, oaktat hur systemet skulle klassificeras rättsligt.172

Det förhållandet att den utlämnande myndigheten inte har kontroll över vilka uppgifter mottagarmyndigheten vid varje enskilt tillfälle tar del av har tidigare angetts som grund för att direktåtkomst till personuppgifter från integritetssynpunkt är en särskilt känslig form av elektronisk utlämnande som bör särregleras i den kompletterande dataskyddsregleringen (se t.ex. avsnitten 11.3.1 och 11.4.1). Elektro- nisk informationsöverföring mellan myndigheter som inte utgör direktåtkomst kan dock i dag innebära att information utbyts natte- tid och att begärd information skickas från den utlämnande myndig- heten till en brevlåda hos mottagaren, exempelvis genom s.k. batch- körningar där uppgifter lämnas i bulk. Batcher används ofta när det är stora uppgiftsmängder som behöver levereras för uppdatering m.m. Det kan även röra sig om fråga-svar-system som likt LEFI Online lämnar information momentant. Tidigare har det gjorts gällande att den utlämnande myndigheten i dessa situationer har möjlighet att

171Jfr Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt data- skydd och dataskydd som standard, Version 2.0, s. 5.

172Jfr Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt data- skydd och dataskydd som standard, Version 2.0, s. 32.

805

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

stoppa överföringen i det enskilda fallet. Den fördröjning eller auto- matiserade kontroll som är inbyggd i tekniken vid sådant uppgifts- lämnandet innebär dock normalt endast en teoretisk möjlighet för den utlämnande myndigheten att kontrollera vilken information som ska lämnas ut. Sekretessprövningen, eller prövningen av vilka upp- gifter som omfattas av en författningsreglerad uppgiftsskyldighet och därmed ska lämnas ut utan någon sekretessprövning, sker i stället i samband med att den tekniska förbindelsen upprättas. Detta gäller alltså både vid direktåtkomst och vid annat elektroniskt utlämnande. Någon manuell prövning i samband med utlämnandet sker inte vare sig vid överföringar i moderna system som inte klassas som direkt- åtkomst, eller vid direktåtkomst.

Även om det finns en teoretisk möjlighet att stoppa en överföring vid annat elektroniskt utlämnande än direktåtkomst borde det nor- malt vara först efter att en eventuell felaktighet upptäckts som åt- gärder vidtas. Vid direktåtkomst har den utlämnande myndigheten en liknande möjlighet att hindra vidare utlämnande genom att stänga förbindelsen, vilket exempelvis bör kunna bli aktuellt om det fram- kommer tecken på att hanteringen hos mottagaren inte uppfyller de krav på säkerhet och skydd som avtalats, eller om uppgifterna inte behandlas för legitima ändamål hos den mottagande myndigheten.173 En rättslig möjlighet att medge en annan myndighet direktåtkomst medför nämligen inget krav på att sådan åtkomst alltid måste med- ges. Den tekniska utvecklingen har följaktligen medfört att skillna- derna mellan direktåtkomst och annat elektroniskt utlämnande blivit begränsade i detta avseende.

Även Informationsutredningen konstaterade att begreppet direkt- åtkomst var svårt att avgränsa sakligt i förhållande till annat ”nära- liggande” elektroniskt utlämnande. Enligt utredningen kunde det tänkas förekomma ett författningsreglerat informationsutbyte som visserligen benämndes som direktåtkomst men där systemen för infor- mationsutbytet var så pass finmaskigt kalibrerade att det inte upp- stod någon överskottsinformation som mottagaren enligt någon absolut eller villkorad sökbegränsning inte fick ta del av, utan där mottagarens åtkomst faktiskt hade begränsats till enbart uppgifter som konkret behövdes (eller skulle komma att behövas) i verksam- heten. Det kunde enligt utredningen även tänkas att system som klas-

173Jfr prop. 2020/21:224, Behandling av personuppgifter vid Försvarsmakten och Försvarets radio- anstalt s. 105.

806

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

sificerades som ett annat elektroniskt utlämnande vid närmare gransk- ning kunde visa sig medföra överskottsinformation.174

Det är vidare inte otänkbart att ett system för direktåtkomst med användandet av nya tekniker skulle kunna medföra ett starkare in- byggt dataskydd än andra former av elektroniskt utlämnande. Efter- som myndigheter är rättsligt begränsade till att enbart behandla sådana uppgifter som är nödvändiga för deras verksamhet (se t.ex. avsnit- ten 3.5.2 och 9.2.3) bör den mottagande myndigheten ha funktioner för loggning och sökning, samt rutiner för uppföljning, som hindrar att medarbetare söker information som omfattas av direktåtkomsten men som inte behövs i verksamheten. Detta i syfte att kunna visa att den myndigheten inte behandlar personuppgifter på ett otillåtet sätt.

Med framtida teknik kan sådana säkerhetsåtgärder förväntas bli mer effektiva och exakta. Som framgår av avsnitt 11.5.3 förutsätter dataskyddsförordningens krav på inbyggt dataskydd och dataskydd som standard att den personuppgiftsansvariga vidtar åtgärder i det tekniska systemet som säkerställer att de grundläggande principerna för personuppgiftsbehandling efterlevs. Exempelvis kan en direkt- åtkomst utformas som en sök-och-visa-tjänst med inbyggda tekniska begränsningar som innebär att uppgifter inte kan hämtas till den mot- tagande myndigheten eller på annat sätt vidarebearbetas där. Möjlig- heten att kopiera eller hämta information som visas på en sida kan alltså rent tekniskt begränsas, liksom möjligheten att ta en s.k. skärm- bild. Sådana funktioner är redan i dag vanliga i exempelvis applikationer för hantering av digitala betalningssätt eller bankärenden. Med fram- tida teknik kan sådana begränsningar förväntas bli än mer effektiva. Vid ett utlämnande genom direktåtkomst, med tillämpning av sådana tekniker, behåller den utlämnande myndigheten kontrollen över infor- mationen på ett annat sätt än vid annat elektroniskt utlämnande.

Det är också sannolikt att framtida tekniska lösningar som mot- svarar direktåtkomst kan kalibreras så att överskottsinformation kan begränsas till ett absolut minimum. Åtkomsten skulle exempelvis kunna utformas på så sätt att systemet på mottagarsidan utan undan- tag tillåter uppkoppling till systemet först i samband med att ett ärende registreras hos den mottagande myndigheten, och endast kan an- vändas för att hämta information som faktiskt behövs i ärendet. Systemet på mottagarsidan kan också komma att kunna utformas på så sätt att någon åtkomst till överskottsinformation inte är möjlig ens

174SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 119.

807

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

för den mottagande myndighetens it-tekniker. Även om sådana säker- hetsåtgärder sannolikt inte helt kan upphäva integritetsrisker i form av bl.a. otillåten spridning så kan de medverka till att direktåtkomst i detta avseende innebär liknande eller mindre risker som andra for- mer av elektroniskt utlämnande. Vid direktåtkomst gäller dessutom ofta den s.k. databassekretessen (se avsnitt 15.5). Om utlämnande genom direktåtkomst däremot fortsätter vara förbjudet i de fall det inte är uttryckligen tillåtet saknar myndigheterna möjlighet att välja en utlämnandeform som skulle komma att klassificeras som direkt- åtkomst oavsett att denna hade erbjudit ett förhöjt integritetsskydd.

Som vi konstaterat ovan minskar risken för inlåsningseffekter, till följd av oförutsedd teknikutveckling och till nackdel för skyddet för den personliga integriteten, om tekniken som används inte regleras i sak. Mycket förefaller därmed kunna vinnas på att göra begrepps- bildningen kring elektroniskt utlämnande enklare, och att skapa en mer enhetlig struktur och systematik på området.

Vi anser sammanfattningsvis att det framstår som svårförenligt med målsättningen om teknikneutralitet att vid utformningen av den kompletterande dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten dra en skarp juridisk gräns mellan direkt- åtkomst och annat elektroniskt utlämnande. En reglering som inte gör en rättslig åtskillnad mellan direktåtkomst och annat utlämnande stämmer enligt vår bedömning bättre överens med dataskyddsförord- ningen.

11.7.3Direktåtkomst i ljuset av EU:s dataskyddsförordning

Vår bedömning: EU:s dataskyddsförordning tillgodoser de behov av insyn, enhetlighet, ansvarsfördelning och integritetsskydd som aktualiseras vid direktåtkomst.

Skälen för vår bedömning

En väl analyserad och förberedd direktåtkomst

Vår bedömning är att en väl analyserad och förberedd direktåtkomst, där de inblandade myndigheterna övervägt och löst frågor som rör sekretesskydd på ömse håll, vidtagit behövliga säkerhetsåtgärder, be-

808

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

gränsat eventuell överskottsinformation samt övervägt frågan om eventuella begränsningar i den mottagande myndighetens möjlighet att använda sig av de uppgifter som blir åtkomliga, inte behöver inne- bära större risker för den enskildes integritet än vid en annan form av elektroniskt utlämnande av personuppgifter. Detta var även Infor- mationshanteringsutredningens bedömning (se avsnitt 11.4.1).175 Genom Högsta förvaltningsdomstolens LEFI Online-avgörande bör den bedömningen dessutom anses ha fått ytterligare styrka, efter- som mer generella frågor om integritetsskydd därigenom kan sägas ha kopplats bort från frågan om direktåtkomst föreligger eller inte. Av- görandet rörde i och för sig begreppet direktåtkomst enligt social- försäkringsbalken, men domstolen har senare gett det generell till- lämplighet (HFD 2020 not 16). Som framgår av avsnitt 11.4.2 utgår bedömningen i dag från om den utlämnande myndigheten reagerar på en begäran om utlämnande eller inte. Såvitt framgår av LEFI On- line-avgörandet förefaller det inte tillmätas någon betydelse hur den reaktionen är utformad.

Vi bedömer att de integritetsrisker som direktåtkomst kan med- föra är att de inblandade myndigheterna inte beaktar de särskilda frågor och krav på skydd för enskilda som en sådan åtkomst ger upphov till, eller att det inte ägnas uppmärksamhet åt frågor som är förknip- pade med att myndigheternas gränser på ett sätt kan sägas öppnas upp. Att respektive myndighets ansvar för både verksamhet, säker- het och personuppgifter inte klargörs inför inrättandet av en direkt- åtkomst utgör också en risk. Om någon rättslig åtskillnad mellan olika former av utlämnande inte upprätthålls skulle det kunna hävdas att dessa frågor riskerar att inte få den uppmärksamhet som behövs för att på ett tillfredsställande sätt skydda den enskildes integritet. Ett annat skäl för att upprätthålla en åtskillnad mellan olika former av elektroniskt utlämnande skulle kunna vara att det anses finnas ett be- hov av överblick över rättsområdet och ett intresse av att verka för enhetlighet vid avvägningar mellan effektivitet och integritet, och i fråga om på vilken nivå kraven på t.ex. informationssäkerhet bör ligga.

Frågan är då om dessa risker, mot bakgrund av den rättsliga ut- vecklingen och särskilt antagandet av EU:s dataskyddsförordning, utgör skäl för att anse att direktåtkomst även fortsättningsvis bör regleras särskilt för att vara tillåten.

175SOU 2015:39, Myndighetsdatalag, s. 151.

809

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Dataskyddsförordningens övergripande syfte

Idag är dataskyddsförordningen den primära rättskällan i dataskydds- frågor, vilket även gäller för Skatteverket, Tullverket och Krono- fogdemyndigheten. Dataskyddsförordningen ska tillämpas av myndig- heterna på precis samma sätt som om den vore en svensk författning. Som redan framgått reglerar inte dataskyddsförordningen hur be- handling av personuppgifter rent tekniskt ska gå till, vare sig vid ut- lämnande eller vid behandling för andra ändamål. Däremot anger den inledande artikeln syftet med förordningen; att fastställa bestämmel- ser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter, skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter och att det fria flödet av person- uppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.176 Av skäl 10 till dataskyddsförordningen fram- går även att för att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgif- ter inom unionen bör nivån på skyddet av fysiska personers rättig- heter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestäm- melserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen.

Enligt dataskyddsförordningen är det tillåtet, och krävs i vissa fall, att i nationell rätt införa eller behålla regler som närmare reglerar myndigheters personuppgiftsbehandling. Det övergripande syftet förefaller dock vara att skapa ett enhetligt och likvärdigt skydd för personuppgifter i hela unionen. De grundläggande krav som ställs upp är exempelvis generellt tillämpliga på alla former av behandling (se avsnitt 3.5.2). I andra sammanhang har vi bedömt att kompletterande dataskyddsreglering enbart bör införas om det är nödvändigt för att uppfylla dataskyddsförordningens krav, eller om allmänna dataskydds- bestämmelser inte utgör en tillfredsställande reglering (se exempelvis avsnitt 5.2.3 och avsnitt 14.7 om rättslig grund för dataanalyser och urval). Vi anser att även i frågan om utlämnandeformer bör utgångs- punkten vara att eventuell kompletterande dataskyddsreglering bör

176Artikel 1.1–3 i dataskyddsförordningen.

810

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

utgå från identifierade risker som inte får en tillfredsställande regler- ing genom de generella bestämmelserna.

I dataskyddsförordningens kapitel VI och VII finns vissa bestäm- melser som är särskilt viktiga avseende hur en enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter ska säkerställas. Varje medlemsstat ska före- skriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av dataskyddsförordningen, vilket i Sverige är IMY. Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning i hela unionen och ska samarbeta såväl sinsemellan som med kom- missionen.177 Samarbetet ska ske genom en särskild mekanism för enhetlighet.178

Som tidigare nämnts ska den personuppgiftsansvarige enligt arti- kel 35.1 göra en konsekvensbedömning om en ny behandling san- nolikt bedöms leda till en hög risk för fysiska personers rättigheter och friheter. Vid denna bedömning ska den personuppgiftsansvarige bl.a. göra en bedömning av behovet av och proportionaliteten hos be- handlingen i förhållande till syftena med behandlingen. Av data- skyddsförordningen framgår vidare att det ibland kan vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam tillämpnings- eller behandlingsplattform.179

Av artikel 35.4 följer att IMY ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd. Den ovan nämnda mekanismen för enhetlighet föreskriver att EDPB ska avge ett yttrande över en förteckning över behandling som omfattas av kravet på en konsekvensbedömning avseende dataskydd enligt arti- kel 35.4.180 Av den förteckning IMY upprättat framgår att en konse- kvensbedömning avseende dataskydd ska göras om den planerade behandlingen uppfyller minst två av bl.a. följande kriterier:181

177Artikel 51.1 och 51.2 i dataskyddsförordningen och 2a § förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten.

178Artikel 63 och kapitel VII i dataskyddsförordningen.

179Skäl 92 till dataskyddsförordningen.

180Artikel 64.1 a i dataskyddsförordningen. Europeiska dataskyddsstyrelsen består av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare, se artikel 68 i dataskyddsförordningen.

181IMY, Förteckning enligt artikel 35.4 i Dataskyddsförordningen, DI-2018-13200, s. 3.

811

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

•Behandlar personuppgifter i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den registrerade.

•Behandlar känsliga personuppgifter enligt artikel 9 eller uppgifter som är av mycket personlig karaktär.

•Behandlar personuppgifter i stor omfattning.

•Kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad de registrerade rimligen kunnat för- vänta sig, till exempel när man samkör register.

•Använder ny teknik eller nya organisatoriska lösningar.

Beroende på de rättsliga förutsättningarna för ett planerat uppgifts- lämnande, exempelvis avseende sekretessbestämmelser, regler för per- sonuppgiftsbehandling vid den mottagande myndigheten, uppgif- ternas karaktär, syftet med och omfattningen av utlämnandet kan personuppgiftsansvariga myndigheter som överväger att upprätta en direktåtkomst enligt dataskyddsförordningen vara skyldiga att upp- rätta en konsekvensbedömning. I situationer där det är osäkert om en konsekvensbedömning är nödvändig bör en sådan ändå utföras, eftersom det är ett användbart verktyg för att hjälpa personuppgifts- ansvariga att iaktta dataskyddslagstiftningen.182

Om det av en konsekvensbedömning framgår att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och säkerhetsmekanismer kommer att innebära en hög risk, och den personuppgiftsansvariga anser att risken inte kan begränsas genom rimliga åtgärder, så bör sam- råd hållas med IMY innan behandlingen inleds.183 Om IMY efter ett sådant förhandssamråd anser att den planerade behandlingen skulle strida mot dataskyddsförordningen, särskilt om den personuppgifts- ansvariga myndigheten inte i tillräcklig utsträckning har fastställt eller reducerat risken, har IMY möjlighet att införa en tillfällig begräns- ning av eller ett förbud mot behandlingen.184

182Artikel 29-arbetsgruppen för skydd av personuppgifter, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, 17/SV WP 248 rev. 01, s. 9. Här kan också näm- nas att personuppgiftsansvariga även på ett generellt plan är skyldiga att ha dokumentation som visar att behandling utförs i enlighet med dataskyddsförordningen, vilket framgår av arti- kel 5.2 och artikel 24.1.

183Skäl 94 till dataskyddsförordningen.

184Artiklarna 36.2 och 58.2 f i dataskyddsförordningen.

812

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

I dataskyddsförordningen finns det alltså inte enbart generella principer och krav som de personuppgiftsansvariga måste tillgodose, utan även en tydlig ordning för hur utvärdering, bedömning och prövning av en särskilt riskfylld behandling av personuppgifter ska genomföras. Mot bakgrund av dataskyddsförordningens övergrip- ande syfte, och särskilt hur det manifesteras i tillsynsmyndigheter- nas befogenheter och skyldigheter avseende en enhetlig tillämpning, är vår bedömning att det behov av enhetlighet som skulle kunna utgöra ett skäl för en fortsatt rättslig åtskillnad mellan direktåtkomst och annat elektroniskt utlämnande tillgodoses av dataskyddsförord- ningen. Vi anser därför inte att det finns skäl att nationellt göra en rättslig åtskillnad mellan direktåtkomst och andra former av elektro- niskt utlämnande utifrån behovet av enhetlighet.

Dataskyddsförordningens grundläggande principer för behandling, krav på säkerhet och bestämmelser om registrerades rättigheter

I avsnitt 3.2.5 har vi redogjort för de grundläggande principer som enligt dataskyddsförordningen ska tillämpas vid all behandling av per- sonuppgifter. Begreppen personuppgiftsansvarig och gemensamt per- sonuppgiftsansvariga spelar en viktig roll vid tillämpningen eftersom de fastställer vem som ska ansvara för efterlevnaden av olika data- skyddsbestämmelser och hur registrerade personer kan utöva sina rättigheter i praktiken.185 Personuppgiftsansvarig är den myndighet som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Enligt den s.k. ansvars- principen är det den myndighet som, enligt författning eller efter en analys av de faktiska förhållandena i det enskilda fallet, är person- uppgiftsansvarig som också åläggs ansvaret för all behandling av per- sonuppgifter som den utför eller som utförs på myndighetens vägnar. Personuppgiftsansvarig myndighet är skyldig att vidta åtgärder och att kunna visa att behandlingen som myndigheten utför är förenlig med dataskyddsförordningen.186

Gemensamt personuppgiftsansvar kan uppstå när mer än en aktör är involverad i behandlingen. I dataskyddsförordningen finns särskilda

185EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgifts- biträde i GDPR, Version 2.0, s. 3.

186Jfr artikel 24.1 och skäl 74 till dataskyddsförordningen samt EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1, s. 3.

813

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

regler för gemensamt personuppgiftsansvariga som ger ett ramverk för att styra relationen mellan parterna. Gemensamt personuppgifts- ansvariga ska bl.a. under öppna former fastställa sitt respektive ansvar för att fullgöra sina skyldigheter, särskilt avseende skyldigheterna att tillhandahålla information, om inte dessa skyldigheter framgår av unionsrätten eller nationell rätt. Det krävs dock att behandlingen inte skulle vara möjlig utan båda parternas deltagande i betydelsen att be- handlingen från varje part är oskiljbar. Det gemensamma deltagandet måste inkludera fastställandet av behandlingsändamålet å ena sidan och fastställandet av behandlingssättet å andra sidan.187

Utöver de grundläggande principerna för behandling (bl.a. upp- giftsminimering, ändamålbegränsning och lagringsminimering) inne- håller dataskyddsförordningen även flera instruktioner, eller förfar- andebestämmelser, som styr hur den personuppgiftsansvariga är skyldig att agera för att skyddet för den personliga integriteten ska upprätthållas i det enskilda fallet. Begreppet ”risk” är centralt i dessa sammanhang och det som avses är risker för fysiska personers rättig- heter och friheter. Främst avses integritetsrisker men det kan också vara andra grundläggande rättigheter, exempelvis yttrandefrihet, rätten att inte bli utsatt för diskriminering och rätten till religionsfrihet.188 Någon definition av vad begreppet risk rent konkret innebär finns dock inte i dataskyddsförordningen. Däremot anges exempel på när risker typiskt sett kan uppkomma. Det är bl.a. vid behandling av käns- liga personuppgifter eller vid personuppgiftsbehandling som skulle kunna medföra immateriella skador, ekonomisk förlust, skadat anse- ende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, hinder mot registrerades möjlighet att utöva kontroll över sina personuppgifter, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.189 Hur sannolik och allvarlig risken är ska fastställas utifrån behand- lingens art, omfattning, sammanhang och ändamål. Risken ska vidare utvärderas genom en objektiv bedömning som fastställer om behand- lingen medför en risk eller en hög risk.190

187Artikel 26 i dataskyddsförordningen och EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR, Version 2.0, s. 3.

188Jfr Artikel 29-arbetsgruppen för skydd av personuppgifter, Statement on the role of a risk- based approach in data protection legal frameworks, 14/EN WP 218 s. 4.

189Skäl 75 till dataskyddsförordningen.

190Skäl 76 till dataskyddsförordningen.

814

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Regleringen är ofta utformad på så sätt att den personuppgifts- ansvariga åläggs en mer eller mindre specifik skyldighet att agera med utgångspunkt i de risker som en viss behandling bedöms föra med sig.191 Exempelvis har vi i avsnittet ovan redogjort för den person- uppgiftsansvarigas skyldighet att göra en konsekvensbedömning, och eventuellt även samråda med IMY, om en ny behandling sannolikt bedöms leda till en hög risk. Personuppgifter ska dessutom enligt artikel 32.1 alltid behandlas på ett sätt som med användning av tek- niska och organisatoriska åtgärder säkerställer lämplig säkerhet för personuppgifterna i förhållande till risken, bl.a. avseende förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen. Dataskyddet ska vidare enligt artikel 25.1 byggas in i de tekniska systemen för informations- hantering och utformas bl.a. med hänsyn till de risker behandlingen för med sig (se avsnitt 11.5.3).

Utöver bestämmelser som ålägger personuppgiftsansvariga myn- digheter en skyldighet att agera för att på ett effektivt sätt minimera riskerna vid behandling av personuppgifter, och särskilda förfarande- regler vid särskilt hög risk och vid gemensamt personuppgiftsansvar, finns även flera bestämmelser som ålägger personuppgiftsansvariga skyldigheter direkt i förhållande till de personer om vilka uppgifter behandlas. Personuppgiftsansvariga har exempelvis som utgångspunkt en långtgående informationsskyldighet gentemot de registrerade, en- ligt den s.k. öppenhetsprincipen.192 Öppenhetsprincipen kräver bl.a. att all information och kommunikation i samband med behandlingen är lättillgänglig och lättbegriplig och att ett klart och tydligt språk används. Det gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen. De registrerade ska dock även få information om risker, regler, skydds- åtgärder och rättigheter i samband med behandlingen av personuppgif- ter och om hur de kan utöva sina rättigheter med avseende på be- handlingen.193

Vid gemensamt personuppgiftsansvar ska även arrangemanget mellan de personuppgiftsansvariga göras tillgängligt för den registre-

191Artikel 29-arbetsgruppen för skydd av personuppgifter har dock understrukit att de regi- strerades rättigheter, som garanteras av unionsrätten, alltid ska respekteras oberoende av risk- nivå, se Statement on the role of a risk-based approach in data protection legal frameworks, 14/EN WP 218 s. 3.

192Se artiklarna 13–15 i dataskyddsförordningen.

193Skäl 39 till dataskyddsförordningen.

815

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

rade, vilket innebär att det måste det vara fullständigt klart för den registrerade vilken personuppgiftsansvarig som han eller hon kan kontakta om han eller hon avser att utöva en eller flera av sina rät- tigheter enligt dataskyddsförordningen.194 I situationer där erhållande eller utlämnande av personuppgifter föreskrivs genom EU-rätten eller nationell rätt görs undantag från vissa krav på personuppgiftsansvar- iga att tillhandahålla information till de registrerade. Detta undantag kräver dock att det finns lämpliga åtgärder för att skydda den regi- strerades berättigade intressen.195 Även i dessa situationer bör person- uppgiftsansvariga myndigheter dessutom som utgångspunkt klargöra för de registrerade att personuppgifter erhålls och utlämnas i enlig- het med bestämmelsen i fråga.196

Som nämnts inledningsvis kan risken för att frågor om dataskydd och ansvar för verksamhet, säkerhet och personuppgifter inte får den uppmärksamhet som krävs för att skydda den enskildes integritet ut- göra ett argument för upprätthålla en rättslig åtskillnad mellan direkt- åtkomst och annat elektroniskt utlämnande. Även frågan om informa- tion till den enskilde får anses vara en viktig aspekt i sammanhanget. Genom dataskyddsförordningens ansvarsprincip ställs dock i dag ett flertal krav på personuppgiftsansvariga (myndigheten eller myndig- heterna) att vidta åtgärder baserat på den risk en potentiell behand- ling innebär. Det bör i relation till utlämnande genom direktåtkomst tolkas som ett krav från den utlämnande myndighetens sida på ex- empelvis robusta behörighetskontroller, loggning och begränsningar av åtkomst till personuppgifter hos den mottagande myndigheten. Vidare bör dataskyddsförordningen i sammanhanget anses ställa krav på lösenordskyddade nätverk och enheter, kryptering vid överför- ingen, utbildning i dataskyddsfrågor, i själva anslutningen inbyggda begränsningar av den mottagande myndighetens åtkomst och sök- möjligheter, samt andra tekniska avgränsningar av tillgänglig infor- mation, och särskilt avseende överskottsinformation. Förordningen bör även anses ställa krav på den utlämnande myndigheten att, både innan en direktåtkomst upprättas och under tiden den är aktiv, granska och bedöma risker även avseende den behandling som kan komma att utföras hos den mottagande myndigheten samt bedöma

194Artikel 29-arbetsgruppen för uppgiftsskydd [sic!], Riktlinjer om öppenhet enligt förordning (EU) 2016/679, 17/SV WP260rev.01, s. 24 samt artikel 26.2 i dataskyddsförordningen.

195Artikel 14.5 c i dataskyddsförordningen.

196Artikel 29-arbetsgruppen för uppgiftsskydd [sic!], Riktlinjer om öppenhet enligt förord- ning (EU) 2016/679, 17/SV WP260rev.01, s. 33.

816

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

om de skyddsåtgärder den mottagande myndigheten inför är effek- tiva, samt vid tecken på ökade risker för de registrerade stänga eller ytterligare begränsa åtkomsten.197 Dataskyddsförordningen innehål- ler också bestämmelser som tydliggör vad som ska gälla vid delat personuppgiftsansvar, och om hur personuppgiftsansvariga ska in- formera de registrerade om den behandling som sker.

Vår sammantagna bedömning är därför att behovet av att ge frågor om dataskydd och respektive myndighets ansvar för verksamhet, säker- het och personuppgifter den uppmärksamhet som krävs för att skydda den enskildes integritet, i dag tillgodoses av dataskyddsförordningens bestämmelser. Vi anser därför att det inte finns skäl för att göra en rättslig åtskillnad mellan direktåtkomst och andra former av elektro- niskt utlämnande utifrån det behovet.

11.7.4Proportionalitetskravet enligt artikel 6.3 i dataskyddsförordningen

Vår bedömning: Att inte göra en rättslig åtskillnad mellan direkt- åtkomst och andra former av elektroniskt utlämnande är avseende utlämnande från Skatteverket, Tullverket och Kronofogdemyndig- heten förenligt med kravet på att den rättsliga grunden ska vara proportionerlig mot det legitima mål som eftersträvas.

Skälen för vår bedömning

En högre risk?

Vid alla former av utlämnande från en myndighet till en annan finns det en risk för att uppgifterna behandlas på ett annat sätt än som ursprungligen varit avsikten, eller i ett sammanhang där de inte be- hövs. Det gäller oavsett om utlämnande sker med digitala hjälpmedel eller analogt. Regeringen har dessutom nyligen, i ett lagstiftningsärende avseende i vilken form uppgifter ska lämnas mellan olika aktörer inom vården, uttalat att det inte [längre] är en stor skillnad mellan

197I avsnitt 11.3.2 har vi redogjort för att det i den nuvarande regleringen för Skatteverkets beskattningsverksamhet finns exempel på bestämmelser som anger att direktåtkomst får med- ges först sedan innan Skatteverket har försäkrat sig om att behörighetsfrågorna hos mottag- aren är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt. Mot bakgrund av de krav dataskyddsförordningen ställer upp bör det i dag anses vara en form av dubbelreglering.

817

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

direktåtkomst och en elektronisk fråga-svar-funktion vad gäller risken för integritetsintrång.198 Om en direktåtkomst inte är väl förberedd och de informationssäkerhetsfrågor den ger upphov till inte har han- terats kan det dock vara en utlämnandeform som kan medföra en högre risk för de registrerade än andra former av elektronisk infor- mationsöverföring.

Ett utlämnande av uppgifter genom direktåtkomst kan också inne- bära att en större mängd uppgifter än vid annan informationsöver- föring kan komma att behandlas i ett annat sammanhang än som ursprungligen avsetts. Som framgår av avsnitt 11.2.2 medför direkt- åtkomst nämligen att samtliga uppgifter som åtkomsten omfattar anses utlämnande till, och även förvarade hos, den mottagande myn- digheten i samma stund anslutningen upprättas och är aktiv. Enligt offentlighetsprincipen kan den mottagande myndigheten därmed ha en skyldighet att söka fram och behandla personuppgifter ur över- skottsinformation som ett led i att handlägga en begäran om utläm- nande av allmän handling, trots att den myndigheten för egen del inte har något behov av eller rätt att ta del av handlingarna.199

Det har tidigare gjorts såväl grundlagsändringar som ändringar i vanlig lag i syfte att handlingsoffentligheten i fråga om elektronisk information inte ska få proportioner som bedömts som orimliga eller olämpliga. Ändringar i sekretessregleringen har även gjorts, vilket i dag kan medföra att uppgifterna får ett starkare skydd hos den mottagande myndigheten vid direktåtkomst än vid andra former av utlämnande (se avsnitt 11.2.2 och avsnitt 15.5). I övrigt har det främst varit genom införande av eller ändringar i kompletterande dataskydds- reglering som integritetsskydd har skapats för att minska handlings- offentlighetens faktiska räckvidd i fråga om myndigheters behand- ling av personuppgifter.200

Som redan nämnts har lagstiftaren tidigare bedömt att direkt- åtkomst är en så integritetskänslig form av personuppgiftsbehand- ling att den i princip endast är tillåten om det finns stöd för den i lag.201 Det innebär att riksdagen har tagit ställning om uppgiftslämnande på detta sätt varit proportionerligt, och vägt frågan om integritets- skydd mot behovet av ett effektivt informationsutbyte.

198Prop. 2021/22:177, Sammanhållen vård och omsorgsdokumentation, s. 79.

199Jfr SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 136.

200Se redogörelsen i SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 134.

201Jfr bl.a. redogörelsen i SOU 2010:4, Allmänna handlingar i elektronisk-form – offentlighet och integritet, s. 133–134 och 365.

818

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Måste direktåtkomst regleras särskilt för att vara proportionerlig?

Om någon rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande inte görs i den kompletterande data- skyddsregleringen för Skatteverket, Tullverket och Kronofogde- myndigheten blir det i stället upp till respektive myndighet att ut- värdera och bedöma behovet, tillämpliga sekretessbrytande regler och integritetsriskerna, och därefter ta ställning till vilken teknisk lös- ning som ska användas vid ett utlämnande. Myndigheterna kan då komma att, efter ett eventuellt samråd med IMY (se avsnitt 11.7.3), upprätta system för direktåtkomst, utan att lagstiftaren tagit ställ- ning till om de konsekvenser som direktåtkomsten medför i det en- skilda fallet är proportionerliga i förhållande till syftet med det aktu- ella informationsutbytet.

Utan begränsningar av när direktåtkomst är tillåten skulle det därmed kunna ifrågasättas om kravet enligt artikel 6.3 sista stycket i EU:s dataskyddsförordning är uppfyllt, avseende att den rättsliga grunden för behandlingen ska vara proportionerlig mot det legitima mål som eftersträvas.202 Dataskyddsförordningen ställer nämligen krav på att det i den nationella rätten ska finnas lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättig- heter och intressen i vissa situationer (se exempelvis artiklarna 9.2 g och 14.5 c). En begränsning av myndigheternas möjligheter att lämna ut uppgifter genom direktåtkomst skulle kunna anses vara en sådan åtgärd.

I frågan om proportionaliteten av den rättsliga grunden för myn- digheternas personuppgiftsbehandling vid elektroniskt utlämnande anser vi dock att de rättigheter för enskilda och skyldigheter för myndigheter som finns i den allmänna dataskyddsregleringen, det förvaltningsrättsliga regelverket i stort och i övrig reglering som styr myndigheternas verksamhet också måste beaktas. Dataskyddsförord- ningen ska tillämpas av myndigheterna som vore det en svensk för- fattning. Som vi konstaterat ovan bör det inte vara möjligt för en myndighet att iaktta dataskyddsförordningens bestämmelser utan

202Ett system för informationsöverföring mellan myndigheter som på ett tekniskt plan mot- svarar direktåtkomst, i det avseendet att den utlämnande myndigheten inte reagerar på en be- gäran från den mottagande myndigheten, är såvitt vi kunnat utröna inte prövat av EU-dom- stolen i fråga om en rättslig grund som tillåter sådant kan anses proportionerlig, eller i över- ensstämmelse med dataskyddsförordningens övriga bestämmelser. Något avgörande som dessutom behandlar de särskilda konsekvenser offentlighetensprincipen för med sig vid ut- lämnande genom direktåtkomst finns såvitt vi kunnat se inte heller.

819

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

att ägna tillräcklig uppmärksamhet åt frågor om informationssäker- het vid utlämnande genom direktåtkomst. En mottagande myndig- het kan vidare inte följa dataskyddsförordningens bestämmelser utan att begränsa medarbetarnas möjlighet att behandla personuppgifter, vilket självfallet även gäller för sådana uppgifter som utgör över- skottsinformation. Överskottsinformation är per definition sådan in- formation som den mottagande myndigheten saknar legitim grund för att behandla i sin verksamhet.

En självklar utgångspunkt bör dessutom vara att svenska myndig- heter iakttar gällande rätt i övrigt, även i situationer där formen för ett föreskrivet uppgiftslämnande övervägs. I gällande rätt finns i många fall redan ett skydd för den personliga integriteten, också av- seende uppgifter som utgör överskottsinformation. Det rör sig om sekretessregler i nationell rätt (eller unionsrätten), förvaltningslagens (2017:900) bestämmelser – med bl.a. krav på legalitet, objektivitet och proportionalitet – liksom myndighetsförordningens (2007:515) krav på myndigheter att följa gällande rätt (jfr avsnitt 5.2.6 och 8.4.2). Utöver skyldigheten att lämna uppgifter har personuppgiftsansvariga myndigheter även att iaktta dessa bestämmelser i samband med infor- mationsöverföringen.

Trots det nyss sagda kan det hävdas att frånvaron av särskild regler- ing av när direktåtkomst är tillåten ändå kan medföra en oacceptabelt hög risk för enskilda vars uppgifter behandlas, vilket av det skälet talar för en reglering. I avsnitt 11.7.3 har vi beskrivit förfarandet med konsekvensbedömningar och samråd med tillsynsmyndighet vid be- handlingar som sannolikt medför en hög risk för fysiska personers rättigheter och friheter. Enligt artikel 35.10 behöver dock ingen kon- sekvensbedömning genomföras om behandlingen enligt artikel 6.1 c eller e har en rättslig grund i nationell rätt, och den grunden reglerar den specifika behandlingsåtgärden och en konsekvensbedömning av- seende dataskydd redan har genomförts som en del av en allmän kon- sekvensbedömning i samband med antagandet av den rättsliga grun- den. I dataskyddsförordningen uppmärksammas att medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning i sam- band med antagandet av den nationella rätten som ligger till grund för utförandet av myndighetens uppgifter och som reglerar den aktu- ella specifika behandlingsåtgärden eller serien av åtgärder.203 Sådana överväganden som hittills föregått bestämmelser som tillåter direkt-

203Skäl 93 till dataskyddsförordningen.

820

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

åtkomst förefaller motsvara i vart fall vissa beståndsdelar i en kon- sekvensbedömning enligt dataskyddsförordningen (dvs. de risker som har identifierats och övervägts har bedömts som godtagbara).

Dataskyddsförordningen ställer dock inte upp något krav på att lagstiftaren ska ha genomfört en konsekvensbedömning i samband med införandet av den rättsliga grund som den särskilt riskfyllda be- handlingen vilar på. Det enda som anges avseende denna fråga är att om så inte har skett behöver den personuppgiftsansvarige själv genom- föra en sådan, och då eventuellt även samråda med den nationella tillsynsmyndigheten som har möjlighet att förbjuda behandlingen. Dataskyddsförordningen ställer därmed inte upp något krav på att en särskilt riskfylld behandling måste regleras särskilt. Att en rättslig grund enligt artikel 6.1 c eller e inte särskilt reglerar ett visst förfar- ande för behandling som kan innebära en hög integritetsrisk – om förordningens övriga bestämmelser inte iakttas – bör alltså inte i sig anses medföra att den rättsliga grunden framstår som oproportioner- lig enligt artikel 6.3 i dataskyddsförordningen. Behandlingen måste dock alltid uppfylla de grundläggande principerna för behandling och uppgifter måste behandlas på ett lagligt sätt.204

Som vi tidigare påpekat kan direktåtkomst dessutom vara att före- dra i vissa situationer, exempelvis om den utlämnande myndigheten av integritetsskäl vill förhindra att uppgifterna hämtas till och bear- betas hos den mottagande myndigheten. Den utlämnande myndig- heten kan då bygga in säkerhetsfunktioner som innebär att den mot- tagande myndigheten enbart kan läsa uppgifterna, men inte kopiera eller i övrigt bearbeta dem. Direktåtkomst kan även vara att föredra om syftet med behandlingen hos den utlämnande myndigheten är informationsförsörjning. Vid direktåtkomst förekommer inte heller den särskilda formen av överskottsinformation som kan bli resultatet av andra former av utlämnande (jfr avsnitt 11.2.3).

Att de överväganden som krävs inför upprättandet av en direkt- åtkomst görs på myndighetsnivå bör enligt vår bedömning inte i sig medföra att den rättsliga grunden framstår som oproportionerlig. Behovsbedömningar och prövningar av detta slag får i stället anses vara en naturlig del i myndigheters verksamhet där utlämnandefrågor aktu- aliseras, oavsett formen för utlämnandet.

204Artikel 5 och skäl 39 till dataskyddsförordningen.

821

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Måste direktåtkomst regleras särskilt utifrån 2 kap. 6 § andra tycket RF?

Informationshanteringsutredningen konstaterade att det enligt gällande rätt inte fanns något generellt krav på att en direktåtkomst uttryckligen har reglerats för att den skulle få förekomma.205 I 2 kap. 6 § andra stycket regeringsformen, RF föreskrivs dock att var och en gentemot det allmänna är skyddad mot betydande intrång i den per- sonliga integriteten, om det sker utan samtycke och innebär över- vakning eller kartläggning av den enskildes personliga förhållanden. Syftet med bestämmelsen är att stärka grundlagsskyddet för vissa kvalificerade intrång i den personliga integriteten, dvs. sådana som innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Grundlagsskyddet består i att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under de förutsättningar som anges 2 kap. 21–22 §§ RF, vilket framgår av 2 kap. 20 § RF (se avsnitt 3.2.4 och avsnitt 6.2).

Som vi redogjort för tidigare innebär direktåtkomst normalt att de uppgifter som åtkomsten omfattar rent tekniskt är tillgängliga för den mottagande myndigheten när direktåtkomsten är aktiv. Det kan tolkas som att delar av myndigheternas uppgiftssamlingar samman- förs när en direktåtkomst är aktiv, vilket kan bedömas utgöra över- vakning eller kartläggning av enskilda. Om bedömningen är att det utökade grundlagsskyddet kräver att utlämnandet ska regleras sär- skilt, bör det också leda till att den rättsliga grunden för utlämnandet inte kan anses vara proportionerlig i dataskyddsförordningens mening utan sådan reglering.

I normalfallet bör dock ett i övrigt tillåtet informationsutbyte inte utgöra ett sådant intrång som skyddas av det utökade grund- lagsskyddet enbart av den anledningen att informationsöverföringen sker genom direktåtkomst. Som vi tidigare nämnt kräver dataskydds- förordningen att de inblandande myndigheterna vidtar både tekniska och organisatoriska åtgärder, samt bygger in dataskydd i sina tek- niska system, i syfte att bl.a. begränsa tillgången till personuppgifter och minimera omfattningen av de uppgifter som behandlas. Särskilt direktåtkomst till sekretessreglerade uppgifter kräver att de uppgifter som avses är tydligt avgränsade och att behovet av uppgifterna hos den mottagande myndigheten är klarlagt. Direktåtkomst innebär alltså inte någon generell sammanslagning av olika myndigheters informa-

205SOU 2015:39, Myndighetsdatalag, s. 393–394.

822

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

tionshanteringssystem. Den tekniska utvecklingen har dessutom med- fört att det finns möjlighet att tekniskt begränsa åtkomsten för med- arbetare på den mottagande myndigheten till enbart sådana uppgif- ter som inte utgör överskottsinformation. I normalfallet medför en direktåtkomst i dag inte att två myndigheters uppgiftssamlingar sam- manförs och blir gemensamt tillgängliga i den mottagande myndig- heten.

En direktåtkomst inrättas dessutom ofta för att effektivisera ett uppgiftsutbyte mellan myndigheter som redan äger rum. Om det tidigare uppgiftsutbytet sker med stöd av en sekretessbrytande be- stämmelse som medger att uppgifter lämnas ut utan hinder av sekre- tess, borde den omständigheten att uppgiftsutbytet nu ska ske genom direktåtkomst inte i sig innebära att det sker något ytterligare intrång i enskildas personliga förhållanden.206

Vid en konsekvensbedömning enligt artikel 35 i dataskydds- förordningen (se avsnitt 11.7.3) skulle dock bedömningen kunna bli att ett informationsutbyte genom direktåtkomst innebär en sådan kartläggning av enskilda som det utökade grundlagsskyddet avser. I avsaknad av en lagbestämmelse som tillät utlämnande i denna form skulle uppgiftsbytet behöva ske på annat sätt.

Det finns inte något generellt krav på att myndigheters elektro- niska uppgiftslämnande ska regleras, däremot måste uppgiftslämnan- det i sak ha stöd i rättsordningen. Den bestämmelse vi föreslår i av- snitt 11.7.5 klargör dock att elektroniskt utlämnande får ske om det inte är olämpligt. Bestämmelsen ger därmed lagstöd även för sådant utlämnande som sker genom direktåtkomst. De rättsliga förutsätt- ningarna för att inrätta en ny direktåtkomst vid Skatteverket, Tull- verket eller Kronofogdemyndigheten innehåller därmed en sådan be- gränsning som innebär att regleringen är förenlig med det stärkta grundlagsskyddet för vissa kvalificerade intrång i den personliga integ- riteten. Det eventuella kravet på lagstöd för utlämnande genom direkt- åtkomst blir alltså uppfyllt genom bestämmelser i de nya datalagarna.

206SOU 2015:39, Myndighetsdatalag, s. 209.

823

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Skäl 41 till dataskyddsförordningen

Enligt skäl 41 till dataskyddsförordningen ska en rättslig grund för behandling av personuppgifter vara tydlig och precis och dess till- lämpning bör vara förutsägbar för personer som omfattas av den. Det skulle kunna argumenteras att om direktåtkomst inte reglerades skilt från annat elektroniskt utlämnande så skulle den rättsliga grun- den för behandlingen inte uppfylla dataskyddsförordningens krav i detta avseende. De personer vars uppgifter enbart förekommer i överskottsinformation har nämligen inte möjlighet att förutse den behandlingen som tillhandahållandet genom direktåtkomst innebär. Här kan dock åter påpekas att vid mer omfattande informations- utbyte mellan myndigheter uppkommer i regel någon form av över- skottsinformation, oavsett i vilken form utbytet sker. Det är en natur- lig följd av att den mottagande myndigheten inte vet vilka uppgifter den utlämnande myndigheten förfogar över, och av att den utläm- nande myndigheten inte vet vilka personer som är aktuella vid den mottagande myndigheten (se avsnitt 11.2.3). Direktåtkomst medför dock inte att den mottagande myndigheten rent faktiskt tar del av fler uppgifter än den är i behov av, eller att den utlämnande myndig- heten tar del av uppgifter om personer som inte är aktuella där. Den överskottsinformation som andra former av elektroniskt utlämnande kan ge upphov till har inte ansetts behöva regleras särskilt för att vara tillåten. Det borde därför vara möjligt att hävda att det inte heller vid direktåtkomst krävs reglering av den faktiska behandlingen, utan att den bestämmelse som reglerar utlämnandet i sak (dvs. en bestäm- melse som tillåter eller kräver att viss information ska lämnas ut) bör vara tillräcklig för att uppfylla de krav som ställs upp i skäl 41.

Offentlighetsprincipen

Frågan är då om det förhållandet att offentlighetsprincipen, med krav på allmänhetens insyn i myndigheters verksamhet, medför att en rättslig åtskillnad mellan olika former av uppgiftslämnande måste upprätthållas för att den rättsliga grunden ska vara proportionell.

Offentlighetsprincipen bör även i dataskyddssammanhang anses vara en stark rättssäkerhetsgaranti, i vart fall på ett generellt plan. Den utgör bl.a. en garanti för möjligheten till insyn i myndigheternas arbete, inklusive den personuppgiftsbehandling som sker inom ramen

824

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

för myndigheternas respektive verksamhet. Som nämnts tidigare fram- går det också av artikel 86 i dataskyddsförordningen att personuppgif- ter i allmänna handlingar som förvaras av en myndighet för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten i en- lighet med den unionsrätt eller den nationella rätt som myndigheten omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. Uppgifter hos den utlämnande myndigheten som kan begäras ut hos den mottagande myndigheten vid direktåtkomst kan dessutom även alltid begäras ut hos den utlämnande myndigheten. Handlingarna blir alltså inte möjliga att begära ut enbart genom direktåtkomst. Det finns också vissa undantag i 2 kap. TF som kan medföra att inte alla uppgifter ska anses utgöra en allmän handling hos den mottagande myndigheten som inte aktualiseras hos den utlämnande myndigheten (se avsnitt 11.2.2). Sekretessregleringen medför också i många fall att sekretess gäller för uppgifter som utgör överskottsinformation vid direktåtkomst även hos den mottagande myndigheten.

Vi anser därmed att enbart det förhållande att uppgifter riskerar att få en större spridning vid direktåtkomst, som en konsekvens av offentlighetsprincipen, inte kan anses medföra att den rättsliga grun- den för utlämnandet framstår som oproportionerlig om en rättslig skillnad mellan direktåtkomst och andra former av utlämnande inte upprätthålls.

11.7.5Elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt

Vårt förslag: Elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt.

Det ska finnas en bestämmelse som upplyser om att reger- ingen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om be- gränsningar av möjligheten att lämna ut personuppgifter elektro- niskt.

825

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

Skälen för vårt förslag

Elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt.

Kraven på myndigheter att utbyta information ökar generellt i sam- hället och regleringen av informationsutbytet i sak är både komplex och omfattande (se exempelvis avsnitt 13.4.1). Informationsflödena är normalt digitala eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller före- tag.207 Vid Skatteverket, Tullverket och Kronofogdemyndigheten finns det därmed ett stort och legitimt behov av att kunna lämna ut personuppgifter elektroniskt.

Mot bakgrund av de överväganden vi redogjort för i avsnit- ten 11.7.2–11.7.4 föreslår vi att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt. Det innebär att direktåtkomst inte längre behöver regleras särskilt för att vara tillåten och att myndig- heterna ges möjlighet att utarbeta de nya system för informations- utbyte som bäst tillgodoser behoven av integritetsskydd och effek- tivitet i det enskilda fallet.

Begreppet elektroniskt utlämnande

I nuvarande registerförfattningar används begreppet utlämnande på medium för automatiserad behandling för sådant elektroniskt utläm- nande som inte utgör direktåtkomst (se avsnitten 11.2.3 och 11.3.2). Begreppet är tydligt präglad av en annan tids informationshanterings- möjligheter och framstår mot bakgrund av den tekniska utvecklingen som svårbegripligt. Det är sannolikt få personer som i dagligt tal skulle kalla exempelvis e-post för ett medium för automatiserad behandling.

I andra sammanhang har begreppet medium för automatiserad behandling övergetts till förmån för begreppet elektroniskt utläm- nande, eller närliggande uttryck. Exempelvis används i domstolsdata- lagen (2015:728) begreppet ”lämna ut elektroniskt”. Regeringen har uttalat att ett modernare uttryckssätt än utlämnande på medium för automatiserad behandling är att föredra och att det exempelvis i sam- band med översynen av registerförfattningarna på brottsdatalagens område var lämpligt att göra den förändringen.208 Även i samband med

207Jfr prop. 2017/18:105, Ny dataskyddslag, s. 47.

208Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 136.

826

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

införandet av lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter ansåg regeringen att det fanns skäl att utmönstra det äldre begreppet. Regeringen påpekade då att det endast rörde sig om en begreppsmässig modernisering men däremot inte någon änd- ring i sak.209 Även i lagen (2023:457) om behandling av personupp- gifter vid Utbetalningsmyndigheten, som träder i kraft den 1 januari 2024, används termen elektroniskt utlämnande. Regeringen konsta- terade i lagens förarbeten att vad som avses har förändrats i takt med teknikutvecklingen, och att med dagens teknik kan utlämnande av information ske exempelvis genom e-post, på ett usb-minne eller genom direkt överföring från ett datorsystem till ett annat.210

Vi bedömer att termen medium för automatiserad behandling bör utmönstras även ur den kompletterande dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten. Som fram- går ovan anser vi dock att det i dag inte längre finns skäl att göra någon rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. I syfte att göra regleringen enkel och flexi- bel, samt för största möjliga enhetlighet mellan här aktuell reglering och andra sektorsspecifika dataskyddsregleringar, bör inga nya be- grepp införas. Direktåtkomst har dessutom vid flera tillfällen konsta- terats vara en särskild form av just elektroniskt utlämnande. Vi anser därför att det är lämpligt att begreppet elektroniskt utlämnande, som omfattar både direktåtkomst och andra tekniska lösningar, används i de nya dataskyddslagarna.

Det innebär också att nya former av elektroniskt utlämnande som

vii dag inte känner till, men som kan komma att följa av den tekniska utvecklingen, också omfattas av bestämmelsen. Författningarna kom- mer därför inte att behöva ändras för att följa med den tekniska ut- vecklingen på området.

Olämplighetsrekvisitet

För att upprätthålla ett adekvat skydd för den personliga integriteten vid utlämnande i elektronisk form är det viktigt att inte fler uppgifter än nödvändigt lämnas ut och att utlämnandet sker på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd

209Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 56.

210Prop. 2022/23:43, Utbetalningsmyndigheten, s. 140.

827

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

mot obehörig eller otillåten behandling, genom lämpliga tekniska eller organisatoriska åtgärder. Detta är krav som följer direkt av dataskydds- förordningen. Som vi redan påpekat bör behovsbedömningar av detta slag anses vara en naturlig del i myndigheters verksamhet där utläm- nandefrågor aktualiseras.

För att uppnå en ändamålsenlig avvägning mellan myndigheternas intresse av att på ett effektivt sätt lämna ut personuppgifter i elek- tronisk form och riskerna med att överföra uppgifter elektroniskt innehåller kompletterande dataskyddsreglering ofta en bestämmelse som anger när sådant utlämnande får ske. Den formulering som har valts i modernare författningar är att utlämnande får ske om det inte är olämpligt.211 Enligt vår uppfattning bör samma formulering an- vändas i de nya datalagar som vi föreslår för Skatteverket, Tullverket och Kronofogdemyndigheten.

Den föreslagna bestämmelsen ska inte tolkas som att den medför en rätt för vare sig mottagande myndigheter eller enskilda att få ut uppgifter genom direktåtkomst eller någon annan form av elektronisk informationsöverföring. Bestämmelsen innebär därmed inte heller någon generell eller specifik skyldighet för vare sig Skatteverket, Tull- verket eller Kronofogdemyndigheten att lämna ut uppgifter på ett visst sätt. All automatiserad behandling av stora mängder personuppgifter kan på ett generellt plan medföra risker från integritetssynpunkt. Ett omfattande elektroniskt utlämnande av personuppgifter kan inne- bära att uppgifterna får en större spridning, vilket ytterligare förhöjer riskerna. I slutbetänkandet av Kommittén för teknologisk innova- tion och etik (Komet) konstaterades att risker bl.a. finns i att an- vändningsområdena, spridningen, utbytet samt vidareanvändningen av personuppgifter ökar. Ur den enskildes perspektiv innebär utveck- lingen att kunskapen om hur uppgifterna hanteras, liksom möjligheten att påverka detta, hela tiden krymper i förhållande till den ökande hanteringen av personuppgifter i samhället.212 Därför är det inte säkert att en avvägning mellan behovet och riskerna i alla tänkbara fall medger att uppgifter över huvud taget lämnas ut elektroniskt, se

211Jfr t.ex. 19 § första stycket kustbevakningsdatalagen (2019:429), 1 kap. 9 § lagen om Rätts- medicinalverkets behandling av personuppgifter och 2 kap. 8 § andra stycket folkbokförings- databaslagen. Se även t.ex. 2 kap.9 § första stycket lag (2018:1696) om Skatteverkets be- handling av personuppgifter inom brottsdatalagens område och 2 kap. 9 § första stycket lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.

212SOU 2022:68, Förnya taktiken i takt med tekniken – förslag för en ansvarsfull, innovativ och samverkande förvaltning, s. 145

828

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

exempelvis i avsnitt 11.2.3 om särskilda sekretessregler vid bl.a. mass- uttag.

Den föreslagna bestämmelsen är följaktligen inte tvingande för myndigheterna avseende att lämna ut personuppgifter elektroniskt. Det bestämmelsen innebär är att myndigheterna inte är rättsligt för- hindrade att använda sig av direktåtkomst eller andra elektroniska former för informationsöverföring. Bestämmelsen ska alltså förstås på så sätt att den myndighet som innehar information som den får eller måste lämna ut har en rättslig möjlighet att medge direktåtkomst eller någon annan form av elektroniskt utlämnande, om det framstår som proportionerligt och lämpligt i förhållande till de omständigheter som är aktuella. När det övervägs på vilket sätt information ska över- föras måste det, som vid all annan behandling, enligt dataskydds- förordningen göras ett flertal avvägningar mellan de intressen som talar för en viss teknisk lösning, och de integritetsskäl som talar emot (se t.ex. avsnitt 11.5.3).

När ett nytt system för regelbundet eller omfattande informa- tionsutbyte utarbetas bör i normalfallet både den utlämnande och den mottagande myndigheten vara delaktiga i arbetet, oavsett hur systemet klassificeras rättsligt. Det bör exempelvis krävas gemen- samma överväganden i fråga om vilka faktiska uppgifter mottagaren har ett behov av, hur dessa lämpligen ska avgränsas, hur kommuni- kationen mellan de olika it-systemen ska fungera och vilka övriga villkor som ska gälla för utlämnandet, innan ett uppgiftslämnande påbörjas. Den tekniska lösning som myndigheten väljer ska kunna utformas så att principerna för dataskydd iakttas vid behandlingen. I den mån principerna för dataskydd inte bedöms kunna iakttas vid en särskild form av informationsöverföring måste en annan form väljas.

Olämplighetsbedömningen

Frågan om elektroniskt informationsutbyte mellan myndigheter har diskuterats i olika sammanhang och flera utredningar har behandlat de avvägningar som behöver göras vid ett utökat elektroniskt upp- giftslämnande. I dessa sammanhang har bl.a. framhållits att skyddet för den personliga integriteten måste vägas mot de viktiga allmän- intressen som kan motivera ett utökat informationsutbyte. Sådana

829

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

intressen kan vara att informationsutbytet leder till en ökad effek- tivitet hos myndigheter, att kontrollmöjligheterna förbättras eller att enskilda ges bättre service.213 Vi anser inte att en författnings- reglering av när olika former för utlämnande får användas är en nöd- vändig förutsättning för att nå en ändamålsenlig avvägning mellan de olika intressen som måste beaktas.

Det skulle dock kunna ifrågasättas om det inte behövs en tydli- gare reglering avseende vilka konkreta omständigheter som medför att det är olämpligt att lämna ut personuppgifter elektroniskt, genom direktåtkomst eller på annat sätt. Som vi tidigare redogjort för bör dock denna bedömning göras med beaktande av de förhållanden som föreligger i det enskilda fallet. Exempelvis bör utformningen av even- tuella sekretessbrytande bestämmelser kunna påverka bedömningen av om direktåtkomst är en tillåten och lämplig form av utlämnande (se avsnitten 11.2.2 och 13.3.2). Med det nyss sagda avses inte att varje enskild informationsöverföring ska kräva omfattande bedöm- ningar, utan att myndigheterna bör överväga de aspekter som är väsent- liga ur integritetssynpunkt exempelvis vid inrättande av nya system för överföring, eller när nya skyldigheter att lämna ut information införs.

Riskerna med att överföra uppgifter elektroniskt, som bl.a. kan bestå i en ökad fara att uppgifter sprids eller att någon annan än den avsedda mottagaren får del av uppgifterna, måste då vägas mot Skatte- verkets, Tullverkets respektive Kronofogdemyndighetens samt mot- tagarnas behov av effektiva arbetssätt. Myndigheterna måste också beakta principen om uppgiftminimering som framgår av artikel 5.1 a i dataskyddsförordningen och som innebär att personuppgifter inte får vara för omfattande i förhållande till de ändamål för vilka de behandlas.

Det finns system som uppfyller behovet av snabb och effektiv informationsöverföring men med ett högre integritetsskydd än vid direktåtkomst. Som beskrivits ovan är det dock inte längre en stor skillnad mellan direktåtkomst och en fråga-svar-tjänst vad gäller ris- ken för integritetsintrång. Dessutom gäller den s.k. databassekretessen vid direktåtkomst men inte vid annat utlämnande och i avsnitt 15.5.3 föreslår vi som redan nämnts nya bestämmelser som motsvarar data-

213Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 48, prop. 2016/17:58, Upp- gifter på individnivå i arbetsgivardeklarationen, s. 124, och Justitiedepartementets promemoria De brottsbekämpande myndigheternas direktåtkomst till uppgifter i beskattningsdatabasen, 2020.

830

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

bassekretessen. Även i fortsättningen kommer därför uppgifter som lämnas ut genom direktåtkomst från Skatteverket, Tullverket och Kronofogdemyndigheten skyddas av en särskild sekretessbestäm- melse. Vid direktåtkomst kan den utlämnande myndigheten dessutom ha en bättre möjlighet att behålla kontrollen över informationen på ett annat sätt än vid annat elektroniskt utlämnande, vilket vi redo- gjort för i avsnitt 11.7.2. Det kan alltså förekomma system för direkt- åtkomst som skapar ett högre integritetsskydd än andra system. När det kommer till andra former av elektroniskt utlämnande än en fråga-svar-tjänst är det troligt att skillnaden i funktionalitet kommer att vara avgörande för vilken form för utlämnande som är mest pro- portionerlig i förhållande till det identifierade behovet och nyttan.214

Att i förväg ta ställning till hur den bedömningen ska falla ut riskerar dock i förlängningen att hindra en ändamålsenlig och balan- serad effektivisering av Skatteverkets, Tullverkets och Kronofogde- myndighetens verksamheter. Denna risk illustreras inte minst av hur den nuvarande regleringen av elektroniskt utlämnande hindrar myn- digheterna från att dra nytta av nya tekniska lösningar.

Vid bedömningen av om en viss form av elektroniskt utlämnande är olämplig måste bl.a. typen av personuppgifter beaktas, vilket följer direkt av dataskyddsförordningen. Vid framför allt Skatteverket men även hos Tullverket och Kronofogdemyndigheten förekommer per- sonuppgifter som kan vara integritetskänsliga. Även känsliga person- uppgifter i den mening som avses i artikel 9.1 i dataskyddsförordningen behandlas av myndigheterna, se avsnitt 10.5. Vid överföring av sådana uppgifter bör integritets- och informationssäkerhetsaspekter ges sär- skilt stor betydelse när sättet för ett elektroniskt informationsutbyte övervägs. Om det i annan reglering ställs krav på en särskild form av digital informationsöverföring avseende vissa uppgifter får det dock tolkas som att olämplighetsbedömningen redan är gjord i samband med införandet av den aktuella regleringen, se exempelvis avsnitt 11.6 om de unionsrättsliga krav på digital informationshantering som Tullverket måste iaktta. Vid övriga olämplighetsbedömningar bör led- ning kunna hämtas från situationer där regeringen tidigare tagit ställ- ning till frågan om direktåtkomst eller annat elektroniskt utlämnande ska medges.

Regeringen har i tidigare lagstiftningsärenden varit av uppfatt- ningen att det normalt sett aldrig bör anses olämpligt att lämna ut

214Jfr prop. 2021/22:177, Sammanhållen vård- och omsorgdokumentation, s. 79.

831

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

personuppgifter elektroniskt till andra myndigheter.215 I normalfallet bör det därför inte heller i fortsättningen anses olämpligt att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst till andra myndigheter. Detsamma borde i de allra flesta fall gälla för enskilda.

När det gäller utlämnande till enskilda kan det dock krävas när- mare överväganden bl.a. med hänsyn till vem mottagaren är och vilken säkerhet mottagaren har för sin personuppgiftsbehandling. Om det i ett enskilt fall skulle bedömas vara olämpligt ur integritetssynpunkt att lämna ut personuppgifter elektroniskt, dvs. att principerna för dataskydd inte kan iakttas vid ett sådant utlämnande, bör uppgifterna lämnas ut på annat sätt. Det nyss sagda gäller även för utlämnande till myndigheter. I den mån mottagaren av uppgifterna kan antas komma att behandla uppgifterna på ett sätt som står i strid med bl.a. dataskyddsförordningen gäller dock sekretess för uppgifterna enligt 21 kap. 7 § OSL, se avsnitt 11.2.3. I sådana fall får uppgifterna inte över huvud taget lämnas ut, vare sig i analog form eller elektroniskt.

Regeringen har tidigare lagt särskild vikt vid frågor om effektivitet och behovet av uppgifterna hos mottagaren i olika sammanhang där inrättandet av direktåtkomst ansetts motiverat. Redan innan nuvar- ande registerförfattningar kom till gjorde regeringen uttalanden om när s.k. terminalåtkomst (se avsnitt 11.2.2) skulle kunna aktualiseras inom den dåvarande skatteförvaltningen. Främst var det situationer där behovet av snabb och enkel tillgång till uppgifterna vägde tyngre än den risk från integritetssynpunkt som åtkomsten skulle medföra. För uppgifter som var av mindre integritetskänslig natur, där det fanns ett praktiskt behov hos mottagaren av att ha uppgifterna lätt tillgäng- liga fanns det enligt regeringen inte något hinder mot terminalåtkomst. För uppgifter som var av mer integritetskänslig natur kunde dock behovet av samordning, praktiska skäl och att åtkomsten underlät- tade arbetet tala för att terminalåtkomst ändå skulle tillåtas. För upp- gifter där behovet hos mottagaren inte var så stort skulle dock termi- nalåtkomst inte tillåtas.216

Även vid tidpunkten för de nuvarande registerförfattningarnas till- komst bedömde regeringen att det efter en avvägning mellan effek- tivitets- och integritetsskäl kunde finnas anledning att medge direkt-

215Jfr avsnitt 11.3.1 och t.ex. prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 136. Se även SOU 2015:39, Myndighetsdatalag, s. 447–448.

216Prop. 1979/80:146, med förslag till skatteregisterlag, s. 47–48.

832

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

åtkomst till en begränsad mängd uppgifter.217 Exempelvis ansåg regeringen att dåvarande kronofogdemyndigheternas relativt omfat- tande tillgång till uppgifter i beskattningsverksamheten genom direkt- åtkomst, som motiverats av den nära kopplingen mellan verksam- heterna, inte borde inskränkas av integritetsskäl. Regeringen lyfte här möjligheten att på ett snabbt och effektivt sätt få tillgång till uppgif- ter som behövdes i ärendehandläggningen hos mottagaren. För upp- gifter som kronofogdemyndigheterna inte hade något eller bara ett mycket litet behov av borde dock direktåtkomst inte få förekomma.218 För flertalet uppgifter i folkbokföringsverksamheten bedömde reger- ingen att de inte kunde anses känsliga ur integritetssynpunkt. Upp- gifterna omfattades heller inte av någon starkare sekretess utan pre- sumtionen var, liksom i dag, att uppgifterna var offentliga. Ur integ- ritetsskyddssynpunkt kunde det därför inte anses innebära någon skillnad om en myndighet skulle hämta in uppgifter genom direkt- åtkomst eller på något annat sätt.219

Även i senare lagstiftningsärenden har överväganden som de nyss nämnda motiverat inrättandet av ny direktåtkomst. Flera myndigheter deltar exempelvis i dag i elektroniska informationsutbyten med Skatte- verkets beskattningsverksamhet och det har i de fallen ansetts vara förenligt med kraven på skydd mot oacceptabla intrång i den person- liga integriteten att tillåta dessa utbyten genom direktåtkomst. Vid dessa avvägningar har direktåtkomst ansetts nödvändig bl.a. för att förbättra beslutskvaliteten och att öka effektiviteten.220 I tidigare lag- stiftningsärenden har alltså en avvägning ofta gjorts mellan integri- tetshänsyn, behovet hos mottagaren och uppgifternas känslighet. Även sambanden mellan de olika verksamheterna har tillmätts betydelse.

Utöver frågor om informationssäkerhet och om principerna för dataskydd kan iakttas vid det planerade utbytet, bör liknande avväg- ningar kunna aktualiseras även i framtiden. Att mottagaren har ett kontinuerligt eller stort behov av uppgifterna i sin verksamhet kan tala för att direktåtkomst inte är olämpligt. Motsatsvis bör direkt- åtkomst till uppgifter som mottagaren sällan kan komma att behöva, eller som inte är av särskilt stor betydelse för mottagaren, inte aktu-

217Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 133.

218Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 132–133.

219Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 145.

220Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, avsnitt 5.5, prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 124–125 och prop. 2017/18:270, Regel- förenklingar inom ekonomisk familjepolitik, s. 51–53.

833

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

aliseras särskilt ofta. Om det rör uppgifter som inte är av integritets- känslig karaktär kan även detta tala för att ett utlämnande kan ske via direktåtkomst, eller om det finns ett nära samband mellan de olika verksamheterna. Riskerna ur integritetssynpunkt kan liksom i dag begränsas genom att direktåtkomst medges till en avgränsad kategori uppgifter som mottagaren har ett stort behov av i sin verksamhet, för att bedömas vara lämplig. Den utlämnande myndigheten får dess- utom enligt dataskyddsförordningen anses ha ett ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst har förmåga och vilja att vidta de åtgärder som bedöms vara nödvändiga ur säkerhets- synpunkt. Direktåtkomst bör liksom i dag kunna begränsas på så sätt att den endast ska medges för uppgifter som behövs i viss verksam- het hos mottagaren. Det innebär att uppgifter som lämnas ut genom direktåtkomst inte ska kunna användas i hela mottagarens verksam- het, utan endast där behovet som motiverat inrättandet av åtkomsten finns.

Genom att direktåtkomsten begränsas till uppgifter som behövs i den aktuella verksamheten kan effektivitetsbehovet balanseras mot integritetsintresset samtidigt som myndigheternas mest påtagliga be- hov kan tillgodoses. Inrättandet av en ny direktåtkomst bör därför bl.a. förutsätta att den mottagande myndigheten kan visa att dess handläggare m.fl. saknar teknisk möjlighet att ta del av uppgifter om andra personer än de som förekommer i den aktuella verksamheten för att kunna anses vara lämplig.

Den närmare innebörden av vad som ska anses vara olämpligt respektive lämpligt elektroniskt utlämnande får utvecklas genom re- spektive myndighets tillämpning. Ställningstagandena i sak måste där- med göras vid uppbyggnaden och inrättandet av nya system för in- formationsöverföring och med beaktande av dataskyddsförordningens krav och principer för behandling. Inför ett sådant arbete kommer det ofta behöva göras både en behovsanalys och en konsekvens- analys. Den närmare innebörden av vad som ska anses vara olämpligt och lämpligt kommer alltså även utvecklas genom myndigheternas samråd med IMY enligt vad som anges i avsnitt 11.7.3. Innebörden kommer också komma att utvecklas genom IMY:s tillsynsarbete och i slutändan även genom domstolspraxis.

834

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Kan olämplighetsbedömningen överklagas?

Enligt den föreslagna bestämmelsen får elektroniskt utlämnande en- bart förekomma om det inte är olämpligt. Det finns därmed inte något hinder mot att Skatteverket, Tullverket eller Kronofogde- myndigheten nekar en begäran från en enskild om att allmänna hand- lingar ska lämnas ut elektroniskt. En sådan begäran ska dessutom nekas om ett elektroniskt utlämnande bedöms vara olämpligt. Som

viredogjort för ovan kan ett elektroniskt utlämnande bedömas vara olämpligt av olika skäl, exempelvis om mottagaren inte kan visa till- räcklig säkerhet för sin personuppgiftsbehandling. Det innebär att uppgifterna får lämnas ut på annat sätt.

I vissa fall kan ett nekat elektroniskt utlämnande få stora kon- sekvenser för en enskild. Exempelvis lämnar Kronofogdemyndig- heten ut uppgifter elektroniskt till kreditupplysingsbolag i stor ut- sträckning. Myndigheten har uppgett att för kreditupplysningsbolag kan det vara av avgörande betydelse om de får uppgifter elektroniskt från myndigheten eller inte, eftersom det påverkar hur de kan bedriva verksamhet. Frågan är då i vilken utsträckning enskilda kan över- klaga ett beslut om att inte lämna ut allmänna handlingar elektroniskt.

Dataskyddslagen innehåller bestämmelser om överklagande. Av 7 kap. 2 § första stycket dataskyddslagen följer att beslut enligt artik- larna 12.5 och 15–21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol. Det rör sig om beslut om avgifter m.m., tillgång till personuppgifter m.m., rättelse, radering, begränsning, underrättelse till tredje man om rättelse, radering eller begränsning, dataportabilitet och om invändningar mot behandling. Andra beslut som en personuppgiftsansvarig myndighet fattar enligt dataskydds- förordningen eller dataskyddslagen får enligt 7 kap. 5 § dataskydds- lagen inte överklagas. Ett beslut om att lämna ut allmänna handlingar till enskilda kommer dock inte att fattas enligt dataskyddsförord- ningen eller dataskyddslagen. Utlämnandet sker i stället med stöd av offentlighetsprincipen.221 Det innebär att överklagandeförbudet enligt dataskyddslagen inte är tillämpligt.

Enligt 2 kap. 19 § första stycket TF kan beslut att lämna ut all- männa handlingar överklagas. För att ett beslut ska vara överklagbart

221Rätten att ta del av allmänna handlingar gäller enligt praxis även juridiska personer, se RÅ 2003 ref. 83.

835

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

krävs att en begäran avslås eller handlingen lämnas ut med förbehåll som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den. I 6 kap. 7 § OSL anges, såvitt här är aktuellt, att en enskild får överklaga ett beslut av en myndighet att inte lämna ut en handling till den enskilde eller att lämna ut en handling med förbehåll som inskränker den enskildes rätt att röja innehållet eller annars för- foga över den.

Som nämnts i avsnitt 11.2.1 så finns det dock enligt gällande rätt ingen skyldighet för myndigheter att lämna ut allmänna handlingar i elektronisk form (jfr 2 kap. 16 § första stycket TF, det s.k. utskrift- undantaget). Högsta domstolen har dessutom i avgörandet Ö 327-23 gjort uttalanden med innebörden att öppna datalagen inte påverkar den begränsning av rätten till tillgång till uppgifter i digital form som följer av 2 kap. 16 § första stycket TF, och att en grundförutsättning för den lagen är att det föreligger en rätt att få tillgång till digital data enligt någon annan lag eller förordning. Som vi tidigare konstaterat innebär inte heller den föreslagna bestämmelsen om att uppgifter får lämnas ut elektroniskt om det inte är olämpligt att myndigheterna är skyldiga att lämna ut uppgifter på detta sätt.

Att neka en enskilds begäran om att få ut allmänna handlingar elek- troniskt förefaller därmed inte vara ett beslut som går att överklaga, under förutsättning att den enskilde ges rätt att få del av handlingen på annat sätt.222

En upplysningsbestämmelse om rätten för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter

222Jfr Kammarrätten i Jönköpings dom den 9 augusti 2012 i mål 2491-12 och Kammarrätten i Stockholms dom den 1 april 2015 i mål 2230-15.

836

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

Det kan inte uteslutas att det kan uppstå ett behov att meddela föreskrifter om Skatteverkets, Tullverkets respektive Kronofogde- myndighetens möjligheter att lämna ut personuppgifter elektroniskt. En konsekvens av vårt förslag är dock att direktåtkomst eller andra former av elektroniskt utlämnande endast bör regleras i författning om sådan åtkomst behöver begränsas. Sådana bestämmelser kan med- delas i förordning med stöd av regeringens restkompetens. Det finns alltså utrymme för regeringen eller den myndighet regeringen be- stämmer att meddela föreskrifter som begränsar myndigheternas möj- lighet att själva avgöra när det är lämpligt eller olämpligt att lämna ut personuppgifter elektroniskt. Av tydlighetsskäl bör en upplysnings- bestämmelse som avser detta införas i de nya datalagarna i anslutning till bestämmelsen om elektroniskt utlämnande.

11.7.6En bestämmelse om särskilda rutiner vid elektroniskt utlämnande bör tas in i förordning

Vårt förslag: I förordning ska det regleras att Skatteverket, Tull- verket respektive Kronofogdemyndigheten ansvarar för att det inom respektive myndighet finns rutiner för regelbunden kon- troll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.

Skälen för vårt förslag

Bör olämplighetsprövningen kodifieras?

Vi har övervägt om den föreslagna bestämmelsen om att uppgifter får lämnas ut elektroniskt om det inte är olämpligt bör kompletteras med bestämmelser i lag eller förordning som tydliggör och samman- fattar vad den allmänna dataskyddsregleringen kräver av den person- uppgiftsansvariga i samband med utlämnande genom direktåtkomst. Exempelvis skulle det kunna röra sig om en eller flera bestämmelser enligt följande.

•Direktåtkomst får endast medges om ändamålet med utlämnan- det av personuppgifter inte rimligen kan uppnås på annat sätt.

837

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

•Innan direktåtkomst medges ska myndigheten förvissa sig om att personuppgifter som direktåtkomsten omfattar behandlas på ett ur integritetssynpunkt godtagbart sätt hos mottagaren.

•Myndigheten ska ha rutiner för att regelbundet följa upp och kon- trollera att personuppgifter som lämnas ut genom direktåtkomst behandlas på ett ur integritetssynpunkt godtagbart sätt hos mot- tagaren.

Vår bedömning är dock att sådana bestämmelser enbart för en form av elektroniskt utlämnande inte är lämpliga att föra in i en modern dataskyddsreglering, även om de bör anses vara tillåtna enligt data- skyddsförordningen (enligt artikel 6.3). Bestämmelser av denna karak- tär anger vad som ändå måste anses gälla enligt den allmänna data- skyddsregleringen och sekretesslagstiftningen, oavsett vilken form av elektroniskt utlämnande som avses.

Krav på rutiner

Även om det inte finns skäl att i författning reglera när olika former av elektroniskt utlämnande får användas kan det finnas skäl att i myndighetsspecifika rutiner närmare ange exempelvis vilka säker- hetsåtgärder olika system för informationsöverföring bör innehålla, olika tekniska lösningar som regelmässigt bör användas eller hur hanteringen på mottagarsidan generellt sett ska eller inte ska utfor- mas. Vi anser att det ska vara respektive myndighets uppgift att ta fram sådana rutiner. Att på förhand förutse vilka närmare behov som med anledning av den tekniska utvecklingen kan komma att uppstå vid elektroniskt utlämnande är nämligen mycket svårt. Skatteverket, Tullverket respektive Kronofogdemyndigheten bör därför ansvara för att det inom respektive myndighet finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.

Ett krav på framtagande av sådana rutiner säkerställer att myndig- heterna på förhand noggrant överväger med vilka tekniska lösningar elektroniskt utlämnande får ske, samt att systemen för överföring ut- formas i enlighet med dataskyddsregleringen. På detta sätt utgör ruti- nerna en säkerhetsåtgärd som syftar till att minska riskerna för obe- fogat intrång i den personliga integriteten i samband med elektroniskt

838

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

utlämnande. Genom kravet på att det finns rutiner kommer det vara möjligt att i efterhand också följa upp att dessa följs. Vi bedömer att det är tillräckligt att ett krav på rutiner införs i förordning.

Bestämmelsen om att myndigheterna ska ha särskilda rutiner för regelbunden kontroll av att elektroniskt utlämnande sker på ett god- tagbart sätt från integritetssynpunkt kan, om behov uppstår, kom- pletteras med föreskrifter som begränsar myndigheternas möjlighet att själva avgöra när det är lämpligt eller olämpligt att lämna ut per- sonuppgifter elektroniskt (se avsnittet ovan).

11.7.7Elektroniskt utlämnande till utländska myndigheter inom ramen för det internationella samarbetet

Vår bedömning: Det saknas skäl att särskilt reglera elektroniskt utlämnande till utländska myndigheter inom ramen för det inter- nationella samarbetet.

Skälen för vår bedömning

Internationell samverkan i form av uppgiftslämnande

Som framgår av avsnitt 11.3.2 är den befintliga regleringen av olika former av elektroniskt utlämnande i dag nästan helt begränsad till att avse utlämnande till andra svenska myndigheter och enskilda. Skatte- verket, Tullverket och Kronofogdemyndigheten utbyter dock infor- mation även med offentliga aktörer i andra länder, såväl inom som utom EU. Informationsutbytet sker oftast som en följd av olika inter- nationella överenskommelser och den rättsliga grunden för infor- mationsutbytet finns i särskilda EU-förordningar, EU-direktiv, kon- ventioner och bilaterala eller multilaterala mellanstatliga avtal. Avtal och andra internationella överenskommelser införlivas normalt i svensk rätt genom en särskild lag, liksom vissa EU-rättsliga rättsakter. I många fall är internationell samverkan i form av uppgiftslämnande helt nödvändigt för att Skatteverket, Tullverket och Kronofogde- myndigheten ska kunna utföra sina uppgifter. Sannolikt kommer den internationella verksamheten dessutom att utökas ytterligare i fram-

839

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

tiden.223 Det är därför viktigt att inte heller det elektroniska infor- mationsutbytet med andra länder begränsas på ett omotiverat sätt.

I avsnitt 7.4.4 har vi föreslagit att de nya datalagarna för beskatt- ningsverksamheten och folkbokföringsverksamheten vid Skatteverket respektive för Tullverket och Kronofogdemyndigheten inte ska vara tillämpliga vid behandling av personuppgifter i EU:s gemensamma informationssystem. I sådana sammanhang är det i stället den all- männa dataskyddsregleringen, främst EU:s dataskyddsförordning, som reglerar behandlingen, tillsammans med de eventuella särskilda dataskyddsregler som antagits för det aktuella informationssystemet. Allt gränsöverskridande utlämnande av personuppgifter sker dock inte i sådana system. Av naturliga skäl gäller det nyss sagda i synner- het sådant informationsutbyte som inte sker på unionsrättslig grund eller som sker med ett land utanför EU, s.k. tredjeland. Det innebär att de nya datalagarnas bestämmelser i många fall kommer att vara tillämpliga vid elektroniskt utlämnande både inom och utanför det unionsrättsliga samarbetet.

Vårt förslag om reglering av elektroniskt utlämnande (av- snitt 11.7.5) innebär att frågan om ett föreskrivet utlämnande av per- sonuppgifter får ske elektroniskt inte ska regleras utifrån vilka upp- gifter utlämnandet avser eller vem mottagaren är. Det som tillmäts betydelse är i stället om ett elektroniskt utlämnande, med hänsyn till omständigheterna och med beaktande av bl.a. bestämmelser om sekre- tess och informationssäkerhet, kan anses vara lämpligt eller inte. Frågan är då om det finns skäl att särskilt reglera sådant gränsöver- skridande uppgiftslämnande som inte sker i EU:s gemensamma infor- mationssystem.

Elektroniskt utlämnande inom EU/EES

I dataskyddsförordningen konstateras att nationella myndigheter i unionsrätten uppmanas att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat (skäl 5). Ett syfte med dataskyddsförordningen är att skapa förutsättningar för ett fritt flöde av personuppgifter inom unionen. Genom dataskyddsförord-

223Se t.ex. EU-kommissionens förslag den 17 maj 2023 om en ny tullkodex och upphävande av förordningen (EU) 952/2013, 2023/0156 (COD).

840

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

ningen har därför alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet, vilket även gäller EES- länderna. Personuppgifter kan därför föras över fritt inom detta om- råde utan begränsningar.224

När formerna för ett utlämnande till ett annat land inom EU/EES övervägs bör därför samma hänsyn tas som vid utlämnande till en svensk myndighet. Tryckfrihetsförordningen gäller dock inte för en utländsk myndighet, varför någon överskottsinformation i den men- ingen inte kan uppstå, se avsnitt 11.2.2. Det nyss sagda innebär att bedömningen av om ett utlämnande utgör direktåtkomst inte helt kan utgå från den definition som Högsta förvaltningsdomstolen slagit fast i LEFI Online-avgörandet (HFD 2015 ref. 61) och senare gjort generellt tillämplig genom HFD 2020 not 16. Avgörande för bedöm- ningen av om ett utlämnande motsvarar direktåtkomst kan i gräns- överskridande situationer antas bli om den utlämnande svenska myn- digheten reagerar på en begäran eller inte.

Vårt förslag innebär att Skatteverket, Tullverket och Kronofogde- myndigheten ska ges en rättslig möjlighet att medge motsvarande direktåtkomst även för utländska myndigheter och internationella organisationer inom EU/EES. Exempelvis kan det i fall där sam- arbetet förutsätter en hög grad av integration vara nödvändigt att inom ramen för samarbetet tillgängliggöra information på ett sätt som motsvarar direktåtkomst. Behov av att kunna medge direktåtkomst till utländska aktörer kan uppstå på områden där myndigheterna föl- jer ett skeende tillsammans med en eller flera utländska myndig- heter, eller vid ett gemensamt ansvar för en viss verksamhet. I sådana fall kan det vara betydelsefullt att kunna tillgängliggöra information samlat och över tid på ett effektivt sätt. Exempelvis har behöriga myn- digheter inom EU redan i dag rätt att ta del av vissa uppgifter i be- skattningsdatabasen om mervärdesskatt (se avsnitt 11.3.2 ovan).

Myndigheterna måste dock, på samma sätt som vid utlämnande till svenska myndigheter, på förhand bedöma om åtkomst motsvarande direktåtkomst bör medges en utländsk aktör bl.a. med beaktande av gällande bestämmelser om sekretess och dataskydd. Principerna för dataskydd bör exempelvis kunna genomföras vid behandlingen för att den ska kunna anses vara lämplig. En konsekvensanalys och för-

224Integritetsskyddsmyndighetens, IMY, webbsida Överföring till tredjeland, tillgänglig: https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/overforing-till- tredje-land/ [hämtad: 2023-07-04].

841

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

handssamråd med berörda nationella tillsynsmyndigheter kan också aktualiseras, se avsnitt 11.7.3. Den tekniska utvecklingen kan förvän- tas medföra att möjligheterna att lämna ut uppgifter genom direkt- åtkomst på ett ur integritetssynpunkt tillfredsställande sätt ökar, även i gränsöverskridande situationer. Integritetsintresset bör dock redan

idag vara möjligt att balansera mot behovet av effektivitet genom att myndigheterna medger en utländsk myndighet motsvarande direkt- åtkomst till en tekniskt och uppgiftsmässigt avgränsad uppgiftssam- ling som lagts över på en digital yta som skapats specifikt för ett så- dant samarbete. Det bör också i övrigt kunna ställas samma krav på bl.a. åtkomstbegränsningar på mottagarsidan som vid utlämnande till en svensk myndighet. Svensk sekretessreglering gäller dock inte för utländska myndigheter. I internationella sammanhang används olika typer av villkor om konfidentialitet och användarbegränsningar för att uppgifterna ska få ett skydd hos mottagaren (se avsnitt 8.4.5). En användarbegränsning i en internationell rättsakt kan innebära att det land som tar emot uppgifter bara får använda dem för de särskilda ända- mål som framgår av rättsakten.

I vilka konkreta fall elektroniskt utlämnande är lämpligt inom EU/EES måste, i likhet med utbyte mellan svenska myndigheter, av- göras genom bl.a. myndigheternas tillämpning, IMY:s tillsynsarbete225 och i slutändan domstolsavgöranden. Sammanfattningsvis anser vi allt- så att det saknas skäl att särskilt reglera elektroniskt utlämnande som sker till en aktör inom EU/EES.

Elektroniskt utlämnande till tredjeland

Kapitel V, dvs. artiklarna 44–50, i dataskyddsförordningen behandlar frågor om överföring av personuppgifter till länder utanför EU/EES (tredjeländer) eller internationella organisationer. Av artikel 44 fram- går att överföring av personuppgifter till ett tredjeland eller en inter- nationell organisation som utgångspunkt bara får ske under förutsätt- ning att villkoren i sagda kapitel är uppfyllda. Bestämmelsen gäller även för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en

225Europeiska kommissionen har nyligen presenterat ett förslag till förordning med komplet- terande förfaranderegler för tillsynsmyndigheterna i gränsöverskridande ärenden, COM (2023) 348, se kommissionens webbsida: https://commission.europa.eu/system/files/2023- 07/COM_2023_348_1_EN_ACT_part1_ v5.pdf [hämtad 2023-07-26].

842

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

annan internationell organisation. Av artikel 45.1 följer vidare att per- sonuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skydds- nivå. En sådan överföring kräver inte något särskilt tillstånd.

Om det däremot inte finns något beslut från kommissionen om adekvat skyddsnivå får personuppgifter som utgångspunkt endast föras över till ett tredjeland eller en internationell organisation efter att lämpliga skyddsåtgärder har vidtagits, och under förutsättning att lagstadgade rättigheter och effektiva rättsmedel för registrerade finns tillgängliga, vilket framgår av artikel 46.1. Det kan exempelvis röra sig om ett rättsligt bindande och verkställbart instrument mellan offent- liga myndigheter, standardiserade dataskyddsbestämmelser som an- tagits av en tillsynsmyndighet och godkänts av kommissionen, eller en godkänd uppförandekod tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller registrerades rättigheter (artikel 46.2 a, d och e). Dessa situationer kräver inte sär- skilt tillstånd från tillsynsmyndigheten.

Efter tillstånd av den behöriga tillsynsmyndigheten kan dock lämp- liga skyddsåtgärder också vara avtalsklausuler mellan den person- uppgiftsansvarige och mottagaren av personuppgifterna i tredjelandet, eller bestämmelser i administrativa överenskommelser mellan offent- liga myndigheter eller organ, med verkställbara och faktiska rättig- heter för registrerade, vilket framgår av artikel 46.3.

I situationer där något beslut från kommissionen om adekvat skyddsnivå inte finns och inte heller andra lämpliga skyddsåtgärder som anges ovan är tillämpliga, får en överföring eller uppsättning av överföringar av personuppgifter göras till ett tredjeland endast under vissa förutsättningar som särskilt anges i artikel 49.1. Det kan exem- pelvis vara att överföringen är nödvändig av viktiga skäl som rör all- mänintresset (artikel 49.1 d). Enligt artikel 49.4 kan dock endast all- mänintresse som är erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av leda till tillämpning av detta undantag. Ett undantag görs också för överföringar som är nöd- vändiga för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (artikel 49.1 e). Det kan även gälla när överföringen görs från ett register som är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan

843

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

styrka ett berättigat intresse (artikel 49.1 g). En sådan överföring får dock inte omfatta alla personuppgifter eller hela kategorier av person- uppgifter som finns i registret (artikel 49.2).

Sammanfattningsvis reglerar dataskyddsförordningen hur risk- erna med överföringar till länder utanför EU/EES ska värderas och hanteras. Sådana överföringar kräver som utgångspunkt att adekvat skyddsnivå finns i mottagarlandet, och det är kommissionen som gör den bedömningen samt kontrollerar att bedömningen är riktig över tid. I de fall mottagarlandet har bedömts ha en adekvat skydds- nivå borde alla former av elektroniskt utlämnande, dvs. även genom system som i teknisk mening motsvarar direktåtkomst, kunna aktu- aliseras på samma grunder och utifrån samma överväganden som vi föreslår ska gälla för Sverige och övriga EU/EES.

Listan på länder där en adekvat skyddsnivå har bedömts föreligga är dock ganska kort, endast 14 länder finns i dag upptagna på den.226 Överföringar till andra länder kan dock även vara tillåtna om vissa förutsättningar föreligger som innebär att lämpliga skyddsåtgärder finns, vilket i vissa fall kräver tillstånd från tillsynsmyndigheten. EU- domstolen har dessutom fastställt att sådana lämpliga skyddsåtgär- der måste säkerställa att de registrerade skyddas på samma nivå som garanteras inom EU/EES.227

EDPB har tagit fram riktlinjer om överföringar av personuppgif- ter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES.228 Riktlinjerna är avsedda att ge en indikation på EDPB:s förväntningar på de skyddsåtgärder som ska finnas på plats genom ett rättsligt bindande och verkställbart instrument mellan offentliga organ enligt artikel 46.2 a i dataskyddsförordningen eller, med för- behåll för tillstånd från den behöriga tillsynsmyndigheten, genom bestämmelser som ska anges i administrativa överenskommelser mellan de offentliga organen enligt artikel 46.3 b. Av riktlinjerna framgår bl.a. en förteckning över minimiskyddsåtgärder som ska inkluderas i internationella avtal mellan offentliga organ enligt artiklarna 46.2 a

226Europeiska kommissionens webbsida Adequacy decisions, How the EU determines if a non-EU country has an adequate level of data protection, tillgänglig: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data- protection/adequacy-decisions_en#adequacy-decisions-latest [hämtad 2023-07-04].

227Det s.k. Schrems II-avgörandet: EU-domstolens dom av den 16 juli 2020 i mål C-311/18, Data Protection Commissioner/Facebook Ireland Ltd och Maximillian Schrems.

228EDPB, Riktlinjer 2/2020 om artikel 46.2 a och artikel 46.3 b i förordning 2016/679 för över- föringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utan- för EES Version 2.0, antagen den 15 december 2020.

844

SOU 2023:100

Elektroniskt utlämnande av personuppgifter

eller 46.3 b. Dessa minimiskyddsåtgärder ska säkerställa att skydds- nivån för fysiska personer enligt dataskyddsförordningen inte under- grävs när personuppgifterna överförs till länder utanför EU/EES och att de registrerade får en skyddsnivå som överensstämmer med den som garanteras genom dataskyddsförordningen.229 EDPB har även publicerat rekommendationer om åtgärder som komplement till över- föringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter.230 Rekommendationerna är avsedda att hjälpa bl.a. offentliga organ att bedöma tredjeländer och identi- fiera lämpliga kompletterande åtgärder vid behov. Rekommendatio- nerna omfattar ett antal steg som uppgiftsutförarna bör följa, möjliga informationskällor och ett antal exempel på kompletterande åtgär- der som kan vidtas.231

Även vad gäller de undantagssituationer som anges i artikel 49.1 i dataskyddsförordningen, dvs. vid överföring till tredjeland om det inte finns ett beslut om adekvat skyddsnivå eller om det saknas lämp- liga skyddsåtgärder, har EDPB publicerat riktlinjer för tillämpning- en.232 Av riktlinjerna framgår bl.a. följande.

Vid tillämpning av artikel 49 måste även villkoren i övriga be- stämmelser i dataskyddsförordningen uppfyllas. Utnyttjande av undan- tagen i artikel 49 får aldrig leda till en situation där grundläggande rättigheter kan komma att kränkas. Varje behandling måste följa de relevanta dataskyddsbestämmelserna, särskilt artiklarna 5 och 6. Följ- aktligen måste ett tvåstegstest användas. För det första måste det finnas en rättslig grund för behandlingen av uppgifter som sådan, tillsam- mans med alla relevanta bestämmelser i dataskyddsförordningen. Som ett andra steg måste bestämmelserna i kapitel V följas.233 Först måste alltså möjligheterna att utforma överföringen med någon av mekanismerna i artiklarna 45 och 46 undersökas och undantagen i artikel 49.1 får endast användas när sådana inte finns. Undantagen

229EDPB, Riktlinjer 2/2020 om artikel 46.2 a och artikel 46.3 b i förordning 2016/679 för över- föringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES, Version 2.0, antagen den 15 december 2020, s. 7–8.

230EDPB, Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter, Version 2.0, antagna den 18 juni 2021.

231EDPB, Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter, Version 2.0, an- tagna den 18 juni 2021, s. 3.

232EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den

25maj 2018.

233EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den

25maj 2018, s. 3.

845

Elektroniskt utlämnande av personuppgifter

SOU 2023:100

ska dessutom tolkas restriktivt, så att det inte blir till regel.234 I rikt- linjerna behandlas sedan de olika undantagssituationerna särskilt.

I den allmänna dataskyddsregleringen finns det sammanfattnings- vis en detaljerad reglering av vad om ska gälla vid överföringar av personuppgifter till tredjeland, dvs. länder utanför EU/EES. Det finns även en systematik där kommissionen beslutar om tredjeländer där skyddsnivån är adekvat, och utvärderar besluten över tid. Utöver vissa krav på tillstånd från IMY finns det för tillämpningen detaljerade vägledningar, riktlinjer och rekommendationer på unionsnivå, samt praxis från EU-domstolen. Frågor som rör elektroniskt utlämnande till ett tredjeland är enligt vår bedömning fullgott reglerade genom den allmänna dataskyddsregleringen. Några mer restriktiva bestäm- melser i den kompletterande dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten är enligt vår bedömning inte nödvändiga vid gränsöverskridande uppgiftslämnande som sker till tredje land.

Vid tillämpning av undantagen i artikel 49.1 bör dock system som tekniskt motsvarar direktåtkomst eller helt automatiserade fråga- svar-tjänster likt LEFI-online sällan komma att aktualiseras. Eftersom det rör sig om undantagssituationer där det inte finns ett adekvat skydd eller lämpliga skyddsåtgärder för överförda personuppgifter, och då överföringar som bygger på undantag inte behöver någon typ av förhandsgodkännande från tillsynsmyndigheterna, måste sådana överföringar anses kunna leda till väsentligt ökade risker när det gäller berörda registrerades fri- och rättigheter.235 Det innebär att pröv- ningen om utlämnandet ska ske elektroniskt i normalfallet kommer behöva göras i det enskilda fallet, i syfte att uppnå ett adekvat integ- ritetsskydd.

234EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den

25maj 2018, s. 4.

235EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den

25maj 2018, s. 4.

846

12Gallring och längsta tid för behandling

12.1Inledning

I våra direktiv anges att det finns skäl att utreda om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga i förhållande till gällande materiella regler och dagens behov. I vårt uppdrag ingår att bedöma om nuvarande bestämmelser om gallring kan ersättas med regler om längsta tid som personuppgifter får be- handlas automatiserat för att tydliggöra att det rör sig om dataskydds- bestämmelser och inte bestämmelser om gallring i arkivrättslig mening.

Vad gäller Tullverket konstateras i våra direktiv att bestämmel- serna om gallring i dåvarande tullregisterlagen (1990:137) i stort sett oförändrade fördes över till lagen (2001:185) om behandling av upp- gifter i Tullverkets verksamhet, och att det därför finns skäl att nu göra en allmän översyn av Tullverkets gallringsbestämmelser.

Slutligen finns det enligt direktiven anledning att analysera och tydliggöra vilka gallringsbestämmelser som ska gälla när någon av de berörda myndigheterna tillgängliggör uppgifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna.

I detta kapitel redogör vi för olika aspekter av de frågor om gall- ring och bevarande av uppgifter som aktualiseras inom vårt uppdrag, nämligen dataskyddsregleringen och befintliga bestämmelser i myn- digheternas registerförfattningar, arkivrättsliga regler och regelverk. Vi redogör även för våra bedömningar samt de behov och problem- formuleringar som myndigheterna gett uttryck för i förhållande till dagens reglering, samt lämnar förslag på ny reglering. Slutligen redo- gör vi för vissa konsekvenser av våra förslag.

De förslag som lämnas är dock inte i sin helhet avsedda att om- fatta SPAR-verksamheten vid Skatteverket, som behandlas särskilt i kapitel 16. Även avseende Skatteverkets äktenskapsregister- och bo-

847

Gallring och längsta tid för behandling

SOU 2023:100

uppteckningsverksamheter lämnas särskilda förslag i kapitel 17. Sär- skilda överväganden om lagringsminimering kommer även att föras avseende frågan om dataanalyser och urval, kapitel 14.

12.2Arkivrättsliga hänsyn och dataskydd

12.2.1Allmänna handlingars offentlighet och myndigheternas arkiv

Handlingsoffentlighet

Var och en har enligt 2 kap. 1 § tryckfrihetsförordningen, TF, en rätt att ta del av allmänna handlingar. Rätten att ta del av allmänna hand- lingar får enligt 2 kap. 2 § TF bara begränsas under vissa förutsätt- ningar, exempelvis om det krävs med hänsyn till rikets säkerhet, rikets centrala finanspolitik, intresset av att förebygga eller beivra brott, det allmännas ekonomiska intresse, eller skyddet för enskildas person- liga eller ekonomiska förhållanden.

Med handling avses en framställning i skrift eller bild samt en upp- tagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt, vilket framgår av 2 kap. 3 § TF.

En handling är enligt 2 kap. 4 § TF allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet. Även minnesanteckningar och utkast m.m. som tas om hand för arkivering är allmänna handlingar, vilket framgår av 2 kap. 12 § TF.

Arkivlagen

En förutsättning för att handlingsoffentligheten ska kunna utnyttjas är att allmänna handlingar inte förstörs eller görs otillgängliga på annat sätt. Arkivlagen (1990:782) är en ramlag som gäller för alla myn- digheter. Syftet är att upprätthålla handlingsoffentligheten och lagen innehåller bestämmelser om bevarande och gallring av allmänna hand- lingar, samt allmänna och övergripande bestämmelser om myndig- heternas arkiv. Flertalet bestämmelser är teknikoberoende och avser såväl pappershandlingar som elektroniskt lagrade upptagningar. I arkiv- lagen görs inte skillnad på allmänna handlingar utifrån om en allmän handling innehåller personuppgifter eller inte.

848

SOU 2023:100

Gallring och längsta tid för behandling

Arkivlagen fylls ut av arkivförordningen (1991:446) och de myn- dighetsspecifika beslut eller generella föreskrifter som arkivmyndig- heten utfärdar, se avsnitt 12.2.2 nedan.

Myndigheternas arkiv bildas av de allmänna handlingarna från myndighetens verksamhet, vilket framgår av 3 § första stycket arkiv- lagen. Myndigheternas arkiv är en del av det nationella kulturarvet och arkiven ska bevaras, hållas ordnade och vårdas så att de tillgodo- ser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov. Det framgår av 3 § andra och tredje styckena arkivlagen. Utgångspunkten i den arkivrättsliga regleringen är alltså att allmänna handlingar ska bevaras.

Varje myndighet är som utgångspunkt ansvarig för arkivvården av den egna myndighetens handlingar, vilket framgår av 4 § arkivlagen. I arkivvården ingår även att se till att arkiven inte kommer att om- fatta onödigt material.1 All information som utgör allmänna hand- lingar har nämligen inte ett värde som motiverar att den bevaras för all framtid. I arkivvården ingår därför att avgränsa arkivet genom att fastställa vilka handlingar som ska vara arkivhandlingar, och att verk- ställa föreskriven gallring i arkivet, vilket framgår av 6 § 4 och 5 arkiv- lagen.

Att allmänna handlingar får gallras framgår av 10 § arkivlagen. Vid gallring ska dock enligt samma bestämmelse alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven. Enligt 12 § arkivförord- ningen får Riksarkivet meddela föreskrifter om gallring. Av 14 § samma förordning framgår att statliga myndigheter får gallra allmänna hand- lingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.

12.2.2Riksarkivet

Den statliga arkivmyndigheten

En statlig myndighet får inte på egen hand tillämpa 10 § första och andra styckena arkivlagen och själv avgöra vilka allmänna handlingar som ska gallras ur dess arkiv. Regeringen bestämmer enligt 8 § arkiv- lagen vilken arkivmyndighet som ska finnas för tillsynen över de

1Prop. 1989/90:72, om arkiv m.m., s. 38.

849

Gallring och längsta tid för behandling

SOU 2023:100

statliga myndigheterna. Riksarkivet är den statliga arkivmyndighet som har särskilt ansvar för den statliga arkivverksamheten och för arkivvården. Genom arkivförordningen har Riksarkivet fått bemyn- digandet att föreskriva och besluta om gallring av allmänna hand- lingar hos statliga myndigheter. Av 10 § tredje stycket arkivlagen framgår dock att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser. Statliga myndigheter får alltså gallra allmänna hand- lingar bara i enlighet med föreskrifter eller beslut av Riksarkivet eller enligt särskilda gallringsföreskrifter i lag eller förordning.2

I Riksarkivets policy för bevarande och gallring anges följande om behovet av bevarande med hänsyn till offentlighetsprincipen.

Behovet att bevara en viss handling med hänsyn till offentlighetsprinci- pen förändras över tiden. Ju längre tid som gått efter de händelser som dokumenteras av handlingarna, desto mindre betydelse har de generellt sett för insynen i myndigheters verksamhet. Det kan dock vara mycket stora skillnader mellan olika slag av handlingar och insynsintresset kan i en del fall vara aktuellt under mycket lång tid. Offentlighetsprincipen medför också, att gallringen av sekretessbelagda handlingar bör vara rela- tivt restriktiv. Rättssäkerheten får inte äventyras genom gallring. Gallringen får inte begränsa partsinsynen eller möjligheterna i övrigt för personer som berörs av en myndighets verksamhet att tillvarata sina intressen. Den får heller inte begränsa kontrollen av myndigheters verksamhet eller möjligheten att utkräva ansvar. Handlingar skall också bevaras i sådan omfattning, att medborgarnas allmänna insyn i myndigheternas verk- samhet och en fri samhällsdebatt underlättas och stimuleras.3

Föreskrifter och beslut om bevarande och gallring meddelade av Riksarkivets finns publicerade dels i en generell föreskriftsserie som gäller samtliga statliga myndigheter, dels i en myndighetsspecifik före- skriftsserie.4 Gallring av statliga myndigheters allmänna handlingar kan också regleras särskilt i författning, och då gäller de reglerna framför Riksarkivets föreskrifter. För Skatteverkets (i beskattnings- verksamheten), Tullverkets och Kronofogdemyndighetens del finns särskilda bestämmelser om gallring i de registerförfattningar som omfattas av vårt uppdrag, se avsnitt 12.3.2 medan.

214 § arkivförordningen.

3Riksarkivet, Bevarandet av nutiden, Riksarkivets gallrings- & bevarandepolicy, s. 5.

4RA-FS respektive RA-MS.

850

SOU 2023:100

Gallring och längsta tid för behandling

Riksarkivets föreskrifter

RA-FS

Riksarkivets generella föreskrifter och allmänna råd publiceras i Riksarkivets författningssamling (RA-FS). Föreskrifterna ska i regel tillämpas av alla statliga myndigheter. Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter (RA-FS 1991:1)5 omfattar allmänna regler, oavsett medium, för alla områden inom myndigheternas arkivhantering. Bestämmelserna omfattar allt från avgränsning och organisation av arkiv till arkivredovisning och gall- ring samt framställning, förvaring, skydd och överlämnande av hand- lingar. Övriga föreskrifter i serien förtydligar och kompletterar de allmänna reglerna inom olika områden. De generella föreskrifterna om gallring omfattar till större delen handlingar inom myndigheters administrativa verksamheter vilka oftast genomförs på liknande sätt och avsätter liknande handlingar. I vissa fall regleras även gallring i kärnverksamheter hos myndigheter med liknande uppdrag.6

RA-MS

Riksarkivet utfärdar även myndighetsspecifika föreskrifter och be- slut (RA-MS) i fall där de generella föreskrifterna inte går att tillämpa, exempelvis för handlingar som tillkommer i en specifik verksamhet.

Ide myndighetsspecifika föreskrifterna regleras bl.a. gallring, överläm- nande, införlivande, utlån, bevarande samt undantag från de generella föreskrifterna. I de fall Riksarkivet fått bemyndigande att föreskriva om undantag från gallring som regleras i t.ex. en registerförfattning, dvs. att personuppgifterna får bevaras för vissa ändamål i stället för att gallras, meddelas sådana bestämmelser i serien RA-MS. För Skatte- verkets, Tullverkets och Kronofogdemyndighetens del har Riksarkivet meddelat ett flertal föreskrifter med sådana undantag, se avsnitt 12.3.2 nedan.

Till skillnad från de generella gallringsföreskrifterna initierar i regel myndigheterna själva de myndighetsspecifika föreskrifterna om gall-

5Ändrade och omtryckta genom: RA-FS 1997:4, ändrade genom: RA-FS 2008:4, RA-FS 2012:1, RA-FS 2018:2, ändrade och omtryckta genom: RA-FS 2019:2, ändrade genom: RA-FS 2021:4, RA-FS 2021:5, RA-FS 2022:4.

6Riksarkivet, Riksarkivets vägledning Framställningar om myndighetsspecifika föreskrifter (RA-MS), version 1.2, s. 6.

851

Gallring och längsta tid för behandling

SOU 2023:100

ring och bevarande. Det går till så att myndigheten utreder och fram- ställer om gallring eller bevarande till Riksarkivet som sedan bedömer och beslutar. Ett ärende kan resultera i att framställan beviljas och att Riksarkivet utfärdar föreskrifter eller beslut i form av en RA-MS. I andra fall kan det resultera i att Riksarkivet beslutar att avslå eller avvisa framställan.7

12.2.3Dataskyddsregleringen

EU:s dataskyddsförordning

Principen om lagringsminimering

Av EU:s dataskyddsförordning8 följer inte någon skyldighet att gallra personuppgifter i arkivrättslig mening. Dataskyddsförordningen och dataskyddslagen reglerar alltså inte vad som ska bevaras eller gallras. Utgångspunkten i det dataskyddsrättliga regelverket är i stället principen om lagringsminimering. Principen om lagringsminimering framgår av artikel 5.1 e i dataskyddsförordningen och är en grund- läggande princip vid all personuppgiftsbehandling. Av artikel 5.1 e framgår att personuppgifter inte får förvaras i en form som möjlig- gör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Enligt artikel 5.1 e får personuppgifter dock lagras under längre peri- oder i den mån som personuppgifterna enbart behandlas för arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åt- gärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter.

Principen om lagringsminimering sätter upp en begränsning för alla former av behandling. När alla ändamål med behandlingen är uppfyllda måste den avslutas för att kunna anses proportionerlig. Lagringsminimering innebär alltså att uppgifter om fysiska personer som utgångspunkt inte ska sparas för eventuellt framtida bruk, utan

7Riksarkivets vägledning Framställningar om myndighetsspecifika föreskrifter (RA-MS), ver- sion 1.2, s. 4.

852

SOU 2023:100

Gallring och längsta tid för behandling

när uppgifterna använts som först avsett ska de inte längre behand- las. Att uppgifter inte längre får behandlas innebär att de måste tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjlig- heter försvinner.

I vissa fall måste den personuppgiftsansvariga myndigheten dock spara uppgifterna längre än för användning enligt insamlingsändamålet, exempelvis om det finns andra rättsliga förpliktelser som åligger myn- digheten och som kräver behandling under en längre tid. Principen om lagringsminimering innebär dock att den personuppgiftsansvariga myndigheten måste se till att den period under vilken personuppgif- terna lagras är begränsad till ett strikt minimum.9

Arkivändamål av allmänt intresse

Dataskyddsförordningen innehåller flera bestämmelser som avser behandling för arkivändamål av allmänt intresse och som kan ses som undantag från såväl principen om lagringsminimering som andra principer och bestämmelser som annars skulle gälla. Begreppet arkiv- ändamål av allmänt intresse definieras inte i dataskyddsförordningen. Regeringen har dock uttalat att det står klart att den behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkiv- lagen och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse.10 Av artikel 89.1 i dataskyddsförordningen fram- går att fortsatt behandling för arkivändamål enligt undantagsbestäm- melserna kräver att vissa tekniska och organisatoriska åtgärder till skydd för den registrerades fri- och rättigheter vidtas. Av skäl 158 till dataskyddsförordningen framgår bl.a. att om personuppgifter behandlas för arkivändamål bör dataskyddsförordningen också gälla denna behandling.

Ett exempel på bestämmelser som särskilt avser behandling för arkivändamål av allmänt intresse är principen om ändamålsbegräns- ning (finalitetsprincipen) som framgår av artikel 5.1 b i dataskydds- förordningen. Enligt den bestämmelsen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för bl.a. arkivändamål av allmänt intresse i

9Jfr artikel 39 i dataskyddsförordningen.

10Prop. 2017/18:105, Ny dataskyddslag, s. 110.

853

Gallring och längsta tid för behandling

SOU 2023:100

enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen

Behandling av känsliga personuppgifter är som utgångspunkt för- bjuden, vilket framgår av artikel 9.1 i dataskyddsförordningen. Enligt artikel 9.2 j i förordningen får dock även sådana uppgifter behandlas om behandlingen är nödvändig för bl.a. arkivändamål av allmänt in- tresse i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättig- heter och intressen.

Av artikel 86 framgår vidare att personuppgifter i allmänna hand- lingar som förvaras av en myndighet för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.

Dataskyddslagen

Lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning, dataskyddslagen, saknar bestämmelser om längsta tid för behandling av personuppgifter och gallring. I 1 kap. 7 § data- skyddslagen anges dock att dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Av 3 kap. 6 § dataskyddslagen framgår att känsliga personuppgif- ter får behandlas för arkivändamål av allmänt intresse om behand- lingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. I bestämmelsens förarbeten anges att med föreskrifter om arkiv avses bl.a. föreskrifter i arkivlagen och arkiv- förordningen samt i Riksarkivets och andra arkivmyndigheters före- skrifter.11

Av 4 kap. 1 § första stycket dataskyddslagen framgår att person- uppgifter som behandlas enbart för arkivändamål av allmänt intresse

11Prop. 2017/18:105, Ny datsskyddslag, s. 196–197.

854

SOU 2023:100

Gallring och längsta tid för behandling

får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Av paragrafens andra stycke framgår dock att det som sägs i första stycket inte hindrar myndigheter från att använda person- uppgifter som finns i allmänna handlingar.

12.2.4Gallring av personuppgifter

Begreppet gallring avser inte enbart att i arkivvårdande syfte helt eller delvis förstöra allmänna handlingar i enlighet med arkivlagens bestämmelser. Bestämmelser om gallring förekommer även i kom- pletterande dataskyddsreglering och avser då att av integritetsskäl radera personuppgifter eller på annat sätt vidta åtgärder så att upp- gifterna inte förekommer i ett visst sammanhang. I dataskyddssam- manhang används inte gallring som ett undantag från principen om att allmänna handlingar ska bevaras, utan som ett led i skyddet av den personliga integriteten. Gallring begränsas i det sammanhanget inte heller till att omfatta enbart allmänna handlingar.

I Skatteverkets (i beskattningsverksamheten), Tullverkets och Kronofogdemyndighetens registerförfattningar finns bestämmelser om gallring, undantag från gallring och bevarande av personuppgif- ter och andra uppgifter, dvs. om juridiska personer och i vissa fall om avlidna. Regleringen gäller enbart uppgifter som behandlas automa- tiserat, och inte uppgifter som behandlas på papper.12 När det i detta kapitel talas om befintliga regler om gallring avses därför enbart auto- matiserad behandling.

En elektronisk handling motsvarar enligt Riksarkivets definition en upptagning för automatiserad behandling i enlighet med 2 kap. 3 § TF. Avseende elektroniska handlingar definierar Riksarkivet begreppet gallra som att förstöra allmänna handlingar eller uppgifter i allmänna handlingar, eller vidta andra åtgärder med handlingarna som medför förlust av betydelsebärande data, möjliga sammanställ- ningar, sökmöjligheter, eller möjligheter att bedöma handlingarnas autenticitet.13 Med gallring av elektroniska upptagningar avses därför normalt att viss information raderas från databäraren. Det är inte nödvändigt att den egentliga informationen som finns på ett elek-

12Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 117.

132 kap. 1 § Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upp- tagningar för automatiserad behandling), RA-FS 2009:1.

855

Gallring och längsta tid för behandling

SOU 2023:100

troniskt medium verkligen förstörs för att det ska vara fråga om gall- ring. Gallring kan exempelvis också ske genom att elektroniskt lag- rad information skrivs ut på papper varefter den elektroniska versio- nen raderas.14 Ett annat exempel på gallring kan vara att en Excelfil med en samling uppgifter sparas i ett annat dokument i pdf-format som överförs till ett usb-minne, varefter Excelfilen raderas från datorn. Även om möjligheten till insyn som sådan inte nödvändigtvis för- svinner vid denna typ av gallring så kan förutsättningarna för att söka fram eller sammanställa informationen påtagligt ha försämrats.15

Gallring av personuppgifter som behandlas automatiserat kan också ske genom avidentifiering. Av skäl 26 till EU:s dataskydds- förordning framgår bl.a. att principerna för dataskydd inte bör gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för person- uppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Avidentifiering innebär alltså att alla identifieringsmöjligheter tas bort så det inte längre går att hänföra uppgifterna till en fysisk person. Uppgifterna är då inte längre personuppgifter. Att enbart kryptera uppgifterna räcker inte för att de ska anses vara gallrade.16 Så länge det går att knyta krypterade upp- gifter till en fysisk person rör det sig fortfarande om personuppgifter enligt dataskyddsförordningen.17 Det innebär att om det finns en kryp- teringsnyckel som gör det möjligt att identifiera en person så är de krypterade uppgifterna inte avidentifierade, och utgör fortsatt person- uppgifter. Uppgifterna är endast avidentifierade om det inte finns någon krypteringsnyckel som gör att uppgifterna kan knytas till en person.

Att förstöra personuppgifter innebär att man ser till att upp- gifterna inte går att återskapa. Det är oftast inte tillräckligt att radera den fil i datorn som innehåller personuppgifterna för att uppgifterna ska vara förstörda, eftersom filen kan finnas kvar i datorn på annat sätt, exempelvis i papperskorgen. Alla normala sökvägar måste tas bort

14SOU 2015:39, Myndighetsdatalag, s. 526. I förarbetena till Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar fördes just det förfarandet fram, se av- snitt 12.3.1 nedan.

15SOU 2015:39, Myndighetsdatalag, s. 526.

16Jfr EU-domstolens avgörande i mål C-582/14, Patrick Breyer vs Bundesrepublik Deutsch- land, där dynamiska IP-adresser bedömdes vara personuppgifter när det, med hjälp av ytter- ligare information, fanns möjlighet till identifiering av fysiska personer utifrån sagda IP- adresser.

17Artikel 4.1 i dataskyddsförordningen.

856

SOU 2023:100

Gallring och längsta tid för behandling

för att uppgifterna ska anses vara förstörda. Det kan krävas andra tekniska åtgärder för att uppgifterna verkligen ska förstöras, som att omformatera lagringsmediet eller skriva över uppgifterna.18

12.3Befintlig reglering av gallring och bevarande

12.3.1Bakgrund till bestämmelser om gallring i registerförfattningarna

När databaserade myndighetsregister började diskuteras i den all- männa debatten uppmärksammades att det var viktigt från integri- tetssynpunkt att s.k. personregister gallrades.19 I dåvarande datalagens (1973:289) förarbeten lyftes bl.a. fram som en integritetsrisk att oför- delaktiga uppgifter om en persons förflutna i otillbörlig grad påver- kade hans eller hennes möjligheter i framtiden.20 Integritetshänsyn motiverade även den bestämmelse i 10 § tredje stycket arkivlagen där det framgår att myndigheterna enbart ska tillämpa de generella be- stämmelserna om det inte finns avvikande bestämmelser om gallring i annan lag eller i förordning.21

I samband med att de nuvarande registerförfattningarna för Skatte- verkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten tillkom konstaterade regeringen att det kunde uppstå integritetsproblem när stora mängder uppgifter om enskilda personer samlades hos myndigheter, i synnerhet som då tillgänglig teknik tillät avancerade sammanställningar av information på ett enkelt sätt. Enligt regeringen var en metod för att minska integ- ritetskänsligheten att se till att uppgifter som inte längre behövdes för en myndighets verksamhet inte heller fanns kvar i myndighetens uppgiftssamlingar eller register (se avsnitt 9.3 om databasregleringen). För att uppnå detta krävdes enligt regeringen bestämmelser om gallring av uppgifter eller om överlämnande av uppgifter till en arkiv- myndighet.22 För uppgifter och handlingar i folkbokföringsdatabasen

18Jfr t.ex. Skatteverkets rättsliga vägledning Bevara eller gallra personuppgifter, 2022, https://www4.skatteverket.se/rattsligvagledning/edition/2022.14/368092.html#h-Gallra- personuppgifter. [hämtad 2023-01-03].

19SOU 2015:39, Myndighetsdatalag, s. 532–533.

20Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 42 och 129.

21Jfr redogörelse av bakgrunden till bestämmelsen i 10 § arkivlagen i SOU 2015:39, Myndig- hetsdatalag, s. 533.

22Prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 116.

857

Gallring och längsta tid för behandling

SOU 2023:100

skulle dock arkivlagens bestämmelser om gallring och bevarande gälla.23

Regeringen uttalade i sammanhanget även att omständigheten att uppgifter ska gallras ur en databas inte med nödvändighet innebär att uppgifterna raderas från lagringsmedierna eller förstörs på annat sätt. Det kunde vara tillräckligt att åtgärder vidtogs så att uppgif- terna inte var tillgängliga i den löpande verksamheten.24

I betänkandet som föregick nuvarande lagstiftning övervägdes vilken form av gallringsbestämmelser som var lämpligast för att balan- sera integritetsintresset mot arkivintresset. De tidsfrister för gallring som föreslogs baserades delvis på materiella regler om bl.a. preskrip- tionstider eller möjlighet till omprövning, och fördes i vissa fall över oförändrade från tidigare registerlagar. Tidsfristerna för gallring sam- ordnades även med teknikneutrala bestämmelser om gallring i mate- riella författningar. I betänkandet konstaterades även att vissa upp- gifter och handlingar inte borde gallras över huvud taget bl.a. för att tillgodose statistikens och forskningens behov. För att värna handlings- offentligheten skulle Riksarkivet dessutom ges möjlighet att med- dela föreskrifter om undantag från gallring.25

Regeringen uttalade i förarbetena till de befintliga gallrings- bestämmelserna att det i allmänhet saknades starka skäl för att tillåta att uppgifter som inte behandlades i en databas bevarades utan att några åtgärder vidtogs. Uppgifter som var föremål för automatiserad behandling i ett ärende – utan att behandlingen gjordes i en databas

–skulle därför gallras senast ett år efter att ärendet hade avslutats. Regeringen noterade dock att det även kunde finnas behov av att behandla uppgifter utanför databaserna under en längre tid än ett år, exempelvis vid urvals- och kontrollprojekt inom beskattningsverksam- heten. Regeringen bedömde att det borde åligga regeringen eller Riks- arkivet att meddela föreskrifter om undantag från gallringsfristen på ett år.26

Även för uppgifter som skulle behandlas i en databas, och därför som utgångspunkt fick behandlas under längre tid än ett år, bedömde regeringen att det kunde finnas behov i verksamheten av att göra undantag från de frister som angavs i författning. De närmare gall-

23Prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 147.

24Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 118.

25SOU 1999:105, Skatt Tull Exekution Normer för behandling av personuppgifter, s. 267–270 och 307–311.

26Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 118.

858

SOU 2023:100

Gallring och längsta tid för behandling

ringsfristerna som skulle gälla för olika uppgifter skulle Riksarkivet meddela, efter samråd med respektive myndighet.27

Av författningskommentarerna till dagens registerförfattningar framgår att kravet på att uppgifterna ska gallras innebär att de kan föras över på papper, varefter den elektroniska informationen raderas. De uppgifter som endast finns kvar på papper omfattas då inte längre av gallringstiden.28

12.3.2Registerförfattningarna och riksarkivets föreskrifter

Skatteverkets beskattningsverksamhet

Bestämmelser om gallring

Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskatt- ningsverksamhet, skattedatabaslagen (SdbL), omfattar bestämmelser om gallring. Bestämmelserna gäller dock bara om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att uppgifter ska gallras vid en annan tidpunkt eller att uppgifter ska bevaras.29

I förordningen (2001:588) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet, skattedatabasförordningen (SdbF), finns bestämmelser om att vissa handlingar och uppgifter som om- fattas av gallringsbestämmelserna i lagen ska undantas från gallring, samt avvikande gallringsfrister för särskilt angivna handlingar och uppgifter.30 I skattedatabasförordningen finns även ett bemyndigande för Riksarkivet som, efter att ha inhämtat synpunkter från Skatte- verket, får meddela föreskrifter om att handlingar eller uppgifter som ska gallras enligt bestämmelserna i skattedatabaslagen får beva- ras under längre tid.31

27Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 126, 162 och 181.

28Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 199–200,

214och 222. Här kan nämnas att uttalandet genomgående anges avseende handlingar som inte behandlas gemensamt i databaserna. Någon särskild regel för handlingar och uppgifter i data- baserna finns dock inte i detta avseende, varför uttalandet enligt vår bedömning bör anses avse även gallringar av dessa uppgifter.

291 kap. 8 § och 2 kap. 11–13 §§ SdbL.

3018–20 §§ SdbF.

312 kap. 13 § SdbL och 21 § SdbF.

859

Gallring och längsta tid för behandling

SOU 2023:100

Utanför beskattningsdatabasen

Uppgifter som behandlas i ett ärende utanför beskattningsdatabasen ska som huvudregel gallras senast ett år efter det att ärendet har av- slutats.32 Det kan till exempel vara sparade Word-dokument och Excel-filer. Under vissa förutsättningar får uppgifter och handlingar som behandlas i ett ärende utanför beskattningsdatabasen även beva- ras under en längre tid, exempelvis gäller det om uppgifterna tillförs ett annat ärende eller om ett nytt ärende öppnas med anledning av informationen.33

I beskattningsdatabasen

Uppgifter och handlingar som behandlas i beskattningsdatabasen ska gallras senast sju år efter utgången av det kalenderår då den beskatt- ningsperiod som uppgifterna eller handlingarna hänför sig till gick ut.34 Det finns dock flera undantag eller kompletterande bestämmel- ser för vissa slags handlingar som gör att huvudregeln inte ska till- lämpas. Vissa uppgifter och handlingar ska bevaras under längre tid än sju år medan andra inte ska gallras över huvud taget.35 Exempelvis ska uppgifter och handlingar som avser revision gallras tio år efter utgången av det kalenderår då revisionen avslutades och uppgifter och handlingar som avser fastighetstaxering ska gallras tolv år efter utgången av det taxeringsår som uppgifterna eller handlingarna kan hänföras till.36 För vissa uppgifter som har lämnats av betaltjänst- leverantörer till Skatteverket, och uppgifter och handlingar med kopp- ling till Skatteverkets förfarande med insamling av dessa uppgifter, kommer en gallringsfrist om fem år efter utgången av det kalenderår då uppgifterna lämnades att gälla från och med den 1 januari 2024.37

321 kap. 8 § SdbL.

33Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 199–200.

342 kap. 11 SdbL.

35Se bl.a. 18 § SdbF.

362 kap. 12 § SdbL.

37I förarbetena till bestämmelsen bedömde regeringen att eftersom huvudregeln i beskatt- ningsdatabasen utgår från en viss beskattningsperiod kunde det ifrågasättas om den kunde anses omfatta de insamlade uppgifterna från betaltjänstleverantörer, där det ofta saknas en tydlig koppling till ett visst beskattningsår. Bestämmelsen i 2 kap. 11 § SdbL kunde därför enligt regeringens bedömning inte anses tillämplig på dessa uppgifter, se prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 114–115. Se även avsnitt 8.4.8 om ändamålsbegränsningarna som föreslagits avseende dessa uppgifter.

860

SOU 2023:100

Gallring och längsta tid för behandling

I skattedatabasförordningen finns också en bestämmelse som med- ger att uppgifter och handlingar som registrerats vid revision, och som omfattas av gallringsskyldighet, får bevaras under den längre tid som behövs för att Skatteverket ska kunna fullgöra sin verksamhet.38 Exempel på uppgifter som inte ska gallras över huvud taget är upp- gifter om namn, personnummer, organisationsnummer, särskilt regi- strerings- och redovisningsnummer, hemortskommun och försam- ling, samt kontrolluppgifter och beskattningsbeslut.39 Även uppgif- ter om ett aktiebolag eller en ekonomisk förening vars styrelse hade sitt säte i Göteborgs kommun eller en kommun som ligger i Öster- götlands, Gotlands eller Västernorrlands län den 1 november året före det år då beslut om slutlig skatt fattades, tillhör kategorin av uppgifter om inte ska gallras.40

Riksarkivets föreskrifter

Riksarkivet har meddelat föreskrifter om hur Skatteverket får be- vara, återlämna och gallra handlingar från beskattningsverksamheten (RA-MS 2019:33). Föreskrifterna har genomgått ett flertal ändringar41 och i bilagor till föreskrifterna ges detaljerade bestämmelser för bevar- ande respektive gallring av handlingar från beskattningsverksamheten.

I den första bilagan finns föreskrifter om att uppgifter och hand- lingar från beskattningsverksamheten får bevaras under en längre tid än den som anges i registerförfattningarna.42 För uppgifter som be- handlas utanför beskattningsdatabasen föreskrivs ofta att uppgifterna får bevaras under den tid de behövs i verksamheten, utan angivande av en fast tidsfrist. För uppgifter som behandlas i beskattningsdata- basen föreskrivs i stället olika tidsfrister för bevarande för olika kate- gorier av uppgifter och handlingar, allt från 6 månader till 20 år efter en i föreskriften angiven omständighet, exempelvis utgången av ett taxeringsår.

I den andra bilagan finns förskrifter om att uppgifter och hand- lingar i beskattningsverksamheten får gallras, ofta gällande pappers-

3820 § SdbF.

3918 § SdbF.

4020 § SdbF.

41Se RA-MS 2020:36, RA-MS 2021:28, RA-MS 2022:14, RA-MS 2022:43 och RA-MS 2023:22.

42Bilaga 1 till RA-MS 2022:43.

861

Gallring och längsta tid för behandling

SOU 2023:100

handlingar.43 Då gäller vanligtvis en viss tidsfrist efter ett ärende av- slutats.

Skatteverkets folkbokföringsverksamhet

I lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL) och förordningen (2001:589) om behandling av personuppgifter i Skatte- verkets beskattningsverksamhet, folkbokföringsdatabasförordningen (FdbF) saknas generella bestämmelser om gallring och bevarande av uppgifter och handlingar.

Däremot finns en bestämmelse i folkbokföringsdatabaslagen som särskilt anger att när en kontroll enligt 26 b och 26 c §§ folkbokför- ingslagen (1991:481) eller enligt 2 kap. 3 och 4 §§ lagen (2022:1697) om samordningsnummer har genomförts, ska fingeravtryck och an- siktsbilder samt de biometriska uppgifter som har tagits fram omedel- bart förstöras.44 För folkbokföringens analys- och urvalsdatabas finns vidare en bestämmelse om längsta tid för behandling för upp- gifter som behandlas i den databasen. Där anges bl.a. att uppgifterna aldrig får behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen. Bestämmelsen ska dock inte förstås som en gallringsbestämmelse.45

För uppgifter och handlingar i Skatteverkets folkbokföringsverk- samhet gäller därför, utöver vad som nyss angetts, de bestämmelser om arkivering och gallring som finns i arkivlagen och arkivförord- ningen, samt i Riksarkivets föreskrifter.

Riksarkivet har meddelat föreskrifter om gallring i folkbokförings- verksamheten hos Skatteverket (RA-MS 2018:38).46 I bilaga till före- skrifterna finns detaljerade bestämmelser för hur pappershandlingar och elektroniska handlingar i folkbokföringsverksamheten får gallras.

43Bilaga 2 till RA-MS 2022:14.

441 kap. 7 § FdbL..

452 a kap. 6 § FdbL. Se prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanaly- ser och urval i folkbokföringsverksamheten, s. 34. Jfr även avsnitt 12.5.4 nedan.

46Ändrade genom RA-MS 2021:32 och RA-MS 2022:15.

862

SOU 2023:100

Gallring och längsta tid för behandling

Tullverket

Bestämmelser om gallring

I lagen om behandling av uppgifter i Tullverkets verksamhet, tulldata- baslagen (TDL) finns bestämmelser om gallring. Bestämmelserna gäller dock bara om regeringen eller den myndighet regeringen be- stämmer inte har meddelat föreskrifter om att uppgifter ska gallras vid en annan tidpunkt eller att uppgifter ska bevaras.47

I förordningen (2001:646) om behandling av uppgifter i Tull- verkets verksamhet, tulldatabasförordningen (TDF), finns ett bemyn- digande för Riksarkivet att, efter att ha inhämtat synpunkter från Tullverket, meddela föreskrifter om att handlingar eller uppgifter som ska gallras enligt bestämmelserna i lagen får bevaras under längre tid.48 Några bestämmelser om bevarande eller gallring finns dock inte i själva förordningen.

Utanför tulldatabasen

Uppgifter som behandlas i ett ärende utanför tulldatabasen ska som huvudregel gallras senast ett år efter det att ärendet har avslutats.49 Liksom för uppgifter som behandlas av Skatteverket utanför beskatt- ningsdatabasen kan under vissa förutsättningar handlingar och upp- gifter bevaras under en längre tid, exempelvis gäller det om uppgif- terna tillförs ett annat ärende eller om ett nytt ärende öppnas med anledning av informationen.50

I tulldatabasen

Uppgifter och handlingar som behandlas i tulldatabasen ska som ut- gångspunkt gallras senast sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i databasen första gången. Om det i lag eller författning föreskrivits längre tid för bevarande av vissa uppgifter än sex år gäller den föreskriften.51

471 kap. 8 § och 2 kap. 10 § TDL.

488 § TDL.

491 kap. 8 § TDL.

50Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 221–222.

512 kap. 10 § TDL.

863

Gallring och längsta tid för behandling

SOU 2023:100

Riksarkivet har meddelat föreskrifter om bevarande av uppgifter och handlingar i tulldatabasen hos Tullverket (RA-MS 2010:68). Av föreskrifterna framgår att två kategorier av uppgifter och handlingar får bevaras under längre tid än vad som framgår av tulldatabaslagen.

Uppgifter och handlingar i ärenden om certifikat och tillstånd avseende ekonomiska aktörer får bevaras hos Tullverket i tio år efter utgången av det kalenderår då certifikatet eller tillståndet upphörde att gälla.

Registrerings- och identifieringsuppgifter enligt punkterna 1–4 i bilaga 38d till kommissionens förordning (EEG) nr 2454/93 av den 2 juli 1993 om tillämpningsföreskrifter för rådets förordning (EEG) nr 2913/92 om inrättandet av en tullkodex för gemenskapen får be- varas hos Tullverket som upptagningar för automatiserad behand- ling så länge som de behövs för verksamheten.52

Kronofogdemyndigheten

Bestämmelser om gallring

I lagen (2001:184) om behandling av uppgifter i Kronofogdemyndig- hetens verksamhet, kronofogdedatabaslagen (KFMdbL) finns bestäm- melser om gallring. Bestämmelserna gäller dock bara om regeringen eller den myndighet regeringen bestämmer inte har meddelat före- skrifter om att uppgifter ska gallras vid en annan tidpunkt eller att uppgifter ska bevaras.53

I förordningen (2001:590) om behandling av uppgifter i Krono- fogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF), bemyndigas Riksarkivet att, efter samråd med Krono- fogdemyndigheten, meddela föreskrifter om att handlingar och upp- gifter som ska gallras får bevaras under längre tid.54

52Förordningen är numera upphävd.

531 kap. 7 § och 2 kap. 6, 12, 18 och 23 §§ KFMdbL.

5419 § KFMdbF.

864

SOU 2023:100

Gallring och längsta tid för behandling

Utanför databaserna

Uppgifter som behandlas automatiserat i ett ärende ska gallras senast ett år efter det att ärendet har avslutats.55 Under vissa förutsättningar får uppgifter och handlingar som behandlas i ett ärende utanför data- baserna även bevaras under en längre tid, exempelvis gäller det om uppgifterna tillförs ett annat ärende eller om ett nytt ärende öppnas med anledning av informationen.56

Utsöknings- och indrivningsdatabasen

Uppgifter och handlingar som behandlas i utsöknings- och indrivnings- databasen ska gallras senast fem år efter utgången av det kalenderår då det mål eller ärende som uppgifterna eller handlingarna hänför sig till avslutades, alternativt då samtliga mål och ärenden avseende den person som uppgifterna hänför sig till var avslutade.57

Riksarkivet har meddelat föreskrifter (RA-MS 2015:52) om åter- lämnande, gallring och bevarande av handlingar i verksamheten med verkställighet hos Kronofogdemyndigheten.58 Av en bilaga till före- skrifterna framgår att uppgifter och handlingar i utsöknings- och in- drivningsdatabasen i flera situationer ska bevaras.

Betalningsföreläggande- och handräckningsdatabasen

Uppgifter och handlingar i betalningsföreläggande- och handräck- ningsdatabasen ska gallras senast tre år efter utgången av det kalen- derår då det mål som uppgifterna eller handlingarna hänför sig till avslutades. Uppgifter om utslag i mål om betalningsföreläggande ska dock gallras senast tio år efter utgången av det kalenderår då utslaget vann laga kraft.59

Riksarkivet har meddelat föreskrifter om bevarande, återlämnande och gallring av handlingar i mål om betalningsföreläggande och hand- räckning hos Kronofogdemyndigheten (RA-MS 2015:29).60 Av före-

551 kap. 7 § KFMdbL.

56Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 214.

572 kap. 6 § KFMdbL.

58Ändrade genom RA-MS 2017:7 och RA-MS 2022:53.

592 kap. 12 § KFMdbL.

60Ändrade genom RA-MS 2019:11.

865

Gallring och längsta tid för behandling

SOU 2023:100

skrifterna framgår att vissa uppgifter i betalningsföreläggande- och handräckningsdatabasen ska bevaras.

Skuldsaneringsdatabasen

Uppgifter och handlingar i skuldsaneringsdatabasen ska gallras senast fem år efter utgången av det kalenderår då det ärende som uppgif- terna eller handlingarna hänför sig till avslutades. Om skuldsanering eller F-skuldsanering har beviljats i ett ärende, ska uppgifter och hand- lingar dock gallras senast sju år efter utgången av det kalenderår då beslutet om skuldsanering meddelades, eller fem år efter utgången av det kalenderår då beslutet om F-skuldsanering meddelades.61

Riksarkivet har meddelat föreskrifter om undantag från gallring och överlämnande till arkivmyndighet (RA-MS 2008:19)62 för skuld- saneringsdatabasen. Av föreskrifterna framgår att uppgifter och hand- lingar i skuldsaneringsdatabasen ska undantas från gallring.

Konkurstillsynsdatabasen

Uppgifter och handlingar i konkurstillsynsdatabasen som kan hän- föras till ett konkurstillsynsärende eller ett ärende om tillsyn över rekonstruktörer ska gallras senast fem år efter utgången av det kalen- derår då ärendet avslutades. Ett konkurstillsynsärende ska dock gall- ras tidigast tio år efter utgången av det kalenderår då beslutet om konkurs fattades. Uppgifter och handlingar som kan hänföras till mål enligt lönegarantilagen (1992:497) ska gallras senast tre år efter ut- gången av det kalenderår då handläggningen av målet avslutades.63

Riksarkivet har meddelat föreskrifter om bevarande och gallring i verksamhet med tillsyn i konkurs hos Kronofogdemyndigheten (RA-MS 2012:17).64 Av föreskrifterna framgår att uppgifter i ären- den om tillsyn i konkurs i konkurstillsynsdatabasen ska bevaras.

612 kap. 18 § KFMdbL.

62Omtryckta och ändrade genom föreskrifter om ändring av Riksarkivets föreskrifter (RA- MS 2008:19) om undantag från gallring och överlämnande till arkivmyndighet hos Krono- fogdemyndigheten, (RA-MS 2011:29).

632 kap. 23 § KFMdbL.

64Ändrade genom (RA-MS 2019:67).

866

SOU 2023:100

Gallring och längsta tid för behandling

12.3.3Myndigheternas uppfattningar om nuvarande reglering

Skatteverket

Skatteverket har uppgett att myndighetens uppfattning är att tillämp- ningen av befintlig reglering kompliceras av att den är en sammanbland- ning av arkivlagstiftning och dataskyddsreglering. Enligt Skatteverket utgår den allmänna regleringen av gallring för beskattningsverksam- heten dessutom från beskattningsår, vilket inte lämpar sig för alla uppgifter som hanteras i det sammanhanget. Vissa uppgifter behöver nämligen finnas kvar så länge ett visst förhållande föreligger, oavsett vilket beskattningsår förhållandet uppstod.

Skatteverket har även uppgett att det i den allmänna regleringen i dag finns bestämmelser som kräver att uppgifter bevaras, men där det helt saknas behov av det i verksamheten. Enligt Skatteverket kan det även ifrågasättas om det fortfarande finns ett behov av bevarande av forskningsskäl, eftersom urvalsmodellen kan ha blivit obsolet.

Skatteverket har också påpekat att huvudregeln i skattedatabaslagen är att uppgifterna ska gallras efter ett respektive sju år beroende på om de behandlas i databasen eller inte. Enligt Skatteverket är dock de befintliga tidsfristerna för gallring dåligt anpassade till dagens förhål- landen och det har krävts omfattande föreskrifter som medger undan- tag från dem för att Skatteverket ska kunna utföra sin verksamhet. Skatteverket anser att det hade varit mer ändamålsenligt att särskilja dataskyddsbestämmelser från arkivrättsliga bestämmelser.

Tullverket

Tullverket har uppgett att såväl utgångspunkten för de beräkningar som de tidsfrister som sätts upp i nuvarande reglering utgör ett pro- blem, eftersom de inte motsvarar myndighetens behov av att bevara uppgifterna för olika legitima ändamål. Något undantag från gallrings- bestämmelserna i tulldatabaslagen finns dessutom inte i tulldatabas- förordningen.

Tullverket har uppgett att det inom myndigheten har genomförts ett omfattande arbete med att kartlägga myndighetens behov i kärn- verksamheten i förhållande till befintliga bestämmelser om gallring. Inom ramen för detta arbete har Tullverket kunnat konstatera att uppgifter i dag behandlas elektroniskt i tullverksamheten vid en mycket

867

Gallring och längsta tid för behandling

SOU 2023:100

tidigare tidpunkt än när tidsfristerna kom till. Det är ett resultat av både den rättsliga och tekniska utvecklingen. Enligt Tullverket tar nu- varande bestämmelser vidare inte hänsyn till hur tullövervakningen har utvecklats över tid och den uppföljning som EU utövar. Uppgif- ter behöver därför bevaras under längre tid än vad som i dag är tillå- tet för att Tullverket ska kunna visa att internationella åtaganden har fullgjorts.

Dagens reglering medför enligt Tullverket också problem vid exem- pelvis överklaganden och revisioner, samt när uppgifter behandlas i unionsgemensamma system. Tullverket bedömer att förlängda tids- frister för gallring är nödvändiga för att myndigheten ska kunna upp- fylla sitt uppdrag och sina internationella förpliktelser.

Kronofogdemyndigheten

Kronofogdemyndigheten har uppgett att i dag kan kronofogdedata- baslagens bestämmelser om gallring inte längre sägas vara huvudregel, vilket ger en komplex och inte ändamålsenlig reglering av bevarande och gallring i databaserna. Undantagen från lagens huvudprincip om gallring är i vissa fall så omfattande att det i praktiken har skett en slags återgång till arkivlagstiftningens grundregel om bevarande. Kronofogdemyndigheten har vidare påpekat att nuvarande bestäm- melser i databaslagen inte är anpassade till en digitaliserad hantering vilket medför att bl.a. diarieuppgifter ska gallras.

12.4Överväganden och förslag

12.4.1Nuvarande bestämmelser är inte ändamålsenliga

Vår bedömning: Nuvarande bestämmelser i registerförfattning- arna om gallring och bevarande är inte ändamålsenliga.

868

SOU 2023:100

Gallring och längsta tid för behandling

Skälen för vår bedömning

Den tekniska utvecklingen

Gallringsbestämmelserna i den kompletterande dataskyddsregler- ingen för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten kom till när digital informationshantering inom myndigheterna fortfarande var ett komplement till den analoga informationshanteringen och den elektroniska förvaltningen var i början av sin uppbyggnad.65 De överväganden som låg till grund för bestämmelser om vilka uppgifter som ska gallras och vid vilken tid- punkt, eller vad som ska undantas från gallring, utgick alltså från väsentligt andra förutsättningar för digital informationshantering än de som föreligger i dag.

I dag är den digitala informationshanteringen fullt integrerad i myndigheternas verksamhet och inte ett komplement till pappers- hantering. Ärenden handläggs elektroniskt och enskilda och andra myndigheter kommunicerar på elektronisk väg i stor omfattning. Den snabba tekniska utvecklingen medför vidare att flera nya typer av handlingar måste hanteras, vilket i arkivrättsliga sammanhang har bedömts ställa andra slags krav på myndigheterna än tidigare.66 Någon pappersakt som kan bevaras i arkiven enligt andra regler än register- författningens finns dessutom inte i en helt digital miljö.

Utvecklingen har fått till följd att Riksarkivet har meddelat ett flertal föreskrifter om undantag från gallringsbestämmelserna (se avsnitt 12.3.2). Redan vid tidpunkten för regleringens tillkomst res- tes frågan om risken för osäkerhet om vad som skulle komma att gälla.67 I dag är gallringsbestämmelserna i många fall så genombrutna av föreskrivna undantag att det är svårt att få en överblick över vilka bestämmelser som faktiskt ska tillämpas. Att Riksarkivet skulle be- höva justera gallringsfristerna för att tillgodose behov i myndigheter- nas verksamhet förutsågs visserligen av regeringen redan när gallrings- regleringen infördes. Riksarkivet är dock en statlig arkivmyndighet och har det särskilda ansvar för den statliga arkivverksamheten och för arkivvården i landet som framgår av arkivlagen, arkivförord-

65Jfr prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 54–55, SOU 1999:105, Skatt Tull Exekution Normer för behandling av personuppgifter, s. 197–198 och prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 80–81.

66Jfr SOU 2019:58, Härifrån till evigheten – en långsiktig arkivpolitik för förvaltning och kultur- arv, s. 268.

67Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 135.

869

Gallring och längsta tid för behandling

SOU 2023:100

ningen och myndighetens instruktion.68 Riksarkivet saknar av natur- liga skäl närmare insikt i myndigheternas behov i kärnverksamheterna. Riksarkivet har vidare inget uppdrag att övervaka dataskyddsregler- ingen inom myndigheterna eller på annat sätt se över bestämmelser som motiveras av integritetshänsyn. Att den statliga arkivmyndig- heten uppdras att justera tid för bevarande i förhållande till annars tvingande gallringsfrister införda av integritetshänsyn, i syfte att till- godose myndigheternas behov av att kunna fortsätta behandla upp- gifter i verksamheten, kan enligt vår mening inte ses som ändamåls- enligt.

Digitaliseringen av myndigheternas verksamhet har sammanfatt- ningsvis medfört ett behov av nya överväganden i frågor om bevar- ande och gallring av handlingar inom myndigheternas verksamheter. Utifrån detta perspektiv kan dagens gallringsbestämmelser inte anses vara ändamålsenliga.

Den rättsliga utvecklingen

Gallring enligt det arkivrättsliga regelverket sker normalt av prak- tiska och ekonomiska skäl. Sådan gallring syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, som bara utgör dubblering av information som bättre kan sökas i ett annat arkiv eller som har ett informationsvärde som är tydligt begränsat i tiden. En riktigt utförd gallring bör få till resultat att myndigheternas arkiv blir mer överskådliga och effektiva som informationskällor.69 När bestämmelser om gallring har införts i den kompletterande data- skyddsregleringen är det i stället integritetshänsyn som motiverat bestämmelserna. Syftet med att införa bestämmelser om gallring i de kompletterande dataskyddsförfattningarna har därmed framför allt varit att skydda den enskildes personliga integritet. Utgångspunkten har vidare varit den omvända i förhållande till arkivlagen, dvs. gall- ring är huvudregel och bevarande av personuppgifter ett undantag.

När EU:s dataskyddsförordning började tillämpas i maj 2018 er- satte den 1995 års dataskyddsdirektiv,70 som på generell nivå hade

68Jfr 1 § förordningen (2009:1593) med instruktion för Riksarkivet.

69Prop. 1989/90:72, om arkiv m.m., s. 40–41.

70Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

870

SOU 2023:100

Gallring och längsta tid för behandling

genomförts i svensk rätt genom personuppgiftslagen (1998:204) personuppgiftsförordningen (1998:1191) och dåvarande Datainspek- tionens föreskrifter. Dataskyddsförordningen, som ska tillämpas på precis samma sätt som vore det en svensk lag, utgör en mer omfat- tande dataskyddsreglering än 1995 års dataskyddsdirektiv och person- uppgiftslagen gjorde (se avsnitt 5.2.2). I dag finns det alltså högre krav på myndigheterna att vidta ett flertal olika åtgärder för att kunna säkerställa att uppgifter inte behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, än när de befintliga gallringsbestämmelserna infördes. Enligt data- skyddsförordningen måste myndigheterna dessutom vidta åtgärder som säkerställer en lämplig säkerhet för de personuppgifter som får behandlas (artikel 32). Enligt artikel 25.2 i dataskyddsförordningen måste myndigheterna också genomföra lämpliga tekniska och orga- nisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behand- las. Den skyldigheten gäller mängden insamlade personuppgifter, tiden för deras lagring och deras tillgänglighet. Av skäl 39 till data- skyddsförordningen framgår också att den personuppgiftsansvarige bör införa tidsfrister för radering för att säkerställa att personuppgif- ter inte sparas längre än nödvändigt.

En tillämpning av principen om lagringsminimering och övriga bestämmelser i dataskyddsförordningen bör rent allmänt medföra att behovet av gallringsbestämmelser i integritetsskyddande syfte minskar.

Den föreslagna regleringens övergripande struktur

Det finns ett behov av att se över hur dagens bestämmelser om be- varande och gallring lämpligen kan anpassas till den struktur vi före- slår ska gälla i de nya datalagarna i övrigt. Nuvarande bestämmelser om bevarande och gallring utgår ofta från om uppgifterna behandlas i respektive utanför databaserna (se avsnitt 12.3.2). Även i Riks- arkivets förskrifter finns bestämmelser som utgår från att det finns särskilt reglerade databaser hos myndigheterna. I avsnitt 9.4.2 före- slår vi att den nuvarande strukturen med särreglerade databaser ska upphävas och inte ersättas av bestämmelser med motsvarande inne- håll i de nya datalagarna för Skatteverkets beskattnings- och folk- bokföringsverksamheter, Tullverket och Kronofogdemyndigheten.

871

Gallring och längsta tid för behandling

SOU 2023:100

Om det i framtiden inte längre finns några särreglerade databaser blir det inte heller möjligt att behålla bestämmelser om bevarade eller gallring som gäller beroende på om uppgifterna behandlas i eller utanför databaserna.

I avsnitten 7.4.2 och 7.4.3 föreslår vi att bestämmelserna i de nya datalagarna i huvudsak inte ska vara tillämpliga vare sig vid behand- ling av uppgifter om juridiska personer eller avlidna. Nuvarande för- fattningar är dock i stora delar tillämpliga även vid behandling av upp- gifter om juridiska personer, och i vissa fall även vid behandling av uppgifter om avlidna. Det gäller bl.a. för bestämmelser om gallring av uppgifter och handlingar. Även i förhållande till våra förslag om förändringar avseende tillämpningsområdet finns därför ett behov av en översyn av dagens gallringsbestämmelser.

12.4.2Dataskyddsregler och arkivrättsliga regler bör hållas åtskilda

Vår bedömning: Det bör göras en tydlig åtskillnad mellan data- skyddsregler och arkivreglering. Orden bevarande och gallring bör enbart användas i den betydelse de har i arkivlagstiftningen, och bör inte användas i dataskyddsförfattningar.

Skälen för vår bedömning

Gallringsbestämmelserna som dataskyddsregler

I myndigheternas registerförfattningar finns flera olika kategorier av bestämmelser som reglerar andra förhållanden än dataskydd. Det rör sig ofta om närliggande frågor som på olika sätt har betydelse för in- tegritetsskyddet, exempelvis sekretessbrytande bestämmelser och för- utsättningar för olika former av elektroniskt utlämnande. Bestämmel- serna i registerförfattningarna är också i varierande grad tillämpliga på information som inte är personuppgifter, dvs. uppgifter om juri- diska personer och i vissa fall om avlidna. Vi har tidigare gjort be- dömningen att detta är en av orsakerna till att registerförfattningarna upplevs som svåröverskådliga och svårtillämpade. En av våra utgångs- punkter är därför att de nya författningarna i så hög utsträckning som möjligt inte ska innehålla annat än dataskyddsbestämmelser, se

872

SOU 2023:100

Gallring och längsta tid för behandling

avsnitt 5.2.6. Frågan är då om gallringsbestämmelserna i nuvarande form bör anses utgöra sådana dataskyddsbestämmelser som bör finnas även i de nya författningarna.

Nuvarande gallringsbestämmelser syftar i och för sig till att skydda den personliga integriteten vid automatiserad behandling av person- uppgifter, vilket talar för att de ska anses utgöra dataskyddsregler. I dag är dock bestämmelserna om gallring i Skatteverkets beskatt- ningsverksamhet, Tullverkets verksamhet och Kronofogdemyndig- hetens verksamhet även tillämpliga för uppgifter och handlingar om juridiska personer. De avgör därmed vad som ska ske med uppgifter om sakförhållanden m.m. som inte utgör vare sig personuppgifter eller indirekta personuppgifter. När gallringsbestämmelserna tillämpas för gallring av sakuppgifter (som inte utgör personuppgifter) fyller de inget integritetsskyddande syfte och har därför inte karaktären av dataskyddsbestämmelser.

I många fall finns även bestämmelser eller föreskrifter om undan- tag från gallringsbestämmelser, bl.a. med hänsyn till verksamhetens behov, vilket framgår av avsnitt 12.3.2 ovan. I de situationerna har det integritetsintresse som den generella gallringsbestämmelsen ur- sprungligen avsett att skydda vid en senare värdering bedömts vara mindre skyddsvärt än behovet i myndigheternas verksamhet. Det kan också vara så att den rättsliga och/eller tekniska utvecklingen med- fört att en gallringsbestämmelse ”krockar” med andra regler eller behov och därför inte bör tillämpas, exempelvis när hanteringen blivit helt digital. I de många fall där gallringsbestämmelserna inte ska tillämpas fyller de inte någon integritetsskyddande funktion.

Om uppgifterna som ska gallras dessutom kan sparas på papper71 eller enbart göras oåtkomliga i en viss databas kan det vara svårt att avgöra vad gallring enligt registerförfattningarnas bestämmelser fak- tiskt innebär i fråga om konkret informationsförlust och därmed in- tegritetsskydd. Även om gallringsbestämmelser i vissa situationer kan utgöra en del av integritetsskyddet är det sammanfattningsvis svårt att avgöra i vilken utsträckning dagens generella bestämmelser om gallring fyller den integritetsskyddande funktion som avsetts. Vår bedömning är därför att nuvarande gallringsbestämmelser inte utgör sådana dataskyddsbestämmelser som ska finnas i de nya lagarna.

71Se avsnitt 12.4.1 ovan.

873

Gallring och längsta tid för behandling

SOU 2023:100

Arkivrättsliga regler och regler om dataskydd ska hållas åtskilda

Vi har nyss konstaterat att nuvarande bestämmelser om gallring inte bör anses utgöra sådana dataskyddsbestämmelser som ska finnas i de nya dataskyddsförfattningarna. Det är därför inte heller lämpligt att fortsättningsvis använda begreppet gallring i dataskyddssammanhang.

Enligt vår mening bör bestämmelser som reglerar gallring i stället enbart förekomma i arkivrättsliga sammanhang, och inte tillämpas ut- ifrån integritetshänsyn utan som en nödvändig del i att hantera arkiv- tillväxten och underlätta användningen av arkiven.72 Vi bedömer alltså att det mest ändamålsenliga är att helt skilja de två begreppsapparaterna åt så de arkivrättsliga begreppen gallring och bevarande i fortsättningen enbart används för arkivvårdande åtgärder, dvs. åtgärder som inne- bär att allmänna handlingar inte ska vara kvar i en myndighets arkiv eller att de ska bevaras. Gallring av allmänna handlingar bör därför en- dast regleras av arkivlagen och arkivförordningen, samt de föreskrif- ter eller beslut som Riksarkivet meddelar.

När syftet i stället är att skydda den personliga integriteten, och regleringen endast omfattar personuppgifter, bör den yttersta gränsen för hur länge personuppgifterna får behandlas anges. På så sätt görs en tydlig åtskillnad mellan dataskyddsregler och arkivrättsliga regler. Den åtskillnad vi föreslår i detta avseende finns redan i nya lagar om personuppgiftsbehandling på dataskyddsdirektivets område.73 Reger- ingen angav exempelvis i förarbetena till brottsdatalagen (2018:1177) att orden bevarande och gallring i de nya registerförfattningarna en- bart borde användas i den betydelse som de har i arkivlagstiftningen, för att så långt som möjligt skilja mellan arkivrättsliga regler och reg- ler om dataskydd. Orden bevarande och gallring används därför inte i t.ex. brottsdatalagen eller i lagarna om Tullverkets respektive Skatte- verkets behandling av personuppgifter inom brottsdatalagens område, om inte arkivrättsliga regler avses.74

72Jfr SOU 2019:58, Härifrån till evigheten – en långsiktig arkivpolitik för förvaltning och kul- turarv, s. 243.

73Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga på- följder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

74Se 4 kap. lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brotts- datalagens område och 4 kap. lagen (2018:1694) om Tullverkets behandling av personuppgif- ter inom brottsdatalagens område, samt prop. 2017/18:269, Brottsdatalag – kompletterande lag- stiftning, s. 120–121.

874

SOU 2023:100

Gallring och längsta tid för behandling

I förarbetena till Utbetalningsmyndighetens dataskyddsreglering uttalade regeringen att de skäl som anfördes i lagstiftningsärendet avseende brottsdatalagen även gjorde sig gällande i lagstiftningsären- det om Utbetalningsmyndighetens personuppgiftsbehandling.75 Även dataskyddsregleringen för Utbetalningsmyndighetens verksamhet sak- nar därmed bestämmelser som reglerar gallring.76 Regeringen gjorde motsvarande bedömningar i propositionen om Skatteverkets möjlig- heter att göra dataanalyser och urval i folkbokföringsverksamheten.77 Den åtskillnad som vi föreslår har alltså redan införts i viss annan lagstiftning som kompletterar dataskyddsförordningen.

12.4.3Gallringsbestämmelserna ska ersättas med generella bestämmelser om längsta tid för behandling

Vårt förslag: I de nya lagarna ska det finnas en generell bestäm- melse om längsta tid för behandling. Bestämmelsen ska endast be- gränsa behandling för ändamål inom författningarnas respektive tillämpningsområde.

Skälen för vårt förslag

Dataskyddsbestämmelser ska ansluta till EU:s dataskyddsförordning

Enligt den grundläggande principen om lagringminimering i arti- kel 5.1 e i EU:s dataskyddsförordning får personuppgifter inte för- varas i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka per- sonuppgifterna behandlas. Personuppgifter ska därmed inte behand- las om det inte längre finns ett behov av det. Vi anser att den prin- cipen bör komma till uttryck i de nya datalagarna och utgöra en huvudregel för personuppgiftsbehandlingen vid Skatteverkets beskatt- nings- och folkbokföringsverksamheter, Tullverket och Kronofogde- myndigheten. Begreppen längsta tid för behandling och upphörande av behandling bör alltså användas i stället för gallring, när bestämmel-

75Prop. 2022/23:34, Utbetalningsmyndigheten, s. 150.

76Se 4 kap. lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten.

77Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 34.

875

Gallring och längsta tid för behandling

SOU 2023:100

serna tar sikte på skyddet för den personliga integriteten och ända- målen med behandlingen. Vi föreslår därför att det ska införas en be- stämmelse i de nya lagarna om att personuppgifter inte ska få behand- las under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen.

Enligt vår mening behöver en yttersta tidsfrist för behandling inte anges i författning. Vi föreslår därför att bestämmelser som förtydli- gar principen om lagringsminimering ska formuleras så att de genom- gående anger att det är ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. Den föreslagna bestämmelsen säker- ställer den grundläggande principen om att endast uppgifter som behöver behandlas ska behandlas. När det inte längre finns något be- hov av att behandla personuppgifter ska de tas bort eller avidentifie- ras på ett sådant sätt att alla identifieringsmöjligheter förvinner.

Bestämmelsen möjliggör samtidigt behandling under den tid som den är nödvändig för ändamålet, exempelvis för att följa en historisk utveckling av en viss företeelse. Det är framför allt verksamhetsskäl och myndighetssamverkan som bör vara styrande för bedömningen av om uppgifterna fortfarande behövs. Berättigade och motiverade be- hov av en längre tids behandling kan på så sätt tillgodoses utan dagens omständliga förfarande med fasta gallringsfrister, där en framställan först måste göras till Riksarkivet, som efter utredning kan föreskriva om undantag från gallring (se avsnitt 12.2.4).

Bestämmelsen om längsta tid för behandling ger myndigheterna vida ramar för bedömningen av vilka uppgifter som får fortsätta be- handlas i kärnverksamheten. Det som avses i den föreslagna bestäm- melsen är dock ändamålet i det enskilda fallet och behovet av att fort- sätta behandla uppgifterna kommer därför behöva prövas kontinu- erligt. Uppgifter kommer ofta behandlas för flera olika ändamål, lik- som i dag, och kan vara tillgängliga i olika verksamhetssystem. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål. Personuppgifterna får då fortsätta att behandlas för det kvar- stående ändamålet. Den föreslagna bestämmelsen medför därmed inget krav på att all behandling ska upphöra om behovet upphör för ett av flera ändamål.

Bestämmelsen kräver dock att de uppgifter som inte längre behö- ver behandlas för ett visst ändamål också slutar behandlas för det ändamålet, i enlighet med principen om lagringsminimering. I enlig-

876

SOU 2023:100

Gallring och längsta tid för behandling

het med ansvarsprincipen (artikel 5.2 i dataskyddsförordningen) ska den personuppgiftsansvariga myndigheten också kunna visa att bl.a. principen om lagringsminimering efterlevs, exempelvis inför sina respektive dataskyddsombud eller Integritetsskyddsmyndigheten, IMY.

12.4.4Behöver det finnas en upplysningsbestämmelse om fortsatt behandling för arkivändamål m.m.?

Vår bedömning: Det finns inte skäl att införa en upplysnings- bestämmelse om fortsatt behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Skälen för vår bedömning

Som vi redogjort för i avsnitt 12.2.3 får personuppgifter enligt prin- cipen om lagringminimering (artikel 5.1 e i EU:s dataskyddsförord- ning) lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisa- toriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter.

I avsnitt 8.4.2 har vi föreslagit att det ska införas en bestämmelse som motsvarar finalitetsprincipen i de nya datalagarna för Skatte- verkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Enligt finalitetsprincipen (artikel 5.1 b i dataskyddsförordningen) ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behand- las på ett sätt som är oförenligt med dessa ändamål. Ytterligare be- handling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska enligt finalitetsprincipen inte anses vara oförenlig med de ursprungliga ändamålen.

Den föreslagna bestämmelsen som avgränsar behandlingen till den tid som behövs med hänsyn till ändamålet med behandlingen inne-

877

Gallring och längsta tid för behandling

SOU 2023:100

bär därmed att det inte finns något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål. Även om artikel 89.1 i dataskyddsförord- ningen ställer upp krav på att behandling som sker enbart för arkiv- ändamål ska vara förenad med tekniska och organisatoriska skydds- åtgärder finns det inget krav på att uppgifterna flyttas till ett annat system vid denna behandling. Av 4 kap. 1 § andra stycket dataskydds- lagen framgår även att det inte finns något hinder för myndigheter att behandla personuppgifter, som finns i allmänna handlingar som behandlas enbart för arkivändamål av allmänt intresse, för något annat ändamål. Något hinder mot att en uppgift som har bevarats enbart för arkivändamål återförs till kärnverksamheten för vidare- behandling finns följaktligen inte, förutsatt att det nya ändamålet inte är oförenligt med det ändamål för vilket uppgiften ursprungligen samlades in. Även övriga krav i den allmänna dataskyddsregleringen, exempelvis avseende uppgiftsminimering måste vara uppfyllda. I en sådan situation behöver den personuppgiftsansvariga myndigheten inte samla in uppgiften på nytt. Den nya behandlingen kräver enligt dataskyddsförordningen inte heller någon annan rättslig grund än den med stöd av vilken den ursprungliga insamlingen medgavs (skäl 50, se avsnitt 8.4.6). Det är alltså endast förenligheten med in- samlingsändamålet som måste bedömas. En arkiverad uppgift kan dock lika lite som någon annan uppgift behandlas för ett ändamål som är oförenligt med det ursprungliga insamlingsändamålet.78

Frågan är då om den föreslagna bestämmelsen om längsta tid för behandling bör förenas med en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får fortsätta att behandlas för arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål. En sådan bestämmelse finns exem- pelvis i 4 kap. 4 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. I 12 § förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten bemyn- digas Riksarkivet att meddela föreskrifter om att vissa personuppgif- ter får fortsätta att behandlas för arkivändamål av allmänt intresse,

78Jfr SOU 2017:39, Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförord- ning, s. 225 och prop. 2017/18:105, Ny dataskyddslag, s. 120 och 200.

878

SOU 2023:100

Gallring och längsta tid för behandling

vetenskapliga eller historiska forskningsändamål eller statistiska ända- mål.

I 4 kap. 2 och 3 §§ lagen om behandling av personuppgifter vid Utbetalningsmyndigheten finns dock även särskilda bestämmelser som avser faktiska tidsfrister för behandling av de uppgifter som Riks- arkivet bemyndigas meddela föreskrifter om. Vi har inte föreslagit att några sådana bestämmelser ska införas för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndig- heten. Tillåtligheten av vidarebehandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statis- tiska ändamål är dessutom en direkt följd av finalitetsprincipen och principen och lagringsminimering. Att myndigheterna har en skyl- dighet att bevara allmänna handlingar följer vidare av arkivlagen. Likaså följer av arkivförordningen att gallring av allmänna handlingar endast får ske i enlighet med föreskrift eller beslut av Riksarkivet (se av- snitten 12.2.1–12.2.2). Mot den bakgrunden saknas det enligt vår be- dömning skäl för att införa en särskild bestämmelse om att uppgifter får fortsätta behandlas för arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål.

12.4.5Möjligheten att föreskriva om yttersta tidsfrister

Vårt förslag: I lagarna ska det finnas en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får behandlas under viss tid.

I förordningarna ska myndigheterna bemyndigas att meddela föreskrifter som preciserar den längsta tiden för behandling för olika ändamål.

Skälen för vårt förslag

Behov av tidsfrister

Vi har redan konstaterat att myndigheterna kommer att behöva anta ett proaktivt förhållningssätt till frågan om fortsatt behandling i syfte att leva upp till kraven i EU:s dataskyddsförordning. I det ingår att regelbundet överväga om fortsatt behandling kan motiveras i för-

879

Gallring och längsta tid för behandling

SOU 2023:100

hållande till ändamålet (eller ändamålen) med behandlingen i det en- skilda fallet. Av skäl 39 till dataskyddsförordningen framgår att den personuppgiftsansvarige bör införa tidsfrister för radering för att säkerställa att personuppgifter inte sparas längre än nödvändigt. Att myndigheterna internt formulerar vissa mer specificerade tidsfrister för när behandling i verksamhetssystemen senast ska upphöra för olika ändamål har därmed stöd i dataskyddsförordningen. Skatte- verket, Tullverket och Kronofogdemyndigheten har dessutom alla ett dataskyddsombud vars roll är att kontrollera att dataskydds- förordningen följs inom organisationen genom att till exempel ut- föra kontroller och informationsinsatser.

Det kan dock uppkomma situationer där den längsta tiden för behandling för ett visst ändamål kan behöva preciseras. En sådan pre- cisering, i lag, förordning eller föreskrifter, av när behandling för ett särskilt ändamål senast ska upphöra bör främst ses främst en särskilt integritetshöjande åtgärd. Ett sådant behov skulle kunna uppkomma om behandling av särskilt känsliga uppgifter motiveras av ny mate- riell reglering, eller som en följd av den tekniska utvecklingen. Även om en yttersta tidsfrist för behandling främst är en integritetshöjande åtgärd kan det inte uteslutas att också effektivitetsskäl talar för att införa ett formaliserat stöd för hur länge behandling för ett visst ända- mål är behövlig. En sådan bestämmelse kan alltså också motiveras av en önskan att undvika att det på myndighetsnivå läggs alltför stora resurser på kontinuerliga överväganden om fortsatt behandling för ett särskilt ändamål är tillåten. Regeringen eller den myndighet som reger- ingen bestämmer kan då med stöd av 8 kap. 7 § regeringsformen (den s.k. restkompetensen, se avsnitt 6.2) meddela föreskrifter om mer preciserade tidsfrister för behandlingen i vissa fall. Av tydlighetsskäl bör detta framgå av lag. Vi föreslår därför att en upplysningsbestäm- melse tas in i de nya datalagarna, i anslutning till bestämmelsen om längsta tid för behandling, om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgif- ter längst får behandlas under viss tid.79

Vi har inte identifierat något behov av att föreslå bestämmelser som närmare anger den längsta tid som uppgifter får behandlas vare sig hos Skatteverket, Tullverket eller Kronofogdemyndigheten. Här bör nämnas att regeringen nyligen, som nämnts i avsnitt 12.3.2, före- slagit att en avvikande gallringsfrist ska gälla för vissa uppgifter från

79Jfr 11 § förordningen om behandling av personuppgifter vid Utbetalningsmyndigheten.

880

SOU 2023:100

Gallring och längsta tid för behandling

betaltjänstleverantörer. Förslaget motiverades dock inte utifrån att uppgifterna var särskilt integritetskänsliga i förhållande till övriga uppgifter som behandlas i databasen. Den avvikande gallringsfristen föreslogs i stället med motiveringen att de befintliga gallringsfristerna av lagtekniska skäl inte kunde tillämpas på uppgifterna från betal- tjänstleverantörer, och dess längd bestämdes utifrån Skatteverkets för- väntade behov av uppgifterna. Regeringen eller den myndighet reger- ingen bestämmer ska även kunna föreskriva undantag även från den avvikande gallringsfristen.80 Motiveringen till den föreslagna bestäm- melsen tyder enligt vår bedömning på att regeringen inte ansett att uppgifterna är så integritetskänsliga att behandlingen ovillkorligen måste upphöra vid en viss tidpunkt efter det att uppgifterna samlades in för att upprätthålla ett adekvat integritetsskydd. De överväganden som i övrigt gjorts bör därför gälla även för uppgifter som Skatteverket samlar in från betaltjänstleverantörer. Även dessa uppgifter bör därför endast få behandlas under den tid som är nödvändig med hänsyn till ändamålet med behandlingen, och ska gallras eller bevaras i enlighet med det arkivrättsliga regelverket.

Ett bemyndigande för myndigheterna att meddela föreskrifter

Som nämnts ovan följer av skäl 39 till dataskyddsförordningen att den personuppgiftsansvarige bör införa tidsfrister för radering för att säkerställa att personuppgifter inte sparas längre än nödvändigt. Respektive myndighet bör därför i de nya förordningarna bemyn- digas att meddela föreskrifter om att personuppgifter som längst får behandlas under en viss tid. På så sätt kan enskilda registrerade ges en tydligare bild av hur länge uppgifter om dem som längst behandlas, än om myndigheternas tidsfrister endast förekom i interna rutiner eller andra interna dokument. I sammanhanget kan nämnas att i 8 kap. 12 § RF ges en uttrycklig möjlighet för regeringen att på ett formaliserat sätt kontrollera sina myndigheters föreskrifter. Som ett led i denna prövning kan regeringen godkänna föreskrifterna och ändra eller med- dela en förordning som upphäver eller ersätter dem. Regeringen har också möjlighet att i samband med att den ger ett bemyndigande till en förvaltningsmyndighet begära att en föreskrift som meddelas med stöd av bemyndigandet ska underställas regeringen. Regeringen kan

80Se prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 114–116.

881

Gallring och längsta tid för behandling

SOU 2023:100

vidare införa en bestämmelse i anslutning till bemyndigandet som innebär att myndighetsföreskrifterna upphör att gälla om de inte underställs eller godkänns av regeringen inom viss tid.81 Att myndig- heternas bemyndigas att själva specificera den längsta tid som upp- gifter får behandlas för olika ändamål innebär alltså inte att reger- ingen saknar möjlighet att kontrollera eller justera sagda frister. Som nämnts ovan ska bestämmelser i förordning eller föreskrifter dock inte tillåta avsteg från det krav som följer av den generella bestäm- melsen om att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt.

Behov av gallringsbestämmelser kan uppkomma i framtiden

De föreslagna generella bestämmelserna om längsta tid för behand- ling utgör inte sådana bestämmelser i författning som gör att arkiv- lagen inte ska tillämpas enligt 10 § tredje stycket, dvs. avvikande be- stämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning som gäller i stället för det arkivrättsliga regelverket. Arkivlagen gäller i stället parallellt med bestämmelserna om längsta tid för behandling. Det yttersta tidsgräns som regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om bör normalt inte heller utgöra bestämmelser om gallring. Det är i stället fråga om hur länge en viss kategori av uppgifter får behandlas för ändamålet med behandlingen, och den arkivrättsliga frågan om samma uppgifter ska gallras eller bevaras bör normalt lösas genom det arkiv- rättsliga regelverket. Uppgifter som inte längre får behandlas för ända- mål i kärnverksamheten kan då fortsatt behandlas för arkivändamål.

Det kan dock inte uteslutas att det i framtiden åter kommer att vara motiverat att införa sådana bestämmelser som avses i arkivlagens

10§ tredje stycket. Ett sådant behov kan enligt vår bedömning kom- ma att aktualiseras vid särskilt integritetskänslig behandling som moti- veras av ny materiell reglering eller av den tekniska utvecklingen. Eventuella sådana bestämmelser gäller då i stället för den generella bestämmelsen om längsta tid för behandling. Tillämpningen av sådana bestämmelser besvarar därmed både frågan om hur lång den längsta tiden för behandling av uppgifterna är, och frågan om handlingarna ska gallras eller bevaras.

81Ds 2014:10, En tydligare beredning av myndighetsföreskrifter, s. 16.

882

SOU 2023:100

Gallring och längsta tid för behandling

Bestämmelser om att vissa uppgifter ska förstöras kan dock även avse andra handlingar än allmänna. Ett exempel är bestämmelsen i nuvarande 1 kap. 7 § folkbokföringsdatabaslagen som har följande lydelse.

När en kontroll enligt 26 b och 26 c §§ folkbokföringslagen (1991:481) eller enligt 2 kap. 3 och 4 §§ lagen (2022:1697) om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.

I förarbeten till bestämmelsen bedömde regeringen att eftersom upp- gifterna omedelbart ska förstöras när kontrollen är utförd kommer de uppgifter som tas fram i samband med kontrollen aldrig bli all- männa handlingar.82 I likhet med avvikande bestämmelser om gall- ring av allmänna handlingar bör ett behov av bestämmelser liknande den i nuvarande 1 kap. 7 § folkbokföringsdatabaslagen i huvudsak uppkomma vid särskilt integritetskänslig behandling. I den mån så- dana bestämmelser införs utgör även de ett undantag från den före- slagna huvudregeln i de nya datalagarna och ger ett svar på frågan hur länge uppgifter får behandlas för ett visst ändamål.

12.4.6Gallring och bevarande av uppgifter som behandlas

i Europeiska unionens gemensamma informationssystem

Vår bedömning: Frågor om gallring och bevarande av uppgifter som behandlas i Europeiska unionens gemensamma informations- system kommer i fortsättningen regleras genom arkivlagstiftningen.

Skälen för vår bedömning

Skatteverket och Tullverket har påpekat att många problemställ- ningar uppkommer hos myndigheterna med anledning av befintliga bestämmelser i registerförfattningarna i förhållande till behandling i unionsgemensamma informationssystem. Bestämmelserna om gall- ring lyftes särskilt. I avsnitt 7.4.4 har vi föreslagit att tillämpnings- området för de nya författningarna ska avgränsas på så sätt att behand- ling som sker i tekniska plattformar som hanteras gemensamt av EU

82Prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 56.

883

Gallring och längsta tid för behandling

SOU 2023:100

och medlemsstaterna faller utanför författningarnas respektive tillämp- ningsområden.

Då inga gallringsbestämmelser motsvarande de som finns i dag föreslås i de nya lagarna blir det dock ingen skillnad på om behand- lingen sker i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna, dvs. utanför tillämpningsområdet, eller inom lagarnas tillämpningsområde. Alla frågor om gallring och bevarande kommer med vårt förslag regleras genom arkivlagen och arkivförord- ningen, samt genom Riksarkivets föreskrifter eller beslut.

12.4.7Bevarande av vissa uppgifter i Skatteverkets beskattningsverksamhet

Vår bedömning: Det saknas skäl att föra in en bestämmelse om att Skatteverket ska bevara vissa uppgifter i de nya dataskydds- författningarna för beskattningsverksamheten.

Skälen för vår bedömning

Som framgår av avsnitt 12.3.2 är utgångspunkten i Skatteverkets be- skattningsverksamhet i dag att handlingar ska gallras efter sju år. I sam- band med registerförfattningarnas tillkomst uttalade regeringen att det i flera fall kommer behöva göras undantag från sjuårsregeln och att vissa uppgifter i beskattningsdatabasen inte bör gallras över huvud taget. Det gällde bl.a. uppgifter som vid tidpunkten återfanns i taxer- ingsuppgiftsregistret och tidigare återfanns i skattelängder. Genom att bevara dessa uppgifter skulle statistikens och forskningens behov tillgodoses, samtidigt som den kontinuitet som fanns avseende sådana uppgifter kunde bibehållas. Regeringen konstaterade även att regist- ret dessutom användes av skattemyndigheterna83 vid bl.a. ompröv- ning, och uppgifterna behövde även av den anledningen bevaras under en längre tid. Enligt regeringen kunde bestämmelser om att vissa upp-

83Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sam- manslagning av dessa, se prop. 2002/03:99, Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket.

884

SOU 2023:100

Gallring och längsta tid för behandling

gifter i beskattningsdatabasen skulle bevaras ersätta föreskrifter om inrättande av t.ex. särskilda taxeringsuppgiftsregister.84

I dag finns, liksom vid regleringens tillkomst, undantagsbestäm- melsen i 18 § i skattedatabasförordningen (se avsnitt 12.3.2). Bestäm- melsen har genomgått vissa förändringar sedan införandet, men att uppgifter om bl.a. namn, personnummer, organisationsnummer, hem- ortskommun och församling samt kontrolluppgifter och beskattnings- beslut ska bevaras är oförändrat. Det är sådana uppgifter som tidigare funnits i taxeringsuppgiftsregistret och ännu tidigare återfanns i skattelängder. Det finns följaktligen en lång tradition av att bevara dessa uppgifter. Vi föreslår ovan att bestämmelser som kräver gall- ring av uppgifter som behandlas i Skatteverkets beskattningsverksam- het upphävs och inte ersätts av motsvarande bestämmelser i den nya datalagen. Frågan blir då om det trots detta finns ett behov av att föreskriva att Skatteverket ska bevara vissa uppgifter, i syfte att till- godose de behov som motiverande införandet av bestämmelsen.

Inledningsvis bör här konstateras att bestämmelsen om bevar- ande kom till som ett undantag från en annars tvingande gallrings- bestämmelse. Om inga sådana tvingande bestämmelser finns blir det i stället det arkivrättsliga regelverket, med Riksarkivet som främsta uttolkare, som avgör vilka uppgifter som kommer få gallras i beskatt- ningsverksamheten. Den arkivrättsliga utgångspunkten är nämligen att allmänna handlingar hos myndigheterna ska bevaras, hållas ord- nade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvalt- ningen samt forskningens behov. För att de uppgifter som i dag ska undantas från gallring även fortsättningsvis ska bevaras räcker det alltså med att Skatteverket inte framställer om att uppgifterna ska få gallras.

Mot bakgrund av att flera av de aktuella uppgifterna bevarats under en lång tid, tidigare funnits i register och dessförinnan i skatteläng- der finns det också skäl att anta att Riksarkivet, i syfte att tillgodose bl.a. de behov som motiverade bestämmelsen om bevarande från första början, skulle neka en eventuell framställan från Skatteverket om gallring av sagda uppgifter. Av 10 § arkivlagen följer dessutom som tidigare har nämnts att det vid överväganden om gallring alltid ska beaktas att arkiven är en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven. Mot bak-

84Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 136–137.

885

Gallring och längsta tid för behandling

SOU 2023:100

grund av den långa tradition som finns avseende bevarande av vissa uppgifter i beskattningsverksamheten framstår Skatteverkets arkiv i denna del som en del av kulturarvet. Riksarkivet har dessutom möj- lighet att i en för beskattningsverksamheten myndighetsspecifik före- skrift införa en upplysningsbestämmelse som särskilt anger att aktu- ella uppgifter ska bevaras, alternativt införa ett villkor som anger att en förutsättning för gallring är att uppgifter i handlingarna förts in i andra handlingar.

Sammantaget anser vi att det inte finns något behov av att reglera att uppgifterna, som enligt nuvarande bestämmelse i skattedatabas- förordningen ska bevaras, även fortsättningsvis ska göra det. Den frågan blir i stället löst på ett tillfredsställande sätt genom det arkiv- rättsliga regelverket.

I sammanhanget bör dock påpekas att uppgifterna som i dag ska bevaras för tillfället inte ingår i ett register, vilket de gjorde innan de nuvarande registerförfattningarnas tillkomst. Det innebär att upp- gifterna i dag inte bevaras samlat, och inte i någon särskild relation till varandra. Sökning i och annan hantering av dessa uppgifter är där- för mer komplicerat än om de behandlats samlat. Mot bakgrund av att uppgifterna under en lång tid har ansetts nödvändiga att bevara, skälen för bevarandet, och då de kan sägas utgöra en stomme i be- skattningsverksamhetens arkiv, kan det ifrågasättas om det lämpligaste inte hade varit att föreskriva att Skatteverket har en skyldighet att föra ett sådant register. Vi bedömer dock att de överväganden som den frågan ger upphov till ligger utanför ramen för vårt uppdrag.

12.4.8Vissa gallringsbestämmelser i skatteförfarandeförordningen och fastighetstaxeringsförordningen ska tas bort

Vårt förslag: Bestämmelser om gallring i 20 kap. 2 och 3 §§ skatte- förfarandeförordningen och i 2 kap. 4 § andra stycket och 5 §, samt 7 kap. 3 § fastighetstaxeringsförordningen ska tas bort.

Skälen för vårt förslag

De gallringsbestämmelser som i dag finns i registerförfattningarna för Skatteverkets beskattningsverksamhet redogörs för ovan (se av- snitt 12.3.2). Utöver dessa finns bestämmelser om gallring i beskatt-

886

SOU 2023:100

Gallring och längsta tid för behandling

ningsverksamheten även i skatteförfarandeförordningen (2011:1261) och i fastighetstaxeringsförordningen (1993:1199).

Gallringsbestämmelserna i skatteförfarandeförordningen har i sak stora likheter med gallringsbestämmelserna i skattedatabaslagen. Av 20 kap. 1 § och 2 § första stycket skatteförfarandeförordningen framgår att uppgifter och handlingar som rör fysiska personer och andra juridiska personer än aktiebolag och ekonomiska föreningar, och som har lämnats till Skatteverket enligt skatteförfarandelagen (2011:1244), samt uppgifter i handlingar som har upprättats eller som har tagits om hand för granskning av Skatteverket vid tillämpning av skatteförfarandelagen ska gallras sju år efter utgången av det kalen- derår då beskattningsåret har gått ut. För uppgifter som avser ett aktiebolag eller en ekonomisk förening är gallringsfristen 11 år efter utgången av det kalenderår då beskattningsåret har gått ut.

Vissa uppgifter och handlingar som avser revision enligt 41 kap. 2 § första stycket 6 eller 7 skatteförfarandelagen, samt tillsyn eller kontrollbesök ska dock gallras tre år efter utgången av det kalenderår då beslutet om revision, tillsyn eller kontrollbesök meddelades, vilket framgår av 20 kap. 2 § andra stycket skatteförfarandeförordningen. Av 20 kap. 3 § samma förordning framgår dock att vissa uppgifter och handlingar som avser revision enligt 41 kap. 2 § första stycket 1–5 skatteförfarandelagen får bevaras under en längre tid än vad som följer av 2 §.

Av 20 kap. 2 § tredje stycket skatteförfarandeförordningen fram- går att vissa uppgifter och handlingar inte ska gallras om de avser ett aktiebolag eller en ekonomisk förening vars styrelse hade sitt säte eller, om sådant saknas, vars förvaltning utövades i Göteborgs kom- mun eller en kommun som ligger i Östergötlands, Gotlands eller Västernorrlands län den 1 november året före det år då beslut om slutlig skatt enligt 56 kap. 2 § skatteförfarandelagen fattades.

Även i fastighetstaxeringssammanhang ska bestämmelser som lik- nar de som finns i skattedatabaslagen tillämpas. Av 2 kap. 4 § första och andra styckena fastighetstaxeringsförordningen framgår nämligen att bestämmelserna i 20 kap. 2 § första och tredje styckena skatteförfar- andeförordningen ska tillämpas på uppgifter i fastighetsdeklarationer och andra handlingar, som enligt bestämmelserna i fastighetstaxer- ingslagen (1979:1152) har lämnats till ledning för fastighetstaxering eller upprättats eller för granskning omhändertagits av en myndighet

887

Gallring och längsta tid för behandling

SOU 2023:100

vid taxeringskontroll. Det innebär alltså att samma gallringsfrist och undantag från gallring som anges i stycket ovan gäller.

Av 2 kap. 5 § fastighetstaxeringsförordningen framgår dessutom att fastighetsdeklarationer och andra handlingar som enligt bestäm- melserna i fastighetstaxeringslagen har lämnats till ledning för allmän eller förenklad fastighetstaxering eller upprättats eller för granskning omhändertagits av Skatteverket vid taxeringskontroll, ska förstöras sedan tolv år förflutit efter taxeringsårets utgång, om inte regeringen för ett visst års taxering beslutat att handlingarna ska bevaras för framtiden. Detsamma gäller angående beslut om fastighetstaxering.

Av 7 kap. 3 § fastighetstaxeringsförordningen framgår vidare att fastighetsdeklarationer och andra handlingar som enligt bestämmel- serna i fastighetstaxeringslagen har lämnats till ledning för särskild fastighetstaxering eller upprättats eller för granskning omhänder- tagits av Skatteverket vid taxeringskontroll ska förstöras samtidigt med motsvarande handlingar från den allmänna eller förenklade fas- tighetstaxering som närmast föregått den särskilda fastighetstaxer- ingen, om inte regeringen förordnat att handlingarna ska bevaras för framtiden. Detsamma gäller angående beslut om fastighetstaxering.

Bestämmelserna om gallring i skatteförfarandeförordningen och fastighetstaxeringsförordningen gäller parallellt med bestämmelserna i Skatteverkets registerförfattningar och är alltså till stor del över- lappande i sak. Gallringsbestämmelserna i registerförfattningarna är dock genombrutna av flera undantag, vilket innebär att de i många fall inte tillämpas. Undantagen finns både i lagen, förordningen och i Riksarkivets föreskrifter (se avsnitt 12.3.2). Gallringsbestämmel- serna i skatteförfarandeförordningen och fastighetstaxeringsförord- ningen är dock, till skillnad från bestämmelserna i registerförfattning- arna, inte förenade med något bemyndigande för Riksarkivet eller någon annan myndighet att föreskriva om avvikande gallringstidpunk- ter. Några undantag från de gallringsbestämmelserna finns därmed inte och är inte heller möjliga att göra i dag.

Bestämmelserna om gallring i skatteförfarandeförordningen och fastighetstaxeringsförordningen är dessutom teknikneutrala. Efter- som gallring av uppgifter som behandlas automatiserat i dag regleras i lag och då registerförfattningarna särskilt reglerar automatiserad behandling har Skatteverket enbart tillämpat gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen på pappershandlingar. När gallringsbestämmelserna i registerförfatt-

888

SOU 2023:100

Gallring och längsta tid för behandling

ningarna upphävs kommer det inte längre finnas någon speciallag som särskilt reglerar gallring vid automatiserad behandling. Det innebär att gallringsbestämmelserna i skatteförfarandeförordningen och fastig- hetstaxeringsförordningen kommer vara tillämpliga även på uppgifter som behandlas automatiserat. Även om den nya datalagen för beskatt- ningsverksamheten inte kommer innehålla några gallringsbestäm- melser så kommer det alltså fortfarande finnas gallringsbestämmelser som Skatteverket måste tillämpa i många fall. Av 10 § tredje stycket arkivlagen framgår som redan nämnts att om det finns avvikande be- stämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser framför det arkivrättsliga regelverket.

Vi har ovan föreslagit att frågor om gallring av personuppgifter i Skatteverkets beskattningsverksamhet i fortsättningen ska regleras genom Riksarkivets föreskrifter. Vårt förslag innebär bl.a. att uppgif- ter i allmänna handlingar som inte längre behöver behandlas för ett ändamål i verksamheten kan fortsätta behandlas enbart för arkiv- ändamål (med iakttagande av de säkerhetsåtgärder som krävs för så- dan behandling enligt artikel 89.1 i EU:s dataskyddsförordning) om de handlingar som uppgifterna finns i inte gallras (förstörs) i enlighet med föreskrift eller beslut från Riksarkivet. Det innebär också att uppgifterna under vissa förutsättningar kan hämtas in från arkiven om de skulle komma att behövas för ett ändamål i verksamheten igen (se avsnitt 12.4.5). Utan en förändring av gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen kommer det dock i praktiken finnas en begränsning av hur lång tid personuppgifter i beskattningsverksamheten kan behandlas för något ändamål. Detsamma gäller även för uppgifter om juridiska personer och avlidna. Då de aktuella bestämmelserna inte är förenade med något bemyndigande för Riksarkivet att föreskriva om avvikande gallrings- tidpunkter kommer dessutom alla de undantag från gallring som regler- ingen i registerförfattningarna möjliggjort att försvinna. Resultatet av våra förslag skulle alltså kunna bli ett avsevärt mindre utrymme för Skatteverket att behandla personuppgifter än i dag.

Vi har övervägt om bestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen kan förenas med ett bemyndi- gande för Riksarkivet att föreskriva om avvikande gallringstidpunkter, för att på så sätt lösa den problematik som nyss redogjorts för. Skatte- verket skulle då få framställa om avvikande gallringsföreskrifter på

889

Gallring och längsta tid för behandling

SOU 2023:100

samma sätt som i dag. En sådan lösning leder dock till ungefär samma situation som våra förslag ovan syftar till att förändra (se avsnit- ten 12.4.1 och 12.4.2).

Vi har även övervägt om problematiken kan lösas genom att undanta uppgifter och handlingar som behandlas automatiserat i Skatteverkets beskattningsverksamhet från gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen. På så sätt skulle våra förslag i högre utsträckning få avsett resultat och regleringen i skatteförfarandeförordningen och fastighetstaxer- ingsförordningen skulle även fortsättningsvis tillämpas vid gallring av pappershandlingar. Detta alternativ riskerar dock att ge upphov till viss gränsdragningsproblematik, eftersom den nya datalagen föreslås vara tillämplig även när personuppgifter bara delvis behandlas auto- matiserat eller om personuppgifterna ingår i eller kommer att ingå i ett register, oavsett format (se avsnitt 7.4.1).85 Även vissa uppgifter som inte behandlas automatiserat, dvs. pappershandlingar, kan därför komma att ingå i det sammanhang där gallring endast får ske i en- lighet med Riksarkivets föreskrifter. Därtill föreslås den nya data- lagen enbart vara tillämplig vid behandling av personuppgifter och inte vid behandling av uppgifter om juridiska personer och avlidna. Under alla förhållanden skulle en lösning där automatiserad behand- ling undantas från gallringsbestämmelserna i skatteförfarandeförord- ningen och fastighetstaxeringsförordningen få till resultat att Skatte- verket skulle behöva tillämpa olika regelverk beroende på format och vilken typ av uppgifter det rör sig om.

Vi bedömer att samma gallringsbestämmelser och regelverk bör gälla, oavsett om det rör sig om automatiserad behandling eller inte, och oavsett vilken typ av uppgifter som behandlas. Frågor om gall- ring och bevarande ingår nämligen primärt i den arkivrättsliga sfären och de hänsyn som ska tas där utgår inte från någon rättslig skillnad mellan personuppgifter och andra uppgifter.

Det mest ändamålsenliga förefaller därmed vara att de avvikande gallringsbestämmelserna i skatteförfarandeförordningen och fastig- hetstaxeringsförordningen upphävs. På så sätt kommer samtliga upp- gifter – oavsett om det är personuppgifter eller uppgifter om juridiska personer, uppgifter om avlidna eller om rena sakförhållanden – gallras

85Jfr artikel 4.6 i dataskyddsförordningen där register definieras som en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centra- liserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

890

SOU 2023:100

Gallring och längsta tid för behandling

enligt ett och samma regelverk, dvs. arkivlagen och de föreskrifter som Riksarkivet utfärdar. Här kan också nämnas att Skatteverket har uppgett att befintliga gallringsbestämmelser i skatteförfarandeförord- ningen och fastighetstaxeringsförordningen är svårtillämpade och svårtolkade och sannolikt bär spår av redigeringsfel. Exempelvis an- ges de omfatta ”allt” (alla uppgifter och handlingar som kommit in, tagits om hand eller upprättats) men gallringsfristen tar sin utgångs- punkt i beskattningsår. Ett flertal uppgifter som förekommer inom beskattningsverksamheten, exempelvis uppgift om att en ansökan om F-skatt beviljats, saknar dock koppling till ett beskattningsår. Genom att bestämmelserna upphävs minskas därmed en oklarhet kring vad som ska gälla avseende hur uppgifter och handlingar ska bevaras eller gallras hos Skatteverket.

Sammanfattningsvis är vår bedömning att det uppnås en högre grad av enhetlighet, ändamålsenlighet och tydlighet om samtliga upp- gifter som hanteras av Skatteverket inom beskattningsverksamheten, oavsett om det rör sig om personuppgifter eller andra kategorier av uppgifter, som utgångspunkt bevaras eller gallras med stöd av det arkivrättsliga regelverket.

12.4.9Skyddet för den personliga integriteten

Vår bedömning: Förslaget om en bestämmelse om längsta tid för behandling i de nya datalagarna utgör ett adekvat integritetsskydd.

Skälen för vår bedömning

När Riksarkivet meddelar beslut eller föreskrifter om gallring i en- lighet med arkivlagen är det rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov som är styrande. Det arkivrättsliga regelverket syftar inte till att tillgodose intresset av integritetsskydd och det gäller endast allmänna handlingar. De bestämmelser om gallring som finns i eller följer av arkivlagen innebär att gallring får ske, men föreskriver inte att gallring ska ske. Som framgår av avsnitt 12.3.1 är dock dagens gallringsbestämmelser i registerförfattningarna för Skatteverkets be- skattningsverksamhet, Tullverket och Kronofogdemyndigheten moti-

891

Gallring och längsta tid för behandling

SOU 2023:100

verade av integritetshänsyn och tvingande för myndigheterna, om inte Riksarkivet meddelat föreskrifter med innebörden att uppgifter och handlingar i stället ska bevaras eller undantas från gallring.

Vårt förslag innebär att inte kommer finnas någon tvingande gall- ringsbestämmelse och inte heller någon yttersta tidsgräns för behand- ling i de nya datalagarna. En bestämmelse av det slag vi föreslår ställer följaktligen höga krav på den personuppgiftsansvarige, dvs. Skatte- verket, Tullverket respektive Kronofogdemyndigheten. I stället för att utgå från en tydlig yttersta tidsfrist kommer myndigheterna löp- ande behöva göra prövningar av om det är motiverat att person- uppgifter behandlas. Eventuell fortsatt behandling behöver alltså kunna motiveras utifrån de ändamål för vilka personuppgifterna behandlas, såväl inför respektive dataskyddsombud86 som IMY.

En längre tids bevarande av en stor mängd personuppgifter inne- bär visserligen ett större integritetsintrång för den enskilde. Vi anser dock att det inte går att dra slutsatsen att behandling generellt kom- mer utsträckas i tid i förhållande till de gallringsfrister som gäller i dag. Med fasta gallringsfrister finns alltid en risk att uppgifter som regel finns tillgängliga i ett verksamhetssystem under hela den tid som anges i fristen, utan att myndigheten prövar om den fortsatta behandlingen är berättigad i förhållande till ändamålet. Den föreslagna bestämmel- sen om längsta tid för behandling kommer därmed sannolikt inne- bära att vissa uppgifter behandlas under en kortare tid än i dag, och att vissa uppgifter behandlas under ungefär lika lång tid som i dag. I vissa fall kommer behandling troligtvis pågå under en längre tid än vad som är tillåtet enligt befintliga gallringsbestämmelser.

Det senare gäller särskilt för Tullverkets del, som saknar de många föreskrivna undantag från gallringsbestämmelserna som känneteck- nar gallringsregleringen för Skatteverket och Kronofogdemyndigheten. Tullverket har dessutom gett uttryck för att befintliga gallringsfrister måste utökas för att myndigheten ska ha möjlighet att utföra sina upp- drag, viket tyder på att behandling inom Tullverket generellt kommer att pågå under en längre tid än vad som är tillåtet enligt dagens be- stämmelser. Uppgifterna som Tullverket behandlar gäller dock nästan uteslutande ekonomiska uppgifter och uppgifter om affärsförhållan- den och i begränsad del fysiska personers personliga förhållanden.87 De är därför generellt mindre integritetskänsliga. Uppgifterna be-

86Artikel 39.1 b i dataskyddsförordningen.

87Jfr prop. 2015/16:79, En ny tullag, s. 161.

892

SOU 2023:100

Gallring och längsta tid för behandling

handlas främst för att ligga till grund för fastställande och debitering av tullar och skatter, eller för att Tullverket ska kunna utföra sitt uppdrag att övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs. Mot den bak- grunden bedömer vi att det eventuella ökade integritetsintrång som en längre tids behandling medför vägs upp av det starka motstående intresset av att Sverige, genom Tullverket, uppfyller sina internatio- nella åtaganden och att nationella regler om in- och utförsel följs.

Den personuppgiftsansvariga myndigheten har också en skyldig- het enligt EU:s dataskyddsförordning att genomföra lämpliga tek- niska och organisatoriska åtgärder för att säkerställa att endast de uppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, vilket även gäller tiden för uppgifternas lagring.88 Det kan alltså komma att krävas att befintliga verksamhetssystem ändras i syfte att kunna tillgodose möjligheten till kontinuerliga be- dömningar, snarare än en fast tidsram.

Sammanfattningsvis syftar våra förslag till att anpassa regleringen av hur länge uppgifter får behandlas i verksamheterna till dataskydds- förordningen och de tekniska förutsättningar för personuppgifts- behandling som råder i dag. Mot det eventuella integritetsintrång för- slaget medför bör ställas myndigheternas behov av att kunna bedriva en ändamålsenlig verksamhet och att vårda sina arkiv i enlighet med arkivlagens bestämmelser. Förslagen möjliggör för myndigheterna att i högre utsträckning än i dag behandla personuppgifter i den utsträck- ning det är nödvändigt för att utföra sina respektive verksamheter i en helt digitaliserad informationshanteringsmiljö. Genom att princi- pen om lagringsminimering motsvaras av en bestämmelse i de nya datalagarna tydliggörs att det är den materiella och processuella regler- ingen av myndigheternas verksamheter som sätter ramarna för den personuppgiftsbehandling som myndigheterna kan utföra. Förslaget ger ett tydligare och mer överskådligt regelverk som blir både enklare att tillämpa och mer tydligt för den registrerade. Den föreslagna regleringen kan också förväntas bidra till att myndigheterna kan be- driva sin verksamhet på ett effektivare sätt.

Förslaget möjliggör också för myndigheterna att i högre utsträck- ning än i dag vårda sina arkiv utan att Riksarkivet först måste ha med- delat föreskrifter eller beslut om undantag från tvingande gallrings- bestämmelser. Det kan komma att innebära att fler uppgifter än i dag

88Artikel 25.2 i dataskyddsförordningen.

893

Statens offentliga utredningar 2023

Kronologisk förteckning

1.Skärpta straff för flerfaldig brottslig- het. Ju.

2.En inre marknad för digitala tjänster

–ansvarsfördelning mellan myndig- heter. Fi.

3.Nya regler om nödlidande kreditavtal och inkassoverksamhet. Ju.

4.Posttjänst för hela slanten. Finansieringsmodeller för framtidens samhällsomfattande posttjänst. Fi.

5.Från delar till helhet. Tvångsvården som en del av en sammanhållen och personcentrerad vårdkedja. S.

6.En lag om tilläggsskatt för företag i stora koncerner. Fi.

7.På egna ben.

Utvecklad samverkan för individers etablering på arbetsmarknaden. A.

8.Arbetslivskriminalitet – arbetet

i Sverige, en bedömning av omfatt- ningen, lärdomar från Danmark och Finland. A.

9.Ett statligt huvudmannaskap för personlig assistans.

Ökad likvärdighet, långsiktighet och kvalitet. S.

10.Tandvårdens stöd till våldsutsatta patienter. S.

11.Tillfälligt miljötillstånd för samhällsviktig verksamhet

–för ökad försörjningsberedskap. KN.

12.Förstärkt skydd för demokratin och domstolarnas oberoende. Ju.

13.Patientöversikter inom EES och Sverige. S.

14.Organisera för hållbar utveckling. KN.

15.Förnybart i tanken. Ett styrmedels- förslag för en stärkt bioekonomi. LI.

16.Staten och betalningarna. Del 1 och 2. Fi.

17.En tydligare bestämmelse om hets mot folkgrupp. Ju.

18.Värdet av vinden. Kompensation, incitament och planering för

en hållbar fortsatt utbyggnad av vindkraften. Del 1 och 2. KN.

19.Statlig forskningsfinansiering. Underlagsrapporter. U.

20.Förbud mot bottentrålning i marina skyddade områden. LI.

21.Informationsförsörjning på skolområdet. Skolverkets ansvar. U.

22.Datalagring och åtkomst till elektronisk information. Ju.

23.Ett modernare socialförsäkringsskydd för gravida. S.

24.Etablering för fler – jämställda möjlig- heter till integration. A.

25.Kunskapskrav för permanent uppe- hållstillstånd. Ju.

26.Översyn av entreprenörsansvaret. A.

27.Kamerabevakning för ett bättre djur- skydd. LI.

28.Samhället mot skolattacker. U.

29.Varje rörelse räknas – hur skapar vi ett samhälle som främjar fysisk aktivitet? S.

30.Ett trygghetssystem för alla. Nytt regelverk för sjukpenninggrundande inkomst. S.

31.Framtidens yrkeshögskola

– stabil, effektiv och hållbar. U.

32.Biometri – för en effektivare brottsbekämpning. Ju.

33.Ett förbättrat resegarantisystem. Fi.

34.Bolag och brott – några åtgärder mot oseriösa företag. Ju.

35.Nya regler om hållbarhetsredovisning. Ju.

36.Genomförande av minimilöne- direktivet. A.

37.Förstärkt skydd för den personliga integriteten. Behovet av åtgärder mot oskuldskontroller, oskuldsintyg och oskuldsingrepp samt omvändelseför- sök. Ju.

38.Ett förstärkt konsumentskydd mot riskfylld kreditgivning och överskuldsättning. Fi.

39.En inre marknad för digitala tjänster

–kompletteringar och ändringar i svensk rätt. Fi.

40.Förbättrade möjligheter för barn att utkräva sina rättigheter enligt barn- konventionen. S.

41.Förutsättningarna för en ny kollektiv- avtalad arbetslöshetsförsäkring. A.

42.Ett modernare regelverk för legalise- ringar, apostille och andra former av intyganden. UD.

43.En samordnad registerkontroll för upphandlande myndigheter och enheter. Fi.

44.En översyn av regleringen om frihets- berövande påföljder för unga. Ju.

45.Övergångsrestriktioner

–ökat förtroende för offentlig verk- samhet. Fi.

46.Jakt och fiske i renbetesland. LI.

47.En utvecklad arbetsgivardeklaration

–åtgärder mot missbruk av välfärdssystemen. Fi.

48.Rätt förutsättningar för sjukskriv- ning. S.

49.Skyddet för EU:s finansiella intressen. Ändringar och kompletteringar i svensk rätt. Fi.

50.En modell för svensk försörjnings- beredskap. Fö.

51.Signalspaning i försvars- underrättelseverksamhet

–frågor med anledning

av Europadomstolens dom. Fö.

52.Ett stärkt och samlat skydd av välfärdssystemen. S.

53.En ändamålsenlig arbetsskadeförsäk- ring – för bättre ekonomisk trygghet, kunskap och rättssäkerhet. Volym 1 och 2. S.

54.Centraliseringen av administrativa tjänster till Statens servicecenter

–en utvärdering. Fi.

55.Vem äger fastigheten. Ju.

56.Några smittskyddsfrågor inom social- tjänsten och socialförsäkringen. S.

57.Åtgärder för tryggare bostadsområden. Ju.

58.Kultursamhället – utvecklad sam- verkan mellan stat, region och kommun. Ku.

59.Ny myndighetsstruktur för finansiering av forskning och innovation. U.

60.Utökade möjligheter att använda preventiva tvångsmedel 2. Ju.

61.En säker och tillgänglig statlig e-legitimation. Fi.

62.Vi kan bättre!

Kunskapsbaserad narkotikapolitik med liv och hälsa i fokus. S.

63.Sveriges säkerhet i etern. Ku.

64.Ett förändrat regelverk för framtidens el- och gasnät. KN.

65.Bättre information om hyresbostäder. Kartläggning av andrahands- marknaden och ett förbättrat lägen- hetsregister. LI.

66.För barn och unga i samhällsvård. S.

67.Anonyma vittnen. Ju.

68.Som om vi aldrig funnits

–exkludering och assimilering av

tornedalingar,kväner och lantalaiset. Aivan ko meitä ei olis ollukhaan

–eksklyteerinki ja assimileerinki tornionlaaksolaisista, kväänistä ja lantalaisista. Slutbetänkande.

Som om vi aldrig funnits. Vår sanning och verklighet. Aivan ko meitä ei olis ollukhaan. Meän tottuus ja toelisuus. Intervjuberättelser.

Som om vi aldrig funnits.

Tolv tematiska forskarrapporter. Aivan ko meitä ei olis ollukhaan. Kakstoista temattista tutkintoraporttia. Forskarrapporter. Ku.

69.Ökat informationsflöde till brottsbekämpningen. En ny huvud- regel. Ju.

70.Ordning och reda – förstärkt och tillförlitlig byggkontroll. LI.

71.Speciallivsmedel till barn inom öppen hälso- och sjukvård. S.

72.En enklare hantering av vattenfrågor vid planläggning och byggande. LI.

73.Genomförandet av vaccineringen mot sjukdomen covid-19 – en utvärdering. S.

74.Förenklade förutsättningar för ett hållbart vattenbruk. LI.

75.Stärkt konstitutionell beredskap. Ju.

76.Vidareanvändning av hälsodata för vård och klinisk forskning. S.

77.Behörig myndighet enligt EU:s avskogningsförordning. LI.

78.Hemlig dataavläsning – utvärdering och permanent lagstiftning. Ju.

79.Arbetsrätten under krig och krigsfara. A.

80.Ett starkare straffrättsligt skydd– mot sexuella kränkningar, bedrägerier

ivissa fall och brott med hatmotiv avseende kön. Ju.

81.Ett enklare bilstöd. S.

82.Ökad kontroll över tandvårdssektorn. S.

83.Samordnat juridiskt stöd och vägledning för hälso-

och sjukvårdens digitalisering. S.

84.En hållbar bioekonomistrategi

– för ett välmående fossilfritt samhälle. LI.

85.Långtidsutredningen 2023. Finans politisk konjunkturstabilisering. Huvudbetänkande. Fi.

86.Trends in GDP Growth and its Driving Factors. Bilaga 1 till Långtids utredningen 2023. Fi.

87.Drivkrafter bakom globala trender

iden neutrala räntan. Bilaga 2 till Långtidsutredningen 2023. Fi.

88.Ränte-tillväxt-differensen – utveck- ling och drivkrafter. Bilaga 3 till Långtidsutredningen 2023. Fi.

89.Makrotillsynsregleringar och finan- siell stabilitet. Bilaga 4 till Långtids utredningen 2023. Fi.

90.Samspelet mellan finans- och penningpolitik i Sverige. Bilaga 5 till Långtidsutredningen 2023. Fi.

91.Penning- och finanspolitisk konjunkturstabilisering. Bilaga 6 till Långtidsutredningen 2023. Fi.

92.Nytt ramverk för finanspolitiken. Bilaga 7 till Långtidsutredningen 2023. Fi.

93.Budgetprocessen i det finanspolitiska ramverket. Bilaga 8 till Långtids utredningen 2023. Fi.

94.Förändring genom försök. Försöksverksamhet i den kommunala sektorn. Fi.

95.Uppföljning för utveckling – ett hållbart system för samlad kunskap om villkoren för barn och elever med funktionsnedsättning i förskola och skola. U.

96.En reform för datadelning. Fi.

97.Ut ur utsatthet. A.

98.Sexuellt utnyttjande i pornografiska syften – våldsutsatthet som behöver synliggöras. Vol. 1 och 2: Forsknings- bilaga. A.

99.Nya tullrättsliga sanktioner och skärpta åtgärder mot utförsel av stöldgods. Fi.

100. Framtidens dataskydd. Vid Skatte verket, Tullverket och Kronofogden. Del 1 och 2. Fi.

Statens offentliga utredningar 2023

Systematisk förteckning

Arbetsmarknadsdepartementet

På egna ben.

Utvecklad samverkan för individers etablering på arbetsmarknaden. [7]

Arbetslivskriminalitet – arbetet i Sverige, en bedömning av omfattningen, lärdomar från Danmark och Finland. [8]

Etablering för fler – jämställda möjligheter till integration. [24]

Översyn av entreprenörsansvaret. [26]

Genomförande av minimilönedirektivet. [36]

Förutsättningarna för en ny kollektiv avtalad arbetslöshetsförsäkring. [41]

Arbetsrätten under krig och krigsfara. [79] Ut ur utsatthet. [97]

Sexuellt utnyttjande i pornografiska syften – våldsutsatthet som behöver synliggöras. Vol. 1 och 2: Forsknings- bilaga. [98]

Finansdepartementet

En inre marknad för digitala tjänster

–ansvarsfördelning mellan myndig- heter. [2]

Posttjänst för hela slanten. Finansieringsmodeller för framtidens samhällsomfattande posttjänst. [4]

En lag om tilläggsskatt för företag i stora koncerner. [6]

Staten och betalningarna. Del 1 och 2. [16] Ett förbättrat resegarantisystem. [33]

Ett förstärkt konsumentskydd mot riskfylld kreditgivning och överskuldsättning. [38]

En inre marknad för digitala tjänster - kompletteringar och ändringar

i svensk rätt. [39]

En samordnad registerkontroll för upphandlande myndigheter och enheter. [43]

Övergångsrestriktioner – ökat förtroende för offentlig verksamhet. [45]

En utvecklad arbetsgivardeklaration

–åtgärder mot missbruk av välfärdssystemen. [47]

Skyddet för EU:s finansiella intressen. Ändringar och kompletteringar

i svensk rätt. [49]

Centraliseringen av administrativa tjänster till Statens servicecenter

– en utvärdering. [54]

En säker och tillgänglig statlig e-legitimation. [61]

Långtidsutredningen 2023. Finanspolitisk konjunkturstabilisering. Huvudbetänkande. [85]

Trends in GDP Growth and its Driving Factors. Bilaga 1 till Långtids utredningen 2023. [86]

Drivkrafter bakom globala trender i den neutrala räntan. Bilaga 2 till Långtids utredningen 2023. [87]

Ränte-tillväxt-differensen – utveckling och drivkrafter. Bilaga 3 till Långtids utredningen 2023. [88]

Makrotillsynsregleringar och finansiell stabilitet. Bilaga 4 till Långtids utredningen 2023. [89]

Samspelet mellan finans- och penning politik i Sverige. Bilaga 5 till Långtids utredningen 2023. [90]

Penning- och finanspolitisk konjunktur stabilisering. Bilaga 6 till Långtids utredningen 2023. [91]

Nytt ramverk för finanspolitiken. Bilaga 7 till Långtidsutredningen 2023. [92]

Budgetprocessen i det finanspolitiska ramverket. Bilaga 8 till Långtids utredningen 2023. [93]

Förändring genom försök. Försöksverksamhet i den kommunala sektorn. [94]

En reform för datadelning. [96]

Nya tullrättsliga sanktioner och skärpta åtgärder mot utförsel av stöldgods. [99]

Framtidens dataskydd. Vid Skatteverket, Tullverket och Kronofogden.

Del 1 och 2. [100]

Försvarsdepartementet

En modell för svensk försörjnings- beredskap. [50]

Signalspaning i försvars- underrättelseverksamhet

– frågor med anledning

av Europadomstolens dom. [51]

Justitiedepartementet

Skärpta straff för flerfaldig brottslighet. [1]

Nya regler om nödlidande kreditavtal och inkassoverksamhet. [3]

Förstärkt skydd för demokratin och domstolarnas oberoende. [12]

En tydligare bestämmelse om hets mot folkgrupp. [17]

Datalagring och åtkomst till elektronisk information. [22]

Kunskapskrav för permanent uppehålls- tillstånd. [25]

Biometri – för en effektivare brottsbekämpning. [32]

Bolag och brott – några åtgärder mot oseriösa företag. [34]

Nya regler om hållbarhetsredovisning. [35]

Förstärkt skydd för den personliga integriteten. Behovet av åtgärder mot oskuldskontroller, oskuldsintyg och oskuldsingrepp samt omvändelse- försök. [37]

En översyn av regleringen om frihets- berövande påföljder för unga. [44]

Vem äger fastigheten. [55]

Åtgärder för tryggare bostadsområden. [57]

Utökade möjligheter att använda preventiva tvångsmedel 2. [60]

Anonyma vittnen. [67]

Ökat informationsflöde till brottsbekämpningen. En ny huvudregel. [69]

Stärkt konstitutionell beredskap. [75]

Hemlig dataavläsning – utvärdering och permanent lagstiftning. [78]

Ett starkare straffrättsligt skydd– mot sexuella kränkningar, bedrägerier i vissa fall och brott med hatmotiv avseende kön. [80]

Klimat- och näringslivsdepartementet

Tillfälligt miljötillstånd för samhällsviktig verksamhet

–för ökad försörjningsberedskap. [11] Organisera för hållbar utveckling. [14]

Värdet av vinden. Kompensation, incitament och planering för en hållbar fortsatt utbyggnad av vindkraften. Del 1 och 2. [18]

Ett förändrat regelverk för framtidens el- och gasnät. [64]

Kulturdepartementet

Kultursamhället – utvecklad samverkan mellan stat, region och kommun. [58]

Sveriges säkerhet i etern. [63] Som om vi aldrig funnits

–exkludering och assimilering av

tornedalingar,kväner och lantalaiset. Aivan ko meitä ei olis ollukhaan

–eksklyteerinki ja assimileerinki tornionlaaksolaisista, kväänistä ja lantalaisista. Slutbetänkande.

Som om vi aldrig funnits. Vår sanning och verklighet. Aivan ko meitä ei olis ollukhaan. Meän tottuus ja toelisuus.

Intervjuberättelser.

Som om vi aldrig funnits.

Tolv tematiska forskarrapporter. Aivan ko meitä ei olis ollukhaan.

Kakstoista temattista tutkintoraporttia. Forskarrapporter. [68]

Landsbygds- och infrastrukturdepartementet

Förnybart i tanken. Ett styrmedelsförslag för en stärkt bioekonomi. [15]

Förbud mot bottentrålning i marina skyddade områden. [20]

Kamerabevakning för ett bättre djurskydd. [27]

Jakt och fiske i renbetesland. [46]

Bättre information om hyresbostäder. Kartläggning av andrahands- marknaden och ett förbättrat lägen- hetsregister. [65]

Ordning och reda – förstärkt och tillförlit- lig byggkontroll. [70]

En enklare hantering av vattenfrågor vid planläggning och byggande. [72]

Förenklade förutsättningar

för ett hållbart vattenbruk. [74]

Behörig myndighet enligt EU:s avskogningsförordning. [77]

En hållbar bioekonomistrategi.

–för ett välmående fossilfritt samhälle. [84]

Socialdepartementet

Från delar till helhet. Tvångsvården som en del av en sammanhållen och personcentrerad vårdkedja. [5]

Ett statligt huvudmannaskap för personlig assistans.

Ökad likvärdighet, långsiktighet och kvalitet. [9]

Tandvårdens stöd till våldsutsatta patienter. [10]

Patientöversikter inom EES och Sverige. [13]

Ett modernare socialförsäkringsskydd för gravida. [23]

Varje rörelse räknas – hur skapar vi ett samhälle som främjar fysisk aktivitet? [29]

Ett trygghetssystem för alla. Nytt regelverk för sjukpenninggrundande inkomst. [30]

Förbättrade möjligheter för barn att utkräva sina rättigheter enligt barn- konventionen. [40]

Rätt förutsättningar för sjukskrivning. [48]

Ett stärkt och samlat skydd av välfärdssystemen. [52]

En ändamålsenlig arbetsskadeförsäkring

–för bättre ekonomisk trygghet, kunskap och rättssäkerhet. Volym 1 och 2. [53]

Några smittskyddsfrågor inom social tjänsten och socialförsäkringen. [56]

Vi kan bättre!

Kunskapsbaserad narkotikapolitik med liv och hälsa i fokus. [62]

För barn och unga i samhällsvård. [66]

Speciallivsmedel till barn inom öppen hälso- och sjukvård. [71]

Genomförandet av vaccineringen mot sjukdomen covid-19 – en utvärdering. [73]

Vidareanvändning av hälsodata för vård och klinisk forskning. [76]

Ett enklare bilstöd. [81]

Ökad kontroll över tandvårdssektorn. [82]

Samordnat juridiskt stöd och vägledning för hälso-

och sjukvårdens digitalisering. [83]

Utbildningsdepartementet

Statlig forskningsfinansiering. Underlagsrapporter. [19]

Informationsförsörjning på skolområdet. Skolverkets ansvar. [21]

Samhället mot skolattacker. [28]

Framtidens yrkeshögskola

– stabil, effektiv och hållbar. [31]

Ny myndighetsstruktur för finansiering av forskning och innovation. [59]

Uppföljning för utveckling – ett håll- bart system för samlad kunskap om villkoren för barn och elever med funktionsnedsättning i förskola och skola. [95]

Utrikesdepartementet

Ett modernare regelverk för legaliseringar, apostille och andra former av intygan- den. [42]

borgenärsuppgifter ...............................................................	215
1.56 Förslag till förordning om ändring i förordningen
(2008:892) om europeiskt betalningsföreläggande................	216

10.9.5 De förändrade sökbegränsningarna innebär
att behandlingen fortsatt är proportionerlig ........	737
10.10 Behandling av personnummer och samordningsnummer
behöver inte regleras särskilt ..................................................	739

Del 1
Sammanfattning ................................................................		27
Summary ..........................................................................		49
1	Författningsförslag.....................................................	71
1.1	Förslag till beskattningsdatalag..............................................	71
1.2	Förslag till folkbokföringsdatalag..........................................	76
1.3	Förslag till tulldatalag .............................................................	80
1.4	Förslag till kronofogdedatalag ...............................................	84
1.5	Förslag till lag om det statliga personadressregistret............	89
1.6	Förslag till lag om dataskydd i Skatteverkets
	äktenskapsregister- och bouppteckningsverksamheter........	93

	(1991:481)..............................................................................	100
1.10	Förslag till lag om ändring i lagen (1991:483)
	om fingerade personuppgifter..............................................	104
1.11	Förslag till lag om ändring i sametingslagen
	(1992:1433)............................................................................	105

1.12	Förslag till lag om ändring i lagen (1994:692)
	om kommunala folkomröstningar.......................................	106
1.13	Förslag till lag om ändring i lagen (1994:1776)
	om skatt på energi ................................................................	107
1.14	Förslag till lag om ändring i lagen (1995:439)
	om beskattning, förtullning och folkbokföring
	under krig eller krigsfara m.m..............................................	109
1.15	Förslag till lag om ändring i lagen (1999:291)
	om avgift till registrerat trossamfund..................................	111
1.16	Förslag till lag om ändring i studiestödslagen
	(1999:1395) ...........................................................................	112
1.17	Förslag till lag om ändring i vallagen (2005:837) ................	114

	vid 2006–2008 års taxeringar................................................	117
1.19	Förslag till lag om ändring i lagen (2006:939)
	om kvalificerade skyddsidentiteter......................................	118
1.20	Förslag till lag om ändring i offentlighets-
	och sekretesslagen (2009:400) .............................................	120
1.21	Förslag till lag om ändring i skatteförfarandelagen
	(2011:1244) ...........................................................................	130
1.22	Förslag till lag om ändring i lagen (2014:1470)
	om beskattning av viss privatinförsel av cigaretter..............	131
1.23	Förslag till lag om ändring i tullagen (2016:253).................	133
1.24	Förslag till lag om ändring i kommunallagen (2017:725) ..	134
1.25	Förslag till lag om ändring i lagen (2018:1696)
	om Skatteverkets behandling av personuppgifter inom
	brottsdatalagens område ......................................................	135
1.26	Förslag till lag om ändring i lagen (2022:155)
	om tobaksskatt .....................................................................	136

SOU 2023:100		Innehåll
1.27	Förslag till lag om ändring i lagen (2022:156)
	om alkoholskatt.....................................................................	138
1.28	Förslag till lag om ändring i lagen (2022:856)
	om omställningsstudiestöd...................................................	140
1.29	Förslag till lag om ändring i lagen (2022:1697)
	om samordningsnummer......................................................	141
1.30	Förslag till beskattningsdataförordning ..............................	143
1.31	Förslag till folkbokföringsdataförordning ..........................	145
1.32	Förslag till tulldataförordning..............................................	147
1.33	Förslag till kronofogdedataförordning................................	149
1.34	Förslag till förordning om det statliga
	personadressregistret ............................................................	151
1.35	Förslag till förordning om dataskydd i Skatteverkets
	äktenskapsregister- och bouppteckningsverksamheter......	157
1.36	Förslag till förordning om utlämnande av uppgifter
	från Skatteverkets beskattningsverksamhet ........................	159
1.37	Förslag till förordning om utlämnande av uppgifter
	från Skatteverkets folkbokföringsverksamhet ....................	178
1.38	Förslag till förordning om utlämnande av uppgifter
	från Tullverket.......................................................................	182
1.39	Förslag till förordning om utlämnande av uppgifter
	från Kronofogdemyndigheten .............................................	186
1.40	Förslag till förordning om ändring i kungörelsen
	(1950:431) med vissa föreskrifter angående taxering
	och debitering av skatt vid ändring i kommunal
	indelning, m.m. .....................................................................	189
1.41	Förslag till förordning om ändring i förordningen
	(1967:502) om utdrag ur folkbokföringsdatabasen
	för utredning om brott .........................................................	190
1.42	Förslag till förordning om ändring i
	bötesverkställighetsförordningen (1979:197) .....................	191

1.43	Förslag till förordning om ändring
	i utsökningsförordningen (1981:981) .................................	193
1.44	Förslag till förordning om ändring i förordningen
	(1984:692) om det allmänna företagsregistret ....................	195
1.45	Förslag till förordning om ändring i förordningen
	(1990:320) om ömsesidig handräckning i skatteärenden... 198

	flyktingmottagande m.m......................................................	199
1.47	Förslag till förordning om ändring
	i folkbokföringsförordningen (1991:749)...........................	200
1.48	Förslag till förordning om ändring i förordningen
	(1991:1339) om betalningsföreläggande och handräckning .. 201
1.49	Förslag till förordning om ändring
	i bostadsbidragsförordningen (1993:739)...........................	203
1.50	Förslag till förordning om ändring
	i fastighetstaxeringsförordningen (1993:1199) ..................	204
1.51	Förslag till förordning om ändring
	i indrivningsförordningen (1993:1229)...............................	206
1.52	Förslag till förordning om ändring i förordningen
	(1995:238) om totalförsvarsplikt.........................................	208
1.53	Förslag till förordning om ändring i förordningen
	(2000:308) om fastighetsregister .........................................	209
1.54	Förslag till förordning om ändring i förordningen
	(2003:766) om behandling av personuppgifter inom
	socialförsäkringens administration......................................	212

SOU 2023:100		Innehåll
1.57	Förslag till förordning om ändring i förordningen
	(2009:602) med instruktion för Inspektionen för
	socialförsäkringen .................................................................	218
1.58	Förslag till förordning om ändring i offentlighets-
	och sekretessförordningen (2009:641)................................	219

	vissa utlänningar....................................................................	221
1.60	Förslag till förordning om ändring
	i skatteförfarandeförordningen (2011:1261).......................	222
1.61	Förslag till förordning om ändring i förordningen
	(2012:873) om beredskapslagring av olja ............................	223
1.62	Förslag till förordning om ändring i förordningen
	(2015:493) om distrikt..........................................................	224
1.63	Förslag till förordning om ändring i förordningen
	(2015:904) om identitetskort för folkbokförda i Sverige... 225
1.64	Förslag till förordning om ändring
	i skuldsaneringsförordningen (2016:689)............................	226
1.65	Förslag till förordning om ändring i förordningen
	(2017:154) med instruktion för Skatteverket .....................	227
1.66	Förslag till förordning om ändring i förordningen
	(2018:759) om ekonomiska föreningar ...............................	229
1.67	Förslag till förordning om ändring
	i vägtrafikdataförordningen (2019:382) ..............................	230
1.68	Förslag till förordning om ändring i förordningen
	(2019:383) om fordons registrering och användning .........	231
1.69	Förslag till förordning om ändring i förordningen
	(2022:807) om statlig ersättning för arbete
	i etableringsjobb ....................................................................	232
1.70	Förslag till förordning om ändring i förordningen
	(2023:363) om samordningsnummer ..................................	233

2	Utredningens uppdrag och arbete ..............................	235
2.1	Utredningens uppdrag .........................................................	235
2.2	Utredningens arbete.............................................................	237
2.3	Avgränsningar.......................................................................	238

	med utredningen...................................................................		239
	2.4.1	Utbetalningsmyndigheten ....................................	239
	2.4.2	Skatteverkets folkbokföringsverksamhet ............	240
2.5	Betänkandets disposition .....................................................		241
3	Gällande rätt – dataskydd och sekretess .....................		243
3.1	Inledning ...............................................................................		243
3.2	Den personliga integriteten och dataskydd ........................		244
	3.2.1	FN:s allmänna förklaring och konvention ..........	244

	rättigheterna ..........................................................	246
3.2.4	Regeringsformen ...................................................	246
3.2.5	EU:s dataskyddsförordning .................................	247
3.2.6	Dataskyddslagen ...................................................	260
3.2.7	Särskilda nationella registerförfattningar ............	264

	Kronofogdemyndighetens
	registerförfattningar..............................................	266
3.3 Sekretess och tystnadsplikt..................................................		282
3.3.1	Allmänna handlingar hos myndigheterna............	282
3.3.2	Allmänt om sekretess och tystnadsplikt..............	283

	myndighet..............................................................	289
3.3.4	Sekretess inom Skatteverket.................................	291
3.3.5	Sekretess inom Tullverket ....................................	296

	3.3.6	Sekretess inom Kronofogdemyndigheten............	297
	3.3.7	Sekretess inom de brottsbekämpande
		verksamheterna ......................................................	301
4	Myndigheternas verksamheter...................................		303
4.1	Skatteverket...........................................................................		303
4.2	Tullverket ..............................................................................		310
4.3	Kronofogdemyndigheten .....................................................		314
5	Utgångspunkter för en modern och ändamålsenlig
	kompletterande dataskyddsreglering..........................		319

	primära rättskällan i dataskyddsfrågor .................	323
5.2.3	Dataskyddsförordningens dubbla syfte ...............	328

		dataskyddslagen .....................................................	329
	5.2.5	Teknikneutral reglering.........................................	331
	5.2.6	En renodlad dataskyddsreglering .........................	335
	5.2.7	Enbart det som behöver regleras ska regleras......	337
6	Nya lagar om dataskydd vid Skatteverket, Tullverket
	och Kronofogdemyndigheten.....................................		341
6.1	Inledning................................................................................		341
6.2	Gällande lagar ska upphävas och ersättas av nya.................		341
6.3	Lagarnas namn.......................................................................		357
6.4	Gällande förordningar ska upphävas och ersättas av nya....		358

7	Allmänna bestämmelser om personuppgiftsbehandling .. 363
7.1	Inledning ...............................................................................		363
7.2	Lagarnas syfte .......................................................................		364
7.3	Definitioner ..........................................................................		365
7.4	Lagarnas tillämpningsområden ............................................		367
	7.4.1	Lagarnas allmänna tillämpningsområden.............	367
	7.4.2	Uppgifter om juridiska personer..........................	370
	7.4.3	Uppgifter om avlidna personer ............................	374

	gemensamma informationssystem .......................	378
7.4.5	Beskattningsdatalagens tillämpningsområde.......	386

7.4.7	Tulldatalagens tillämpningsområde .....................	405
7.4.8	Kronofogdedatalagens tillämpningsområde........	411
7.5 Lagarnas förhållande till annan reglering ............................		422

kvarstadsförordning ..............................................	423
7.6 Personuppgiftsansvar ...........................................................	425

		inte regleras i folkbokföringsdatalagen................	429
7.7	Tillgången till personuppgifter ............................................		435
7.8	Enskildas rättigheter.............................................................		439
	7.8.1	Rätten att göra invändningar ska inte gälla..........	439

		beskattningsverksamhet .......................................	442
	7.8.3	Rättelse och överklagande vid
		Kronofogdemyndigheten .....................................	448
8	Ändamålsbestämmelser............................................		465
8.1	Inledning ...............................................................................		465

SOU 2023:100	Innehåll
8.2 Allmänt om ändamålsbestämmelser ....................................	466

Tullverket och Kronofogdemyndigheten............................		478
8.3.1	Bakgrund ................................................................	478

	folkbokföringsverksamhet ....................................	489
8.3.4	Befintliga ändamål för
	beskattningsverksamheten ....................................	489

	folkbokföringsverksamheten ................................	492
8.3.6	Befintliga ändamål för Tullverket .........................	493
8.3.7	Befintliga ändamål för
	Kronofogdemyndighetens databaser....................	494

ändamålsreglering ..................................................	498
8.4 Överväganden och förslag ....................................................	503

	ändamål...................................................................	505
8.4.3	En brett formulerad ändamålsbestämmelse .........	508
8.4.4	Sekundära ändamålsbestämmelser........................	519
8.4.5	Finalitetsprincipen.................................................	521
8.4.6	Finalitetsprincipen och databasregleringen .........	526
8.4.7	Reglering av vidarebehandling? ............................	542

	ändamålsbegränsning.............................................	543
8.4.9	Skyddet för den personliga integriteten...............	550