Framtidens dataskydd
Vid Skatteverket, Tullverket och Kronofogden
Del 2
Betänkande av Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden
Stockholm 2023
SOU 2023:100
SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2021:1.
Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck och remisshantering: Elanders Sverige AB, Stockholm 2023
ISBN
ISBN
ISSN
13Ny reglering av uppgiftslämnande
13.1Inledning
De registerförfattningar som omfattas av vår översyn innehåller sekretessbrytande bestämmelser som möjliggör utlämnande av sekre- tessreglerade uppgifter från de berörda verksamheterna. Enligt våra direktiv finns det skäl att ta ställning till om denna reglering är väl avvägd eller om det finns behov av förändringar. I vårt uppdrag ingår dock inte i huvudsak att föreslå ändringar kring omfattningen av det nuvarande informationsutbytet.
I direktiven anges att särskilt för Skatteverkets beskattningsverk- samhet finns det ett stort antal bestämmelser om utlämnande till andra myndigheter och andra organ med delvis olika utformning. Enligt direktiven finns det därför anledning att se över bl.a. dessa bestäm- melser med utgångspunkten att skapa en mer enhetlig reglering. Even- tuella förslag om sekretessbrytande uppgiftsskyldigheter eller utök- ning av sådana förutsätter att integritetsaspekten har beaktats och att en bedömning gjorts av om behovet av utökad tillgång till infor- mation väger tyngre än behovet av skydd för den personliga integri- teten. Vårt uppdrag består alltså i att ta ställning till om regleringen av utlämnande av uppgifter är väl avvägd, särskilt avseende hur den är utformad, eller om det finns behov av förändringar, varvid beho- vet av skydd för den personliga integriteten ska beaktas.
I detta kapitel redogör vi för generella aspekter av informations- utbyte mellan myndigheter och uppgiftslämnande till enskilda samt vissa generella bestämmelser om uppgiftsskyldighet. Frågor som rör olika former av elektroniskt utlämnande behandlas dock särskilt i kapitel 11. I detta kapitel redogör vi även för hur de befintliga be- stämmelserna i Skatteverkets, Tullverkets och Kronofogdemyndig- hetens respektive registerförfattningar är utformade, samt översikt-
895
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
ligt bakgrunden till nuvarande bestämmelser. Slutligen redogör vi för våra överväganden avseende vilka förändringsbehov som före- ligger, och lämnar förslag på ny reglering. De förslag som lämnas avser Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverkets verksamhet samt Kronofogdemyndighetens verksamhet. Skatteverkets
13.2Utlämnande av uppgifter
13.2.1Allmänt om informationsutbyte
Alla myndigheter är beroende av att ha tillgång till den information som är avgörande för riktigheten i beslut eller för att olika uppgifter ska kunna utföras. Uppgifter som är av betydelse för myndigheters beslutsfattande m.m. finns ofta hos fysiska eller juridiska personer. Enskilda har därför i många situationer en långtgående uppgiftsskyl- dighet till myndigheterna och i vissa fall även en skyldighet att bevara visst underlag för att möjliggöra efterhandskontroller. Exempel på detta är bl.a. avdelning VI i skatteförfarandelagen (2011:1244) som behandlar kontrolluppgifter, deklarationer och övriga uppgifter, av- delning VII i samma lag om dokumentationsskyldighet, 1 kap. 12 § tullagen (2016:253) om bevarande av uppgifter, 5 kap. tullagen som behandlar överträdelser och sanktioner vid bl.a. underlåtenhet att full- göra uppgiftsskyldighet och 4 kap.
Den information som behövs för att en myndighet ska kunna ut- föra sina uppgifter finns dock ofta hos en annan myndighet. Utläm- nande av uppgifter från en myndighet till en annan kan vara en för- utsättning för att den mottagande myndigheten ska kunna få det underlag som behövs för att kunna fatta korrekta beslut. Informa- tionsutbyte mellan myndigheter kan också bidra till att förenkla för enskilda, genom att de inte behöver förse en myndighet med uppgif- ter som redan lämnats till en annan myndighet, eller visa upp beslut som en annan myndighet redan har fattat. Möjligheten att utbyta upp- gifter utgör därför en viktig förutsättning för att myndigheter ska kunna fullgöra sina uppgifter och för en fungerande samverkan mellan myndigheter i övrigt.
896
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Offentlighetsprincipen innebär att allmänheten ska ha insyn i statens och kommunernas verksamhet. Principen kommer bl.a. till uttryck genom rätten att ta del av allmänna handlingar, som regleras i 2 kap. tryckfrihetsförordningen, TF. Genom offentlighetsprincipen ges enskilda rätt att ta del av allmänna handlingar hos Skatteverket, Tullverket och Kronofogdemyndigheten. Offentlighetsprincipen inne- fattar dock inte någon rätt för myndigheter att ta del av allmänna handlingar. Det har ändå ansetts att offentlighetsprincipen ska till- ämpas även myndigheter emellan. Det har också sedan länge ansetts vara en självklar princip att alla myndigheter är skyldiga att samarbeta och bistå varandra i den utsträckning som det kan ske.1
I 6 kap. 5 § offentlighets- och sekretesslagen (2009:400), OSL, finns en bestämmelse som i offentlighets- och sekretesshänseende be- kräftar och möjliggör den samarbetsskyldighet som föreligger mellan myndigheter. Av bestämmelsen framgår att en myndighet på begär- an av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Något krav på att den efterfrågade uppgiften ska finnas i en allmän handling finns inte.2
Skyldigheten för myndigheter att samarbeta och bistå varandra framgår även av flera andra lagar och förordningar. Exempelvis anges i 8 § förvaltningslagen (2017:900) att en myndighet inom sitt verk- samhetsområde ska samverka med andra myndigheter och i 6 § myn- dighetsförordningen (2007:515) att en myndighet ska verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet.
13.2.2Uppgiftslämnande till myndigheter
Sekretess gäller mellan myndigheter
Uppgifter som behandlas av en myndighet skyddas ofta av bestäm- melser som anger att sekretess alltid eller under vissa förutsättningar råder för uppgifterna utanför det sammanhang där de behandlas. Sekretessbestämmelser begränsar i praktiken enskildas rätt att ta del
1SOU 2003:99, Ny sekretesslag, s. 222.
2Jfr 6 kap. 4 § OSL som anger att en myndighet på begäran av en enskild ska lämna uppgift ur en allmän handling [vår kursivering] som förvaras hos myndigheten, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
897
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
av allmänna handlingar.3 Sådana bestämmelser innebär också att myn- digheter inte kan lämna ut uppgifter fritt till varandra. Om en sekre- tessbestämmelse är tillämplig för en viss uppgift gäller alltså sekre- tessen såväl i förhållande till enskilda som i förhållande till andra offentliga aktörer (och andra självständiga verksamhetsgrenar hos myndigheten).4
I avsnitten
Det förekommer dock en mängd olika situationer när en myn- dighets intresse av att ta del av en sekretessbelagd uppgift hos en annan myndighet anses väga tyngre än det intresse som sekretessen ska skydda. Generella bestämmelser som anger att en myndighet får lämna information eller att myndigheter ska samarbeta räcker dock inte för att sekretessen ska brytas.
32 kap. 2 § TF.
48 kap.
527 kap. 1 och 2 §§ OSL.
622 kap. 1 § första stycket OSL.
722 kap. 1 § andra stycket OSL och 22 kap. 1 a samt 2 §§ OSL.
827 kap.
934 kap. OSL.
898
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Generella sekretsbrytande bestämmelser
I offentlighets- och sekretesslagen finns det vissa generella sekretess- brytande bestämmelser. De sekretessbrytande bestämmelser som gäller till förmån för myndigheter och är tillämpliga på sekretess en- ligt ett stort antal sekretessbestämmelser finns samlade i kapitel 10 i OSL. Två av de mest centrala generellt sekretessbrytande bestäm- melserna är följande.
Enligt 10 kap. 2 § OSL hindrar inte sekretess att en myndighet lämnar ut en uppgift om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sitt uppdrag. Bestämmelsen ska dock tolkas restriktivt och avsikten är inte att sekretessen ska kunna brytas enbart av effektivitetsskäl. Sekretessen får i stället brytas endast om det är en nödvändig förutsättning att en sekretessbelagd uppgift läm- nas ut för att den utlämnande myndigheten ska kunna fullgöra sina uppgifter.10
Enligt den s.k. generalklausulen i 10 kap. 27 § OSL får en sekretess- belagd uppgift lämnas till en myndighet, om det är uppenbart att in- tresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. En myndighet kan lämna sekretessbelagda uppgifter till en annan myndighet med tillämpning av generalklau- sulen på eget initiativ. Det krävs alltså inte att det finns en uttrycklig begäran från en annan myndighet.11 Generalklausulen möjliggör följ- aktligen informationsutbyte mellan myndigheter av uppgifter som omfattas av sekretess även i de fall då det saknas uttryckliga sekre- tessbrytande regler. Av bestämmelsens andra stycke framgår dock att uppgifter som omfattas av viss sekretess, som hälso- och sjukvårds- sekretessen och socialtjänstsekretessen, inte kan lämnas ut med stöd av generalklausulen. En förutsättning för att generalklausulen ska vara tillämplig är dessutom att det inte finns en specialreglering av upp- giftslämnandet i fråga i annan lag eller förordning. Generalklausulen är därmed subsidiär i förhållande till andra sekretessbrytande bestäm- melser och ska inte tillämpas i ett fall där någon annan sekretess- brytande bestämmelse kan tillämpas.
Av förarbetena till bestämmelsen framgår att det inte finns något hinder mot att utbyte av uppgifter sker rutinmässigt mellan myndig- heter och mellan olika verksamhetsgrenar inom en myndighet.
10Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 465.
11Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 327.
899
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Generalklausulen bygger dock på att ett rutinmässigt uppgiftsutbyte av sekretessbelagda uppgifter som utgångspunkt är särskilt författ- ningsreglerat. Endast i undantagsfall kan rutinmässigt uppgiftsläm- nande som inte är författningsreglerat anses tillräckligt motiverat.12 Regeringen har dock i samband med senare författningsändringar gjort bedömningen att det ofta inte är lämpligt att ett omfattande utlämnande av sekretessbelagda uppgifter sker enbart med stöd av den sekretessbrytande generalklausulen.13
Uppgiftsskyldigheter
Att uppgiftsskyldighet i lag eller förordning bryter sekretess i för- hållande till andra myndigheter framgår av 10 kap. 28 § OSL. För att sekretessbelagda uppgifter ska kunna lämnas ut från en myndighet till en annan, och om utlämnandet inte kan ske med stöd av någon generellt sekretessbrytande bestämmelse, måste det alltså föreligga en skyldighet i lag eller förordning att lämna ut uppgifterna. Något hinder mot att regeringen genom bestämmelser i en förordning med- ger att annars sekretessbelagda uppgifter lämnas mellan myndigheterna finns inte. För att en bestämmelse om uppgiftsskyldighet ska ha sekre- tessbrytande effekt krävs antingen att den föreskriver en skyldighet för en myndighet att lämna ut uppgifter till en annan myndighet eller att den föreskriver en rätt för en myndighet att ta del av uppgifter hos en annan myndighet.14
För att myndigheter ska få tillgång till den information de behö- ver för att utföra sina uppgifter, men som förvaras hos en annan myn- dighet, kan det krävas en särskild sekretessbrytande bestämmelse om uppgiftsskyldighet. Det finns ett stort antal bestämmelser som bryter sekretess mellan myndigheter, bl.a. i de nuvarande register- förordningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten. Vissa bestämmelser med den innebör- den finns även i registerförordningarna som är tillämpliga i Skatte- verkets folkbokföringsverksamhet och
12Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 327.
13Se t.ex. prop. 2015/16:65 Utlänningslag, s. 94 och prop. 2016/17:58 Uppgifter på individnivå i arbetsgivardeklarationen, s. 126.
14Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 71.
900
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
exempelvis lagen (2008:206) om underrättelseskyldighet vid felak- tiga utbetalningar från välfärdssystemen. Sekretessbrytande bestäm- melser kan även finnas i materiell reglering. Exempelvis föreskrivs i 42 a kap. 1 § skatteförfarandelagen (2011:1244), SFL, att uppgifter som en myndighet förfogar över och som behövs för kontroll eller be- slut enligt den lagen på Skatteverkets begäran ska lämnas till verket.
Uppgiftslämnande till utländsk myndighet
En svensk myndighet har i princip inte någon skyldighet att lämna uppgifter till utländsk myndighet eller en mellanfolklig organisation, oavsett om uppgifterna är sekretessbelagda eller inte, om inte en så- dan uppgiftsskyldighet är särskilt föreskriven.15 När det gäller utländ- ska myndigheter föreskrivs dock normalt sett inte uppgiftsskyldig- het utan att uppgifter får lämnas ut under vissa förutsättningar.16
En uppgift för vilken sekretess gäller får följaktligen inte lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnandet sker i enlighet med en särskild bestämmelse i för- fattning. Utlämnande får dock även ske om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas ut.17
13.2.3Uppgiftslämnande till enskilda
Om sekretess gäller för uppgifter som finns hos en myndighet, dvs. också för sådana uppgifter som finns i Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverkets verksamhet eller Kronofogdemyndighetens verksamhet, kan sekretessen brytas i för- hållande till en annan myndighet genom en bestämmelse om upp- giftsskyldighet i en annan lag än offentlighets- och sekretesslagen
15Konstitutionsutskottets betänkande 1982/83: 12, om ändringar sekretesslagen (1980:100), s. 36.
16Prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform,
178 kap. 3 § OSL.
18Prop. 1999/2000:126, En ny tullag, s. 272 och 283.
901
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
eller i förordning (10 kap. 28 § OSL). Detsamma gäller dock inte för utlämnande till enskilda.
För enskilda, dvs. fysiska eller juridiska personer utanför den offentliga förvaltningen, gäller i stället att sekretessen enbart kan brytas genom bestämmelse i offentlighets- och sekretesslagen, eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till, vilket framgår av 8 kap. 1 § OSL. Sekretess till skydd för en en- skild gäller dock som utgångspunkt inte i förhållande till den en- skilde själv (12 kap. 1 § OSL).
Av 27 kap. 7 § OSL följer att vissa sekretessbestämmelser som gäller inom Skatteverkets beskattningsverksamhet (bl.a. avseende upp- gifter i beskattningsdatabasen) inte hindrar att uppgift lämnas till en enskild enligt vad som föreskrivs i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabas- lagen (SdbL). Av samma lagrum framgår även att de sekretessbestäm- melser som gäller inom Tullverkets verksamhet inte hindrar att upp- gift lämnas till en enskild enligt vad som föreskrivs i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tull- databasförordningen (TDF). De bestämmelser i skattedatabaslagen respektive tulldatabasförordningen som särskilt avser uppgiftsläm- nande till enskilda bryter alltså förekommande sekretess.19 Bestämmel- ser om utlämnande till enskilda som finns i andra författningar är inte i sig sekretessbrytande. Det sagda gäller exempelvis bestämmelserna om utlämnande till enskilda på medium för automatiserad behand- ling som finns i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF) och lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL).
Ioffentlighets- och sekretesslagen hänvisas inte till Kronofogde- myndighetens registerförfattningar. Bestämmelser som rör utlämnande till enskilda och som finns i lagen (2001:184) om behandling av upp- gifter i Kronofogdemyndighetens verksamhet, kronofogdedatabas- lagen (KFMdbL) och förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedata- basförordningen (KFMdbF), har därmed inte en sekretessbrytande verkan.
I offentlighets- och sekretesslagen hänvisas inte heller till register- författningarna för folkbokföringsverksamheten. Följaktligen finns
192 kap. 5 § SdbL och 7 § TDF.
902
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
det inga bestämmelser i lagen (2001:182) om behandling av person- uppgifter i Skatteverkets folkbokföringsverksamhet, folkbokförings- databaslagen (FdbL), eller förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folk- bokföringsdatabasförordningen (FdbF), som bryter eventuell sekre- tess i förhållande till enskilda.
13.2.4Uppgiftslämnande och den allmänna dataskyddsregleringen
I avsnitt 3.2.5 har vi redogjort för de grundläggande principerna för behandling av personuppgifter enligt EU:s dataskyddsförordning20 och den allmänna dataskyddsregleringen i övrigt. Hantering i form av överföring och mottagande av personuppgifter som aktualiseras vid olika informationsutbyten är en form av behandling enligt data- skyddsförordningen. Den allmänna dataskyddsregleringen är därför tillämplig vid sådant informationsutbyte mellan myndigheter, eller mellan myndigheter och enskilda, som inbegriper personuppgifter.21 Det innebär bl.a. att det måste finnas en rättslig grund för den be- handling som informationsutbytet innebär, att utbytet inte får avse fler uppgifter än vad som är nödvändigt med hänsyn till ändamålet och att tekniska och organisatoriska åtgärder ska vidtas för att minska de risker för den personliga integriteten som behandlingen innebär. För att uppgifter ska få utbytas krävs dock inte bara att informa- tionsutbytet sker i enlighet med gällande regelverk om dataskydd. Som framgår i avsnitten ovan måste det även vara förenligt med tillämp- liga bestämmelser om sekretess. De sekretessbrytande bestämmelser som anger att uppgifter får eller ska lämnas ut utgör en rättslig grund för behandling av personuppgifter genom utlämnande.
Uppgiftslämnande och finalitetsprincipen
Ett uppgiftslämnande från en myndighet till en annan, eller till en en- skild, utgör i normalfallet en vidarebehandling av tidigare insamlade uppgifter. Vidarebehandlingen sker i dessa fall ofta för andra ändamål
20Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
21Artiklarna 2.1 och 4.2 i dataskyddsförordningen.
903
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
än de för vilka de ursprungligen samlades in, se avsnitt 8.4.4 om s.k. sekundära ändamål och avsnitt 13.3.1 nedan. Ett utlämnande aktua- liserar därför den s.k. finalitetsprincipen. Finalitetsprincipen kommer till uttryck i dataskyddsförordningen genom att det i artikel 5.1 b anges att personuppgifter ska samlas in för särskilda, uttryckligt an- givna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Principen innebär att om en tilltänkt behandling av redan insamlade personuppgifter inte omfat- tas av de ursprungliga ändamålen måste det göras en bedömning av om ändamålet med den senare behandlingen är förenligt med de ur- sprungliga ändamålen. Vid vidarebehandling av personuppgifter där det tillkommande ändamålet är förenligt med insamlingsändamålen krävs inte någon annan separat rättslig grund än den som möjlig- gjorde insamlingen av uppgifter från första början, vilket framgår av skäl 50 till dataskyddsförordningen (se avsnitt 8.4.6). Det innebär att om den tillkommande behandlingen är förenlig med insamlings- ändamålet vilar den på samma rättsliga grund som insamlandet gjorde.
I dataskyddsförordningen föreskrivs det i artikel 6.4 hur pröv- ningen av om en vidarebehandling är förenligt med insamlingsända- målet som utgångspunkt ska gå till. Vid prövningen ska bl.a. kopp- lingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen beaktas. Det sammanhang inom vilket personuppgifterna har samlats in, sär- skilt förhållandet mellan de registrerade och den personuppgifts- ansvarige, samt personuppgifternas art, är också förhållanden som ska beaktas. I enlighet med den s.k. ansvarsprincipen, som framgår av artikel 5.2 i dataskyddsförordningen, är det den personuppgiftsansvar- iga som ska göra prövningen.
För viss personuppgiftsbehandling som i huvudsak myndigheter utför finns dock särskilda bestämmelser. Om en vidarebehandling är nödvändig för att fullgöra en uppgift av allmänt intresse, eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan medlemsstaternas nationella rätt fast- ställa för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Om behandlingen grundar sig på unions- rätten eller på medlemsstaternas nationella rätt som utgör en nödvän- dig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den per- sonuppgiftsansvarige dessutom tillåtas att behandla personuppgif-
904
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
terna ytterligare, oavsett om detta är förenligt med ändamålen eller inte (skäl 50 till dataskyddsförordningen). Dataskyddsförordningen ger därmed utrymme för att i nationell rätt föreskriva att ytterligare behandling av personuppgifter får ske, även om den ytterligare be- handlingen inte är förenlig med det ändamål för vilket uppgifterna samlades in. Lagbestämmelser som innebär att uppgifter som har sam- lats in för ett ändamål får eller ska behandlas för ett annat ändamål kan i vissa fall utgöra en tillämpning av finalitetsprincipen, dvs. reger- ingen och riksdagen har gjort bedömningen att behandlingen är för- enlig med den principen. I andra fall kan befintliga lagbestämmelser anses utgöra undantag från finalitetsprincipen.22
I förarbetena till brottsdatalagen (2018:1177) har frågan om hur bestämmelser om uppgiftsskyldighet förhåller sig till behandling av personuppgifter för nya ändamål behandlats. Regeringen uttalade då att när det i lag eller förordning föreskrivs att uppgifter ska lämnas har lagstiftaren tagit ställning till att det dels är så viktigt att det ska införas en skyldighet att lämna information, dels att eventuell sekre- tess ska brytas. Enligt regeringen fick lagstiftaren då också anses ha tagit ställning till att uppgiftslämnandet är nödvändigt och propor- tionerligt. I sådana fall ansåg regeringen att det inte behövde göras en prövning av om behandlingen av personuppgifterna för det nya ändamålet är nödvändig och proportionerlig.23
I rättsfallet HFD 2021 ref. 10 ansåg Högsta förvaltningsdomstolen att samma synsätt som regeringen gett uttryck för i förarbetena till brottsdatalagen borde anläggas beträffande förhållandet mellan 6 kap. 5 § OSL (se avsnitt 13.2.1 ovan) och finalitetsprincipen enligt EU:s dataskyddsförordning. Domstolen konstaterade att genom sekretess- bestämmelser hindras myndigheter från att lämna bl.a. integritetskäns- liga uppgifter till andra myndigheter. Domstolen ansåg att lagstiftaren härigenom får anses ha tagit ställning till när ett uppgiftslämnande är oförenligt med det eller de ändamål för vilka uppgifterna samlades in. Av rättsfallet framgår dessutom att den personuppgiftsansvariga myndigheten, utöver sekretessprövningen, inte ska göra någon kon- troll av förenligheten med finalitetsprincipen i samband med läm- nande av uppgifter enligt 6 kap. 5 § OSL.
22Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 48.
23Prop. 2017/18:232, Brottsdatalag, s. 138.
905
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
13.3Bestämmelser om uppgiftslämnande i registerförfattningarna
13.3.1Bakgrund till nuvarande reglering
De befintliga registerförfattningarna för Skatteverkets beskattnings- verksamhet, Tullverket och Kronofogdemyndigheten är i vissa delar tillämpliga även vid behandling av uppgifter om juridiska personer. Detta framgår av 1 kap. 1 § SdbL, 1 kap. 1 § TDL och 1 kap. 1 § KFMdbL. Regeringen angav i förarbetena att skälet till detta bl.a. var att det i många fall annars skulle bli svårt att skilja uppgifter om juri- diska personer från uppgifter om deras delägare eller ställföreträdare, genom den ökande användningen av elektroniska akter och elektro- niska dokument. Detta medförde enligt regeringen att framför allt elektroniska handlingar som gällde juridiska personer måste behand- las på samma sätt som de som gäller fysiska personer. Möjligheten att lämna ut uppgifter om juridiska personer automatiserat borde därför enligt regeringen regleras på samma sätt som uppgifter om fysiska personer, även om flertalet uppgifter omfattades av sekretess.24
Enligt regeringen borde vidare de grundläggande principerna för att skydda den enskildes integritet regleras i lag medan frågor som inte var centrala från integritetssynpunkt i stället borde regleras i för- ordning.25 Genom en uppdelning i primära och sekundära ändamål (se avsnitt 8.3.1) skulle det dock bli tydligt hur uppgifterna skulle få användas i den egna verksamheten och hur de skulle få lämnas ut till andra. De sekundära ändamålen borde enligt regeringen regleras i lag i de fall det gick att förutse att informationen regelmässigt skulle komma att användas av andra myndigheter eller i annan författnings- reglerad verksamhet. En uppräkning av sekundära ändamål skulle dock inte kunna bli uttömmande, eftersom det inte bedömdes vara möjligt att förutse samtliga de situationer då uppgifter kunde komma att lämnas ut till myndigheter eller andra för olika ändamål.26
Regeringen konstaterade vidare att dåvarande sekretesslagens27 regler byggde på att rutinmässigt utlämnande av uppgifter i regel skulle vara författningsreglerat. Enligt regeringens mening borde rutinmäs-
24Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86.
25Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 84.
26Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
27Sekretesslagen (1980:100) upphörde att gälla 2009 i samband med att offentlighets- och sekretesslagen trädde i kraft.
906
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
sigt utlämnande även i fortsättningen vara författningsreglerat och sekretessbrytande bestämmelser skulle tas in i förordning.28
I registerlagarna finns dock sedan tillkomsten vissa bestämmelser som reglerar utlämnande genom direktåtkomst som inte i sig är sekre- tessbrytande, se avsnitt 11.2.2 och avsnitt 13.3.2 nedan. Sekretess- brytande bestämmelser som möjliggör utlämnandet till andra myn- digheter i sak, oavsett form, finns dock sedan registerförfattningarnas tillkomst i registerförordningarna. I registerförordningarna, särskilt för beskattningsverksamheten, finns dag fler bestämmelser om upp- giftsskyldighet till andra myndigheter än vid deras tillkomst. Det har alltså tillkommit flera situationer där en annan myndighets intresse av att ta del av en sekretessbelagd uppgift bedömts väga tyngre än det intresse sekretessen ska skydda.
Vad gäller uppgiftslämnande till enskilda finns det i dag enbart två sådana sekretessbrytande bestämmelser i de författningar som omfattas av vårt uppdrag, en för beskattningsverksamheten och en för Tullverket, se avsnitt 13.2.3 ovan. Bestämmelsen som gäller uppgifts- lämnande till enskilda från Skatteverkets beskattningsverksamhet,
2kap. 5 § SdbL, har funnits sedan registerlagens tillkomst. Bestämmel- sen anger vilka uppgifter i beskattningsverksamheten som får lämnas ut till en enskild, dock enbart om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon närstående lider men om uppgiften röjs. Den motsvarar i huvudsak 16 § i den upphävda skatteregisterlagen (1980:343).29 I likhet med nuvarande be- stämmelse om uppgiftslämnande till enskilda var också bestämmelsen i skatteregisterlagen förenad med en s.k. menprövning. Av förarbetena till bestämmelsen i skatteregisterlagen framgår att den ursprungligen syftade till att på ett enkelt sätt tillgodose arbetsgivares behov av in- formation från skatteregistret, bl.a. om arbetstagarnas personnum- mer och adresser. Praktiska skäl motiverade dock att uppgifterna även skulle kunna lämnas ut till andra enskilda än arbetsgivare. Uppgif- terna bedömdes dessutom inte vara av integritetskänslig natur och menprövningen utformades därför efter den sekretess som skulle gälla för motsvarande uppgifter i folkbokföringsverksamheten.30
Den sekretessbrytande bestämmelse som avser uppgiftslämnande till enskilda från tulldatabasen kom till i sin nuvarande form som en
28Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 112.
29Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 202.
30Prop. 1979/80:146, med förslag till skatteregisterlag, s. 23.
907
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
följd av tullkodexens31 krav på tullmyndigheterna att kommunicera elektroniskt.32 Bestämmelsen i 7 § tredje stycket TDF avser utläm- nande genom direktåtkomst bl.a. i den mån uppgifterna behövs hos mottagaren för att uppfylla åtgärder, formaliteter eller förpliktelser som föreligger i tullagstiftningen. I förarbetena bedömde regeringen att det dels inte rörde uppgifter som var särskilt integritetskänsliga, dels inte var fråga om att nya eller fler uppgifter skulle lämnas ut, eller att fler aktörer skulle få del av uppgifterna. Eftersom uppgifterna skulle börja lämnas ut genom direktåtkomst krävdes dock enligt reger- ingen en ny sekretessbrytande bestämmelse.33
13.3.2Uppgiftslämnande till andra myndigheter genom direktåtkomst
Särskilda sekretessbrytande bestämmelser avseende utlämnandeform
De befintliga registerförfattningarna har sedan tillkomsten innehållit en särskild form av bestämmelser som avser utlämnande genom direktåtkomst. I avsnitt 11.2.2 har vi redogjort för vad som särskiljer utlämnande genom direktåtkomst från andra former av elektroniskt utlämnande, primärt i förhållande till andra myndigheter. Direkt- åtkomst kan medges till uppgifter som är offentliga som utgångs- punkt, och då krävs ingen sekretessbrytande bestämmelse för att göra uppgifterna tillgängliga på detta sätt. Det är dock vanligt att en direkt- åtkomst omfattar sekretessreglerade uppgifter. Sammanfattningsvis innebär utlämnande genom direktåtkomst av sekretessbelagda upp- gifter att samtliga uppgifter som den sekretessbrytande bestämmel- sen avser görs tekniskt tillgängliga i samband med att anslutningen upprättas, utan att någon ytterligare prövning sker i samband med att den mottagande aktören hämtar in uppgifter. Direktåtkomst inne- bär också att samtliga uppgifter som omfattas anses utlämnade i tryck- frihetsförordningens mening, och uppgifterna anses därmed förvar- ade även hos den mottagande myndigheten. Den sekretessbrytande uppgiftsskyldigheten måste vara formulerad så att den omfattar alla de uppgifter som är tekniskt tillgängliga för den mottagande myndig-
31Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen, se även avsnitten 4.2 och 11.6. 4.
32Prop. 2015/16:175, Unionstullkodexen och elektroniskt uppgiftslämnande, s. 35.
33Prop. 2015/16:175, Unionstullkodexen och elektroniskt uppgiftslämnande, s.
908
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
heten när direktåtkomsten är aktiv.34 För att direktåtkomst ska kunna aktualiseras krävs alltså att den sekretessbrytande bestämmelsen är brett formulerad.
I registerlagarna anges i vilka fall direktåtkomst är tillåtet, se 2 kap.
I vilka fall direktåtkomst får förekomma regleras i registerlagarna oavsett om uppgiftslämnandet rör uppgifter som är sekretessbelagda eller inte, och oavsett om den sekretessbrytande bestämmelsen finns i registerförordningen eller i annan författning.35 I Skatteverkets folk- bokföringsverksamhet är utgångspunkten exempelvis att uppgifterna är offentliga, varför sekretessbrytande bestämmelser inte är nödvän- diga för att möjliggöra direktåtkomst. Även i registerlagen för folk- bokföringsverksamheten finns dock en bestämmelse med innebör- den att andra myndigheter får medges direktåtkomst till uppgifter i folkbokföringsdatabasen.
Särskilt om sekretessbrytande bestämmelser om direktåtkomst i Skatteverkets beskattningsverksamhet
I regleringen av Skatteverkets uppgiftsskyldighet till andra myndig- heter finns en särskild systematik avseende direktåtkomst som inte finns i regleringen av myndigheters direktåtkomst till uppgifter hos Tullverket36 och Kronofogdemyndigheten. Den särskilda regleringen har funnits sedan millennieskiftet och har vidhållits i senare lagstift-
34Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 71.
35Behöriga myndigheter i annat land inom EU får enligt unionsrättsliga bestämmelser ha direktåtkomst till uppgifter om mervärdesskatt i beskattningsdatabasen. I 17 § SdbF finns en upplysningsbestämmelse med motsvarande innebörd. Någon bestämmelse i skattedatabas- lagen som medger att utländska behöriga myndigheter har direktåtkomst till uppgifterna som avses finns dock inte.
36För Tullverkets del finns dock särskilda bestämmelser om direktåtkomst för enskilda, se avsnitten 13.3.5 och 13.7.2 nedan.
909
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
ningsärenden avseende utlämnande från beskattningsverksamheten.37 För beskattningsverksamheten kompletteras den bestämmelse i skatte- databaslagen som tillåter direktåtkomst i de flesta fall av en sekretess- brytande bestämmelse i skattedatabasförordningen som uttryckligen reglerar utlämnande genom direktåtkomst.38 I samtliga dessa fall finns även en generellt sekretessbrytande bestämmelse i förordningen som avser samma uppgifter som bestämmelsen om direktåtkomsten avser. Den generella sekretessbrytande bestämmelsen reglerar inte formen för utlämnandet, utan anger enbart att uppgifterna som avses över huvud taget får lämnas ut. Ofta kombineras den generella sekretess- brytande bestämmelsen med angivande av de förutsättningar som ska föreligga hos den mottagande myndigheten för att utlämnandet ska få ske, typiskt sett att uppgifterna behövs i viss verksamhet där.
Ett exempel som åskådliggör skillnaden mellan sekretessbrytande bestämmelser som inte rör formen för utlämnande och sekretess- brytande bestämmelser som införts för att möjliggöra direktåtkomst finns i bestämmelsen som avser Skatteverkets uppgiftsskyldighet till Migrationsverket avseende uppgifter på individnivå i arbetsgivardekla- rationen. I registerlagens bestämmelse om direktåtkomst, 2 kap. 8 b § SdbL, anges följande.
Migrationsverket får ha direktåtkomst till uppgifter i beskattningsdata- basen, om uppgifterna behövs i ett ärende om dagersättning åt asylsök- ande enligt lagen (1994:137) om mottagande av asylsökande m.fl.
Direktåtkomsten får endast omfatta
1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfar- andelagen (2011:1244),
2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och
3.uppgift om den redovisningsperiod som deklarationen avser.
Eftersom den bestämmelsen endast reglerar att direktåtkomst till de angivna uppgifterna över huvud taget får förekomma, och inte före- skriver en skyldighet för Skatteverket att lämna ut uppgifterna, krävs en kompletterande sekretessbrytande bestämmelse för att bryta den sekretess som gäller för uppgifter. Som nämnts i avsnitt 13.2.2 måste
37Se bl.a. prop. 2000/01:33, Behandling av uppgifter inom skatt, tull och exekution, s. 112 och
38För socialnämnderna, som har rätt att ta del av vissa uppgifter i beskattningsdatabasen via direktåtkomst, finns de sekretessbrytande bestämmelserna i andra författningar än i skatte- databasförordningen.
910
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
det nämligen föreligga en skyldighet att lämna ut uppgifterna för att sekretess ska brytas enligt 10 kap. 28 § OSL.
Beskattningsverksamhetens uppgiftsskyldighet i fråga om direkt- åtkomst regleras i 8 b § tredje stycket SdbF. Den aktuella bestäm- melsen i sin helhet har dock följande lydelse.
Till Migrationsverket ska uppgifter lämnas ut från beskattningsdatabasen i den utsträckning det behövs för beräkning eller kontroll av dagersätt- ning enligt lagen (1994:137) om mottagande av asylsökande m.fl.
De uppgifter som ska lämnas ut med stöd av första stycket är
1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfar- andelagen (2011:1244),
2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och
3.uppgift om den redovisningsperiod som deklarationen avser.
Migrationsverket har rätt att ta del av uppgifterna vid direktåtkomst till beskattningsdatabasen enligt 2 kap. 8 b § lagen (2001:181) om be- handling av uppgifter i Skatteverkets beskattningsverksamhet.
Den sekretessbrytande bestämmelsen avseende direktåtkomst finns i 8 b § tredje stycket SdbF. Den generella sekretessbrytande bestäm- melsen, som möjliggör utlämnande i annan form än genom direkt- åtkomst, finns i 8 b § första stycket SdbF. Bestämmelsens andra stycke, som specificerar de uppgifter som avses, gäller följaktligen både för den generella och den särskilda sekretessbrytande bestämmelsen.
I förarbetena till 2 kap. 8 b § SdbL och de sekretessbrytande be- stämmelserna i 8 b § SdbF bedömde regeringen att två former av sekretessbrytande bestämmelser borde införas beroende på formen för utlämnande av uppgifter, i syfte att åstadkomma ett så starkt integ- ritetsskydd som möjligt. Eftersom direktåtkomst förutsätter en vidare sekretessbrytande bestämmelse borde enligt regeringen en särskild bestämmelse gälla för sådant utlämnande. Den bestämmelsen skulle ge Migrationsverket rätt att ta del av den aktuella typen av uppgifter vid direktåtkomst. Regeringen bedömde dock även att en annan sekre- tessbrytande bestämmelse borde införas för andra former av utläm- nande. En sådan bestämmelse borde enligt regeringen ta sikte på upp- gifter som i enskilda fall behövs för handläggningen av ärenden om dagersättning.39
39Prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 137.
911
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Regeringen har även i ett tidigare lagstiftningsärende avseende Kronofogdemyndighetens direktåtkomst till vissa uppgifter i beskatt- ningsdatabasen bedömt att integritetsskyddet blir starkare om det på lag- eller förordningsnivå tas in två olika typer av sekretessbrytande bestämmelser beroende på formen för utlämnande av uppgifter. Det rörde sig då dels om en sekretessbrytande bestämmelse som tog sikte på uppgiftslämnande i enskilda fall och som kunde användas vid ut- lämnande av uppgifter t.ex. via telefon eller mejl, dels en vidare sekretessbrytande bestämmelse som bara gällde vid direktåtkomst.40
13.3.3Uppgiftslämnande från Skatteverkets beskattningsverksamhet
Uppgiftslämnande till enskilda
I registerförfattningarna för Skatteverkets beskattningsverksamhet finns flera bestämmelser som reglerar olika former av elektroniskt utlämnande av uppgifter från beskattningsdatabasen. Bestämmelser om olika former av elektroniskt utlämnande till enskilda finns dock i skattedatabasförordningen och är inte sekretessbrytande i sig, se av- snitt 13.2.3.41 I 2 kap. 5 § SdbL finns i stället den bestämmelse som bryter sekretess i förhållande till andra enskilda än den enskilde själv. Av bestämmelsen framgår att vissa uppgifter i databasen får lämnas ut till en enskild, om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon närstående lider men om upp- giften röjs.
Det finns dock en sekretessbrytande bestämmelse som avser upp- giftslämnande till enskilda även i skattedatabasförordningen. I 8 d § SdbF anges nämligen att uppgifter ska lämnas från databasen till arbets- löshetskassorna i den utsträckning det behövs för beräkning eller kontroll av arbetslöshetsersättning. Som framgår av avsnitt 13.2.3 nämns inte skattedatabasförordningen i 27 kap. 7 § OSL. Bestämmel- sen om uppgiftsskyldighet i förhållande till arbetslöshetskassorna är dock sekretessbrytande trots att den inte förekommer i en författ- ning som det hänvisas till i offentlighets- och sekretesslagen. Arbetslös- hetskassor är visserligen inte myndigheter, men deras handläggning av arbetslöshetsförsäkringen utgör myndighetsutövning. I samband
40Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 21.
41
912
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
med att den sekretessbrytande bestämmelsen i skattedatabasförord- ningen infördes konstaterade regeringen att av 2 kap. 4 § jämfört med 1 kap. 1 § OSL och den lagens bilaga framgår att arbetslöshetskas- sornas prövning av ärenden om arbetslöshetsersättning omfattas av offentlighetsprincipen och att de beträffande den verksamheten ska betraktas som myndigheter.42 Sekretess kan därmed brytas i förhål- lande till arbetslöshetskassor genom en författningsreglerad uppgifts- skyldighet, i likhet med vad som gäller för myndigheter.
Uppgiftslämnande till myndigheter och andra verksamhetsgrenar
I skattedatabasförordningen finns ett stort antal sekretessbrytande bestämmelser till förmån för andra myndigheter, och andra själv- ständiga verksamhetsgrenar inom Skatteverket.43 Bestämmelser som särskilt avser direktåtkomst har behandlats i avsnitt 13.3.2. Utöver de bestämmelser som särskilt avser utlämnande genom direktåtkomst finns det i dag en stor variation i hur bestämmelser som föreskriver att uppgifter ska lämnas ut är utformade.
Utlämnande av uppgifter på begäran
De sekretessbrytande bestämmelserna i skattedatabasförordningen föreskriver i de flesta fall att uppgifter ska lämnas ut på begäran av en särskild myndighet eller verksamhetsgren. Det är bestämmelserna som avser uppgiftslämnande till Skatteverkets brottsbekämpande verksamhet, Skatteverkets folkbokföringsverksamhet, Skatteverkets verksamhet för evenemangsstöd, Kronofogdemyndigheten, Tull- verket, Centrala studiestödsnämnden, Inspektionen för socialförsäk- ringen, Polismyndigheten, Statistiska centralbyrån, Tillväxtverket, länsstyrelserna, Inspektionen för vård och omsorg, Myndigheten för tillväxtpolitiska utvärderingar och analyser, Kammarkollegiet, Eko- brottsmyndigheten, Kustbevakningen, Polismyndigheten, Säkerhets- polisen, Åklagarmyndigheten, allmänna domstolar, Rättshjälps- myndigheten och Rättshjälpsnämnden.
Till Kronofogdemyndigheten ska vissa grunduppgifter om en en- skild lämnas ut på begäran, utan närmare angivande av förutsättning-
42Prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 143.
43
913
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
arna för utlämnandet.44 Skatteverket ska även lämna ut ytterligare uppgifter om en person som förekommer hos Kronofogdemyndig- heten i vissa angivna sammanhang.45 Något uttryckligt krav på att de angivna uppgifterna ska behövas hos mottagaren finns dock inte i de sekretessbrytande bestämmelserna avseende uppgiftslämnande till Kronofogdemyndigheten.
Även till Tullverket ska vissa grunduppgifter lämnas ut på begäran utan närmare angivande av de närmare förutsättningarna för utläm- nandet.46 Skatteverket ska även lämna ut ytterligare uppgifter om en person som på olika sätt är aktuell hos Tullverket, är eller kan antas vara skattskyldig enligt vissa bestämmelser, eller som förekommer i ett särskilt angivet unionsrättsligt administrativt samarbete i fråga om punktskatter.47 Något uttryckligt krav på att uppgifterna ska behö- vas hos mottagaren finns alltså inte heller i de sekretessbrytande bestämmelserna avseende uppgiftslämnande till Tullverket.
Utöver föreskrivet uppgiftslämnande till Kronofogdemyndigheten och Tullverket anger bestämmelserna om utlämnande på begäran att utlämnande endast ska ske i den utsträckning uppgifterna behövs, eller ibland uttryckt som uppgifter som den mottagande myndig- heten behöver, för vissa angivna verksamheter eller arbetsuppgifter.48 I dessa fall föreligger ett krav på att den mottagande myndigheten ska ha ett behov av uppgifterna.
Utlämnande av uppgifter i den uträckning det behövs
I vissa fall är de sekretessbrytande bestämmelserna formulerade utan att ange att utlämnandet ska ske på begäran. I dessa fall anges enbart att uppgifter ska lämnas ut från beskattningsdatabasen i den uträck- ning det behövs för särskilt angiven verksamhet hos den mottagande myndigheten. Det är bestämmelserna som avser uppgiftslämnande till Statens tjänstepensionsverk, Pensionsmyndigheten, Arbetsförmed- lingen, samt den i avsnittet ovan nämnda bestämmelsen om upp- giftslämnande till arbetslöshetskassorna.49
444 § första stycket, första meningen SdbF.
454 § första stycket, andra meningen SdbF.
465 a § SdbF.
475 § första stycket SdbF.
485
497 a, 7 c och 8 c– 8 d §§ SdbF.
914
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Utlämnande av uppgifter både på begäran och/eller i den utsträckning det behövs
I bestämmelser som avser uppgiftslämnande till Försäkringskassan och Migrationsverket förekommer båda varianterna, dvs. bestäm- melserna anger i vissa fall att uppgifter ska lämnas ut på begäran i kombination med i den utsträckning det behövs. I andra fall anges enbart att uppgifter ska lämnas ut i den utsträckning det behövs för viss angiven verksamhet hos den mottagande myndigheten.50
De uppgifter som avses
Även i frågan om vilka uppgifter som ska lämnas ut är de sekretess- brytande bestämmelserna i skattedatabasförordningen olika utfor- made. I flera fall hänvisas till en eller flera punkter i den uppräkning i 2 kap. 3 § SdbL över vilka uppgifter som i dag får behandlas i be- skattningsdatabasen.51
I andra fall specificeras uppgifterna som ska lämnas ut genom ett uttryckligt angivande av de uppgifter som avses, eller genom hän- visningar till bestämmelser i andra författningar eller bestämmelser i skattedatabasförordningen.52
Till Inspektionen för socialförsäkringen (ISF) ska uppgifter läm- nas ut på begäran utan angivande av annat än att uppgifterna ska be- hövas för den myndighetens systemtillsyn och effektivitetsgransk- ning enligt vissa bestämmelser i ISF:s instruktion.53 De bestämmelser som den sekretessbrytande bestämmelsen hänvisar till anger dock inte närmare vilka uppgifter som avses.54 Inte heller i bestämmelsen om visst föreskrivet uppgiftslämnande till Polismyndigheten anges närmare vilka uppgifter som avses, utan enbart att uppgifterna ska be- hövas i viss verksamhet.55
Som vi nämnt ovan är bestämmelserna som avser Skatteverkets utlämnande till Tullverket och Kronofogdemyndigheten utformade på ett sådant sätt att de uppgifter som ska lämnas ut också avgränsas
507 § första och fjärde stycket samt 8 a och 8 b §§ SdbF.
51
52
537 b § SdbF.
542 § 3 och 3 § förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen.
557 b och 7 d §§ SdbF.
915
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
genom att de bara får avse personer som är aktuella i vissa samman- hang hos mottagaren.56
Bestämmelsernas struktur i övrigt
Även i andra avseenden än de som nämnts ovan finns skillnader mellan hur olika bestämmelser utformats.
Bestämmelser om uppgiftslämnande till en och samma myndighet finns i vissa fall på olika ställen, beroende på för vilket behov upp- gifterna ska lämnas ut. Detta gäller för utlämnande till Tullverket, Polis- myndigheten och Statistiska centralbyrån.57
I vissa fall anges att vissa uppgifter ska lämnas ut, och därefter vilka behov som måste föreligga för att så ska ske.58 I andra fall anges först vilka behov som måste föreligga för att ett utlämnande ska få ske, och därefter vilka uppgifter som ska lämnas ut.59
13.3.4Uppgiftslämnande från Skatteverkets folkbokföringsverksamhet
Uppgiftslämnande till enskilda och nordiska registreringsmyndigheter
Uppgiftslämnande till enskilda
Som redan nämnts är uppgifter som registreras i folkbokföringsdata- basen som utgångspunkt offentliga. Inom folkbokföringsverksam- heten kan vissa uppgifter ändå vara sekretessbelagda, se avsnitt 3.3.4.
I folkbokföringsdatabasförordningen föreskrivs i vilka situationer Skatteverket får lämna uppgifter till enskilda på s.k. medium för auto- matiserad behandling (se avsnitt 11.2.3).60 Det finns även bestämmel- ser om enskildas direktåtkomst.61 Som redan påpekats hänvisar inte offentlighets- och sekretesslagen till folkbokföringsdatabasförord- ningen. Det innebär att bestämmelserna om när olika former av elek- troniskt utlämnande får användas inte är sekretessbrytande. Den
564 och 5 §§ SdbF.
575, 5 a, 7 d, 8, 8 e och 8 l §§ SdbF.
58Jfr t.ex. 8 g § SdbF.
59Jfr t.ex. 7 § SdbF.
60
6116 och 17 §§ FdbF.
916
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
sekretess som i vissa fall kan gälla för uppgifter i folkbokförings- verksamheten påverkas alltså inte av bestämmelserna om i vilka fall uppgifter får lämnas ut elektroniskt till enskilda.
I folkbokföringsdatabasförordningen finns dock en bestämmelse om utlämnande på medium för automatiserad behandling som, trots att den inte är sekretessbrytande, fyller en särskild funktion utöver att reglera formen för utlämnandet. Som utgångspunkt ska enskilda hänvisas till Statens personadressregister, SPAR, när personuppgif- ter begärs ut för kontroll- eller urvalsändamål. Detta framgår av 6 § lagen (1998:527) om det statliga personadressregistret,
Uppgiftslämnande till utländska myndigheter
Som nämnts tidigare har en svensk myndighet i princip inte någon skyldighet att lämna uppgifter till utländsk myndighet eller en mellan- folklig organisation, oavsett om uppgifterna är sekretessbelagda eller inte, om inte en sådan uppgiftsskyldighet är särskilt föreskriven.62
Av artikel 4 i bilagan till lagen (2005:268) om överenskommelse mellan Danmark, Finland, Island, Norge och Sverige om folkbok- föring framgår att visst uppgiftslämnande ska ske mellan de centrala registreringsmyndigheterna i fråga om folkbokföring, men enbart i den utsträckning uppgifterna kan antas vara nödvändiga för bedöm- ningen av bosättningsfrågan, eller om det är fråga om att underrätta om de beslut som fattas.
Av 14 § FdbF framgår att uppgifter om en nordisk medborgare som är folkbokförd i Sverige får lämnas till central registrerings- myndighet för folkbokföring i det nordiska land personen är med- borgare i för de ändamål som anges i 1 kap. 4 § 5 och 6 FdbL, dvs. kontroll- och urvalsändamål. I likhet med bestämmelsen i 13 § FdbF anges detta i ett sammanhang som reglerar formen för utlämnande.
62Konstitutionsutskottets betänkande 1982/83: 12, om ändringar sekretesslagen (1980:100), s. 36.
917
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Trots det förefaller bestämmelsen ha en betydelse även i andra av- seenden än gällande formen för utlämnandet. Genom bestämmelsen i 14 § FdbF föreskrivs nämligen ett mer omfattande utlämnande än det som följer av artikel 4 i bilagan till lagen om överenskommelse mellan Danmark, Finland, Island, Norge och Sverige om folkbok- föring.
Uppgiftslämnande till myndigheter
I folkbokföringsdatabasförordningen föreskrivs vissa av Skatteverkets underrättelseskyldigheter i förhållande till ett antal andra myndig- heter. Skatteverket ska enligt dessa skyldigheter underrätta mottag- aren av informationen om att registrering av vissa uppgifter skett, samt vissa andra förhållanden.63 Det innebär att Skatteverket på eget initiativ ska lämna ut de angivna uppgifterna. De myndigheter som Skatteverket har en underrättelseskyldighet till är Statistiska central- byrån, socialnämnderna, Försäkringskassan, Pensionsmyndigheten och Socialstyrelsen. Eftersom bestämmelserna föreskriver att Skatte- verket ska lämna underrättelserna bryter de eventuell sekretess.
Till skillnad från de sekretessbrytande bestämmelserna i skatte- databasförordningen är bestämmelserna om Skatteverkets underrät- telseskyldighet i folkbokföringsverksamheten enhetligt utformade. Bestämmelserna anger att underrättelse ska ske, när den ska ske, till vilken myndighet, samt uttryckligen vilka uppgifter som avses. Be- stämmelserna föreskriver även i vissa fall om förfarandet vid under- rättelse, exempelvis när det ska ske.64
13.3.5Uppgiftslämnande från Tullverkets verksamhet
Uppgiftslämnande till enskilda
Liksom för beskattningsverksamheten och folkbokföringsverksam- heten finns det i tulldatabasförordningen vissa bestämmelser som reglerar när olika former av elektroniskt utlämnande får förekomma. Eftersom 27 kap. 7 § OSL hänvisar till tulldatabasförordningen kan bestämmelserna bryta förekommande sekretess. Flera av bestämmel-
63
64Se 6 § andra stycket och 7 § andra och tredje styckena FdbF,
918
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
serna som reglerar formen för utlämnande avser dock utlämnande av uppgifter om en enskild till den enskilde själv eller dennes ombud. Då sekretess till skydd för en enskild normalt inte gäller i förhållande till den enskilde själv kan bestämmelser som avser sådant utläm- nande inte anses ha en sekretessbrytande funktion.
I tulldatabasförordningen finns dock även en bestämmelse som avser utlämnande av andra uppgifter än om den enskilde själv genom direktåtkomst. Bestämmelsen har ansetts ha en särskild sekretess- brytande funktion, se avsnitt 13.2.3 ovan. Utöver den bestämmelse som avser enskildas direktåtkomst till uppgifter i tulldatabasen om andra än den enskilde själv finns det dock ingen ytterligare sekretess- brytande bestämmelse i förhållande till enskilda i tulldatabasförord- ningen.
Uppgiftslämnande till myndigheter
Bestämmelser om utlämnande av uppgifter som rör import eller ex- port av varor finns i 1 kap. 4 och 5 §§ tullagen. Sekretessbrytande be- stämmelser i förhållande till andra myndigheter finns alltså primärt någon annanstans än i registerförfattningarna, vilket också framgår upplysningsvis i tulldatabasförordningen.65
I 1 kap. 4 § tullagen anges att Tullverket på begäran ska tillhanda- hålla vissa myndigheter uppgifter som förekommer hos Tullverket och som rör import eller export av varor. I 1 kap. 5 § tullagen före- skrivs en underrättelseskyldighet för Tullverket i förhållande till Skatte- verket. Underrättelseskyldigheten gäller när det finns anledning att anta att någon på annat sätt än muntligen har lämnat eller kommer att lämna en oriktig uppgift till Skatteverket, eller inte har lämnat eller inte kommer att lämna mervärdesskattedeklaration, kontroll- uppgift eller annan föreskriven uppgift till Skatteverket, och det däri- genom finns risk för att mervärdesskatt undandras eller felaktigt till- godoräknas eller betalas tillbaka.
Utöver vad som föreskrivs i tullagen ska vissa uppgifter lämnas ut på begäran av Skatteverket om uppgiften avser en person som före- kommer i ett ärende hos Skatteverket eller som annars är föremål för Skatteverkets kontrollverksamhet avseende mervärdesskatt vid im-
654 § TDF.
919
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
port.66 Något ytterligare krav på att uppgifterna ska behövas i Skatte- verkets verksamhet finns inte. De uppgifter som avses anges genom en hänvisning till 2 kap. 3 § TDL. I den bestämmelsen finns en upp- räkning av de uppgifter som får behandlas i tulldatabasen.
Enligt tulldatabaslagen får Skatteverket och Kronofogdemyndig- heten ha direktåtkomst till vissa uppgifter som behandlas i tulldata- basen.67 Till skillnad från hur regleringen för Skatteverkets beskatt- ningsverksamhet är strukturerad finns det dock inga sekretessbrytande bestämmelser som särskilt avser direktåtkomst i tulldatabasförord- ningen. Den uppgiftsskyldighet till Skatteverket som föreskrivs i för- ordningen avser i och för sig samma uppgifter i tulldatabasen som anges i lagens bestämmelse om direktåtkomst. Däremot anges i förord- ningen att uppgifterna ska lämnas på begäran och under förutsättning att de avser en person som förekommer i ett ärende hos Skatteverket eller som annars är föremål för Skatteverkets kontrollverksamhet av- seende mervärdesskatt vid import. I förordningen finns ingen bestäm- melse som avser utlämnande av uppgifter till Kronofogdemyndigheten, som enligt tulldatabaslagen får ha direktåtkomst till samma uppgif- ter som Skatteverket.
I tulldatabasförordningen finns även en bestämmelse om uppgifts- skyldighet till en offentlig aktör som dock inte förefaller vara sekre- tessbrytande. Det rör sig om bestämmelsen i 4 a § TDF, som anger att uppgifter i tulldatabasen på begäran ska lämnas ut till de enheter inom Tullverket som arbetar med brottsbekämpande verksamhet. Tullverkets verksamhetsgrenar anses dock inte vara så självständiga att sekretess ska råda för utbyte av information mellan dem.68 Det går därmed att ifrågasätta om det finns någon sekretess att bryta mellan Tullverkets olika enheter. Vid bestämmelsens tillkomst konstaterade regeringen att det inte kunde anses utrett att sekretess förelåg mellan Tullverkets olika verksamhetsgrenar. Eftersom det vid tidpunkten fanns olika uppfattningar i frågan borde det dock enligt regeringen säkerställas att det inte fanns något sekretesshinder för den direkt- åtkomst som skulle få förekomma.69
664 § TDF.
672 kap. 7 § TDL.
68Jfr SOU 2003:99, Ny sekretesslag, s. 280.
69Prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s.
920
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
13.3.6Uppgiftslämnande från Kronofogdemyndighetens verksamhet
Uppgiftslämnande till enskilda
För Kronofogdemyndighetens verksamhet finns flera olika bestäm- melser om sekretess, se avsnitt 3.3.6. I viss verksamhet som Krono- fogdemyndigheten utför är utgångspunkten att uppgifterna är offent- liga. I andra situationer råder en presumtion för sekretess, och i enstaka fall gäller absolut sekretess för uppgifterna. Liksom i övriga registerförfattningar innehåller framför allt kronfogdedatabasförord- ningen, bestämmelser som reglerar när olika former av elektroniskt utlämnande får användas.70 Som framgår av avsnitt 13.2.3 finns det dock ingen hänvisning Kronofogdemyndighetens registerförfatt- ningar i offentlighets- och sekretesslagen till. Därmed har ingen av de bestämmelser som reglerar formerna för utlämnandet till enskilda en sekretessbrytande funktion.
Uppgiftslämnande till myndigheter
Enligt kronofogdedatabaslagen får Skatteverkets beskattningsverk- samhet, Tullverket och Säkerhetspolisen ha direktåtkomst till vissa uppgifter som behandlas i utsöknings- och indrivningsdatabasen.71 Till skillnad från hur regleringen för Skatteverkets beskattningsverk- samhet är uppbyggd finns det dock inga sekretessbrytande bestäm- melser som särskilt avser direktåtkomst i kronofogdedatabasförord- ningen. Den uppgiftsskyldighet som föreskrivs i förordningen, och som möjliggör den direktåtkomst som enligt lagen får förekomma, avser i och för sig samma uppgifter i utsöknings- och indrivnings- databasen som anges i lagens bestämmelse om direktåtkomst, och till samma mottagare. Däremot anges att uppgifterna ska lämnas på be- gäran och under förutsättning att uppgifterna avser en person som förekommer i ett ärende hos den myndighet som begär att få ut upp- giften, eller för Säkerhetspolisens räkning, ett särskilt angivet slags ärende.72
Kronofogdemyndigheten har därutöver även en skyldighet att lämna uppgifter till Skatteverkets folkbokföringsverksamhet. Även
70
712 kap. 27 § KFMdbL.
727 och 8 §§ KFMdbF.
921
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
den bestämmelsen föreskriver att uppgiftslämnandet ska ske på be- gäran och om det behövs för handläggning av ärenden eller kontroll. Bestämmelsen är dock utformad på ett annat sätt än Kronofogde- myndighetens övriga uppgiftsskyldigheter, eftersom den uttryckligen anger vilka uppgifter som avses, utan hänvisning till uppgifter som får behandlas i någon av myndighetens databaser. Den pekar inte heller ut en särskild personkrets.73
13.4Generella överväganden och förslag
13.4.1Nuvarande reglering är inte väl avvägd
Vår bedömning: Dagens reglering om uppgiftslämnande är ut- formad på ett sätt som inte är väl avvägt och det finns behov av för- ändringar.
Det finns även behov av en anpassning till våra förslag avse- ende den nya dataskyddsregleringens tillämpningsområde och struktur i övrigt.
Skälen för vår bedömning
Bestämmelsernas generella utformning
Bestämmelser i Skatteverkets, Tullverkets och Kronofogdemyndig- hetens registerförfattningar som avser uppgiftslämnande kan upp- fattas som förhållandevis komplexa och svårtillgängliga. Dels reglerar de den utlämnande myndighetens handlande (dvs. att utlämnandet ska ske) dels måste bestämmelserna tolkas som att de även reglerar den mottagande myndighetens handlingsutrymme (dvs. i vilka situ- ationer uppgifterna får hämtas in). Utlämnandet förutsätter alltså normalt att ett visst behov föreligger hos mottagaren, som kan vara mer eller mindre precist beskrivet. Vilka behov som ska föreligga hos den mottagande myndigheten anges dessutom inledningsvis i vissa bestämmelser, och de uppgifter som ska lämnas ut därefter. I andra fall anges att vissa uppgifter ska lämnas ut, och först därefter vilka behov som ska föreligga hos mottagaren för att så ska få ske. Även om bestämmelserna i sak inte förändras av en sådan nyansskillnad riske-
737 a § KFMdbF.
922
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
rar den att bidra till en osäkerhet i frågan om någon skillnad i sak är avsedd eller inte. Vilka uppgifter som ska lämnas ut är dessutom be- skrivet på olika sätt i olika bestämmelser. I vissa fall kan det vara svårt att förstå vilka uppgifter som faktiskt avses enbart genom att läsa den bestämmelse som reglerar utlämnandet. Så kan exempelvis vara fallet om bestämmelsen inte hänvisar till några särskilda uppgifter utan enbart till behovet hos mottagaren, eller om den hänvisar till annan lagstiftning. Som vi konstaterat i avsnitt 13.3.3 finns det särskilt för Skatteverkets beskattningsverksamhet en stor variation i hur bestäm- melser som föreskriver att uppgifter ska lämnas ut är utformade.
Vår bedömning är att de befintliga bestämmelsernas utformning riskerar att bidra till en osäkerhet om vad som gäller för olika före- skrivna utlämnanden. Bestämmelsernas utformning måste därför i flera fall anses vara mindre väl avvägd. De nuvarande bestämmelserna om uppgiftslämnande i skattedatabasförordningen är dessutom svår- överskådliga, med en mängd underparagrafer (särskilt
Bestämmelser som avser direktåtkomst
Som framgår av avsnitt 13.3.3 jämfört med avsnitten
923
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
nas ut till någon annan offentlig aktör är utformade. I vissa fall ska uppgifter lämnas ut på begäran. I andra fall ska uppgifter lämnas ut i den utsträckning uppgifterna behövs i den mottagande myndighetens verksamhet, utan något krav på att mottagaren ska begära ut uppgif- terna. Det finns även bestämmelser om uppgiftsskyldighet som inte föreskriver något krav på ett behov av uppgifterna hos mottagaren, och i andra fall anges inte vilka uppgifter som avses.
Som framgår av avsnitt 13.3.2 finns det dessutom en särskild sorts kompletterande sekretessbrytande bestämmelser för utlämnande av uppgifter från beskattningsdatabasen genom direktåtkomst, som också kompletteras av en mer generell sekretessbrytande bestämmelse. Regeringen har i vissa fall motiverat detta med att integritetsskyddet blir starkare om två olika typer av sekretessbrytande bestämmelser införs, dels en sekretessbrytande bestämmelse som tar sikte på upp- giftslämnande i enskilda fall, dels en vidare sekretessbrytande bestäm- melse som bara gäller vid direktåtkomst. Enligt vår mening är det dock svårt att se något annat motiv bakom att införa en särskild sekretess- brytande bestämmelse som bara gäller direktåtkomst än att regeringen har ansett att en sådan bestämmelse har behövts för att direktåtkomst alls ska vara tillåten. Den generella sekretessbrytande bestämmelsen förefaller alltså ha ansetts vara för snäv för att direktåtkomst ska vara möjligt, exempelvis om den anger att utlämnande ska ske på begäran.
För Tullverkets och Kronofogdemyndighetens utlämnande genom direktåtkomst av uppgifter i tulldatabasen respektive utsöknings- och indrivningsdatabasen finns dock inga särskilda sekretessbrytande be- stämmelser som enbart avser direktåtkomst, trots att det i de sekre- tessbrytande bestämmelserna anges att utlämnandet ska ske på begäran (se avsnitt 13.3.5 om Tullverket och avsnitt 13.3.6 om Kronofogde- myndigheten). Utmärkande för ett utlämnande genom direktåtkomst är dock att det inte föregås av någon begäran från den mottagande myndigheten i det enskilda fallet (se avsnitt 11.2.2). Som vi tidigare nämnt anses alla uppgifter som omfattas av direktåtkomsten utläm- nade i samma stund som förbindelsen mellan myndigheterna upprät- tas och är aktiv.
När bestämmelserna om direktåtkomst till uppgifter hos Tull- verket och Kronofogdemyndigheten infördes förefaller regeringen dock ha avsett att direktåtkomst skulle få förekomma. Regeringen konstaterade att dåvarande Riksskatteverket redan hade direktåtkomst till uppgifter hos Tullverket och bedömde att det inte fanns anledning
924
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
att begränsa de möjligheter till ett effektivt samarbete som då fanns. Regeringen ansåg därför att såväl Riksskatteverket som skattemyndig- heterna skulle få ha direktåtkomst till tulldatabasen. Även dåvarande kronofogdemyndigheterna skulle få ha direktåtkomst till vissa upp- gifter i tulldatabasen, mot bakgrund av den nära koppling som före- låg mellan beskattnings- och indrivningsverksamhet.74 Regeringen bedömde även att skattemyndigheterna, Tullverket och Säkerhets- polisen skulle få ha direktåtkomst till uppgifter i utsöknings- och indrivningsdatabasen.75 Det borde därför kunna argumenteras att en begäran från den mottagande myndigheten om att få ta del av upp- gifterna genom direktåtkomst skulle kunna anses utgöra en sådan begäran som krävs enligt de sekretessbrytande bestämmelserna.
Vi har analyserat bestämmelser med olika utformning för att se om det går att urskilja situationer där den ena eller andra strukturen har motiverats av en saklig skillnad i fråga om själva utlämnandet. En möjlig förklaring skulle kunna vara skillnaderna i sekretessbestäm- melsernas styrka. Uppgifter inom beskattningsverksamheten skyddas som utgångspunkt av en absolut sekretess. För uppgifter som behand- las inom Tullverket råder dock en presumtion för sekretess, vilket innebär att utrymmet för uppgiftslämnande från tulldatabasen också är mycket begränsat. Skillnaderna i sekretessens styrka kan därför enligt vår mening inte fullt ut förklara skillnaderna i detta avseende. Vid en jämförelse mellan den sekretessbrytande regleringen avseende utlämnande genom direktåtkomst från beskattningsverksamheten och motsvarande reglering för utlämnande genom direktåtkomst från Tullverket och Kronofogdemyndigheten uppstår därmed en osäker- het om skillnaderna har någon saklig betydelse.
Bestämmelser som inte avser direktåtkomst och som inte föreskriver att utlämnande ska ske på begäran
De allra flesta sekretessbrytande bestämmelser anger att utlämnan- det ska ske på begäran av den mottagande myndigheten. Sekretess- brytande bestämmelser som avser ett uppgiftslämnande som i dag inte får ske genom direktåtkomst är dock i vissa fall formulerade utan angivande av att utlämnandet ska ske på begäran. I dessa fall anges att uppgifter ska lämnas ut till mottagaren i den utsträckning det be-
74Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 179.
75Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 173.
925
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
hövs för exempelvis viss ärendehandläggning eller kontroll. Frågan uppkommer då i vilken utsträckning de bestämmelser som inte anger att ett utlämnande ska ske på begäran även tillåter utlämnande på initiativ av den utlämnande myndigheten.
Vad gäller de underrättelseskyldigheter som föreskrivs för Skatte- verkets folkbokföringsverksamhet i folkbokföringsdatabasförord- ningen får det anses vara tydligt att sådant utlämnande ska ske på initia- tiv av Skatteverket, se avsnitt 13.3.4. I övriga fall, exempelvis för visst utlämnande från beskattningsverksamheten till Försäkringskassan enligt 7 § första stycket SdbF (se avsnitt 13.3.3) är det mindre tydligt om utlämnande får ske på initiativ av Skatteverkets beskattnings- verksamhet. Den aktuella bestämmelsen föreskrev fram till år 2009 att utlämnandet till Försäkringskassan skulle ske på begäran. Fram till dess hade informationsutlämnandet skett via maskinella aviser- ingar, vanligtvis som filer via ett särskilt system, och oftast efter för- frågan från Försäkringskassan.76 Regeringen bedömde dock att det fanns ett behov av regler som möjliggjorde ett utökat elektroniskt informationsutbyte.77 I förarbetena till den ändring som innebar att utlämnandet från beskattningsverksamheten till Försäkringskassan inte längre skulle ske på begäran bedömde regeringen att uppgifts- skyldigheten borde gälla oavsett om en begäran först hade framställts i det enskilda fallet [vår kursivering]. Detta motiverades bl.a. av att det under tiden för ett pågående ärende skulle vara möjligt att skicka uppdaterad information utan en ny begäran från mottagaren. Enligt regeringen fick dock information endast överföras när det hade bety- delse för mottagaren i viss angiven verksamhet eller i ett ärende avse- ende handläggning av viss förmån. I praktiken skulle därför ett utläm- nande i samtliga fall komma att föregås av en ursprunglig begäran om att få ut uppgifter av ett visst slag.78 Att uppgiftslämnandet inte längre skulle ske på begäran var enligt regeringen en mindre revider- ing av redan gällande uppgiftsskyldighet.79
Bestämmelsen som reglerar utlämnande från beskattningsverksam- heten till Statens pensionsverk, 7 a § SdbF, kom till samtidigt som ändringen av 7 § första stycket SdbF. Även den bestämmelsen moti- verades av regeringens bedömning att uppgiftsskyldigheten borde gälla
76Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 77.
77Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 39.
78Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s.
79Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 80 samt bilaga 2, författnings- förslag 17.
926
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
oavsett om en begäran först hade framställts i det enskilda fallet, och att det under tiden för ett pågående ärende skulle vara möjligt att skicka uppdaterad information utan en ny begäran från mottagaren. Regeringen bedömde alltså även i detta fall att i praktiken skulle ett utlämnande i samtliga fall komma att föregås av en ursprunglig be- gäran om att få ut uppgifter av ett visst slag.80
I andra sammanhang finns det exempel på sekretessbrytande be- stämmelser som har utformats i syfte att tillåta ett utlämnande på initiativ av den utlämnande myndigheten utan att det föregåtts av en ursprunglig begäran. Sådana bestämmelser finns exempelvis i
Övriga bestämmelser i skattedatabasförordningen som avser ut- lämnande som inte behöver ske på begäran har en liknande utform- ning som de ovan nämnda, dvs. 7 och 7 a §§ SdbF.82 Ingen av dessa bestämmelser har en utformning som liknar
80Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 110.
81Prop. 2019/20:166, Extra ändringsbudget för 2020 – Fler kraftfulla åtgärder med anledning av coronaviruset, s.
82Se 7 a, 7 c, 8 b, 8 c och 8 d §§ SdbF.
927
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
vår mening på att samtliga bestämmelser i skattedatabasförordningen som inte föreskriver att ett utlämnande ska ske på begäran bör tolkas på samma sätt, dvs. att de möjliggör utlämnande av företrädelsevis uppdaterad information under tiden för ett pågående ärende utan en ny begäran från mottagaren i det enskilda fallet. I praktiken förefaller därför även de bestämmelser som inte uttryckligen kräver en begäran från mottagaren behöva föregås av en ursprunglig begäran om att få ut uppgifter av ett visst slag.
En gemensam nämnare för de bestämmelser i skattedatabasförord- ningen som inte anger att utlämnandet ska ske på begäran förefaller därför vara att utlämnande kräver att mottagaren vid ett tidigare till- fälle har begärt att få ta del av uppgifter. Detta framgår dock inte tyd- ligt av författningstexten. Det är dessutom svårt att avgöra hur ett sådant förfarande i praktiken skiljer sig från en begäran om att få upp- gifter med vissa intervall, eller en begäran om att i framtiden även få ut uppgifter som ändras. Vare sig den allmänna dataskyddsregleringen eller sekretessbrytande bestämmelser som anger att ett utlämnande ska ske på begäran kräver nämligen en konkret fråga i varje enskilt fall. Ett utlämnande efter begäran förefaller därför även kunna avse automatiserade processer baserat på en generell begäran, exempelvis vid prenumerationstjänster eller händelsebaserade tjänster som inne- bär att den utlämnande myndigheten automatiskt lämnar ut infor- mation när ett ärende uppdateras (jfr avsnitt 11.2.3).
I förhållande till våra förslag om nya datalagar
Dagens bestämmelser om uppgiftslämnande utgår ofta från den sär- skilda regleringen av databaser inom respektive verksamhet, se av- snitten 9.3.1 och 9.3.2 om databasregleringen. I dessa fall hänvisas det till att uppgifter får lämnas ut från en särskilt reglerad databas. Vilka uppgifter det rör sig om anges även i andra fall genom en hän- visning till det lagrum som reglerar den aktuella databasens innehåll. Vi har i avsnitt 9.4.2 föreslagit att databasregleringen inte ska ha någon motsvarighet i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndig- heten. Redan av den anledningen finns det ett behov av att ändra många av de befintliga bestämmelserna om uppgiftslämnande, se av- snitt 13.4.5 nedan.
928
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Nuvarande bestämmelser om uppgiftslämnande gör vidare inte någon åtskillnad mellan personuppgifter och uppgifter om juridiska personer och i vissa fall avlidna. Vi har i avsnitten 7.4.2 och 7.4.3 föreslagit att de nya datalagarna inte ska vara tillämpliga på annat än personuppgifter. Även av den anledningen finns det ett behov av att överväga förändringar av de befintliga bestämmelserna om utläm- nande, se avsnitt 13.4.3 nedan.
I avsnitt 11.7.5 har vi föreslagit att den befintliga regleringen av olika former av elektroniskt utlämnande inte ska ha någon motsvar- ighet i de nya datalagarna. Vi har även föreslagit att den rättsliga åt- skillnaden mellan direktåtkomst och andra former av elektroniskt utlämnande ska upphävas. I befintlig reglering finns dock särskilda sekretessbrytande bestämmelser som uttryckligen avser direktåtkomst, och som förefaller vara införda i syfte att möjliggöra ett sådant ut- lämnande. Också i detta avseende finns det ett behov av att föreslå justerade bestämmelser, se avsnitten 13.4.2 och 13.4.4 nedan.
13.4.2Omfattningen av informationsutbytet bör som utgångspunkt inte ändras i sak
Vår bedömning: Med undantag för viss utvidgad uppgiftsskyl- dighet till följd av våra förslag om dataanalyser och urval, samt avseende utlämnande från beskattningsverksamheten till Krono- fogdemyndigheten för tillsyn över näringsförbud, bör omfatt- ningen av det nuvarande informationsutbytet som utgångspunkt inte förändras avseende vem som har rätt att ta del av vilka upp- gifter och för vilka behov.
Skälen för vår bedömning
En generell utgångspunkt
Skatteverket, Tullverket och Kronofogdemyndigheten har samstäm- migt uppgett att dagens reglering av elektroniskt utlämnande av upp- gifter innebär omotiverade hinder för att de ska kunna utföra sina respektive uppgifter. Det är dock inte i fråga om de sekretessbrytande bestämmelser som reglerar uppgiftslämnandet i sak som myndig-
929
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
heterna har pekat på behov av förändring, utan avseende regleringen av formerna för utlämnandet, se avsnitt 11.6.
Myndigheterna har dock i andra sammanhang uttryckt att ett ut- ökat informationsutbyte mellan myndigheter skulle kunna leda till att de får del av information som de behöver i sin verksamhet eller till att handläggningen i vissa avseenden kan förenklas och effektiviseras.83 Särskilt Skatteverket har även uppgett till utredningen att myndig- hetens inställning är att det på ett generellt plan behövs en föränd- ring av regelverket avseende uppgiftslämnande mellan myndigheter. Skatteverket har även lyft att myndigheten bl.a. i remissvar har på- pekat att det finns ett generellt behov av ett ökat informationsutbyte på en rad olika områden, exempelvis för att säkerställa korrekta besluts- underlag för myndigheter och öka möjligheten till efterkontroller. Det nuvarande regelverket har enligt Skatteverket blivit svåröverskåd- ligt och svårt att tillämpa på ett effektivt sätt och samhällsutvecklingen ställer krav på att det finns en flexibilitet i regelverket som inte finns
idag. I Skatteverkets verksamhet finns det enligt myndigheten exem- pel på uppgifter som skulle kunna ha stort värde för en mottagande myndighet, där ett utbyte inte är möjligt med dagens bestämmelser.84 I vårt uppdrag ingår dock inte i huvudsak att föreslå ändringar kring omfattningen av det nuvarande informationsutbytet. Vi be- dömer därför att en hantering av de synpunkter som Skatteverket gett uttryck för inte kan anses falla inom ramen för vårt uppdrag. Mot den bakgrunden, och då vi inte heller av annan anledning funnit skäl att inom ramen för vårt uppdrag föreslå några generella förändringar av omfattningen av det nuvarande informationsutbytet, bedömer vi att det som utgångspunkt inte bör förändras i sak. Med det nyss sagda avses att vi huvudsakligen inte funnit skäl att föreslå att andra kate- gorier av uppgifter än i dag ska få lämnas ut, till någon ytterligare mot- tagare eller för andra behov. Vissa förändringar föreslås dock även i detta avseende, se om utlämnande som i dag sker genom direktåtkomst
iavsnittet nedan och om utlämnande av vissa uppgifter som behövs för Skatteverkets och Tullverkets dataanalyser och urval i kontroll- verksamhet i avsnitten 14.10.2 och 14.10.3. I avsnitt 13.5.5 föreslår
viäven att utlämnande av vissa uppgifter från beskattningsverksam-
83Se Tullverkets yttrande
84Skatteverkets remissvar
930
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
heten till Kronofogdemyndigheten för behov kopplade till tillsyn över näringsförbud, som i dag delvis sker med stöd av generalklausulen i 10 kap. 27 § OSL, ska författningsregleras.
Vissa sekretessbrytande bestämmelser bör dock omformuleras
En följd av den enhetliga reglering av elektroniskt utlämnande som
viföreslår i avsnitt 11.7.5 är att sekretessbrytande bestämmelser som uttryckligen avser direktåtkomst inte bör finnas kvar. Det kan i vissa fall få till följd att kvarvarande sekretessbrytande bestämmelser inte kan anses vara tillräckligt brett formulerade för att tillåta utlämnande genom direktåtkomst. Eftersom vi inte har för avsikt att förändra omfattningen av uppgiftslämnandet, utöver vad som anges i avsnit- ten 14.10.2 och 14.10.3 och avsnitt 13.5.5 nedan, behövs vissa juster- ingar göras med anledning att bestämmelser om direktåtkomst före- slås upphöra.
Vår bedömning är dock att det behovet i huvudsak uppkommer där det kvarvarande föreskrivna uppgiftslämnandet ska ske på be- gäran och samtidigt anger att enbart uppgifter om personer som förekommer hos den mottagande myndigheten får lämnas ut. Sådana bestämmelser förekommer i dag i regleringen för Skatteverkets be- skattningsverksamhet, Tullverket och Kronofogdemyndigheten.85 Sekretessbrytande bestämmelser som avser uppgifter om vissa angivna personer skiljer sig från hur övriga sekretessbrytande bestämmelser är formulerade, eftersom de uttryckligen pekar ut en personkrets och inte en kategori av uppgifter kopplat till ett behov hos mottagaren. Utan de särskilda bestämmelser som avser direktåtkomst kommer dessa bestämmelser eventuellt anses utgöra ett hinder mot fortsatt utlämnande genom direktåtkomst. Om de sekretessbrytande bestäm- melserna i stället formuleras utan angivande av krav på begäran och
iövrigt i likhet med andra sekretessbrytande bestämmelser, dvs. en- bart anger de kategorier av uppgifter som är aktuella, alternativt den verksamhet i vilken uppgifterna måste behövas, uppkommer enligt vår bedömning inte det problemet. I avsnitten nedan föreslår vi där- för att de bestämmelser som i dag avser en viss personkrets ska for- muleras om till att avse kategorier av uppgifter och vilka behov som ska föreligga hos mottagaren för att utlämnandet ska komma i fråga.
85
931
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
De föreslagna bestämmelsernas ordalydelse kan genom vår ändring komma att uppfattas som en utvidgning i förhållande till vad som gäller i dag. Den förändring som föreslås i dessa sammanhang syftar dock enbart till att möjliggöra samma uppgiftslämnande som i dag när be- stämmelser som tillåter direktåtkomst försvinner, se närmare moti- veringar i avsnitten nedan. Ändringen innebär alltså inte ett avsteg från vår generella utgångspunkt att omfattningen av bestämmelserna om utlämnande inte ska förändras.
13.4.3Bestämmelser om uppgiftsskyldighet bör inte finnas i de nya dataskyddsförfattningarna
Vår bedömning: Bestämmelser om uppgiftsskyldighet bör inte finnas i de nya dataskyddsförfattningarna för Skatteverkets beskatt- nings- respektive folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten.
Skälen för vår bedömning
De föreslagna datalagarnas tillämpningsområde
Med undantag för Skatteverkets folkbokföringsverksamhet träffar de sekretessbestämmelser som är tillämpliga i Skatteverkets, Tull- verkets och Kronofogdemyndighetens respektive verksamheter inte enbart uppgifter om fysiska personer (personuppgifter), utan även upp- gifter om juridiska personer och avlidna. Som framgår av avsnitt 13.2.2 bryter uppgiftsskyldighet mellan svenska myndigheter eventuell sekre- tess. Ett av skälen till att befintliga registerförfattningar skulle vara tillämpliga även vid myndigheternas behandling av uppgifter om juri- diska personer och i vissa fall avlidna var att det enligt regeringen skulle vara svårt att särskilja de olika kategorierna exempelvis vid utlämnande, se avsnitt 13.3.1.
I avsnitten 7.4.2 och 7.4.3 har vi föreslagit att de nya lagarna samt tillhörande förordningar som utgångspunkt inte ska vara tillämpliga vid behandling av uppgifter om juridiska personer och avlidna. Om bestämmelser om uppgiftslämnande fortsatt skulle regleras i data- skyddsförfattningarna skulle dessa bestämmelser behöva vara tillämp- liga även vid behandling av andra uppgifter än personuppgifter för
932
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
att bryta förekommande sekretess. Vi anser dock att en sådan lös- ning komplicerar regleringen på ett sätt som inte är motiverat. De nya dataskyddsförfattningarnas föreslagna tillämpningsområde talar i stället för att bestämmelser om uppgiftslämnande bör regleras i andra sam- manhang.
Bestämmelser om uppgiftslämnande är inte av dataskyddskaraktär
I kapitel 5 har vi redogjort för våra utgångspunkter i arbetet med att se över befintlig reglering av Skatteverkets, Tullverkets och Krono- fogdemyndighetens behandling av personuppgifter. En av våra ut- gångspunkter är att den nya regleringen i så hög utsträckning som möjligt ska renodlas till att endast omfatta dataskyddsbestämmelser (se avsnitt 5.2.6). Den kompletterande dataskyddsregleringen bör därmed inte rymma materiella bestämmelser eller bestämmelser som reglerar mer eller mindre närliggande frågor som inte utgör rena dataskyddsbestämmelser. En sammanblandning av bestämmelser med olika funktion och rättslig karaktär som ibland dessutom överlappar varandra riskerar nämligen att skapa en omotiverat komplex lagstift- ning. Det nyss sagda gäller enligt vår mening särskilt bestämmelser som reglerar förhållanden som ligger nära de rena dataskyddsfråg- orna, eftersom bestämmelsernas skiftande karaktär och föremål kan medföra en osäkerhet kring deras innebörd. Frågan är då om sekre- tessbrytande bestämmelser som föreskriver att uppgifter ska lämnas ut är sådana dataskyddsbestämmelser som, trots vad som anges i av- snittet ovan, bör finnas i dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten.
Inledningsvis kan konstateras att sekretessbrytande bestämmelser inte reglerar förutsättningarna för automatiserad personuppgifts- behandling, förutom sådana bestämmelser som i dag särskilt avser direktåtkomst.86 Även om tillämpningen av bestämmelser med sekre- tessbrytande funktion i regel får till följd att information lämnas ut automatiserat är det inte det elektroniska utlämnandet i sig som regle- ras genom bestämmelserna. Det bestämmelserna avser är i stället att annars sekretessbelagda uppgifter över huvud taget får lämnas ut från den verksamhet där de förekommer. Bestämmelserna avser inte
86Jfr regeringens uttalanden i prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform, s. 45.
933
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
heller enbart personuppgifter, utan även uppgifter om juridiska perso- ner, avlidna och uppgifter om sakförhållanden. Bestämmelserna har följaktligen inte heller kommit till för att särskilt skydda enskildas personliga integritet, vare sig vid automatiserad eller annan behand- ling. De innebär i stället att det ursprungliga skyddet för den person- liga integriteten (sekretessen) bryts. Det nyss sagda talar enligt vår mening för att bestämmelser om uppgiftslämnande inte bör finnas i dataskyddssammanhang.
Av Högsta förvaltningsdomstolens avgörande i rättsfallet HFD 2021 ref. 10 framgår att den utlämnande myndigheten inte ska göra någon kontroll av förenligheten med finalitetsprincipen i samband med utlämnande av offentliga uppgifter enligt 6 kap. 5 § OSL, se av- snitt 13.2.4. Motsvarande bör enligt vår mening gälla även i situationer där det föreskrivna uppgiftslämnandet omfattar uppgifter som annars skulle vara sekretessbelagda. Genom bestämmelser som föreskriver en skyldighet att lämna ut uppgifter får riksdagen eller regeringen anses ha tagit ställning till utlämnandets förenlighet med insamlings- ändamålet, samt dess laglighet. Något utrymme för myndigheterna att med tillämpning av den allmänna eller kompletterande dataskydds- regleringen pröva om ett föreskrivet utlämnande ska ske borde därför inte heller finnas när det föreskrivna utlämnandet bryter förekom- mande sekretess. Också det talar för att bestämmelser om utlämnande av uppgifter bör regleras skilt från dataskyddsbestämmelser.
Registerförfattningarnas bestämmelser om uppgiftslämnande till- sammans med andra bestämmelser om uppgiftslämnande i nationell rätt, samt unionsrättsliga och andra internationella rättsakter som före- skriver en skyldighet för myndigheterna att lämna ut uppgifter, visar dessutom att behovet av att utbyta uppgifter i dag är mycket omfat- tande. Det är inte bara uppgifter som behövs för beslut eller i särskilt angiven samverkan som ska lämnas ut, utan även sådan information som behövs för att den mottagande aktören ska kunna fullgöra sina författningsreglerade uppgifter. Totalt sett kan de sekretessbrytande bestämmelserna och andra bestämmelser om uppgiftslämnande sägas utgöra ett eget område inom lagstiftningen som är både stort och komplext. Bestämmelser om uppgiftsskyldighet och annat utlämnande bör därför enligt vår mening snarast likställas med andra materiella bestämmelser som styr myndigheternas verksamhet. Det förefaller därmed mer ändamålsenligt att bestämmelser om uppgiftslämnande regleras skilt från dataskyddsregleringen.
934
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
För att den nya regleringen ska bli så enhetlig, ändamålsenlig och flexibel som möjligt bör bestämmelser om utlämnande i sak inte regleras i de nya dataskyddsförfattningarna. Bestämmelserna behöver dock finnas kvar i sak för att utlämnandet även fortsättningsvis ska vara förenligt med den generella dataskyddsregleringen och offent- lighets- och sekretesslagens bestämmelser. Att de nya bestämmelser som vi föreslår i huvudsak ska motsvara det uppgiftslämnande som föreskrivs i dag framgår av avsnitten
13.4.4Sekretessbrytande bestämmelser ska inte ange att utlämnandet ska ske på begäran av den mottagande myndigheten
Vårt förslag: Sekretessbrytande bestämmelser ska ange att utläm- nande ska ske i den utsträckning det behövs i den mottagande myndighetens verksamhet.
I de fall utlämnandet i dag ska ske på begäran ska den nya sekretessbrytande bestämmelsen förenas med ett förbud mot att lämna ut uppgifterna på eget initiativ.
Skälen för vårt förslag
En ny huvudregel
Vi har tidigare bedömt att utformningen av nuvarande reglering inte är väl avvägd bl.a. med hänvisning till den stora variationen i hur bestämmelserna är utformade. I avsnitt 11.7.5 har vi dessutom före- slagit att den rättsliga åtskillnaden mellan direktåtkomst och andra former av elektroniskt utlämnande ska överges. Frågan är då hur sekre- tessbrytande bestämmelser bör utformas i den del som avser skyldig- heten att lämna ut uppgifter för att i så hög utsträckning som möjligt uppfylla målsättningen om en reglering som är flexibel och ända- målsenlig och som är anpassad efter våra förslag i övrigt. Vad avser frågan om hur de uppgifter som avses ska definieras, se avsnitt 13.4.5 nedan.
Som vi redogjort för i avsnitt 11.5.1 finns det inga särskilda be- stämmelser i EU:s dataskyddsförordning som direkt rör på vilket sätt personuppgifter får lämnas ut. Om utlämnandet i sig är tillåtet
935
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
finns det alltså inget krav på att direktåtkomst eller någon annan form av utlämnande ska regleras särskilt. Särskilda sekretessbrytande bestämmelser för direktåtkomst är därför inte nödvändiga med hän- visning till den allmänna dataskyddsregleringen Sekretessbrytande bestämmelser som uttryckligen avser direktåtkomst är dessutom svåra att kombinera med förslaget om en enhetlig reglering för alla former av elektroniskt utlämnande. Vi anser därför att det inte bör införas nya sekretessbrytande bestämmelser som särskilt avser direktåtkomst.
Som vi redan berört behöver dock upphävandet av sekretessbryt- ande bestämmelser som är utformade för att möjliggöra direktåtkomst kompenseras för på något sätt för att regleringen av uppgiftslämnan- det inte ska förändras i mindre tillåtande riktning. Också i övrigt bör dock bestämmelser som föreskriver att ett uppgiftslämnande ska ske formuleras med hänsyn till förslaget om att det inte ska göras någon rättslig åtskillnad mellan direktåtkomst och andra former av elektro- niskt utlämnande.
I dagens reglering finns flera sekretessbrytande bestämmelser som förutom att ange vilka uppgifter som avses och att mottagaren ska behöva uppgifterna i viss verksamhet också anger att ett utlämnande ska ske på begäran. Ett utlämnande som ska föregås av en begäran har i vissa fall ansetts hindra utlämnande genom direktåtkomst, även om övriga förutsättningar för utlämnande genom direktåtkomst är uppfyllda, se avsnitten 13.4.1, 13.4.2 och 11.2.2. Som vi påpekat tidi- gare förefaller dock även sekretessbrytande bestämmelser som anger att utlämnandet ska ske på begäran kunna ligga till grund för utläm- nande genom direktåtkomst, när det finns en bestämmelse i lag om att sådant utlämnande får förekomma. Även de bestämmelser som
idag föreskriver att ett utlämnande inte behöver ske på begäran före- faller dessutom utgå från att det funnits en ursprunglig begäran om att få ut uppgifter, och inte tillåta utlämnande helt på den utläm- nande myndighetens initiativ.
I vissa fall förefaller uttrycket på begäran i den befintliga regler- ingen dessutom ha ersatt ledet att uppgifterna ska behövas hos mot- tagaren. I dag finns det exempelvis en sekretessbrytande bestämmelse för Skatteverkets beskattningsverksamhet som enbart anger att vissa uppgifter ska lämnas ut på begäran av Tullverket, där bestämmelsen inte föreskriver att det ska finnas ett behov hos mottagaren. Av 5 a § SdbF framgår nämligen följande.
936
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
På begäran av Tullverket ska sådana uppgifter lämnas ut som avses i 2 kap. 4 a § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Tullverket har rätt att ta del av sådana uppgifter om enskilda som avses i 2 kap. 4 a § lagen om behandling av uppgifter i Skatteverkets be- skattningsverksamhet vid direktåtkomst till beskattningsdatabasen enligt 2 kap. 8 § tredje stycket samma lag.
I bestämmelsens andra stycke anges inte annat än att Tullverket får ha direktåtkomst till uppgifterna. Uttrycket på begäran får i detta fall anses förutsätta att Tullverket inte begär ut uppgifter som det inte finns något behov av i Tullverkets verksamhet.
Av exemplen ovan framgår att det inte är helt tydligt i dagens regler- ing vad ett utlämnande som ska ske på begäran innebär. Till skillnad från nuvarande reglering bör de nya bestämmelserna vara tydliga och konsekventa och inte ge upphov till osäkerhet om dess innebörd. Vi anser därför att bestämmelser om uppgiftsskyldighet inte längre bör utformas på så sätt att de kräver en begäran från den mottagande myn- digheten. Vi bedömer i stället att sekretessbrytande bestämmelser som anger att uppgifterna ska lämnas ut i den utsträckning det behövs med tillräcklig tydlighet och precision pekar ut i vilka situationer uppgifts- lämnandet kan komma i fråga. Ett krav på att utlämnandet också ska ske på begäran framstår därmed som överflödigt. I fråga om utbyte av uppgifter mellan myndigheter och självständiga verksamhetsgrenar inom en myndighet är dessutom utgångspunkten sedan länge att ut- lämnande endast ska ske om uppgifterna behövs i den mottagande verksamheten.87 Även de fall där på begäran i dag har ersatt kravet på att uppgifterna ska behövas hos mottagaren bör det därför ställas krav på att uppgifterna ska behövas hos mottagaren. En reglering som anger att utlämnande ska ske om uppgifterna behövs hos mottagaren överensstämmer också väl med den allmänna dataskyddsregleringen. Som framgår av bl.a. avsnitten 3.2.5, 3.2.6 och 9.2.3 får en myndighet inte samla in eller annars behandla uppgifter som den saknar stöd för att behandla, eller annorlunda uttryckt som den inte har en rättslig grund för att behandla.
Sammanfattningsvis bedömer vi att sekretessbrytande bestämmel- ser i fortsättningen bör ange att utlämnande ska ske i den utsträckning som det behövs hos mottagaren. Det får till följd att direktåtkomst inte hindras enbart på grund av bestämmelsens utformning i denna
87Jfr prop. 1979/80:146, med förslag till skatteregisterlag, s. 36.
937
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
del. I avsnitten
Utlämnande på eget initiativ?
Av avsnittet ovan framgår att vi föreslår att kravet på att utlämnandet ska ske på begäran av den mottagande myndigheten ska tas bort. Frågan är då om denna ändring medför att utlämnande i högre ut- sträckning kan ske på initiativ av den utlämnande myndigheten.
Först kan påpekas att vi i avsnitt 13.4.1 gett exempel på uppgifts- skyldighet som inträder redan när det kan antas att det finns ett be- hov hos mottagaren. Någon sådan bestämmelse har vi inte föreslagit. Vi har heller inte föreslagit att de sekretessbrytande bestämmelserna i fortsättningen ska utgöra underrättelseskyldigheter. Bestämmelser- nas föreslagna utformning, dvs. att uppgiftsskyldigheten inträder först när det föreligger ett behov hos mottagaren, bör i stället anses utgöra ett hinder mot utlämnande av sekretessbelagda uppgifter helt på den utlämnande myndighetens egna initiativ. Uppgiftsskyldigheten in- träder i stället först när den utlämnande myndigheten har en faktisk kännedom om sådana omständigheter hos den mottagande myndig- heten som gör att det finns skäl att lämna ut uppgifter.88 I de allra flesta situationer bör en sådan kännedom uppkomma först i samband med ett förfarande som kan karaktäriseras som en begäran, exempel- vis en överenskommelse om utlämnande med vissa intervall där de uppgifter som efterfrågas specificerats, eller när formerna för ett elektroniskt utbyte av uppgifter mellan två myndigheter utarbetas (jfr avsnitten 11.7.3 och 11.7.5).
Att uppgifterna ska behövas hos den mottagande myndigheten ställer inte upp något krav på att den utlämnande myndigheten i varje enskilt fall ska pröva behovet hos mottagaren. Att den utlämnande myndigheten inte behöver pröva en begäran i varje enskilt fall bör dock vara fallet redan i dag, eftersom utlämnande efter begäran kan ske genom regelbundna överföringar eller genom automatiserade hän-
88Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 168.
938
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
delsebaserade tjänster där information lämnas ut när ett ärende upp- dateras (jfr avsnitt 11.2.3). Kravet på att uppgifterna ska behövas bör i stället tolkas på så sätt att bedömningen utgår från uppgifter som typiskt sett behövs i den verksamhet som den sekretessbrytande be- stämmelsen anger, och utifrån den information om behovet av upp- gifterna som lämnas av den mottagande myndigheten till den utläm- nande myndigheten. Det får alltså anses ankomma på den mottag- ande myndigheten att uppge vilka uppgifter den typiskt sett behöver. Vid tillämpningen av bestämmelser om utlämnande som föreskriver vilka behov som ska föreligga hos mottagaren rör det sig därmed i viss mån om ett tillitsbaserat system, oavsett om utlämnandet sker på begäran eller inte.
Redan i dag finns det flera bestämmelser som utöver vilka upp- gifter som avses enbart anger det behov som ska föreligga hos mot- tagaren, dvs. det krävs inte att utlämnandet föregåtts av en begäran i det enskilda fallet. Som framgår av avsnitt 13.4.1 förefaller dock även dessa bestämmelser förutsätta att den mottagande myndigheten tidi- gare framställt en begäran om att få ta del av uppgifter. Regeringen har exempelvis bedömt att en sådan bestämmelses utformning inne- bär att utlämnandet på eget initiativ i samtliga fall skulle komma att avse uppdateringar av uppgifter som tidigare begärts ut av mottagaren. Som redan nämnts uttalade regeringen i det sammanhanget att det en- bart var en mindre revidering att ta bort kravet på att utlämnandet skulle ske på begäran.
Sammanfattningsvis bedömer vi att ett föreskrivet utlämnande som inte kräver en begäran i vart fall inte med någon självklarhet medför att den utlämnande myndigheten ges utrymme att lämna ut uppgifter på eget initiativ.
Ett förbud mot utlämnande på eget initiativ
Den föreslagna ändringen att utlämnande inte längre ska ske på be- gäran kan trots det som anges i avsnittet ovan tolkas som att upp- giftsskyldighetens omfattning utökas på ett sätt som inte kan anses motsvara en mindre revidering. Osäkerhet kan exempelvis uppkomma om bestämmelsernas föreslagna lydelse trots allt ger möjlighet till ett faktiskt utlämnande redan när den utlämnande myndigheten kan anta att uppgifterna behövs hos mottagaren.
939
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
För att det inte ska råda några tvivel i denna fråga bör samtliga nya bestämmelser som avser ett utlämnande som i dag ska ske på begäran förenas med ett förbud mot utlämnande på initiativ av den utlämnande myndigheten. Förbudet innebär att det inte är tillräckligt att den ut- lämnande myndigheten kan anta att den mottagande myndigheten har ett behov av uppgifterna för att uppgiftsskyldigheten ska inträda. Det innebär däremot ett hinder mot spontant utlämnande av upp- gifter som inte efterfrågats.
Förbudet innebär dock inget hinder mot att en myndighet har en ”stående begäran” om viss information som omfattas av en sekretess- brytande bestämmelse, eller att den utlämnande och den mottagande myndigheten avtalar om aviseringar av ändrade uppgifter, löpande utlämnande med olika intervall, utlämnande genom automatiserade händelsebaserade tjänster eller prenumerationer. Förbudet hindrar inte heller ett utlämnande genom direktåtkomst. Ett utlämnande genom direktåtkomst förutsätter nämligen ett förberedande samarbete mellan den utlämnande och mottagande myndigheten inför upprättandet av en sådan förbindelse. Det som förbudet träffar är i stället sådant ut- lämnande som går utöver det som avtalats, som har begärts ut eller som den utlämnande myndigheten inte förvissat sig om faktiskt efterfrågas i den mottagande myndighetens angivna verksamhet.
Det förbudet avser är det faktiska utlämnandet, som inte får ske spontant. Förbudet hindrar med andra ord inte att den utlämnande myndigheten kontaktar den myndighet som uppgiftsskyldigheten av- ser i syfte att uppmärksamma mottagaren på att viss information som omfattas av uppgiftsskyldigheten finns eller kan komma att finnas hos den utlämnande myndigheten. En sådan kontakt kan ske i syfte att ge mottagaren möjlighet att framställa en begäran om att informationen ska lämnas ut i enlighet med den aktuella sekretessbrytande bestäm- melsen. Det faktiska utlämnandet kommer i en sådan situation inte att ske på initiativ av den utlämnande myndigheten.
Ett sådant förfarande förekommer i dag i enstaka fall hos Tull- verket, som enligt 1 kap. 4 § tullagen har en uppgiftsskyldighet till bl.a. marknadskontrollmyndigheter. Marknadskontroll innebär att ansvarig myndighet kontrollerar att produkter som finns på mark- naden uppfyller gällande lagstiftning och att de är märkta och kontrol- lerade på föreskrivet sätt.89 Marknadskontrollverksamheten är primärt
89Marknadskontrollrådets webbsida, Vad är marknadskontroll?, tillgänglig:
940
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
reglerat i unionsrätten genom olika rättsakter som avser såväl för- farandet som de produktssäkerhetskrav som ska gälla. Tullverket är inte en marknadskontrollmyndighet med ansvar för sakfrågorna, utan för varje sakområde finns en utpekad marknadskontrollmyndighet. Det är också dessa ansvariga myndigheter som har specialkunskapen inom sina områden. Tullverket har däremot rätt att stoppa misstänkta varor vid gränsen och att hålla kvar varor i avvaktan på marknads- kontrollmyndighetens beslut om vilka åtgärder som ska vidtas med varan. Marknadskontrollmyndigheterna och Tullverket samråder också om olika åtgärder för att stoppa farliga varor vid gränsen. Uppgifts- skyldigheten enligt 1 kap. 4 § tullagen är i dag utformad utifrån att utlämnandet föregås av en begäran. Enligt vad Tullverket har upp- gett till utredningen förkommer det dock också att myndigheten i det enskilda fallet gör en förfrågan hos den aktuella kontrollmyndig- heten om uppgifter som avses i 1 kap. 4 § tullagen begärs ut eller inte. Detta förfarande kommer vara möjligt även i framtiden.
Som vi nämnt tidigare finns bestämmelser om uppgiftslämnande och skyldighet att lämna uppgifter i många olika nationella författ- ningar och i unionsrätten. Förbudet hindrar självfallet inte sådant ut- lämnande som regleras i någon annan författning, exempelvis de be- stämmelser om underrättelseskyldighet och uppgiftsskyldighet vi redogjort för i avsnitt 13.4.1 och som i dag inte regleras i myndig- heternas registerförfattningar.
Det kan som redan nämnts ifrågasättas om det finns någon prak- tisk skillnad mellan ett utlämnande på begäran som avser exempelvis regelbundna uppdateringar och ett utlämnande som i dag kan ske utan en begäran i det enskilda fallet. I syfte att inte oavsiktligt för- ändra omfattningen av det nuvarande informationsutbytet bör dock de bestämmelser som i dag inte ställer krav på att utlämnandet ska föregås av en begäran inte förenas med ett förbud mot utlämnande på eget initiativ.
Ett undantag från huvudregeln
I regleringen för beskattningsverksamheten finns en bestämmelse där de överväganden som vi nyss redogjort för inte kan tillämpas fullt ut. Enligt 8 e § SdbF ska nämligen uppgifter lämnas till Statistiska central- byrån på begäran av Riksbanken. Det är den enda bestämmelsen i sam-
941
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
manhanget som föreskriver ett utlämnande på begäran av en myndig- het men där mottagaren av uppgifterna är en annan myndighet. Vi anser att ett utlämnande på initiativ från en tredje part inte med själv- klarhet skulle anses vara tillåtet utan en tydligt tillåtande reglering. I syfte att inte rubba det uppgiftslämnande som möjliggörs genom den nämnda bestämmelsen bör det följaktligen införas en ny bestäm- melse med motsvarande innebörd, dvs. att utlämnande av de aktuella uppgifterna till Statistiska centralbyrån ska ske på begäran av Riks- banken.
13.4.5Vilka kategorier av uppgifter som avses ska
ide nya bestämmelserna utgå från hur de definieras
iden befintliga regleringen
Vårt förslag: Sekretessbrytande bestämmelser som i dag hänvisar till en eller flera punkter i registerlagarnas kataloger över vilka uppgifter som får behandlas i respektive databas ska utan ändring i sak föras in i de nya sekretessbrytande bestämmelserna, men i stället för en sådan hänvisning ange de kategorier av uppgifter som avses.
I övrigt ska nuvarande bestämmelser avseende vilka uppgifter som avses oförändrade föras in i de nya bestämmelserna.
Skälen för vårt förslag
Bestämmelser som i dag hänvisar till databasregleringen
Som framgår av avsnitten
I många fall hänvisas det i den sekretessbrytande bestämmelsen till en eller flera kategorier av uppgifter som får behandlas i en data- bas. Hänvisning sker då genom att det i bestämmelsen anges det lagrum som föreskriver att uppgifterna får behandlas i databasen.
Iavsnitt 9.4.2 har vi som redan nämnts föreslagit att dagens reglering av olika databaser inte ska ha någon motsvarighet i de nya dataskydds-
942
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
författningarna. Nya sekretessbrytande bestämmelser kan därför inte i samtliga fall utformas efter samma systematik som tidigare.
Vi har tidigare bedömt att de sekretessbrytande bestämmelserna i huvudsak inte ska förändras avseende vilka uppgifter som avses, vem mottagaren ska vara och i vilken verksamhet de ska behövas. När en sekretessbrytande bestämmelse i dag hänvisar till en kategori uppgifter som får behandlas i en databas ska därför samma kategori uppgifter
istället uttryckligen anges i den nya bestämmelsen. Den skillnad mellan de gamla och de nya bestämmelserna som i detta avseende uppstår blir därmed enbart språklig.
Bestämmelser som hänvisar till andra författningar
I enlighet med vår målsättning om att de nya bestämmelserna ska vara så enhetligt utformade som möjligt har vi övervägt om samma kate- gorier av uppgifter som anges ovan, dvs. de som får behandlas i data- baserna, kan användas vid allt uppgiftslämnande. De kategorier av uppgifter som får behandlas i databaserna är dock ofta mycket brett formulerade. Bestämmelser om uppgiftsskyldighet som avser andra kategorier av uppgifter är motsatsvis ofta mycket detaljerade. Detta gäller exempelvis för de många fall då Skatteverket har en skyldighet att lämna ut uppgifter på individnivå i arbetsgivardeklarationen, där uppgifterna är detaljerat angivna. I dessa fall är det i stället ofta beho- vet hos den mottagande myndigheten som anges mycket brett, exem- pelvis får flera brottsbekämpande myndigheter i dag ta del av uppgifter på individnivå i arbetsgivardeklarationen i den utsträckning det be- hövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.90 Här framstår det alltså som nödvän- digt att föra över begränsningen avseende vilka uppgifter som avses till de nya bestämmelserna för att undvika en utvidgning av uppgifts- skyldigheten.
I andra fall där avgränsningen av vilka uppgifter som avses utgår från andra bestämmelser än registerförfattningarna är det dock inte lika självklart att de sekretessbrytande bestämmelserna inte skulle kunna förenklas. Exempelvis anges i 7 § första stycket SdbF följande.
908 l § SdbF.
943
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Till Försäkringskassan ska uppgifter lämnas ut från beskattningsdata- basen i den utsträckning det behövs för
1.beräkning eller kontroll av sjukpenninggrundande inkomst,
2.fördelning av ålderspensionsavgifter,
3.fastställande av underhållsstöd och betalningsskyldighet för sådant stöd enligt socialförsäkringsbalken,
4.beräkning och kontroll av bostadsbidrag enligt socialförsäkrings- balken,
5.beräkning av betalningsskyldighet enligt 8 § andra stycket lagen (2004:1237) om särskild sjukförsäkringsavgift,
6 beräkning och kontroll av bostadstillägg enligt socialförsäkrings- balken, eller
7.beräkning av ersättning för sjuklönekostnad enligt 17 eller 17 d § lagen (1991:1047) om sjuklön.
Behovet hos Försäkringskassan är mycket detaljerat angivet, till skillnad från vad som gäller för vissa brottsbekämpande myndigheter. Andra stycket i samma bestämmelse, som anges nedan, hänvisar dock inte till den katalog över uppgifter som får behandlas i beskattnings- databasen utan till bestämmelser i andra författningar. I 7 § andra stycket SdbF anges följande.
De uppgifter som ska lämnas till Försäkringskassan med stöd av första stycket är uppgifter
1.enligt 19 kap. 11, 13 och 14 §§ socialförsäkringsbalken, med undan- tag av 13 § tredje stycket,
2.om inkomst som anges i 97 kap. 2, 4, 5, 11 och 13 §§ socialförsäkrings- balken, med undantag av 5 § tredje stycket och 13 § första stycket
3.om fastighet, ägarandel, fastighetsbeteckning, adress och bostadsyta,
4.om avgiftsunderlag enligt 2 kap. 24 § socialavgiftslagen (2000:980) och om därpå belöpande arbetsgivaravgifter enligt 2 kap. socialavgifts- lagen, skatt enligt 1 § lagen (1990:659) om löneavgift och avgift enligt 1 § lagen (1994:1920) om allmän löneavgift som beräknats för arbets- givare under ett kalenderår,
5.om avdrag för avsättning till periodiseringsfond och expansions- fond enligt 30 och 34 kap. inkomstskattelagen (1999:1229) samt om återföring av sådana avdrag,
6.om schablonintäkt enligt 47 kap. 11 b § inkomstskattelagen,
7.om samtliga intäkts- och kostnadsposter i inkomstslagen tjänst och kapital,
8.om överskott eller underskott i inkomstslaget näringsverksamhet, och
9.om sjuklönekostnad enligt 17 b § första stycket lagen (1991:1047) om sjuklön.
944
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Vi har övervägt om sekretessbrytande bestämmelser som i exemplet ovan i stället skulle kunna ange motsvarande kategorier av uppgifter som i dag får behandlas i databaserna, utan att det skulle medföra en förändring av utlämnandets omfattning. En sådan lösning skulle bidra till en större enhetlighet och att bestämmelser om utlämnande blev mindre komplexa. Avgränsningen skulle i sådant fall ske genom angiv- andet av att behovet ska föreligga i samma verksamhet som i dag. Som
viangett i avsnitt 13.4.4 ansvarar nämligen den mottagande myndig- heten i normalfallet för att inte fler uppgifter än vad som är motiverat utifrån mottagarens legitima behov, som i exemplet anges i bestäm- melsens första stycke, hämtas in. I de bestämmelser som hänvisas till
i7 § första stycket SdbF föreskrivs i detalj vilka uppgifter som ska ligga till grund för vilken åtgärd från Försäkringskassans sida. Det skulle kunna innebära att detaljeringsgraden i andra stycket är över- flödig.
Vi har analyserat de bestämmelser som det hänvisas till i 7 § andra stycket SdbF och utifrån detta bedömer vi att bestämmelsens andra stycke skulle kunna utformas enligt följande.
De uppgifter som ska lämnas till Försäkringskassan med stöd av första stycket är uppgifter om
1.underlag för fastställande av skatter och avgifter,
2.bestämmande av skatter och avgifter,
3.underlag för fastighetstaxering, och
4.uppgifter om sjuklönekostnad.
En sådan lösning förutsätter dock att det inte finns uppgifter som ingår i de breda kategorier som får behandlas i databasen och som be- hövs i Försäkringskassans verksamhet, men som Försäkringskassan i dag inte har rätt att ta del av. Den frågan bedömer vi dock vara allt- för omfattande för att kunna besvaras inom ramen för vårt uppdrag.
Inte heller avseende exemplet ovan går det att med någon själv- klarhet översätta uppgiftsskyldighetens omfattning till en eller flera kategorier av uppgifter som får behandlas i databaserna enligt nuvar- ande reglering. Riskerna med den lösning vi övervägt är att den mot- tagande myndigheten ges tillgång till fler uppgifter än i dag. För att inte oavsiktligt utöka uppgiftsskyldigheternas omfattning anser vi att det lämpligaste är att strukturen i de bestämmelser som hänvisar till andra författningar än registerlagarna förs över oförändrad till de nya bestämmelserna.
945
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Bestämmelser som inte anger vilka uppgifter som avses
I vissa sekretessbrytande bestämmelser anges inte över huvud taget vilka kategorier av uppgifter som avses, utan endast vilket behov hos mottagaren som ska föreligga för att utlämnande ska ske. Detta gäller bl.a. visst utlämnande från beskattningsverksamheten till Polismyndig- heten.91 För att inte riskera att oavsiktligt inskränka utlämnandets omfattning bedömer vi att det i dessa fall inte heller i de nya, mot- svarande bestämmelserna bör införas något angivande av vilka upp- gifter som avses.
13.4.6Bestämmelser om uppgiftslämnande bör i så hög utsträckning som möjligt utformas på ett enhetligt och flexibelt sätt
Vår bedömning: Bestämmelser om uppgiftslämnande bör utfor- mas på ett enhetligt sätt och på ett sätt som tar höjd för regeländ- ringar.
Skälen för vår bedömning
Som en generell utgångspunkt anser vi att bestämmelser som regle- rar samma sorts rättsliga förhållanden, i det här fallet förutsättningar för uppgiftslämnande, tjänar på att utformas på ett enhetligt sätt. En enskild bestämmelse blir sannolikt enklare att både förstå och tillämpa om inte själva utformningen av den väcker frågan om dess innebörd i förhållande till andra liknande bestämmelser, som de exempel vi redogör för i avsnitt 13.4.1.
Som vi redan påpekat är informationsutbytet mellan myndigheter, såväl inom som över nationsgränser, i dag mycket omfattande. Infor- mationsutbytet ökar dessutom kontinuerligt. Vi anser därför att be- stämmelser om uppgiftslämnande inte bara bör utformas på ett enhetligt sätt, utan även på ett sätt som tar höjd för tillkommande uppgifts- skyldighet. Själva regleringens struktur bör alltså utformas på ett så- dant sätt att tillkommande uppgiftsskyldighet inte kräver att befint- liga bestämmelser ändras, om det inte är påkallat av rent sakliga skäl.
917 d § SdbF.
946
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Vi har övervägt hur dessa två målsättningar mest effektivt kan till- godoses i de nya bestämmelserna. En grundläggande åtgärd är att dela upp bestämmelserna i kapitel när det är fråga om ett stort antal be- stämmelser som rör utlämnande till flera olika mottagare, vilket är fallet för Skatteverkets beskattningsverksamhet. I detta fall bör be- stämmelser avseende utlämnande till de mottagare där informations- utbytet är som mest omfattande, och där uppgiftslämnandet kan an- tas öka, finnas i särskilda kapitel. Kapitelindelningen bör även i viss mån utgå från de mottagande myndigheternas verksamhet, exempel- vis bör utlämnande till brottsbekämpande myndigheter regleras i ett kapitel. En annan åtgärd är att inte reglera uppgiftslämnande till flera mottagare i samma bestämmelser, vilket i dag sker för vissa brotts- bekämpande myndigheter.92 Utlämnande till en och samma mottagare bör dessutom inte regleras på olika ställen, utan samlat.
Vad avser själva bestämmelsernas struktur bör som utgångspunkt behoven hos mottagaren anges i en bestämmelses första stycke, och vilka uppgifter som avses i andra stycket. När det föreskrivna upp- giftslämnandet är av mer begränsad omfattning, eller synnerligen brett formulerat framstår som det mindre ändamålsenligt, och ibland omöj- ligt, att dela upp de befintliga bestämmelserna i stycken. Exempelvis finns det som nämnts ovan bestämmelser som inte specificerar vilka uppgifter som avses, utan enbart vilka behov som ska föreligga, alter- nativt inte anger vilka behov som ska föreligga utan enbart vilka upp- gifter som avses.
När det rör sig om ett mycket omfattande utlämnande för ett stort antal behov hos mottagaren anser vi att den lösning som medger mest överskådlighet och flexibilitet är att dela upp bestämmelserna i två paragrafer som hänvisar till varandra. I den ena bestämmelsen ska det föreskrivas att uppgifter ska lämnas ut och för vilka behov hos mot- tagaren. I den andra bestämmelsen ska de uppgifter som avses anges.
928 l § SdbF.
947
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
13.5Skatteverkets beskattningsverksamhet
13.5.1Utlämnande av uppgifter från beskattningsverksamheten ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgiftsläm- nande som i dag regleras i registerförfattningarna för Skatteverkets beskattningsverksamhet ska föras in i en ny förordning kallad för- ordningen om utlämnande av uppgifter från Skatteverkets beskatt- ningsverksamhet.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Skatteverkets utlämnande av upp- gifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som om- fattas av den föreslagna beskattningsdatalagen.
I den nya förordningen ska införas bestämmelser som motsva- rar de bestämmelser som i dag reglerar Skatteverkets möjligheter att ta ut avgifter vid utlämnande från beskattningsdatabasen.
Skälen för vårt förslag
En ny förordning om utlämnande av uppgifter
Det finns ett stort antal bestämmelser om uppgiftslämnande från beskattningsverksamhet och regleringen är komplex. Bestämmelserna som styr informationsflödet från verksamheten finns i dag i flera olika författningar. Det vore därför lämpligt att i så hög utsträckning som möjligt undvika en ännu mer splittrad reglering.
I avsnitt 13.4.3 har vi bedömt att bestämmelser om uppgiftsläm- nande inte ska finnas i de nya författningarna om dataskydd. Vi har övervägt om bestämmelser om Skatteverkets uppgiftsskyldighet i be- skattningsverksamheten kan flyttas till någon befintlig författning som reglerar de uppgifter Skatteverket har att utföra. Mot bakgrund av den stora omfattningen, att bestämmelser om utlämnande ofta ändras och då det inte finns något krav på att sekretessbrytande uppgiftsskyl- dighet som bygger på 10 kap. 28 § OSL ska finnas i lag, anser vi dock att det är lämpligt att de nya bestämmelserna förs in i en förordning.
Vi har exempelvis övervägt om bestämmelser om utlämnande som i dag finns i registerförfattningarna kan föras in i skatteförfarande-
948
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
förordningen (2011:1261), SFF. I 18 kap. SFF finns nämligen redan vissa bestämmelser om uppgiftsskyldighet för Skatteverket, bl.a. avseende utlämnande till Försäkringskassan, Kronofogdemyndigheten och Statistiska centralbyrån.93 Dessa och andra myndigheter som Skatteverket har en uppgiftsskyldighet till enligt skatteförfarande- förordningen är myndigheter som även anges som mottagare av upp- gifter i skattedatabasförordningen. I 20 kap. SFF finns dessutom vissa bestämmelser om uppgiftslämnande till myndigheter i andra stater.
En invändning mot att föra in de nya bestämmelserna om uppgifts- lämnande i skatteförfarandeförordningen är dock att tillämpnings- område för nuvarande registerförfattningar är bredare än tillämpnings- området för skatteförfarandelagen, som skatteförfarandeförordningen kompletterar.94 Den nya beskattningsdatalagen kommer i likhet med dagens registerförfattningar tillämpas i flera olika sammanhang som inte enbart regleras i skatteförfarandelagen och därmed inte heller den tillhörande förordningen. Vi anser därför att det inte är lämpligt att föra in de bestämmelser om utlämnande som i dag finns i register- författningarna i skatteförfarandeförordningen.
Någon annan lämplig författning som de ändrade bestämmelserna kan föras in i har vi inte hittat. Vår slutsats är därför att det inte finns någon befintlig författning dit nuvarande bestämmelser i register- författningarna bör flyttas. Vi föreslår därför en ny förordning om Skatteverkets utlämnande av uppgifter från beskattningsverksamheten.
Förordningens namn och portalparagraf
Vi anser att det inte är lämpligt att särskilt ange begreppet uppgifts- skyldighet i förordningens namn, trots att den huvudsakligen föreslås innehålla sådana. Även sekretessbrytande bestämmelser om utläm- nande till enskilda föreslås nämligen finnas i den nya förordningen, och dessa utgör inte i sig skyldigheter för Skatteverket. Namnet bör dessutom möjliggöra införandet av framtida upplysningsbestämmel- ser om sådant utlämnande som inte sker med stöd av en sekretess- brytande uppgiftsskyldighet i nationell rätt, eller med stöd av upp- giftsskyldighet som inte kan eller bör införas i den nya förordningen av normtekniska skäl. Det kan inte heller uteslutas att det kan finnas
9318 kap. 2, 4 och 9 §§ SFF.
941 kap.
949
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
skäl att i framtiden upplysa om sådant utlämnande som kan ske med stöd av den s.k. generalklausulen i offentlighets- och sekretesslagen genom en bestämmelse i förordningen. Förordningens namn bör där- för vara förordningen om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet.
Eftersom bestämmelser som möjliggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upp- lysa om att den innehåller bestämmelser om utlämnande av uppgifter från beskattningsverksamheten i vissa fall.
Förordningens struktur
I avsnitt 13.5.2 nedan föreslår vi att bestämmelser som motsvarar skattedatabaslagens och skattedatabasförordningens bestämmelser om utlämnande till enskilda förs in i den nya förordningen om ut- lämnande av uppgifter från beskattningsverksamheten. Dessa be- stämmelser bör finnas i ett eget kapitel.
Även uppgiftslämnande till andra verksamhetsgrenar inom Skatte- verket bör regleras i ett eget kapitel. Avseende bestämmelser om ut- lämnande till
Också bestämmelser om utlämnande till de myndigheter där be- skattningsverksamhetens uppgiftslämnande är mest omfattande, dvs. Kronofogdemyndigheten, Tullverket, Försäkringskassan, Migrations- verket och Statistiska centralbyrån bör finnas i särskilda kapitel.
Utlämnande till myndigheter inom det brottsbekämpande området, samt till domstolar m.fl. bör också regleras i särskilda kapitel.
Bestämmelser som rör utlämnande till övriga myndigheter bör slutligen regleras i ett kapitel.
Tillämpningsområde
Det breda materiella tillämpningsområdet för den föreslagna beskatt- ningsdatalagen syftar i likhet med dagens registerförfattningar till att omfatta alla Skatteverkets arbetsuppgifter inom den aktuella verksam- hetsgrenen, se avsnitt 7.4.5. För samstämmighet med de författningar som föreslås upphävas bör den nya förordningen om uppgiftsläm- nande ha samma breda materiella tillämpningsområde som den nya
950
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
beskattningsdatalagen. De avgränsningar som föreslås avseende juri- diska personer och avlidna i beskattningsdatalagen bör dock inte finnas i den nya förordningen.
En följd av det breda tillämpningsområdet är att eventuell till- kommande uppgiftsskyldighet för beskattningsverksamheten i första hand ska kunna föras i den föreslagna förordningen, och inte i andra förordningar eller i materiell reglering. Om så sker undviks ytterligare splittring i regleringen av vilka skyldigheter Skatteverket har att lämna ut uppgifter till andra aktörer.
Även vissa befintliga bestämmelser om uppgiftsskyldighet som i dag regleras i andra sammanhang bör kunna flyttas till den nya för- ordningen. Exempelvis skulle sådana bestämmelser som i dag finns i skatteförfarandeförordningens 18 kap. och 20 kap. kunna flyttas dit. Redan en sådan förändring hade enligt vår mening bidragit till att om- rådet framstod som mindre splittrat och svåröverskådligt. Vi anser dock att det inte ligger inom ramen för vårt uppdrag att lämna för- slag med den innebörden.
Bestämmelser om Skatteverkets rätt att ta ut avgifter
En myndighet får bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett sär- skilt beslut av regeringen. En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.95 Något krav på att bestämmelser om myndigheters rätt att ta ut av- gifter ska finnas i lag finns alltså inte.
Idag ges Skatteverket rätt att ta ut avgifter för utlämnande av upp- gifter från beskattningsdatabasen enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i lag, 2 kap. 14 § första stycket SdbL. I paragrafens andra stycke anges att rätten att ta ut av- gifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller en registrerads rätt enligt artikel 12.5
iEU:s dataskyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Skatte- verkets rätt att ta ut avgifter vid utlämnande motsvaras av nya bestäm-
953 och 5 §§ avgiftsförordningen (1992:191).
951
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
melser. Skatteverket har dessutom uppgett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter från beskattningsverksamheten. Dessa nya bestämmel- ser bör enligt vår mening finnas i samma sammanhang som de nya be- stämmelser som reglerar utlämnandet i sak, dvs. den nya förordningen om utlämnande av uppgifter.
En bestämmelse som motsvarar bestämmelsen i 2 kap. 14 § första stycket SdbL bör därför införas i den nya förordningen om utläm- nande av uppgifter. Även bestämmelsen om hur möjligheten att ta ut avgifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör ha en mot- svarighet i den nya förordningen. Däremot bör tillägget i nuvarande
2kap. 14 § första stycket första meningen SdbL, som anger att avgif- terna får tas ut enligt de närmare föreskrifter som meddelas av reger- ingen, inte införas i den nya förordningen eftersom regleringen i sin helhet föreslås finnas på förordningsnivå.
I 22 § SdbF finns i dag en bestämmelse som ger Skatteverket rätt att fastställa avgifter för utlämnande av uppgifter ur beskattningsdata- basen. I bestämmelsen anges dock att avgift inte ska tas ut när upp- gifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning. En bestämmelse med motsvarande innebörd bör också föras in i den nya förordningen om uppgifts- lämnande från beskattningsverksamheten.
Bestämmelserna i sak
I de kommande avsnitten redogör vi för vissa förändringar i förhål- lande till den reglering som i dag finns i skattedatabasförordningen. Utöver dessa tillägg och justeringar föreslår vi att de sekretessbrytande bestämmelser som i dag finns i skattedatabaslagen och skattedatabas- förordningen ska föras över till den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten med de förändringar vi redogjort för ovan.
952
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
13.5.2Utlämnande till enskilda
Vårt förslag: I den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten ska det införas en bestämmelse som motsvarar den sekretessbrytande bestämmelse i skattedata- baslagen som i dag reglerar förutsättningarna för utlämnande från beskattningsdatabasen till enskilda. Bestämmelsen i den nya för- ordningen ska dock förtydligas avseende vilka uppgifter som får lämnas ut avseende en fysisk eller juridisk person är godkänd som skattebefriad förbrukare enligt lagen om skatt på energi eller lagen om alkoholskatt.
Utlämnande till arbetslöshetskassor ska regleras i anslutning till bestämmelsen om utlämnande till övriga enskilda.
Skälen för vårt förslag
En sammanhållen reglering
För att skapa en sammanhållen reglering anser vi att inte bara de sekretessbrytande bestämmelser som i dag finns i registerförordningen för beskattningsverksamheten ska införas i den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten. Även vissa andra sekretessbrytande bestämmelser bör flyttas dit.
I 2 kap. 5 § SdbL finns i dag bestämmelser som bryter skatte- sekretessen i förhållande till enskilda. Bestämmelsen skiljer sig från de bestämmelser som reglerar utlämnande till myndigheter, eftersom den föreskriver att en s.k. menprövning ska göras (jfr avsnitt 3.3.2). Den föreskriver inte heller att något särskilt behov ska föreligga hos mottagaren för att uppgifterna ska kunna lämnas ut.
Med hänsyn till vår målsättning att bestämmelser med olika karak- tär och föremål ska hållas åtskilda skulle det kunna argumenteras att bestämmelsen som i dag finns i 2 kap. 5 § SdbL borde föras in i något annat sammanhang än det i vilket informationsutbyte mellan myndig- heter regleras. Vår bedömning är dock att den överordnade funktio- nen med bestämmelserna, dvs. att bryta förekommande sekretess, talar för att de bör finnas i ett och samma sammanhang. I den mån tillkom- mande bestämmelser om utlämnande samlas i den nya förordningen bidrar den lösningen dessutom till att ge en mer heltäckande bild av de sekretessgenombrott som kan förekomma. Vi föreslår därför att det
953
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
i den nya förordningen om utlämnande av uppgifter från beskattnings- verksamheten förs in en bestämmelse som motsvarar den som i dag finns i 2 kap. 5 § SdbL, med enbart vissa redaktionella ändringar. Som en följd av vårt förslag i denna del bör även 27 kap. 7 § ändras, se avsnitt 13.2.3.
I avsnitt 13.3.3 har vi redogjort för att arbetslöshetskassor inte är myndigheter, men att de behandlas som sådana inom offentlighets- och sekretesslagstiftningen. Att det förhåller sig på så sätt kan dock inte anses vara helt allmänt känt. I syfte att inte skapa onödig otyd- lighet anser vi att utlämnandet till arbetslöshetskassorna bör regleras i samma sammanhang som utlämnande till övriga enskilda. Vi före- slår därför att en bestämmelse som motsvarar den som i dag finns i 8 d § SdbF och som reglerar utlämnande från beskattningsverksam- heten till arbetslöshetskassorna, förs in i den nya förordningens kapitel om utlämnande till enskilda.
Ett förtydligande
Skatteverket har i ett annat sammanhang96 föreslagit ett förtydligande av omfattningen av uppgifter som kan lämnas ut avseende en skatte- befriad förbrukare med stöd av 2 kap. 5 § 8 SdbL. Av den aktuella bestämmelsens framgår i dag att uppgifter får lämnas ut om huruvida en fysisk eller juridisk person är godkänd som skattebefriad förbru- kare enligt lagen (1994:1776) om skatt på energi eller lagen (2022:156) om alkoholskatt och i sådana fall från vilken tidpunkt.
Ett godkännande som skattebefriad förbrukare innebär bl.a. att skattepliktiga alkoholvaror kan tas emot från en s.k. upplagshavare utan skatt alternativt att skattepliktigt bränsle kan tas emot utan skatt eller med nedsatt skatt för vissa ändamål.97
Av förarbetena till den aktuella bestämmelsen framgår att syftet med att uppgifterna över huvud taget skulle få lämnas ut var att det fanns ett behov av att lämna ut uppgifterna eftersom skattebefriade förbrukare ibland bad att få uppgift om godkännande sänt till annan än den egna adressen, samt att s.k. upplagshavare kunde ha intresse av att ta del av uppgift om huruvida någon var godkänd som skatte-
96Skatteverkets promemoria
9710 kap. 2 § andra stycket lagen om alkoholskatt och 8 kap. 1 § tredje stycket lagen om skatt på energi.
954
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
befriad förbrukare. Enligt regeringens bedömning kunde det finnas situationer där den enskildes samtycke inte kunde inhämtas eller det kunde vara omständligt att inhämta det. Dessa situationer skulle under- lättas genom en bestämmelse som angav att uppgifter om besluten fick lämnas ut. Den efterfrågade informationen från en tredje person var dock endast huruvida en fysisk eller juridisk person var godkänd som skattebefriad förbrukare och i så fall från vilken tidpunkt detta gällde. Enligt regeringen borde bestämmelsen därför utformas med beaktande av detta.98
Skatteverket har gjort gällande att bestämmelsen i 2 kap. 5 § 8 SdbL bör förtydligas på så sätt att den även anger vad ett godkännande omfattar eftersom uppgifter om för vilket ändamål ett godkännande gäller eller vilket bränsle ett godkännande gäller kan vara sådana upp- gifter som har betydelse för hanteringen av skatten. Skatteverket har påpekat att sådana uppgifter i och för sig omfattas av den nuvarande lydelsen. För att det inte ska kunna råda någon oklarhet i denna fråga bör det dock enligt Skatteverket uttryckligen framgå av bestämmel- sen att utlämnandet även får innefatta uppgift om vad ett godkännande omfattar.
Vi delar den bedömning som Skatteverket gett uttryck för avse- ende att dagens reglering bör anses omfatta även viss ytterligare infor- mation om godkännandet än enbart att ett sådant beslut fattats och från vilken tidpunkt. Om den sekretessbrytande bestämmelsen inte också avsåg information om vad ett sådant beslut omfattade skulle den nämligen inte fylla den funktion som förefaller ha avsetts, dvs. att Skatteverket skulle ges möjlighet att upplysa tredje man om förhål- landen som var av betydelse bl.a. för om denna kunde leverera en vara utan att samtidigt påföra skatt.
Det går att ifrågasätta om det finns något faktiskt behov av ett sådant förtydligande som Skatteverket efterfrågat. Mot bakgrund av att en bestämmelse som möjliggör ett utlämnande av uppgifter också utgör en rättslig grund för den personuppgiftsbehandling som utläm- nandet innebär bör dock bestämmelsen i den nya förordningen vara tydlig och precis och dess tillämpning förutsebar för den som omfat- tas av den (skäl 41 till EU:s dataskyddsförordning). Vi föreslår där- för att bestämmelsen i den nya förordningen som motsvarar 2 kap. 5 § 8 SdbL även ska tillåta utlämnande av uppgifter om vad godkän- nandet omfattar.
98Prop. 2004/05:99, Val av ledamot i skattenämnd, m.m., s.
955
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Eftersom utlämnande av uppgifter om vad godkännandet omfat- tar redan bör omfattas av nuvarande reglering innebär vårt förslag inte någon ändring i sak.
13.5.3Utlämnande till
Vårt förslag: I den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten ska det införas en bestämmelse som motsvarar den sekretessbrytande bestämmelse i
Skälen för vårt förslag
I avsnitt 16.4.2 har vi föreslagit en ny lag och en ny förordning för Skatteverkets verksamhet med det statliga personadressregistret, (SPAR). Skatteverkets verksamhet med SPAR utgör en självständig verksamhetsgren, varför sekretessen inom beskattningsverksamheten även gäller i förhållande till
Av 4 §
I 4 § förordningen (1998:1234) om det statliga personadressregist- ret,
956
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Den uppgiftsskyldighet som i dag framgår av 4 §
13.5.4Visst utlämnande till Kronofogdemyndigheten
Vårt förslag: Bestämmelserna om uppgiftslämnande till Krono- fogdemyndigheten i den nya förordningen ska med vissa juster- ingar motsvaras av nuvarande bestämmelse.
Skälen för vårt förslag
Ospecificerade behov i Kronofogdemyndighetens verksamhet
Av 4 § första stycket första meningen SdbF framgår att Skatteverket på begäran av Kronofogdemyndigheten ska lämna ut uppgifter som anges i 2 kap. 3 §
Som vi redogjort för i avsnitt 13.4.4 bör även bestämmelser som i dag inte anger att uppgifterna ska behövas hos mottagaren förenas med ett krav på att det ska föreligga ett sådant behov för att uppgif- terna ska få lämnas ut. Eftersom vi inte har för avsikt att förändra om- fattningen av det befintliga informationsutbytet bör dock behovet inte heller specificeras närmare i den nya regleringen. Uppgifter som i dag anges i 2 kap. 3 §
957
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Personer som förekommer i Kronofogdemyndighetens verksamhet
I 4 § första stycket andra meningen SdbF anges att uppgifter som avses i 2 kap. 3 § 4, 5, 8, 10 och 11 SdbL på begäran ska lämnas ut om personer som på olika sätt är aktuella i Kronofogdemyndighetens verk- samhet. Den personkrets som pekas ut är sådana som har ansökt om skuldsanering eller
Av 4 § andra stycket SdbF framgår att Kronofogdemyndigheten har rätt att ta del av samtliga uppgifter, alltså uppgifter som anges i 2 kap. 3 §
Av 4 a § SdbF framgår att uppgifter som avses i 2 kap. 3 § 4 och 5 SdbL på begäran ska lämnas ut om en person, som omfattas av en begäran om inhämtande av bankkontoinformation enligt Europa- parlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bank- medel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur. Bestämmelsen är inte förenad med någon kompletterande bestämmelse som ger Kronofogdemyndigheten rätt att ta del av uppgifterna genom direktåtkomst.
I avsnitt 13.4.4 har vi gjort bedömningen att bestämmelser som särskilt reglerar direktåtkomst inte ska ha någon motsvarighet i den nya regleringen. I avsnitt 13.4.2 har vi också påpekat att bortfallet av be- stämmelser som i dag möjliggör direktåtkomst måste kompenseras för på något sätt i den nya regleringen. Vi har även bedömt att detta bör ske genom att nya bestämmelser inte ska föreskriva att ett utläm- nande ska ske på begäran och inte heller hänvisa till en särskilt angi- ven personkrets. Frågan är då hur bestämmelser i den nya förordningen, och som ska motsvara 4 § första stycket andra meningen och 4 a § SdbF ska ange i vilka fall uppgifterna får lämnas ut.
Inledningsvis kan konstateras att bestämmelser om uppgiftsläm- nande likt de aktuella har en inneboende komplexitet. Å ena sidan finns bestämmelserna om utlämnandet (avseende form och i sak) i en för- fattning vars tillämpningsområde tyder på att den enbart styr den ut-
958
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
lämnande myndighetens agerande, dvs. själva utlämnandet. Det ställer krav på den utlämnande myndigheten inte enbart att lämna ut upp- gifterna, utan även att vidta vissa åtgärder innan utlämnandet, exem- pelvis att avgränsa det till sådana uppgifter som typiskt sett har bety- delse för den verksamhet som anges hos den mottagande myndigheten. En avgränsande åtgärd blir särskilt betydelsefull när uppgifterna är brett formulerade, exempelvis ”underlag för fastställande av skatter och avgifter”. Att uppgifterna endast får avse personer som förekom- mer hos mottagaren är dock svårt för den utlämnande myndigheten att närmare kontrollera i det enskilda fallet, oavsett i vilken form ut- lämnandet genomförs. När uppgifterna dessutom lämnas ut genom direktåtkomst innebär det i praktiken att kontrollen av att uppgif- terna rör personer som är aktuella i den mottagande myndigheten helt faller på mottagaren. Efter Högsta förvaltningsdomstolens avgörande rörande LEFI Online (HFD 2015 ref. 16) har nämligen begreppet av- gränsats till att avse sådana former av överföring som sker utan att den utlämnande myndigheten vidtar någon (automatiserad) kontroll eller åtgärd (se avsnitt 11.4.2).
Åandra sidan styr bestämmelserna också den mottagande myn- dighetens handlingsutrymme. Om den mottagande myndigheten, som Kronofogdemyndigheten i det aktuella fallet, också har direktåtkomst till samtliga kategorier av uppgifter innebär det att uppgifterna i en strikt teknisk mening också är utlämnade när direktåtkomsten är aktiv (se avsnitt 11.2.2). Uppgifterna är därför också i rättslig mening förvarade hos mottagaren. Trots detta får Kronofogdemyndigheten enligt nuvarande reglering inte ta del av uppgifterna för de behov som anges i 4 a § SdbF genom direktåtkomst. För dessa behov ska upp- gifterna, som myndigheten alltså i teknisk och rättslig mening redan har tillgång till, hämtas in genom ett annat förfarande. Bestämmelsen
iden utlämnande myndighetens registerförfattning styr därmed i vilka situationer mottagaren faktiskt kan ta del av de uppgifter som
irättslig mening anses förvarade där.
Om bestämmelser som de i 4 § första stycket andra meningen och 4 a § SdbL enbart reglerade Skatteverkets agerande, dvs. själva utläm- nandet, skulle det möjligtvis vara enklare att formulera de nya bestäm- melserna. Hänsyn måste dock även tas till att regleringen också är bestämmande för mottagarens agerande, för att inte utöka bestäm- melsens omfattning.
959
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Kan ärendehandläggning eller verksamhet ersätta personkrets?
I syfte att åstadkomma en så liten förskjutning av omfattningen av informationsutbytet som möjligt, men samtidigt möjliggöra fortsatt direktåtkomst, har vi övervägt olika alternativ i frågan om hur de sekre- tessbrytande bestämmelserna till Kronofogdemyndigheten ska formu- leras i framtiden.
En möjlighet är att de nya bestämmelserna utformas på så sätt att de tillåter utlämnande i den utsträckning det behövs för Kronofogde- myndighetens ärendehandläggning. En sådan förändring skulle med- föra att kravet för utlämnande till Kronofogdemyndigheten utformas i likhet med det uppgiftslämnande som exempelvis föreskrivs till Försäkringskassan, se exemplet i avsnitt 13.4.5. För utlämnande till Försäkringskassan finns nämligen inget krav på att uppgifterna ska avse en person som är aktuell på ett särskilt sätt. I stället anges i vilken form av handläggning uppgifterna måste behövas, samt vilka uppgifter som avses. I praktiken borde dock Försäkringskassan inte ha något rättsligt utrymme att begära ut eller ta del av information som avser andra personer än de som är aktuella inom den handläggning som spe- cificeras i den sekretessbrytande bestämmelsen. Detsamma borde en- ligt vår bedömning gälla för Kronofogdemyndigheten om uppgifter i framtiden enbart ska lämnas ut i den utsträckning det behövs för viss ärendehandläggning. En avgränsning till uppgifter som behövs i ären- dehandläggning skulle även för Kronofogdemyndigheten innebära att myndighetens handlingsutrymme begränsas till att ta del av upp- gifter om personer som är aktuella i ärenden hos myndigheten och uppgifterna måste dessutom behövas i ärendet.
En annan möjlighet vi övervägt är om de nya bestämmelserna
istället bör avse viss verksamhet inom Kronofogdemyndigheten. Även en sådan lösning skulle medföra att kravet för utlämnande till Krono- fogdemyndigheten utformas i likhet med vissa befintliga bestämmelser, exempelvis sådant utlämnande som i dag ska ske till Skatteverkets brottsbekämpande verksamhet (5 b § SdbF). Begreppet verksamhet omfattar dock fler företeelser än ärendehandläggning.
Vilket begrepp som framstår som mest lämpligt är därför avhängigt hur de befintliga bestämmelserna är utformade. Det går därmed inte att på ett generellt plan svara på frågan om ärendehandläggning eller verksamhet kan ersätta de personkretsar som anges i bestämmelserna
idag.
960
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Person som ansökt om skuldsanering eller
I dag ska uppgifter lämnas ut om en person som ansökt om skuld- sanering eller
Kopplingen till en ansökan skulle kunna anses tala för att den befint- liga bestämmelsen avser Kronofogdemyndighetens behov av uppgif- ter i handläggning av ärenden om skuldsanering och
idag rätt att ta del av uppgifter om personer som ingår i personkretsen även för andra ändamål än att handlägga ärenden, exempelvis för till- syn eller kontroll utan koppling till handläggningen av ett ärende. Någon begränsning till personer som faktiskt har beviljats skuldsaner- ing finns vidare inte. Om den nya bestämmelsen enbart ger Krono- fogdemyndigheten rätt att ta del av de aktuella uppgifterna i den ut- sträckning det behövs för handläggning av ärenden om skuldsaner- ing eller
Begreppet verksamhet skulle dock kunna uppfattas omfatta upp- gifter om andra personer än enbart de som avses i dagens bestäm- melse, dvs. personer som ansökt om skuldsanering eller är make eller motsvarande till denna. Liksom i all annan verksamhet som kräver personuppgiftsbehandling är dock Kronofogdemyndigheten också i verksamheten med skuldsanering och
961
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
bart får behandlas om det är nödvändigt för att utföra verksamhet som omfattas av lagens tillämpningsområde.
Verksamheten med skuldsanering är dessutom relativt avgränsad. Kronofogdemyndigheten har uppgett till utredningen att det i dag inte finns några behov inom verksamheten med skuldsanering att ta del av beskattningsuppgifter som inte blir tillgodosedda genom be- fintlig reglering. De uppgifter som Kronofogdemyndigheten får be- handla i verksamheten med skuldsanering och
Mot den bakgrunden bedömer vi att omfattningen av det nuvarande utlämnandet inte förändras om den nya bestämmelsen anger att upp- gifter ska lämnas ut i den utsträckning det behövs för Kronofogdemyn- dighetens verksamhet med skuldsanering och
9912 och 15 §§ skuldsaneringslagen, samt 13 och 17 §§ lagen om skuldsanering för företagare.
10012 § 6 skuldsaneringslagen och 13 § 8 lagen om skuldsanering för företagare.
962
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
för att den nya bestämmelsen ska ange att Skatteverket ska lämna ut uppgifter till Kronofogdemyndigheten i den utsträckning det behövs för verksamhet med skuldsanering eller
Person som är registrerad som gäldenär
I dag ska uppgifter lämnas ut om en person som är registrerad som gäldenär hos Kronofogdemyndigheten, eller en person som är make eller motsvarande till denna.
Gäldenärer kan förekomma i flera olika typer av ärenden hos Krono- fogdemyndigheten. Samtliga personer som ansöker om skuldsaner- ing borde exempelvis vara gäldenär i förhållande till någon. Att upp- giftslämnandet ska avse personer som är registrerade som gäldenärer hos Kronofogdemyndigheten tyder dock på att avsikten inte är att avse all verksamhet där gäldenärer förekommer.
När den befintliga bestämmelsen infördes hade dåvarande krono- fogdemyndigheterna sedan en lång tid haft tillgång till det centrala skatteregistret genom direktåtkomst, vilket hade motiverats av den nära kopplingen mellan beskattningsverksamhet och indrivnings- verksamhet. Det fanns enligt regeringens mening inte anledning att av integritetsskäl inskränka den möjligheten. I likhet med vad som redan gällde borde åtkomsten i huvudsak vara begränsad till uppgif- ter om gäldenärer och andra personer som förekom i ett ärende hos kronofogdemyndigheten.101 I förarbetena till de sekundära ända- målsbestämmelserna för beskattningsverksamheten (se avsnitt 13.3.1) konstaterade regeringen också att enligt skatteregisterlagen fick skatteregistren användas för utredningar i kronofogdemyndigheter- nas exekutiva verksamhet. Regeringen ansåg därför att ett sekundärt ändamål för beskattningsverksamheten borde vara utsökning och in- drivning.102
Det nyss sagda talar enligt vår mening för att uppgiftslämnandet som i dag föreskrivs i 4 § första stycket andra meningen 1 och 4 i huvudsak bör avse personer som förekommer i Kronofogdemyndig- hetens verksamhet med utsökning eller indrivning, dvs. sådan verksam- het som huvudsakligen bedrivs enligt bestämmelserna i utsöknings- balken och utsökningsförordningen (1981:981), dvs. verkställighet,
101Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 132.
102Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 125.
963
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
samt enligt bestämmelser i lagen (1993:891) om indrivning av stat- liga fordringar m.m., dvs. indrivning.
Alla personer som verkställigheten riktas mot i ett ärende om ut- sökning eller indrivning registreras dessutom som gäldenärer hos Kronofogdemyndigheten, oavsett om verkställigheten gäller en ford- ran eller någon annan förpliktelse. Den som söker om verkställighet (sökande) har som utgångspunkt en skyldighet att betala vissa avgif- ter och kostnader. Enligt bestämmelserna om kostnader i 17 kap. ut- sökningsbalken och i förordningen (1992:1094) om avgifter vid Kronofogdemyndigheten är dock huvudregeln att all verkställighet sker på svarandens, dvs. sökandens motparts, bekostnad. I mål och ärenden som avser en fordran kallas sökandens motpart enligt utsök- ningsbalken gäldenär.103 Svaranden/gäldenären är därmed betalnings- ansvarig för alla s.k. förrättningskostnader, vilket innebär att Krono- fogdemyndigheten med stöd av bestämmelserna i 17 kap. utsöknings- balken och förordningen om avgifter vid Kronofogdemyndigheten ska försöka driva in dessa kostnader av den svarande. Samtliga perso- ner som är svarande eller gäldenär enligt utsökningsbalken registreras därför som gäldenärer hos Kronofogdemyndigheten.
Även sökanden kan komma att registreras som gäldenär om ut- fallet av verkställigheten trots allt medför att han eller hon blir betal- ningsskyldig för förrättningskostnaden. Sökanden kan dessutom komma att registreras som gäldenär om han eller hon blir återbetal- ningsskyldig rörande den fordran för vilken verkställighet ansökts om, t.ex. kapitalbelopp eller ränta efter att domstol ändrat fördelning eller utbetalning. Kronofogdemyndigheten kan då på begäran av den berättigade genast utsöka beloppen, vilket framgår av 13 kap. 20 § utsökningsbalken. Mål registreras då upp mot sökanden om betal- ning inte sker frivilligt. Även arbetsgivare som betalar ut lön i strid mot ett beslut om löneutmätning kan registreras som gäldenär. Mot denne kan utsökning genast ske, vilket framgår av 7 kap. 21 § utsöknings- balken. Då registreras ett mål upp mot arbetsgivaren på samma sätt som mot sökanden. Arbetsgivaren blir då gäldenär genom att mål registreras upp om arbetsgivaren inte betalar frivilligt.
Kronofogdemyndigheten har uppgett till utredningen att myndig- hetens behov av att ta del av beskattningsuppgifter inom verksamheten med utsökning och indrivning i dag blir tillgodosett genom nuvar- ande reglering. I likhet med vad som anges ovan om personer som
103Jfr 1 kap. 7 § utsökningsbalken.
964
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
har ansökt om skuldsanering eller
Vi har ovan konstaterat att Kronofogdemyndigheten vid all be- handling av personuppgifter måste tillämpa dataskyddsförordning- ens bestämmelser om bl.a. rättslig grund för behandling och att inte fler uppgifter än vad som är nödvändigt får behandlas. Av den mate- riella verksamhetsregleringen av myndighetens verksamhet med ut- sökning och indrivning, dvs. primärt utsökningsbalken och utsök- ningsförordningen, framgår vilka förhållanden som har betydelse för tillämpningen av bestämmelserna, vilka undersökningar och kontroller Kronofogdemyndigheten ska utföra, samt vilka förhållanden som är avgörande för utfallet av de förfaranden som regleras genom utsök- ningsbalken.104 Vad gäller uppgifter om make eller motsvarande fram- går exempelvis av bestämmelser i 4 kap. utsökningsbalken att upp- gifter om dessa kan påverka vilken egendom som kan utmätas. Det innebär att uppgifter om make eller motsvarande behövs i handlägg- ning av mål eller ärenden om utsökning eller indrivning.
Den materiella verksamhetsregleringen avser dock i allt väsentligt uppgifter om och förhållanden som är knutna till personer som också registreras som gäldenärer hos Kronofogdemyndigheten, dvs. den som förfarandet riktas mot inom verksamheten med utsökning och indrivning. Dessa uppgifter, samt uppgifter om andra förhållanden som enligt den materiella verksamhetsregleringen tillmäts betydelse
104Jfr t.ex. 4 kap. 9, 14 och 15 §§ och 7 kap. 1 § utsökningsbalken.
965
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
för tillämpningen motsvarar därmed också sådana uppgifter som kan bli aktuella att behandla vid tillsyn, kontroll eller annat analysarbete som sker inom verksamheten med utsökning och indrivning. I den mån beskattningsuppgifter om personer som är registrerade som gäl- denärer behövs för att handlägga ärenden eller för att utföra andra uppgifter inom verksamheten med utsökning och indrivning har Kronofogdemyndigheten i dag möjlighet att ta del av dessa via direkt- åtkomst.
Mot den bakgrunden bedömer vi att omfattningen av det nuvar- ande utlämnandet inte förändras om den nya bestämmelsen anger att uppgifter ska lämnas ut i den utsträckning det behövs för Krono- fogdemyndighetens verksamhet med utsökning och indrivning. Vi föreslår därför att den nya bestämmelsen ska ange att Skatteverket ska lämna ut uppgifter till Kronofogdemyndigheten i den utsträck- ning det behövs för verksamhet med utsökning och indrivning.
Person som omfattas av en begäran om inhämtande av bankkontoinformation
I dag ska uppgifter lämnas ut om en person som omfattas av en be- gäran om inhämtande av bankkontoinformation enligt Europaparla- mentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bank- medel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur, kvarstadsförordningen.
Av 3 § lagen (2016:757) om kvarstad på bankmedel inom EU, kvarstadslagen, framgår att Kronofogdemyndigheten är informations- myndighet enligt kvarstadsförordningen. Vi har därför övervägt om den nya bestämmelsen kan avse Kronofogdemyndighetens verksam- het enligt kvarstadsförordningen, utan att omfattningen av utlämnan- det förändras. Av 6 § kvarstadslagen framgår dock att Kronofogde- myndigheten även är behörig myndighet och ansvarig verkställande myndighet enligt kvarstadsförordningen. Kronofogdemyndigheten har alltså ett större uppdrag med anledning av kvarstadsförordningen än vad som omfattas av informationsuppdraget.
I detta fall är det enligt vår mening inte lämpligt att ange verksam- het. För att den nya bestämmelsens omfattning inte ska bli större än den befintliga föreslår vi att uppgifterna ska lämnas ut om det behövs
966
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
för Kronofogdemyndighetens handläggning av en begäran om inhäm- tande av bankkontoinformation enligt kvarstadsförordningen.
13.5.5Utlämnande till Kronofogdemyndigheten för tillsyn över näringsförbud
Vårt förslag: I den utsträckning det behövs för handläggning av ärenden om tillsyn över näringsförbud ska följande uppgifter läm- nas ut till Kronofogdemyndigheten:
1.underlag för fastställande av skatter och avgifter,
2.bestämmande av skatter och avgifter,
3.uppgifter som behövs för handläggning enligt lagen om Skatte- verkets hantering av vissa borgenärsuppgifter,
4.yrkanden och grunder i ett ärende, och
5.beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Skälen för vårt förslag
Kronofogdemyndighetens behov av och tillgång till uppgifter för tillsyn över näringsförbud
Av 41 § lagen (2014:836) om näringsförbud framgår att Kronofogde- myndigheten utövar tillsyn över att näringsförbud och tillfälliga när- ingsförbud följs. Inom ramen för det arbetet ska Kronofogdemyndig- heten bevaka att en person som meddelats näringsförbud i princip omedelbart upphör med den näringsverksamhet som bedrivs, inte bedriver ny verksamhet, och inte är anställd eller tar emot återkom- mande uppdrag i de situationer då det är förbjudet.
Kronofogdemyndigheten har uppgett till utredningen att det är av stor betydelse att myndigheten har tillgång till uppgifter om hur en person som meddelats näringsförbud försörjer sig för att kunna genomföra en effektiv och ändamålsenlig tillsyn. Myndigheten har vidare uppgett att man behöver kontrollera att uppgifter som den för- budsdömde lämnat stämmer. Enligt Kronofogdemyndigheten är de uppgifter som är av vikt för tillsynsarbetet bl.a. uppgifter om delägar- skap i bolag, uppgifter om deklarerade inkomster, kontrolluppgifter,
967
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
månadsuppgifter, uppgift om fastighetsinnehav samt uppgift om när- stående.
Som framgår ovan har Kronofogdemyndigheten i dag direkt- åtkomst till de uppgifter som behövs för tillsyn över näringsförbud i beskattningsdatabasen om en person som har ansökt om skuldsan- ering eller
Utlämnande för handläggning av ärenden om tillsyn över näringsförbud som i dag delvis sker med stöd av generalklausulen
Om en person som meddelats näringsförbud inte är registrerad som gäldenär, och inte heller har ansökt om skuldsanering eller
De grunduppgifter som myndigheten har tillgång till i dessa situ- ationer utgör dock enligt Kronofogdemyndigheten inte tillräcklig information för utövandet av tillsyn över näringsförbud.105 Krono-
105Dvs. uppgifter enligt 2 kap. 3 §
968
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
fogdemyndigheten har uppgett till utredningen att i de fall myndig- heten enbart har tillgång till grunduppgifter om en person som med- delats näringsförbud begärs de ytterligare uppgifter som behövs ut från Skatteverket särskilt. I begäran anges att uppgifterna bör kunna lämnas ut av Skatteverket med stöd av 10 kap. 27 § (generalklausulen, se avsnitt 13.2.2).
Skatteverket har uppgett till utredningen att samverkan mellan myndigheterna i denna fråga har resulterat i en mall för begäran som handläggaren för tillsynsärendet vid Kronofogdemyndigheten fyller i och skickar till Skatteverket. Skatteverket prövar begäran med ut- gångspunkt i de uppgifter som begärs enligt mallen. I mallen redo- görs även standardiserat för Kronofogdemyndighetens behov. Med utgångspunkt i detta underlag prövar Skatteverket begäran.
Skatteverket har även uppgett att bedömningen är att uppgifterna som begärs enligt mallen som utgångspunkt kan lämnas ut med stöd av 10 kap. 27 § OSL.
Uppgifter ska få lämnas ut i den utsträckning det behövs för Kronofogdemyndighetens handläggning av ärenden om tillsyn över näringsförbud
Vi har i avsnitt 13.5.4 föreslagit att samma uppgifter som Krono- fogdemyndigheten har ett behov av vid tillsyn över näringsförbud, och som myndigheten i dag har tillgång till i huvudsak genom data- basregleringen och i annat fall efter särskild begäran till Skatteverket, ska få lämnas ut i den utsträckning det behövs för verksamhet med skuldsanering eller
969
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
sträckning det behövs för Kronofogdemyndighetens tillsyn över näringsförbud.
När förändringar i regleringen av uppgiftsutbyte mellan myndig- heter övervägs krävs också noggranna avvägningar mellan viktiga all- männa intressen och skyddet för den personliga integriteten. Vad gäller det allmänna intresset kan konstateras att näringsförbud huvud- sakligen har två syften. Det ena syftet är att hindra personer att be- driva näringsverksamhet sedan de har visat sig olämpliga för detta. Det andra syftet är att tillhandahålla en adekvat reaktion på missbruk av näringsfriheten.106 Näringsförbud kan meddelas av flera olika orsa- ker bl.a. om någon grovt åsidosatt sina skyldigheter i näringsverk- samheten och därvid har gjort sig skyldig till brottslighet som inte är ringa (4 § lagen om näringsförbud) eller om någon grovt åsidosatt sina skyldigheter i en näringsverksamhet för vilken sådan skatt, tull eller avgift som omfattas av bestämmelserna om betalningssäkring i skatteförfarandelagen i avsevärd omfattning inte har betalats (6 § lagen om näringsförbud). Den som meddelats näringsförbud får bl.a. inte driva näringsverksamhet, faktiskt utöva ledningen av en närings- verksamhet, vara ledamot eller suppleant i styrelsen för bl.a. aktie- bolag och ekonomiska föreningar, eller vara anställd eller återkom- mande ta emot uppdrag i en näringsverksamhet som drivs av en när- stående till honom eller henne (11 § lagen om näringsförbud). Den som bryter mot ett näringsförbud kan dömas för överträdelse av näringsförbud till böter eller fängelse i högst två år (47 § lagen om näringsförbud).
Regeringen har uttalat att för att syftena med näringsförbud ska uppnås är det uppenbarligen inte tillräckligt att beslut om närings- förbud meddelas. Det krävs enligt regeringen också att det tillsyns- arbete som tar vid efter beslutet är ändamålsenligt och effektivt så att näringsförbudet följs.107 Kronofogdemyndigheten har därför som tillsynsmyndighet över näringsförbud möjlighet att vidta vissa till- synsåtgärder, bl.a. att begära att den som har näringsförbud lämnar uppgift om inkomst, anställningsförhållanden och övriga omständig- heter av betydelse för att klarlägga hur han eller hon försörjer sig samt vidta övriga utrednings- och spaningsåtgärder som är befogade för att klarlägga hur den som har näringsförbud försörjer sig (44 § lagen om näringsförbud).
106Prop. 2013/14:215, Ny lag om näringsförbud, s. 62.
107Prop. 2013/14:215, Ny lag om näringsförbud, s. 62.
970
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Om Kronofogdemyndigheten inte får del av de uppgifter från be- skattningsverksamheten som behövs för tillsyn över näringsförbud skulle konsekvensen bli att myndigheten inte kan utöva tillsyn över att näringsförbudet följs och att myndigheten inte heller har förut- sättningar att anmäla misstänkta överträdelser till åklagare. Det skulle i förlängningen leda till att ett av huvudsyftena med näringsförbud inte kan uppnås, dvs. att hindra den förbudsdömde från att bedriva näringsverksamhet. Att Kronofogdemyndigheten ges tillgång till de uppgifter som behövs för att kontrollera att näringsförbud följs måste därför enligt vår mening anses vara ett viktigt allmänt intresse.
Vad avser skyddet för den personliga integriteten, som det all- männa intresset ska vägas mot, kan konstateras att befintliga sekre- tessbrytande bestämmelser inte i tillräcklig omfattning medger att uppgifter som är av betydelse för Kronofogdemyndighetens tillsyn över näringsförbud lämnas ut. Utöver den tillgång till uppgifterna som möjliggörs av befintliga sekretessbrytande bestämmelser samt databasregleringen lämnas därför behövliga uppgifter regelmässigt ut av Skatteverket med stöd av generalklausulen i 10 kap. 27 OSL. En eventuell ny sekretessbrytande bestämmelse som möjliggör att upp- gifter som Kronofogdemyndigheten behöver för tillsyn över närings- förbud skulle därmed kodifiera sådant uppgiftslämnande som huvud- sakligen redan förekommer. En ny sekretessbrytande bestämmelse bör därför kunna införas utan att det innebär något beaktansvärt ut- ökat utlämnande av sekretessbelagda uppgifter. Som vi redogjort för i avsnitt 13.2.2 bygger generalklausulen dessutom på att ett rutin- mässigt uppgiftsutbyte av sekretessbelagda uppgifter som utgångs- punkt är särskilt författningsreglerat.108 Mot den bakgrunden bör en ny bestämmelse som särskilt avser utlämnande för Kronofogdemyn- dighetens tillsyn över näringsförbud framstå som proportionerlig ur ett integritetshänseende.
Som vi nämnt i avsnitt 13.2.4 utgör bestämmelser om utlämnande av uppgifter från en myndighet till en annan myndighet också en rättslig grund för behandling av personuppgifter genom utlämnande. Enligt dataskyddsförordningen bör den rättsliga grunden för person- uppgiftsbehandling vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den (skäl 41). Genom att uttryckligen reglera uppgiftslämnande som sker för Kronofogde-
108Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 327.
971
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
myndighetens tillsyn över näringsförbud skulle den rättsliga grunden för behandlingen bli mer tydlig och förutsebar för de registrerade.
Vår bedömning är att därför att det finns ett behov av att införa en bestämmelse i den nya förordningen som tillåter utlämnande av uppgifter från beskattningsverksamheten till Kronofogdemyndigheten i den utsträckning det behövs för handläggning av ärenden om till- syn över näringsförbud. En sådan reglering innebär att Kronofogde- myndigheten kan få ut de uppgifter som myndigheten behöver inom ramen för tillsynsarbetet, vare sig det handlar om uppgifter om den förbudsdömde eller en misstänkt bulvan. Samtidigt skulle det inte innebära något beaktansvärt utökat informationsutbyte jämfört med det som redan sker i dag bl.a. med stöd av generalklausulen i 10 kap. 27 § OSL. Informationsutbytet skulle i stället bli tydligt författnings- reglerat, vilket innebär att dataskyddsförordningens krav på den rätts- liga grunden i högre utsträckning än i dag tillgodoses.
Vid införande av en sekretessbrytande bestämmelse bör det dock även övervägas om de aktuella uppgifterna kommer att ha ett sekre- tesskydd hos den mottagande myndigheten samt, om så inte är fallet, om de bör ha det.109 I det avseende kan konstateras att det av 34 kap. 1 § OSL framgår att sekretess gäller hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men. Det råder följaktligen en presumtion för sekretess hos Kronofogdemyndigheten för de uppgifter som skulle komma att kunna lämnas ut med stöd av en ny sekretessbrytande bestämmelse. Vi bedömer att någon förändring i detta avseende inte är påkallat med anledning av en eventuell ny sekretessbrytande be- stämmelse avseende uppgifter som Kronofogdemyndigheten behö- ver vid tillsyn över näringsförbud. Den sekretess som enligt 34 kap.
1§ OSL råder för uppgifterna hos Kronofogdemyndigheten får där- för anses svara mot berättigade krav på sekretesskydd när de lämnas ut dit. I avsnitt 15.5 har vi dessutom föreslagit att en reglering mot- svarande dagens databassekretess (34 kap. 2 § OSL) ska gälla även i fortsättningen och att den ska omfatta Kronofogdemyndighetens verksamhet med ansökan om och tillsyn över näringsförbud.
109Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s.
972
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Vi föreslår därför att det ska införas en bestämmelse i den nya för- ordningen som föreskriver att Skatteverket ska lämna ut uppgifter till Kronofogdemyndigheten i den utsträckning det behövs för myn- dighetens handläggning av ärenden om tillsyn över näringsförbud. De uppgifter som ska kunna lämnas ut med stöd av den nya bestämmel- sen bör avse samma kategorier som i dag anges i 4 § SdbF och som Kronofogdemyndigheten redan har tillgång till för tillsyn över när- ingsförbud i vissa fall genom databasregleringen. Det innebär att upp- gifter som avses i 2 kap. 3 § 4, 5, 8, 10 och 11 SdbL ska kunna lämnas ut med stöd av bestämmelsen.
13.5.6Visst utlämnande till Tullverket
Vårt förslag: Bestämmelserna om uppgiftslämnande till Tullverket i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser samt visst utökat uppgiftslämnande som behövs för dataanalyser och urval.
Skälen för vårt förslag
Personer som förekommer hos Tullverket
I 5 § första stycket SdbF anges att uppgifter som avses i 2 kap. 3 § första stycket
–är eller kan antas vara gäldenär enligt tullagstiftningen,
–är eller kan antas vara skyldig att betala skatt för vara vid import,
–är eller kan antas vara skattskyldig enligt lagen (1994:1776) om skatt på energi, lagen (2016:1067) om skatt på kemikalier i viss elek- tronik, lagen (2018:696) om skatt på vissa nikotinhaltiga produk- ter, lagen (2020:32) om skatt på plastbärkassar, lagen (2022:155) om tobaksskatt eller lagen (2022:156) om alkoholskatt,
–avses i 3 § SdbF, eller
–annars är föremål för Tullverkets kontrollverksamhet.
973
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Av 5 § andra stycket SdbF framgår att Tullverket har rätt att ta del av samtliga uppgifter, dvs. uppgifter som anges i 2 kap. 3 § första stycket
I avsnitt 13.5.4 ovan har vi redogjort för våra bedömningar och för- slag avseende Skatteverkets uppgiftslämnande till Kronofogdemyndig- heten där bestämmelserna i dag avser en särskild personkrets, och där uppgifterna även ska lämnas ut genom direktåtkomst. Samma över- väganden gör sig gällande även för utlämnande till Tullverket, dvs. i de fall nuvarande bestämmelser kan anses vara begränsade till att avse Tullverkets behov vid handläggning av ärenden bör den nya regler- ingen avse ärendehandläggning. I annat fall bör verksamhet anges i den nya bestämmelsen. På så sätt bedömer vi att omfattningen av utlämnandet inte förändras.
Gäldenärer enligt tullagstiftningen
I dag ska uppgifter lämnas ut om en person som är eller kan antas vara gäldenär enligt tullagstiftningen. De betalningsskyldigheter som kan uppkomma enligt tullagstiftningen är avseende tull och andra avgifter, exempelvis tulltillägg. Hanteringen av sådan skattskyldighet sker inom ramen för ett ärende. Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för handläggning av ärenden om skyldighet att betala tull eller andra avgifter enligt tullagstiftningen.
Personer som är skyldiga att betala skatt vid import
I dag ska uppgifter lämnas ut om en person som är eller kan antas vara skyldig att betala skatt för vara vid import. Även i detta fall sker hanteringen inom ramen för ett ärende. Vi föreslår därför att Tull- verket i den nya bestämmelsen ges rätt att ta del av uppgifter om det
974
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
behövs för handläggning av ärenden om skyldighet att betala skatt för vara vid import.
Skattskyldiga i övrigt
I dag ska uppgifter lämnas ut om en person som är eller kan antas vara skatteskyldig enligt lagen om skatt på energi, lagen om skatt på kemikalier i viss elektronik, lagen om skatt på vissa nikotinhaltiga produkter, lagen om skatt på plastbärkassar, lagen om tobaksskatt eller lagen om alkoholskatt. I dessa fall sker hanteringen inom ramen för ett ärende. Vi föreslår därför att Tullverket i den nya bestämmel- sen ges rätt att ta del av uppgifter om det behövs för handläggning av ärenden om skattskyldighet enligt nyss nämnda författningar.
Personer som avses i 3 § SdbF
I dag ska enligt 5 § 4 SdbF uppgifter lämnas ut om en person som anges i 3 § SdbF. I paragrafen, vars föremål är att reglera vilka upp- gifter som får registreras i beskattningsdatabasen, hänvisas till upp- gifter som anges i rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004. Vilka de personer är som avses i 5 § 4 SdbF kan alltså inte utläsas enbart genom att läsa 3 § SdbF.
Enligt 3 § förordningen (2012:331) om tillämpning av rådets för- ordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt sam- arbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004 är det dessutom Skatteverket som är behörig myn- dighet vid tillämpningen. Tullverket borde därför inte ha något sär- skilt, eget uppdrag med anledning av
I 3 § andra stycket i den svenska tillämpningsförordningen anges dock att Skatteverket och Tullverket även i övrigt genom utbyte av information och annan samverkan ska se till att det administrativa sam- arbetet med andra medlemsstaters myndigheter enligt
975
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
ningen bedrivs på ett effektivt sätt. Tullverket har följaktligen verk- samhet med anledning av
Personer som annars är föremål för Tullverkets kontrollverksamhet
I dag ska uppgifter lämnas ut om en person som annars är föremål för Tullverkets kontrollverksamhet. Vi har övervägt om den nya be- stämmelsen bör avse uppgifter som behövs i Tullverkets handlägg- ning av kontrollärenden. Tullverkets verksamhet och arbetsuppgifter utgörs dock i mycket stor utsträckning av olika åtgärder som har ett mer eller mindre tydligt inslag av kontroll, se avsnitt 14.2.3. Mot den bakgrunden är vår bedömning att en sådan förändring i förhållande till dagens reglering skulle innebära en inskränkning av informations- utbytet. Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifter om det behövs i kontrollverksamhet, utan angivande av att det ska finnas en ärendekoppling.
En utökad uppgiftsskyldighet – dataanalyser och urval
I avsnitt 14.10 om dataanalyser och urval gör vi bedömningen att Tullverket bör ges tillgång till vissa uppgifter från beskattningsverk- samheten som dagens reglering inte omfattar. Överväganden och be- dömningar i fråga om det föreslagna uppgiftslämnandet framgår av det avsnittet.
976
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
13.5.7Upplysningsbestämmelser
Vår bedömning: Upplysningsbestämmelser bör inte föras in i den nya förordningen om utlämnande av uppgifter från beskattnings- verksamheten.
Skälen för vår bedömning
I dag finns några bestämmelser i skattedatabasförordningen om ut- lämnande av uppgifter som inte bryter förekommande sekretess. Dessa bestämmelser upplyser i stället om att föreskrifter om Skatteverkets skyldighet att lämna uppgifter till de angivna mottagarna finns i andra författningar eller rättsakter. Så är fallet avseende Skatteverkets ut- lämnande till socialnämnderna, Statens tjänstepensionsverk och Euro- peiska kommissionen (8 f och 15 §§ SdbF).
Vi har tidigare redogjort för vår bedömning att den splittrade regleringen av utlämnandet av uppgifter från beskattningsverksam- heten i viss utsträckning bör kunna samlas i den nya förordningen. Vi har även redogjort för att förordningens föreslagna namn bör möjliggöra för upplysningsbestämmelser om uppgiftsskyldighet som av olika skäl inte kan eller bör flyttas till den nya förordningen. Trots det nyss sagda anser vi inte att de befintliga upplysningsbestämmel- serna i skattedatabasförordningen bör motsvaras av bestämmelser i den nya förordningen. Skälet till detta är just den splittring som före- ligger i dag. Uppgiftsskyldigheter regleras nämligen utanför register- förordningen i långt fler fall än vad som framgår av dagens bestäm- melser.
I den mån en mer samlad reglering ska kunna uppnås kräver det enligt vår mening att fler än de få upplysningsbestämmelser som i dag förekommer i skattedatabasförordningen införs i den nya för- ordningen. Eftersom det kräver överväganden som går utanför ramen för vårt uppdrag anser vi att frågan om upplysningsbestämmelser bör införas i den nya förordningen, och i så fall i vilken utsträckning, bör hanteras i ett annat sammanhang.
977
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
13.6Skatteverkets folkbokföringsverksamhet
13.6.1Utlämnande av uppgifter från folkbokföringsverksamheten ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgifts- lämnande som i dag regleras i registerförfattningarna för Skatte- verkets folkbokföringsverksamhet ska föras in i en ny förordning kallad förordningen om utlämnande av uppgifter från Skatte- verkets folkbokföringsverksamhet.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Skatteverkets utlämnande av upp- gifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som omfattas av den föreslagna folkbokföringsdatalagen.
I den nya förordningen ska införas bestämmelser som mot- svarar de bestämmelser som i dag reglerar Skatteverkets möjligheter att ta ut avgifter vid utlämnande från folkbokföringsdatabasen.
Skälen för vårt förlag
En ny förordning om utlämnande av uppgifter
En central funktion med folkbokföringsverksamheten är att förse olika samhällsfunktioner med ett korrekt underlag för beslut och åtgärder.110 Uppgifter som registreras är därför som utgångspunkt offentliga. För folkbokföringsverksamhetens del har det följaktligen inte funnit ett särskilt stort behov av att införa sekretessbrytande bestämmelser om uppgiftsskyldighet. Däremot finns det i dag, som
viredogjort för i avsnitt 13.3.4, vissa bestämmelser i folkbokförings- databasförordningen som reglerar Skatteverkets skyldighet att under- rätta olika aktörer om vissa förhållanden.
Som vi tidigare konstaterat är bestämmelserna om underrättelse- skyldighet enhetligt utformade. I samtliga fall anges uttryckligen vilka uppgifter som ska lämnas ut, eller vilken information som ska ges, och utan angivande av vilka behov som ska föreligga hos mottagaren. Bestämmelserna innehåller även vissa föreskrifter om förfarandet. Flera av de överväganden vi redogjort för ovan i fråga om behov av föränd-
1102 § förordningen (2017:154) med instruktion för Skatteverket.
978
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
ringar och hur nya bestämmelser om utlämnande bör formuleras, är därför inte aktuella för de nya bestämmelserna om Skatteverkets under- rättelseskyldighet i folkbokföringsverksamheten. Med andra ord har
viinte funnit skäl att inom ramen för vårt uppdrag föreslå några språkliga eller andra förändringar av bestämmelserna. Däremot anser
viatt bestämmelser om underrättelseskyldighet, av de skäl som fram- går av avsnitt 13.4.3 inte bör finnas i de nya dataskyddsförfattning- arna för folkbokföringsverksamheten.
Mot bakgrund av folkbokföringsverksamhetens övergripande syfte, dvs. att förse olika samhällsfunktioner med information, har
viöverväg om Skatteverkets skyldighet att underrätta andra offent- liga aktörer kan regleras i någon befintlig författning. I avsnitten 9.4.5 och 9.4.6 föreslår vi att flera befintliga bestämmelser i registerförfatt- ningarna för folkbokföringsverksamheten ska flyttas till folkbokför- ingslagen (1991:481) och folkbokföringsförordningen (1991:749). Det rör bestämmelser avseende förhållanden som inte utgör rena dataskyddsfrågor. Det skulle kunna framstå som lämpligt att också bestämmelser om Skatteverkets underrättelseskyldighet samt bestäm- melser som avser förfarandet i samband med underrättelserna förs in
ifolkbokföringsförordningen. I folkbokföringsförordningen finns dessutom redan bestämmelser av liknande karaktär, avseende andra myndigheters skyldigheter att lämna uppgifter till Skatteverket.111
Eftersom folkbokföringsverksamheten i dag omfattar fler områ- den än enbart folkbokföring enligt folkbokföringslagen framstår det emellertid som olämpligt att föra in bestämmelser om utlämnande av uppgifter i folkbokföringsförordningen. Exempelvis utgör Skatte- verkets uppgifter enligt lagen (2022:1697) om samordningsnummer en del av folkbokföringsverksamheten, men tilldelning av samord- ningsnummer sker enbart avseende personer som inte är eller har varit folkbokförda. Med begreppet folkbokföringsverksamhet avses följaktligen fler av Skatteverkets uppgifter än de som framgår av folk- bokföringslagen och folkbokföringsförordningen.112 Eftersom Skatte- verkets utlämnande av uppgifter från folkbokföringsverksamheten också omfattar uppgifter om personer som inte är folkbokförda bör de nya bestämmelsernas placering anpassas efter detta. Vi har dock inte funnit någon lämplig befintlig författning. Vi föreslår därför att de nya bestämmelserna om utlämnande av uppgifter från folkbokför-
111
112Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s.
979
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
ingsverksamheten ska motsvara dagens bestämmelser, med endast mindre redaktionella ändringar, och att de ska föras in i en ny förord- ning.
Förordningens namn och portalparagraf
Liksom avseende förslaget om en ny förordning om utlämnande av uppgifter från beskattningsverksamheten anser vi att det inte är lämp- ligt att särskilt ange begreppet uppgiftsskyldighet i den nya förord- ningens namn. Förordningens namn bör inte heller använda begrep- pet underrättelseskyldighet. Namnet på den nya förordningen bör nämligen enligt vår mening möjliggöra införandet av framtida upp- lysningsbestämmelser om sådant utlämnande som inte sker med stöd av en sekretessbrytande uppgiftsskyldighet i nationell rätt, eller med stöd av uppgiftsskyldighet som inte kan eller bör införas i den nya förordningen av normtekniska skäl. Förordningens namn bör därför vara förordningen om utlämnande av uppgifter från Skatteverkets folk- bokföringsverksamhet.
Eftersom bestämmelser som möjliggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upp- lysa om att den innehåller bestämmelser om utlämnande av uppgifter från folkbokföringsverksamheten i vissa fall.
Förordningens struktur
Förordningen ska innehålla allmänna bestämmelser, bestämmelser om avgifter samt bestämmelser om Skatteverkets skyldigheter att under- rätta myndigheter om vissa förhållanden respektive Skatteverkets skyldighet att i övrigt lämna ut uppgifter. Förordningen ska även innehålla vissa bestämmelser om Skatteverkets möjlighet att lämna ut uppgifter till Svenska kyrkan och till centrala registreringsmyndig- heter för folkbokföring i nordiska länder.
Tillämpningsområde
Det materiella tillämpningsområdet för den föreslagna folkbokför- ingsdatalagen syftar i likhet med dagens registerförfattningar till att omfatta alla Skatteverkets uppgifter inom den aktuella verksamhets-
980
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
grenen, se avsnitt 7.4.6. För samstämmighet med de författningar som föreslås upphävas bör den nya förordningen om uppgiftslämnande ha samma breda materiella tillämpningsområde som den nya folk- bokföringsdatalagen. En följd av det breda tillämpningsområdet är att eventuella tillkommande uppgiftsskyldigheter m.m. för folkbok- föringsverksamheten i första hand ska kunna föras in i den föreslagna förordningen, och inte i nya förordningar eller i materiell reglering.
Bestämmelser om Skatteverkets rätt respektive skyldighet att ta ut avgifter
Som nämnts i avsnitt 13.5.1 får en myndighet bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen. En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.113
Idag ges Skatteverket rätt att ta ut avgifter för utlämnande av upp- gifter från folkbokföringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i 2 kap. 12 § första stycket FdbL. I paragrafens andra stycke anges att rätten att ta ut av- gifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller en registrerads rätt enligt artikel 12.5
iEU:s dataskyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Skatte- verkets rätt att ta ut avgifter vid utlämnande motsvaras av nya bestäm- melser. Skatteverket har dessutom uppgett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter från folkbokföringsverksamheten. Som framgår av av- snitt 16.4.12 utgör Skatteverkets informationsförsörjningssystem Navet en del av folkbokföringsdatabasen, och Navet är avgiftsbelagt för vissa myndigheter. De nya bestämmelserna om Skatteverkets av- giftsuttag bör enligt vår mening införas i samma författning som de nya bestämmelserna som reglerar utlämnandet i sak, dvs. i den nya förordningen om utlämnande av uppgifter från folkbokföringsverk- samheten.
1133 och 5 §§ avgiftsförordningen (1992:191).
981
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
En bestämmelse som motsvarar bestämmelsen i 2 kap. 12 § första stycket FdbL bör därför införas i den nya förordningen. Även be- stämmelsen om hur möjligheten att ta ut avgifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör ha en motsvarighet i den nya för- ordningen. Däremot bör tillägget i nuvarande 2 kap. 12 § första stycket FdbL, som anger att avgifterna får tas ut enligt de närmare föreskrif- ter som meddelas av regeringen, inte införas i den nya förordningen eftersom regleringen i sin helhet föreslås finnas på förordningsnivå.
I 18 § FdbF finns i dag närmare bestämmelser om Skatteverket avgiftsuttag. Av första stycket framgår att när uppgifter ur folkbok- föringsdatabasen lämnas ut för ändamål som avses i 1 kap. 4 § 5 och 6 FdbL ska en avgift tas ut. Skatteverket har alltså en skyldighet att ta ut avgifter när utlämnandet sker för aktualisering, komplettering och kontroll av personuppgifter, eller uttag av urval av personuppgif- ter. Av andra stycket framgår att när uppgifter lämnas ut i andra fall får en avgift tas ut. Av bestämmelsens tredje stycke framgår att stat- liga myndigheter, med undantag för affärsverken, är fria från sådana avgifter som avses i första och andra styckena när uppgifter ur folk- bokföringsdatabasen lämnas ut genom direktåtkomst eller på med- ium för automatiserad behandling. I bestämmelsens fjärde stycke an- ges att Skatteverket fastställer avgifterna för att lämna ut uppgifter ur folkbokföringsdatabasen.
Bestämmelser med motsvarande innebörd som dagens 18 § FdbF bör också föras in i den nya förordningen om utlämnande av upp- gifter från folkbokföringsverksamheten. Eftersom vi i avsnitt 8.4.3 föreslår att dagens detaljerade ändamålsbestämmelser i den nya folk- bokföringsdatalagen ska ersättas av en brett formulerad ändamåls- bestämmelse bör den nya bestämmelsen uttryckligen ange de ända- mål som i dag anges i 1 kap. 4 § 5 och 6 FdbL. Mot bakgrund av att vi i avsnitt 11.7.5 föreslår en enhetlig reglering av elektroniskt utläm- nande bör de nya bestämmelserna dessutom inte särskilt ange begrep- pen direktåtkomst och utlämnande på medium för automatiserad behandling, utan enbart ”när uppgifter lämnas ut elektroniskt”.
982
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Bestämmelserna i sak
I det kommande avsnittet redogör vi för ett tillägg i förhållande till den reglering av Skatteverkets underrättelseskyldighet som i dag finns i folkbokföringsdatabasförordningen. Utöver detta tillägg föreslår vi att de bestämmelser om Skatteverkets underrättelseskyldighet som i dag finns i folkbokföringsdatabasförordningen ska föras över till den nya förordningen om utlämnande av uppgifter från Skatteverkets folkbokföringsverksamhet.
Förordningen ska även innehålla bestämmelser som motsvarar 13 och 14 §§ FdbF, som reglerar utlämnande till Svenska kyrkan respek- tive till central registreringsmyndighet för folkbokföring i ett nor- diskt land för kontroll- och urvalsändamål. Dessa bestämmelser har en materiell innebörd som medför att de behöver motsvaras av be- stämmelser i den nya förordningen (se avsnitt 13.3.4).
I kapitel 9 har vi föreslagit att regleringen av folkbokföringsdata- basen ska upphävas och inte ha någon motsvarighet i den nya folk- bokföringsdatalagen. Vi har även föreslagit att de uppgifter som får registreras om en person vid folkbokföring och om en person som tilldelats samordningsnummer ska framgå av folkbokföringslagen re- spektive lagen om samordningsnummer. Vilka personuppgifter som får registreras i samband med folkbokföring eller om en person som har tilldelats samordningsnummer kan dock komma att förändras. Det är därför mindre lämpligt att i de nya bestämmelserna i förord- ningen uttryckligen ange samma uppgiftskategorier som anges i de föreslagna nya bestämmelserna i folkbokföringslagen respektive lagen om samordningsnummer. Bestämmelsen i den nya förordningen om utlämnande till Svenska kyrkan bör i stället hänvisa till dessa författ- ningar.
Bestämmelsen i den nya förordningen om utlämnande till en central registreringsmyndighet för folkbokföring i ett nordiskt land bör dock inte begränsas avseende vilka uppgifter som får lämnas ut, i likhet med vad som gäller i dag.
983
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
13.6.2Utlämnande av uppgifter till
Vårt förslag: I den nya förordningen om utlämnande av upp- gifter från folkbokföringsverksamheten ska det införas en be- stämmelse som motsvarar den sekretessbrytande bestämmelse i
Skälen för vårt förslag
I avsnitt 13.5.3 har vi redogjort för våra förslag avseende utlämnande av uppgifter från Skatteverkets beskattningsverksamhet till verksam- heten med det statliga personadressregistret,
I 4 §
Eftersom bestämmelsens föremål är att bryta den eventuella sekre- tess som annars skulle ha gällt inom folkbokföringsverksamheten är det mest ändamålsenliga att även den ska motsvaras av en bestäm- melse i den nya förordningen om utlämnande av uppgifter från folk- bokföringsverksamheten. Vi föreslår därför att det införs en bestäm- melse i den nya förordningen med innebörden att uppgifter som anges i 4 §
984
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
13.7Tullverket
13.7.1Utlämnande av uppgifter från Tullverket ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgiftsläm- nande som i dag regleras i registerförfattningarna för Tullverkets verksamhet samt i tullagens första kapitel ska föras in i en ny för- ordning kallad förordningen om utlämnande av uppgifter från Tullverket.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Tullverkets utlämnande av upp- gifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som omfattas av den föreslagna tulldatalagen.
I den nya förordningen ska införas bestämmelser som mot- svarar de bestämmelser som i dag reglerar Tullverkets möjligheter att ta ut avgifter vid utlämnande från tulldatabasen.
Skälen för vårt förslag
En ny förordning av utlämnande av uppgifter
I nationell rätt regleras Tullverkets skyldigheter att lämna uppgifter till andra offentliga aktörer primärt i tullagens första kapitel.114 Till skillnad från beskattningsverksamheten finns det därför inte särskilt många sekretessbrytande bestämmelser avseende utlämnande till myn- digheter i registerförordningen för Tullverkets verksamhet, trots att båda verksamheterna förser ett stort antal andra myndigheter med information. Någon sekretessbrytande bestämmelse som särskilt av- ser direktåtkomst för en annan myndighet finns exempelvis inte.
Den enda sekretessbrytande uppgiftsskyldighet som föreskrivs i tulldatabasförordningen reglerar utlämnande till Skatteverket. I för- ordningen finns även en bestämmelse om uppgiftslämnande av upp- gifter i tulldatabasen till enheter inom Tullverket som arbetar med brottsbekämpande verksamhet, se avsnitt 13.3.5. Förordningen inne-
114Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177, 181 och 182.
985
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
håller dock en bestämmelse som bryter sekretess i förhållande till en- skilda och som särskilt avser direktåtkomst, se avsnitt 13.2.4.
Vi har ovan bedömt att bestämmelser om uppgiftslämnande inte ska finnas i de nya författningarna om dataskydd. Vi har övervägt om det finns skäl att föreslå att Tullverkets uppgiftslämnande som i dag regleras i tulldatabasförordningen bör motsvaras av bestämmelser som förs in tullagen, eftersom Tullverkets skyldigheter att lämna uppgif- ter till andra offentliga aktörer primärt regleras där i dag. Det finns dock inget krav på att sekretessbrytande bestämmelser om uppgiftsläm- nande ska regleras i lagform, och övriga bestämmelser i tullagen regle- rar primärt frågor om förfarandet, bl.a. tullskuld, in- och utförsel av varor, tullkontroll och sanktioner. Vi har även övervägt om det är lämpligt att föreslå att Tullverkets uppgiftslämnande i fortsättningen ska regleras i tullförordningen (2016:287). I den förordningen finns dock inte några bestämmelser som avser utlämnande av uppgifter. Tull- förordningen innehåller i stället bestämmelser om bl.a. tullskuld, skatt, ränta och garantier, införsel och utförsel av varor, samt tullkontroll. Tullagens och tullförordningens karaktär, med i huvudsak materiella bestämmelser och förfarandebestämmelser, talar mot att införa mer generella bestämmelser om uppgiftslämnande i dessa. Det framstår därför som olämpligt att föra in eller behålla bestämmelser som rör utlämnande av uppgifter såväl i tullagen som i tullförordningen.
Vi anser därför att det mest ändamålsenliga är att föreslå en ny förordning om Tullverkets utlämnande av uppgifter.
Förordningens namn och portalparagraf
Liksom avseende förslagen om en ny förordning om utlämnande av uppgifter från beskattningsverksamheten respektive folkbokför- ingsverksamheten anser vi att det inte är lämpligt att särskilt ange begreppet uppgiftsskyldighet i den nya förordningens namn. Namnet på den nya förordningen bör nämligen enligt vår mening möjliggöra införandet av framtida upplysningsbestämmelser om sådant utläm- nande som inte sker med stöd av en sekretessbrytande uppgifts- skyldighet i nationell rätt, eller med stöd av uppgiftsskyldighet som inte kan eller bör införas i den nya förordningen av normtekniska skäl. Förordningens namn bör därför vara förordningen om utläm- nande av uppgifter från Tullverket. Eftersom bestämmelser som möj-
986
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
liggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upplysa om att den innehåller bestäm- melser om utlämnande av uppgifter från Tullverket i vissa fall.
Förordningens struktur
Förordningen bör innehålla allmänna bestämmelser och bestämmel- ser om avgifter. Förordningen bör även innehålla bestämmelser om Tullverkets rätt att lämna ut uppgifter till enskilda, samt Tullverkets underrättelseskyldighet och skyldighet att i övrigt lämna ut uppgifter.
Tillämpningsområde
Det breda materiella tillämpningsområdet för den föreslagna tulldata- lagen syftar i likhet med dagens registerförfattningar till att omfatta alla Tullverkets uppgifter utanför det brottsbekämpande uppdraget, se avsnitt 7.4.7. För samstämmighet med de författningar som före- slås upphävas bör den nya förordningen om uppgiftslämnande ha samma breda materiella tillämpningsområde som den nya tulldata- lagen. De avgränsningar som föreslås avseende juridiska personer bör dock inte finnas i den nya förordningen.
En följd av det breda tillämpningsområdet är att eventuella till- kommande uppgiftsskyldighet för Tullverkets verksamhet utanför det brottsbekämpande området i första hans ska kunna föras in i den föreslagna förordningen, och inte i nya förordningar eller i materiell reglering. På så sätt kan regleringen bli mer sammanhållen och enhet- lig. Som framgår ovan bedömer vi att även de bestämmelser om upp- giftsskyldighet som i dag framgår av tullagens första kapitel ska flyttas till den nya förordningen, eftersom de till skillnad från den reglering som finns i 18 kap. och 20 kap. skatteförfarandeförordningen är för- hållandevis avgränsade (jfr avsnitt 13.5.1).
Bestämmelser om Tullverkets rätt att ta ut avgifter
Som framgått ovan får en myndighet bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förord- ning eller av ett särskilt beslut av regeringen, se avsnitt 13.5.1 och 13.6.1.
987
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.115
I dag ges Tullverket rätt att ta ut avgifter för utlämnande av upp- gifter från tulldatabasen enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i 2 kap. 11 § första stycket TDL. I bestämmelsens andra stycke anges att rätten att ta ut avgifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihets- förordningen, eller en registrerads rätt enligt artikel 12.5 i EU:s data- skyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Tull- verkets rätt att ta ut avgifter vid utlämnande motsvaras av nya bestäm- melser. Tullverket har dessutom uppgett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter. Dessa nya bestämmelser bör enligt vår mening regleras i samma sammanhang som de nya bestämmelser som reglerar upp- giftslämnandet i sak, dvs. den nya förordningen om utlämnande av uppgifter.
En bestämmelse som motsvarar bestämmelsen i 2 kap. 11 § första stycket TDL bör därför införas i den nya förordningen om utläm- nande av uppgifter. Bestämmelsen om hur möjligheten att ta ut av- gifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör också ha en motsvarighet den nya förordningen. Däremot bör tillägget i nuvar- ande 2 kap. 11 § första stycket första meningen TDL, som anger att avgifterna får tas ut enligt de närmare föreskrifter som meddelas av regeringen, inte ha en motsvarighet i den nya förordningen eftersom regleringen i sin helhet föreslås finnas på förordningsnivå.
I 9 § TDF finns i dag en bestämmelse som ger Tullverket rätt att fastställa avgifter för utlämnande av uppgifter ur tulldatabasen. I be- stämmelsen anges dock att avgift inte ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldig- het i lag eller förordning. En bestämmelse med motsvarande inne- börd bör också föras in i den nya förordningen om uppgiftslämnande från Tullverket.
Enligt artikel 52.1 i tullkodex får tullmyndigheterna inte ta ut av- gifter för tullkontroller eller annan tillämpning av tullagstiftningen
1153 och 5 §§ avgiftsförordningen (1992:191).
988
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
som äger rum under de behöriga tullkontorens officiella öppettider, och enligt artikel 52.2 får avgifter tas ut för särskilda tjänster. I sam- manhanget bör också en upplysningsbestämmelse föras in om att Tullverket inte får ta ut avgifter i strid med artikel 52 i tullkodex för tillämpning av tullagstiftningen.
Bestämmelserna i sak
I de kommande avsnitten
I 4 a § TDF anges i dag att uppgifter i tulldatabasen på begäran ska lämnas ut till de enheter inom Tullverket som arbetar med brotts- bekämpande verksamhet. Ett av de sekundära ändamålen i tulldata- baslagen är dessutom att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet (1 kap. 5 § 2 TDL). I av- snitt 8.4.4 föreslår vi att de befintliga detaljerade sekundära ända- målsbestämmelserna inte ska ha någon motsvarighet i den föreslagna tulldatalagen. I stället ska den sekundära ändamålsbestämmelsen avse vidareanvändning av uppgifter som behandlas enligt den primära ända- målsbestämmelsen för att fullgöra uppgiftslämnande som sker i över- ensstämmelse med lag eller förordning.
Tullverket har uppgett till utredningen att det är av mycket stor betydelse för myndigheten att uppgiftslämnande till de enheter inom myndigheten som arbetar med brottsbekämpande verksamhet fort- sättningsvis inte hindras, och att det inte i framtiden kommer krävas ständiga överväganden kring uppgiftslämnandets förenlighet med finalitetsprincipen. Trots att bestämmelsen i 4 a § TDF inte förefaller ha en sekretessbrytande funktion (se avsnitt 13.3.5) bör därför även den ha en motsvarighet i den nya förordningen. Genom att bestäm- melsen ges en motsvarighet i den nya förordningen kan Tullverket, med stöd av den sekundära ändamålsbestämmelsen i den nya tull- datalagen, även fortsättningsvis lämna ut uppgifter till de enheter inom myndigheten som arbetar med brottsbekämpande verksamhet. Be-
989
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
stämmelsen utgör en rättslig grund för den personuppgiftbehandling som uppgiftslämnandet till de brottsbekämpande enheterna innebär. I likhet med vad som anges i avsnitt 13.4.3 behöver Tullverket där- med inte heller fortsättningsvis pröva om ett begärt utlämnande ska ske, eller om ett utlämnande är förenligt med det ändamål för vilket uppgifter samlats in.
Mot bakgrund av att det inte förefaller råda någon sekretess mellan de olika enheterna på Tullverket går det dock att ifrågasätta om det kan anses vara motiverat att bestämmelsen som avser uppgiftsläm- nande till de brottsbekämpande enheterna ska förenas med ett så- dant förbud mot spontant utlämnande som föreslås i avsnitt 13.4.4. Ett sådant förbud går även att ifrågasätta utifrån Tullverkets sam- mantagna samhällsviktiga uppdrag. Det går dock inte att bortse från att den befintliga bestämmelsen avser utlämnande på begäran, och därför inte tillåter spontant utlämnande på det sätt som exempelvis är möjligt med stöd av bestämmelserna i
Som redogjorts för i avsnitt 13.4.4 avser dock det föreslagna för- budet mot utlämnande på eget initiativ endast själva utlämnandet, som inte får ske spontant. Det innebär att det utlämnande till Tull- verkets brottsbekämpande enheter som förekommer i dag även kommer vara möjligt i fortsättningen.
13.7.2Utlämnande till enskilda
Vår bedömning: I den nya förordningen om utlämnande av upp- gifter från Tullverket ska det införas en bestämmelse som mot- svarar den sekretessbrytande bestämmelse i tulldatabasförord- ningen som i dag reglerar förutsättningarna för utlämnande från tulldatabasen till enskilda.
990
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Skälen för vårt förslag
Som vi redogjort för i avsnitten 13.2.3 och 13.3.5 finns det bara en bestämmelse i tulldatabasförordningen som avser utlämnande till enskilda som också är sekretessbrytande. Bestämmelsen kom samman- fattningsvis till för att Tullverket skulle ges rättslig möjlighet att följa unionsrättsliga krav på elektronisk kommunikation i tullförfarandet. I dag föreskriver bestämmelsen i 7 § tredje stycket TDF att vissa ekonomiska aktörer får ha direktåtkomst till uppgifter i tulldata- basen som de ekonomiska aktörerna behöver för att utföra sina för- pliktelser enligt tullagstiftningen.
Som vi redogjort för i avsnitten 13.4.2 och 13.4.4 anser vi att be- stämmelser som särskilt avser direktåtkomst inte ska förekomma i den nya regleringen. Vår målsättning är dock att omfattningen av det nuvarande utlämnandet av uppgifter inte ska ändras. I de fall en be- stämmelse om direktåtkomst kompletteras av en bestämmelse som avser en generell skyldighet att lämna uppgifter kan bestämmelsen som avser direktåtkomst tas bort, och den generella bestämmelsen justeras i vissa avseenden, utan att omfattningen av utlämnandet förändras.
Avseende 7 § tredje stycket TDF finns det dock ingen generell sekretessbrytande bestämmelse. Det innebär att bestämmelsen som
idag särskilt reglerar utlämnande genom direktåtkomst måste ges en motsvarighet i den nya förordningen om utlämnande från Tullverket. Vi föreslår därför att en bestämmelse införs i den nya förordningen om utlämnande från Tullverket med innebörden att under förut- sättning att en ekonomisk aktör är registrerad hos en tullmyndighet,
ienlighet med artikel 9 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tull- kodex, får Tullverket lämna ut de uppgifter till aktören som den be- höver för att kunna fullgöra sina förpliktelser enligt tullagstiftningen som den definieras i 1 kap. 3 § tullagen.
Som en följd av vårt förslag i denna del bör även 27 kap. 7 § OSL ändras, se avsnitt 13.2.3.
991
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
13.7.3Visst utlämnande till Skatteverket
Vårt förslag: Nuvarande bestämmelser i tulldatabasförordningen om uppgiftslämnande till Skatteverket ska med vissa justeringar motsvaras av bestämmelser i den nya förordningen.
Skälen för vårt förslag
I 4 § TDF anges att uppgifter som avses i 2 kap. 3 § första stycket 1, 2,
Av 2 kap. 7 § första stycket TDL framgår att Skatteverket får ha direktåtkomst till samma uppgifter, dvs. de som avses i 2 kap. 3 § första stycket 1, 2,
I avsnitten 13.5.4 och 13.5.6 ovan har vi redogjort för våra förslag om hur det uppgiftslämnande från beskattningsverksamheten som i dag avgränsats till att avse särskilda personer ska regleras i framtiden. De överväganden som redogjorts för där är också tillämpliga i fråga om Tullverkets utlämnande till Skatteverket som i dag regleras i tull- databasförordningen. Vi anser därmed att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehandläggning, där utlämnandet i dag enbart får omfatta uppgifter om personer som förekommer i ärenden, inte innebär att bestämmelsens omfattning utökas.
Vad gäller personer som inte förekommer i ärenden men som annars är föremål för Skatteverkets kontrollverksamhet avseende mer- värdesskatt vid import går det dock inte att i den nya regleringen av- gränsa utlämnandet till ärendehandläggning. Om det befintliga ut- lämnandet skulle avse personer som förekommer i ett ärende om kontroll avseende mervärdesskatt vid import skulle det nämligen redan täckas av bestämmelsens första led. Det innebär att om den nya regler-
992
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
ingen skulle föreskriva att uppgifter enbart får lämnas ut för sådana ärenden skulle omfattningen av det nuvarande utlämnandet begrän- sas. Vi anser därför att den nya bestämmelsen endast ska föreskriva att Tullverket ska lämna ut uppgifter om de behövs i Skatteverkets kontrollverksamhet avseende mervärdesskatt vid import. Enligt vår mening blir innebörden av den nya bestämmelsen i princip oföränd- rad vid jämförelse med dagens reglering.
Vi föreslår därför att Skatteverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Skatteverkets kon- trollverksamhet avseende mervärdesskatt vid import, eller handlägg- ning av ärenden.
13.8Kronofogdemyndigheten
13.8.1Utlämnande av uppgifter från Kronofogdemyndigheten ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgifts- lämnande som i dag regleras i registerförfattningarna för Krono- fogdemyndigheten ska föras in i en ny förordning kallad förord- ningen om utlämnande av uppgifter från Kronofogdemyndigheten.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Kronofogdemyndighetens utläm- nande av uppgifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som om- fattas av den föreslagna kronofogdedatalagen.
I den nya förordningen ska införas bestämmelser som mot- svarar de bestämmelser som i dag reglerar Kronofogdemyndig- hetens möjligheter att ta ut avgifter vid utlämnande från dagens databaser.
Skälen för vårt förslag
En ny förordning om utlämnande av uppgifter
Som framgår av avsnitt 13.3.6 föreskrivs i kronofogdedatabasförord- ningen i dag en skyldighet för Kronofogdemyndigheten att lämna ut vissa uppgifter i utsöknings- och indrivningsdatabasen till Skatte-
993
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
verkets beskattningsverksamhet, Tullverket och Säkerhetspolisen. Kronofogdemyndigheten har även en skyldighet att lämna vissa sär- skilt angivna uppgifter till Skatteverkets folkbokföringsverksamhet. Några sekretessbrytande bestämmelser som avser utlämnande till en- skilda finns dock inte i registerförfattningarna för Kronofogdemyndig- heten.
Vi har övervägt om dagens bestämmelser kan motsvaras av nya bestämmelser som förs in i någon annan befintlig författning. Mot bakgrund av att de sekretessbrytande bestämmelserna i dag huvud- sakligen avser utlämnande från utsöknings- och indrivningsdatabasen har det framstått som lämpligast att undersöka om de nya bestäm- melserna kan införas i befintliga författningar inom det området, före- trädelsevis utsökningsbalken och utsökningsförordningen (1981:981). I de författningarna saknas dock i dag helt bestämmelser om sådan uppgiftsskyldighet som här är i fråga. I utsökningsförordningen finns visserligen vissa bestämmelser som reglerar Kronofogdemyndighetens skyldighet att lämna upplysningar om utmätning i vissa fall, exempel- vis till Polismyndigheten om ett skjutvapen utmätts.116 De bestäm- melsernas karaktär är dock närmast att likna med förfaranderegler i samband med utmätning, och har få likheter med den uppgiftsskyl- dighet som i dag regleras i kronofogdedatabasförordningen. Utsök- ningsbalkens och utsökningsförordningens karaktär i övrigt, med i huvudsak materiella bestämmelser och förfarandebestämmelser, talar mot att införa mer generella bestämmelser om uppgiftslämnande i dessa.
De nya dataskyddsförfattningarna för Kronofogdemyndigheten föreslås dessutom tillämpas i flera olika sammanhang, och inte bara i verksamhet med utsökning och indrivning. Eftersom det inte kan uteslutas att nya bestämmelser om uppgiftsskyldighet eller andra sekretessbrytande bestämmelser kan komma att införas avseende upp- gifter som behandlas i Kronofogdemyndighetens verksamhet fram- står det som olämpligt att föra in de nya bestämmelserna i utsöknings- balken eller utsökningsförordningen.
Vi har inte funnit någon annan författning som framstår som lämplig att föra in de nya bestämmelserna i. Vi föreslår därför att de bestämmelser om utlämnande av uppgifter som i dag finns i krono- fogdedatabasförordningen ska motsvaras av bestämmelser i en ny förordning.
1166 kap. 24 § utsökningsförordningen.
994
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Förordningens namn och portalparagraf
Liksom för övriga nya förordningar om utlämnande anser vi inte att den nya förordningens namn endast bör avse uppgiftsskyldigheter. Det kan nämligen inte uteslutas att även upplysningsbestämmelser vid ett senare skede kan komma att tas in i förordningen, eller att nya sekretessbrytande bestämmelser i förhållande till enskilda in- förs. Förordningens namn bör därför vara förordningen om utläm- nande av uppgifter från Kronofogdemyndigheten.
Eftersom bestämmelser som möjliggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upp- lysa om att den innehåller bestämmelser om utlämnande av uppgifter från Kronofogdemyndigheten i vissa fall, men att regleringen i för- ordningen inte är uttömmande.
Förordningens struktur
Förordningen bör innehålla allmänna bestämmelser och bestämmel- ser om avgifter. Förordningen bör även innehålla bestämmelser om Kronofogdemyndighetens skyldighet att lämna ut uppgifter.
Tillämpningsområde
Vi har i avsnitten 13.5.1, 13.6.1 och 13.7.1 ovan lämnat förslag med innebörden att de nya förordningarna om uppgiftslämnande från beskattningsverksamheten, folkbokföringsverksamheten och Tull- verket ska ha samma materiella tillämpningsområde som de föreslagna nya datalagarna. Som vi redan påpekat avser dock dagens sekretess- brytande bestämmelser för Kronofogdemyndigheten främst uppgifter som i dag får registreras i utsöknings- och indrivningsdatabasen. Det går därför att ifrågasätta om den nya förordningens tillämpnings- område bör vara lika brett som den föreslagna kronofogdedatalagens materiella tillämpningsområde.
Eftersom den nya förordningen kan komma att få en samlande funktion bör dock tillämpningsområdet enligt vår mening inte be- gränsas. I likhet med vad vi redogjort för bl.a. i avsnitt 13.5.1 om be- skattningsverksamheten kan den nya förordningen komma att rymma fler bestämmelser i framtiden än den föreslås göra i dag. Mot bak-
995
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
grund av att vi i stycket nedan föreslår att dagens bestämmelser om Kronofogdemyndighetens rätt att ta ut avgifter för utlämnande ska motsvaras av bestämmelser i den nya förordningen blir betydelsen av att tillämpningsområdet inte formuleras för snävt än större. Vi an- ser därför att den nya förordningens tillämpningsområde bör motsvara den föreslagna kronofogdedatalagens materiella tillämpningsområde.
Bestämmelser om Kronofogdemyndighetens rätt att ta ut avgifter
Som framgår av bl.a. avsnitt 13.5.1 får en myndighet bara ta ut av- gifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen. En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.117 I dag ges Kronofogde- myndigheten rätt att ta ut avgifter för utlämnande av uppgifter från sina olika databaser enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i lag som återfinns i 2 kap. 30 § första stycket KFMdbL. I bestämmelsens andra stycke anges att rätten att ta ut avgifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän hand- ling enligt tryckfrihetsförordningen, eller en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Krono- fogdemyndighetens rätt att ta ut avgifter vid utlämnande motsvaras av nya bestämmelser. Kronofogdemyndigheten har dessutom upp- gett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter, något som sker i stor utsträckning till exempelvis kreditupplysningsföretag. Dessa nya be- stämmelser bör enligt vår mening finnas i samma sammanhang som de nya bestämmelser som reglerar utlämnandet i sak, dvs. den nya förordningen om Kronofogdemyndighetens utlämnande av uppgifter.
En bestämmelse som motsvarar bestämmelsen i 2 kap. 30 § första stycket KFMdbL bör därför införas i den nya förordningen om ut- lämnande av uppgifter. Även bestämmelsen om hur möjligheten att ta ut avgifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör ha en
1173 och 5 §§ avgiftsförordningen (1992:191).
996
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
motsvarighet i den nya förordningen. Däremot bör tillägget i nuvar- ande 2 kap. 30 § första stycket KFMdbL, som anger att avgifterna får tas ut enligt de närmare föreskrifter som meddelas av regeringen, inte införas i den nya förordningen eftersom regleringen i sin helhet kommer finnas på förordningsnivå.
Av 18 § KFMdbL framgår i dag att Kronofogdemyndigheten fast- ställer avgifter för utlämnande av uppgifter ur databaserna. Avgift ska dock inte tas ut vid utlämnande av uppgifter till annan myndig- het när utlämnandet följer av en skyldighet i lag eller förordning. En bestämmelse med motsvarande innebörd bör också föras in i den nya förordningen om uppgiftslämnande från Kronofogdemyndigheten.
13.8.2Utlämnande till Skatteverket
Vårt förslag: Bestämmelserna om uppgiftslämnande till Skatte- verket i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser samt visst utökat uppgiftslämnande som behövs för dataanalyser och urval.
Skälen för vårt förslag
Personer som förekommer i ett ärende
Av 7 § KFMdbF framgår att uppgifter som avses i 2 kap. 5 §
Av 2 kap. 27 § första stycket andra meningen KFMdbL framgår att Skatteverket i dess beskattningsverksamhet och i verkets hand- läggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter får ha direktåtkomst till samma uppgifter, dvs. uppgifter som anges i 2 kap. 5 §
I avsnitten 13.5.4 och 13.5.6 ovan har vi redogjort för våra förslag om hur det uppgiftslämnande från beskattningsverksamheten som i dag avgränsats till att avse särskilda personer ska regleras i framtiden. De överväganden som redogjorts för där är också tillämpliga i fråga
997
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
om Kronofogdemyndighetens utlämnande till Skatteverket. Vi anser därmed att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehandläggning, där utlämnandet i dag enbart får om- fatta uppgifter om personer som förekommer i ärenden, innebär att bestämmelsens omfattning inte utökas. Vi anser därför att den nya bestämmelsen endast ska föreskriva att Kronofogdemyndigheten ska lämna ut uppgifter om de behövs i Skatteverkets handläggning av ärenden.
Vi föreslår därför att Skatteverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Skatteverkets handlägg- ning av ärenden.
En utökad uppgiftsskyldighet – dataanalyser och urval
I avsnitt 14.10 om dataanalyser och urval gör vi bedömningen att Skatteverket bör ges tillgång till vissa uppgifter i Kronofogdemyndig- hetens verksamhet som dagens reglering inte omfattar. Övervägan- den och bedömningar i fråga om den föreslagna utökningen framgår av det kapitlet.
Utlämnande till folkbokföringsverksamheten
Av 7 a § KFMdbF framgår att uppgifter om adress och andra kon- taktuppgifter, genomförd avhysning, utmätning och delgivning, och tillgångar i utlandet på begäran ska lämnas ut till Skatteverket om det behövs för handläggning av ärenden eller kontroll av uppgifter i folk- bokföringsverksamheten. Bestämmelsen är inte begränsad till att av- se personer som förekommer i den angivna verksamheten. Däremot är bestämmelsen i dag förenad med ett krav på att utlämnandet ska ske på begäran.
Vi föreslår därför att Skatteverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Skatteverkets hand- läggning av ärenden eller kontroll av uppgifter i folkbokförings- verksamheten.
998
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
13.8.3Utlämnande till Tullverket
Vårt förslag: Bestämmelserna om uppgiftslämnande till Tull- verket i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser.
Skälen för vårt förslag
Av 7 § KFMdbF framgår att uppgifter som avses i 2 kap. 5 §
Som vi redogjort för i avsnitt 13.8.2 anser vi att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehand- läggning, där utlämnandet i dag enbart får omfatta uppgifter om per- soner som förekommer i ärenden, inte innebär att bestämmelsen om- fattning utökas.
Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Tullverkets handläggning av ärenden.
13.8.4Utlämnande till Säkerhetspolisen
Vårt förslag: Bestämmelserna om uppgiftslämnande till Säker- hetspolisen i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser.
999
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Skälen för vårt förslag
Av 8 § KFMdbF framgår att uppgifter som avses i 2 kap. 5 §
Som vi redogjort för i avsnitt 13.8.2 anser vi att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehand- läggning, där utlämnandet i dag enbart får omfatta uppgifter om per- soner som förekommer i ärenden, inte innebär att bestämmelsen omfattning utökas.
Vi föreslår därför att Säkerhetspolisen i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Säkerhetspolisens handläggning av ärenden om särskild personutredning enligt 3 kap. 17 § säkerhetsskyddslagen (2018:585).
13.9Skyddet för den personliga integriteten
Vår bedömning: Förslagen om nya bestämmelser om uppgifts- lämnande är förenliga med skyddet för den personliga integri- teten.
Skälen för vår bedömning
De språkliga justeringar vi föreslår
I avsnitten ovan har vi redogjort för våra förslag till nya bestämmelser om utlämnande av uppgifter för Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverket och Kronofogdemyndig- heten. De nuvarande bestämmelserna behöver enligt våra bedöm- ningar förändras bl.a. på grund av komplexiteten i befintliga bestäm-
1000
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
melser (främst när det gäller beskattningsverksamheten) och på grund av den nya struktur som vi har föreslagit ska gälla den komplette- rande dataskyddsregleringen.
Våra förslag utgår dock från att omfattningen av informations- utbytet så långt som möjligt ska vara oförändrat. Vi har därför före- slagit nya bestämmelser som huvudsakligen motsvarar vad som gäller i dag i fråga om vilka uppgifter som avses, vem som får ta del av vilka uppgifter, samt vilka behov som ska föreligga hos mottagaren i detta sammanhang. De faktiska förändringar som föreslås i dessa avseen- den är rent språkliga. Skyddet för den personliga integriteten bör därför inte vare sig förbättras eller försämras av våra förslag i dessa avseenden.
Uppgiftsskyldighet som inte utgår från en personkrets
I syfte att kompensera för bortfallet av den särskilda regleringen av direktåtkomst har vi föreslagit att de sekretessbrytande bestämmel- ser som i dag avser en särskild personkrets hos mottagaren ska mot- svaras av nya bestämmelser som i stället utgår från mottagarens behov. Det innebär också att bestämmelserna utformas i enlighet med övriga sekretessbrytande bestämmelser. Vår bedömning är att det är tvek- samt om fortsatt utlämnande genom direktåtkomst skulle vara möj- ligt om en sådan justering inte görs.
Vi har föreslagit att bestämmelser som i dag avser en viss person- krets i stället ska utgå från de behov som föreligger i den mottagande myndighetens verksamhet, antingen med eller utan angivande av ären- dehandläggning. I de flesta fall är det enligt vår bedömning tydligt att de föreslagna nya bestämmelserna inte kan anses utgöra en föränd- ring av omfattningen av uppgiftsskyldigheten. Det gäller exempelvis för uppgiftslämnande som i dag avser en person som förekommer i ett ärende som i stället föreslås avse behov i mottagarens ärende- handläggning. Vad gäller visst utlämnande från beskattningsverksam- heten till Kronofogdemyndigheten finns det dock skäl att i det här sammanhanget närmare beröra de överväganden vi gjort.
I enlighet med vår målsättning att inte förändra omfattningen av det nuvarande informationsutbytet har vi i vissa fall bedömt att ut- lämnande i den utsträckning det behövs för mottagarens ärendehand- läggning inte är en lämplig lösning. Det rör de fall där nuvarande be-
1001
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
stämmelser inte kan uppfattas vara begränsande avseende för vilka ändamål mottagaren får hämta in uppgifterna, utan där det som är avgörande för utlämnandet är om en person ingår i den utpekade personkretsen eller inte. Så är fallet när utlämnande av beskattnings- uppgifter får ske avseende en person som har ansökt om skuldsaner- ing eller
Vi har bedömt att omfattningen av det nuvarande utlämnandet i detta sammanhang inte förändras av vårt förslag. Vår bedömning base- rar sig dels på att Kronofogdemyndigheten är skyldig att tillämpa bestämmelserna i EU:s dataskyddsförordning, dels på utformningen av den materiella verksamhetsregleringen av de olika formerna av skuldsanering samt myndighetens verksamhet med utsökning och indrivning. Enligt dataskyddsförordningen får Kronofogdemyndig- heten inte samla in uppgifter som inte är berättigade i förhållande till de ändamål de behandlas och den materiella verksamhetsregleringen styr de ändamål för vilka Kronofogdemyndigheten får samla in upp- gifter.
Mot bakgrund av den materiella regleringens utformning avse- ende myndighetens uppgifter i de respektive verksamheterna, bl.a. avseende vilken kontroll som ska utföras av myndigheten samt vilka förhållanden som är avgörande vid olika förfaranden som regleras, bedömer vi att myndigheten inom angivna verksamheter även i fort- sättningen kommer att sakna rättslig grund för att samla in beskatt- ningsuppgifter om andra personer än de som registreras som gälde- närer inom verksamheten med utsökning och indrivning och personer som ansökt om någon form av skuldsanering, samt make eller mot- svarande. I sammanhanget kan även uppmärksammas att Krono- fogdemyndigheten har uppgett till utredningen att myndighetens behov av att ta del av beskattningsuppgifter inom angiven verksam- het blir tillgodosett genom nuvarande reglering.
Det skulle dock kunna ifrågasättas om inte verksamhetsbegreppet trots allt kan anses innebära en utökad omfattning av utlämnandet av beskattningsuppgifter till Kronofogdemyndigheten. Som vi nyss nämnt har dock Kronofogdemyndigheten uppgett att myndigheten för angivna verksamheter saknar behov av att ta del om beskattnings-
1002
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
uppgifter om andra personer än de som anges i dagens reglering, dvs. andra personer än personer som ansökt om någon form av skuldsan- ering eller personer som är registrerade som gäldenär hos myndigheten, samt make eller motsvarande till dessa personer. De förändringar vi föreslår är därmed inte motiverade av att Kronofogdemyndigheten gett uttryck för att dagens reglering är för begränsande i förhållande till de behov som finns i verksamheterna. Förslagen är i stället moti- verade av den förändring vi föreslagit avseende att ingen särreglering av olika former av elektroniskt utlämnande ska förekomma. Vår sam- mantagna bedömning i det avseendet är att en teknikneutral regler- ing är en förutsättning för en ändamålsenlig dataskyddsreglering som också medför ett adekvat skydd för enskildas personliga integritet.
Förändringar i den materiella verksamhetsregleringen skulle dock kunna få till följd att det inom Kronofogdemyndigheten uppstår ett behov av att ta del av beskattningsuppgifter om andra personer än i dag. Det kan inte uteslutas att det i sammanhanget även uppstår ett behov av att meddela föreskrifter som närmare preciserar Skatte- verkets möjligheter att lämna ut personuppgifter elektroniskt till Kronofogdemyndigheten. En konsekvens av vårt förslag om hur elektroniskt utlämnande ska regleras är dock att direktåtkomst eller andra former av elektroniskt utlämnande endast bör regleras särskilt i författning om sådan åtkomst behöver begränsas, och sådana be- stämmelser kan meddelas med stöd av regeringens restkompetens.
Ien situation där ny reglering av Kronofogdemyndighetens verksam- het medför ett utökat behov av beskattningsuppgifter, dvs. om andra personer än i dag, finns det utrymme för regeringen eller den myn- dighet regeringen bestämmer att vid behov meddela föreskrifter som begränsar Skatteverkets möjlighet att lämna ut uppgifter elektro- niskt till Kronofogdemyndigheten.
Sammanfattningsvis anser vi därför att våra förslag avseende utläm- nande av uppgifter från beskattningsverksamheten till Kronofogde- myndigheten är förenliga med skyddet för den personliga integriteten.
Uppgiftsskyldighet som inte kräver en begäran
Vi har genomgående föreslagit att bestämmelser som avser utläm- nande till andra myndigheter inte ska ske på begäran.
Sekretessbrytande bestämmelser som inte kräver en begäran från mottagaren förekommer i dag bl.a. för folkbokföringsverksamheten
1003
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
och Tullverket i form av bestämmelser som anger att den utlämnande myndigheten har en skyldighet att underrätta vissa andra offentliga aktörer om vissa förhållanden som den utlämnande myndigheten får kännedom om eller som i övrigt förekommer inom verksamheten. Våra förslag innebär dock inte att dagens bestämmelser om upp- giftsskyldighet förändras till sådana om underrättelseskyldighet.
Sekretessbrytande bestämmelser som inte kräver en begäran finns också i rättsliga sammanhang som ligger utanför ramen för vårt upp- drag. De exempel vi tagit upp i avsnitt 13.4.1 är de skyldigheter olika verksamhetsgrenar inom Skatteverket har att lämna uppgifter inom myndigheten redan när det i den utlämnande verksamheten kan antas att en uppgift har betydelse hos mottagaren. Våra förslag inne- bär dock inte att dagens uppgiftsskyldighet förändras så att den in- träder redan när den utlämnande myndigheten kan anta att uppgif- terna har en betydelse i mottagarens verksamhet.
Sekretessbrytande bestämmelser som inte kräver en begäran finns i dag även i skattedatabasförordningen. Dessa bestämmelser är dock utformade på så sätt att utlämnandet endast ska ske i den utsträckning det behövs i mottagarens verksamhet. En förutsättning för att upp- giftsskyldigheterna ska föreligga är att beskattningsverksamheten har kännedom om sådana omständigheter som medför att det är klarlagt att uppgifterna behövs hos mottagaren. Avseende några av dessa be- stämmelser har regeringen uttalat att i praktiken kommer ett utläm- nande i samtliga fall att föregås av en ursprunglig begäran om att få ut uppgifter av ett visst slag. Vi har tidigare noterat att det går att ifråga- sätta på vilket sätt en sådan möjlighet till utlämnande på eget initiativ i praktiken skiljer sig från utlämnande efter en begäran exempelvis om avisering av ändringar eller en stående begäran om utfående av uppgifter med vissa intervall.
Vår motivering till att föreslå att uppgifter inte längre ska kräva en begäran från mottagaren är inte att uppgiftslämnandet i fortsätt- ningen ska kunna ske spontant eller redan vid ett antagande om att mottagaren kan behöva uppgifterna. Motiveringen är i stället att inte hindra uppgiftslämnande genom olika tekniska lösningar, se avsnit- tet nedan.
För att det inte ska råda några tvivel om att uppgiftsskyldighet som i dag förutsätter en begäran från mottagaren även fortsättnings- vis kräver att den mottagande myndigheten i någon form begärt att få ta del av uppgifterna har vi föreslagit ett förbud mot utlämnande
1004
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
på initiativ av den utlämnande myndigheten. Förbudet är avsett att hindra spontanutlämnande eller utlämnande som enbart baserar sig på ett antagande hos den utlämnande myndigheten om att uppgif- terna kan ha betydelse för mottagarens verksamhet. Förbudet måste enligt vår mening anses utgöra en tillräcklig åtgärd för att hindra att information som inte är efterfrågad av mottagaren ska kunna lämnas ut med stöd av de nya bestämmelserna. Den ändring som vi föreslår i fråga om att utlämnande inte längre behöver ske på begäran måste därför anses utgöra en mindre revidering av redan föreliggande skyl- digheter att lämna ut uppgifter. Vår bedömning är därför att förslagen i detta avseende är förenliga med målsättningen om ett adekvat skydd för den personliga integriteten.
Ett utökat utlämnande genom direktåtkomst?
Bestämmelser som särskilt reglerar sekretessgenombrott för direkt- åtkomst är motiverade av integritetsskäl. Genom bestämmelserna begränsas den utlämnande myndighetens möjlighet att lämna ut infor- mation genom direktåtkomst. Även utformningen av sekretessbryt- ande bestämmelser, dvs. om ett utlämnande ska ske på begäran eller inte, är i många fall motiverade av en avvägning mellan behov, effek- tivitet och integritetsskydd. Vi har dock föreslagit att sekretess- brytande bestämmelser som avser direktåtkomst ska upphävas och inte ha någon motsvarighet i den nya regleringen. Vi har även lämnat vissa övriga förslag i syfte att möjliggöra olika former av elektroniskt utlämnande, med innebörden att uppgiftslämnande inte enbart får ske på begäran, och att de uppgifter som avses inte ska begränsas till vissa personer. Frågan är då i vilken utsträckning våra förslag om att justera och anpassa regleringen av utlämnande av uppgifter för att ge myndigheterna utökade möjligheter till elektroniskt utlämnande är förenligt med skyddet för den personliga integriteten.
All automatiserad behandling av stora mängder personuppgifter kan på ett generellt plan medföra risker från integritetssynpunkt. Ett omfattande elektroniskt utlämnande av personuppgifter kan inne- bära att uppgifterna får en större spridning, vilket förhöjer riskerna. Utöver de bestämmelser om uppgiftsskyldighet som föreslås avse- ende dataanalyser och urval (se avsnitt 14.10) samt en kodifiering av sådant utlämnande som i dag delvis sker med stöd av generalklausu-
1005
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
len i 10 kap. 27 OSL (se avsnitt 13.5.5) föreslår vi dock inte att upp- gifter som i dag inte får lämnas ut ska få göra det. Våra förslag avser i stället i huvudsak sådant elektroniskt uppgiftslämnande som redan förekommer.
Uppgiftslämnande genom direktåtkomst har under en lång tid ansetts utgöra en särskilt integritetskänslig form av utlämnande, vilket
viutvecklar närmare i avsnitt 11.2.2 och därför inte återger här. Reger- ingen har dock nyligen, i ett lagstiftningsärende avseende i vilken form uppgifter ska lämnas elektroniskt mellan olika aktörer inom vården, uttalat att det inte [längre] är en stor skillnad mellan direktåtkomst och en elektronisk
I avsnitt 11.7.2 har vi dessutom gjort bedömningen att det är av stor vikt att myndigheterna ges möjlighet att utnyttja den form av informationsöverföring som ger det bästa integritetsskyddet och de största effektivitetsvinsterna i det enskilda fallet. Vi har även bedömt att det inte kan uteslutas att utlämnande genom direktåtkomst ger
118Prop. 2021/22:177, Sammanhållen vård och omsorgsdokumentation, s. 79.
1006
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
fördelar ur integritetshänseende som inte med självklarhet kan upp- nås med andra former av elektronisk informationsöverföring.
I avsnitt 11.7.5 har vi dessutom föreslagit att elektroniskt utläm- nande av uppgifter endast ska få ske om det inte är olämpligt. En rättslig möjlighet för myndigheterna att medge en annan myndighet direktåtkomst eller elektroniskt utlämnande av uppdaterad informa- tion medför därmed inget krav på myndigheten att medge sådan åtkomst eller tillgång. Det går därför inte att med säkerhet säga om, och i sådant fall när och i vilken omfattning, ett utökat uppgifts- lämnande genom direktåtkomst från Skatteverket, Tullverket eller Kronofogdemyndigheten, faktiskt kommer att ske, trots att våra för- slag i detta kapitel bl.a. syftar till att möjliggöra sådant utlämnande, när det är lämpligt. Mot bakgrund av de stora krav som ställs på myn- digheter på båda sidor vid upprättandet av ett system för direkt- åtkomst, och som följer av dataskyddsförordningen, förefaller det nämligen troligt att uppgiftslämnande i första hand kommer ske genom andra former av elektronisk informationsöverföring.
Vår bedömning är att en väl analyserad och förberedd direkt- åtkomst, där de inblandade myndigheterna övervägt och löst frågor som bl.a. rör sekretesskydd och dataskydd på båda sidor, vidtagit behövliga säkerhetsåtgärder samt begränsat eventuell överskotts- information, inte behöver innebära större risker för den enskildes integritet än vid ett annat elektroniskt utlämnande av personuppgif- ter. I vissa fall kan det i stället medföra ett förhöjt integritetsskydd. Genom dataskyddsförordningens bestämmelser, som redogörs för i avsnitt 11.7.3, bör det enligt vår mening finnas en tillräcklig garanti för att eventuella nya system för utlämnande genom direktåtkomst analyseras och förbereds väl, och inte införs om det finns lämpligare tillvägagångsätt. I avsnitt 11.7.6 har vi även föreslagit ett krav på myndigheterna att ansvara för att det finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Vår sammantagna bedömning är att våra förslag om justeringar och ändringar i förhållande till dagens reglering av uppgiftslämnande är förenliga med målsättningen om ett adekvat skydd för den per- sonliga integriteten.
1007
14 Dataanalyser och urval
14.1Inledning
Vårt uppdrag innefattar att se över förutsättningarna för Skatte- verket, Tullverket och Kronofogdemyndigheten att använda data- analyser och urval som verktyg för en effektivare kontrollverksamhet. I uppdraget ingår att analysera och bedöma lämpligheten och ut- formningen av en reglering som innebär en utökad möjlighet att göra dataanalyser och urval för respektive myndighet. Vi ska också kart- lägga vilken information som behövs för att möjliggöra adekvata analyser och urval och föreslå hur tillgång till sådan information bör ges. Det ingår även i uppdraget att bedöma om det finns behov av ändringar i sekretessbestämmelserna eller nya sekretessbestämmelser och då även beakta insynsintresset. Vidare ska vi bedöma vilka regler kring bevarande och gallring som ska gälla för de uppgifter som be- handlas, och hur gjorda analyser och urval ska dokumenteras för att till- godose såväl myndigheternas verksamhetsbehov som behovet av att möjliggöra kontroller av arbetet med analyser och urval i efterhand. Därutöver ska vi säkerställa behovet av skydd för den personliga in- tegriteten och att EU:s dataskyddslagstiftning följs samt lämna nöd- vändiga författningsförslag.
Uppdraget avseende myndigheternas möjligheter att använda data- analyser och urval omfattar samma verksamheter som uppdraget att göra en översyn av de berörda myndigheternas registerlagstiftningar tar sikte på. Det innebär att även Skatteverkets verksamheter enligt lagen (1998:527) om det statliga personadressregistret med tillhör- ande förordning (1998:1234) och lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteck- ningsverksamheter med tillhörande förordning (2015:905) omfattas av uppdraget i denna del. Skatteverket har dock till utredningen upp- gett att det inte finns något behov av utökade möjligheter att använda
1009
Dataanalyser och urval |
SOU 2023:100 |
dataanalyser och urval inom dessa verksamheter. Det innebär att det inte finns något underlag för utredningen i dessa delar. Vi kommer därför inte att lämna förslag avseende dataanalyser och urval som rör Skatteverkets verksamheter med det statliga personadressregistret (SPAR) eller äktenskapsregister- och bouppteckningsverksamheterna.
Vidare ligger det enligt direktivet inte inom ramen för uppdraget att se över lämpligheten av en ny reglering och lämna författnings- förslag som rör Skatteverkets folkbokföringsverksamhet till den del det omfattas av förslagen i betänkandet Om folkbokföring, samord- ningsnummer och identitetsnummer (SOU 2021:57). Om utred- ningens överväganden i övrigt får följder även på de förslag som lämnats i det betänkandet ska dock förslag lämnas även på folkbok- föringsområdet. Förslagen i nämnda betänkande har omhändertagits och lagändringarna trätt i kraft den 1 maj 2023 (prop. 2022/23:41, bet. 2022/23:SkU8, rskr. 2022/23:156). Våra överväganden till följd av översynen av registerförfattningarna innebär att vi föreslår att den nuvarande folkbokföringsdatabaslagen upphävs och ersätts med en ny lag. Det innebär att våra förslag får följder även på dessa änd- ringar. Vi kommer därför lämna förslag avseende dataanalyser och urval även på folkbokföringsområdet.
I kapitlet gör vi bedömningen att Skatteverket, Tullverket och Kronofogdemyndigheten bör ges utökade möjligheter att använda dataanalyser och urval som verktyg för en effektivare kontrollverksam- het. Vi anser att den rättsliga grunden för behandlingen av person- uppgifter för att göra dataanalyser och urval för kontrolländamål ska tydliggöras i den föreslagna beskattningsdatalagen, folkbokförings- datalagen, tulldatalagen och kronofogdedatalagen. Detsamma gäller dataanalyser och urval för att motverka överskuldsättning i Krono- fogdemyndighetens verksamhet. I lagarna föreslås därför en reglering av för vilka ändamål uppgifter får behandlas och vilka uppgifter som får behandlas för sådana dataanalyser och urval. Därutöver föreslår
viatt vissa uppgiftsskyldigheter gentemot Skatteverket och Tull- verket ska utökas.
Vi föreslår även att det ska införas särskilda bestämmelser om krav på dokumentation i lagarna samt bestämmelser i de tillhörande förordningarna om särskilda rutiner som ska gälla vid dataanalyser och urval. Vidare gör vi bedömningen att den föreslagna generella bestämmelsen om att personuppgifter inte får behandlas under längre
1010
SOU 2023:100 |
Dataanalyser och urval |
tid än vad som behövs med hänsyn till ändamålet med behandlingen även bör gälla vid dataanalyser och urval.
Våra överväganden och förslag i fråga om det finns behov av änd- ringar i sekretessbestämmelserna eller av nya sekretessbestämmelser finns i avsnitten 15.3 och 15.4.
Slutligen gör vi en samlad bedömning av om den behandling av personuppgifter som förslagen ger upphov till är proportionerlig i förhållande till riskerna för den personliga integriteten. Vi gör också en bedömning av förslagens förenlighet med kraven i EU:s dataskydds- förordning1 och annan reglering till skydd för enskildas personliga integritet.
14.2Myndigheternas kontrollverksamhet
14.2.1Något om myndigheternas uppdrag och uppgifter
I kapitel 4 finns en översiktlig redogörelse för Skatteverkets, Tull- verkets och Kronofogdemyndighetens olika uppdrag och uppgifter. Uppdragen samt de krav på styrning av respektive myndighet som finns innebär att myndigheterna måste vidta olika typer av kontroller för att bedriva verksamheterna på ett korrekt sätt. Myndigheternas uppdrag samt de krav som ställs framgår av ett flertal olika författ- ningar och regeringsbeslut, bl.a. regeringsformen, RF, förvaltnings- lagen (2017:900), FL, myndighetsförordningen (2007:515), förord- ningar med myndigheternas instruktioner,
Skatteverkets specifika uppgifter framgår bl.a. av förordningen (2017:154) med instruktion för Skatteverket, skatteförfarandelagen (2011:1244), SFL, inkomstskattelagen (1999:1229), IL, mervärdes- skattelagen (2023:200), folkbokföringslagen (1991:481), FOL, och lagen (2022:1697) om samordningsnummer. Skatteverket ansvarar en- ligt förordningen med instruktion för Skatteverket för att fastställa och ta ut skatter, socialavgifter och andra avgifter så att en riktig upp- börd kan säkerställas. Skatteverket ska också fastställa rättvisande taxeringsvärden på fastigheter så att korrekt underlag finns för skatte- beräkning och andra ändamål. Vidare ansvarar Skatteverket för frågor
1Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
1011
Dataanalyser och urval |
SOU 2023:100 |
om folkbokföring och personnamn. Uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Skatteverket ska också förebygga och mot- verka ekonomisk brottslighet och delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.2
Tullverkets uppgifter framgår bl.a. av förordningen (2016:1332) med instruktion för Tullverket, EU:s tullagstiftning och tullagen (2016:253), TL. Tullverket ansvarar enligt förordningen med in- struktion för Tullverket för att fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas. Tullverket ska även övervaka och kontrollera trafiken till och från Sverige så att bestäm- melser om in- och utförsel av varor följs. Vidare ska Tullverket före- bygga och motverka brottslighet i samband med in- och utförsel av varor och delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.3
När det gäller Kronofogdemyndigheten framgår de specifika upp- gifterna bl.a. av förordningen (2016:1333) med instruktion för Krono- fogdemyndigheten, utsökningsbalken, UB, lagen (1990:746) om be- talningsföreläggande och handräckning, BfL, skuldsaneringslagen (2016:675) och konkurslagen (1987:672). Myndighetens huvudsak- liga uppgifter enligt förordningen med instruktion för Kronofogde- myndigheten är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Kronofogdemyndigheten ska också verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas. Även Kronofogdemyndigheten ska förebygga och mot- verka ekonomisk brottslighet och delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.4
Av de årliga särskilda regleringsbrev som regeringen beslutar för respektive myndighet framgår vissa ytterligare uppdrag som myn- digheterna ska genomföra och redovisa. Det rör inte sällan olika for- mer av kontrollåtgärder och krav på effektivisering. Många krav och mål återkommer år efter år.
Avseende Skatteverket anges i regleringsbrevet för budgetåret 2023 bl.a. att skillnaden mellan de teoretiskt riktiga och de fastställda
21, 2 och 6 §§ förordningen med instruktion för Skatteverket.
3
41, 2 och 4 §§ förordningen med instruktion för Kronofogdemyndigheten.
1012
SOU 2023:100 |
Dataanalyser och urval |
beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt.5
Vidare har Skatteverket enligt regleringsbrevet vissa mål och rapporteringskrav om folkbokföringsfelet. Uppgifterna i folkbok- föringen ska hålla en hög kvalitet och folkbokföringsfelet ska vara så litet som möjligt. Skatteverket ska bedöma folkbokföringsfelets stor- lek och redovisa vilka åtgärder som har vidtagits för att öka kvali- teten i folkbokföringen. Skatteverket ska särskilt beskriva hur fel förebyggs och vilka åtgärder som vidtagits för att stärka möjligheterna att utifrån riskbedömningar prioritera arbetet med att minska felen.
Skatteverket ska även generellt redovisa hur resurserna i huvud- sak har prioriterats till olika områden där kontrollerna kan uppnå bästa möjliga effekt och områden där risk för fel och fusk är hög. Därtill ska Skatteverket redovisa de viktigaste verksamhets- och it- utvecklingsinsatserna som har genomförts under året.
Även i Tullverkets regleringsbrev för budgetåret 2023 anges bl.a. att skillnaden mellan de teoretiskt riktiga och de fastställda beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt.6 När det gäller Tullverkets kontrollverksamhet ska ambitionsnivån en- ligt regleringsbrevet öka avseende att förhindra smuggling av narko- tika, vapen och explosiva varor liksom att förhindra storskalig eller frekvent illegal införsel av alkohol och tobak. Samtidigt måste insat- serna balanseras mot myndighetens ansvar inom samtliga risk- och restriktionsområden. Även Tullverket ska redovisa de viktigaste verk- samhets- och
I Kronofogdemyndighetens regleringsbrev för budgetåret 2023 anges bl.a. att myndigheten ska bidra till att säkerställa finansier- ingen av den offentliga sektorn och bidra till ett väl fungerande sam- hälle för allmänhet och företag samt motverka brottslighet. Vidare framgår att myndigheten har tillförts tillfälliga medel under 2021– 2023 för att digitalisera och automatisera verksamheten. Myndigheten ska även redovisa de viktigaste verksamhets- och
5Regeringsbeslut
6Regeringsbeslut
7Regeringsbeslut
1013
Dataanalyser och urval |
SOU 2023:100 |
14.2.2Allmänt om myndigheternas utrednings- och kontrollverksamhet
Skatteverket, Tullverket och Kronofogdemyndigheten arbetar med kontroll på flera olika sätt och för olika syften. Det kan t.ex. handla om extern kontroll i den operativa verksamheten som grundar sig på materiella bestämmelser om befogenheter för kontroll, eller om intern kontroll av mer administrativ karaktär för att följa upp och planera verksamheten. Den externa kontrollen kan exempelvis avse uppgif- ter i ett ärende under handläggningens gång eller olika former av efterhandskontroller när ett ärende har avslutats.
Begreppet kontrollverksamhet kan leda tanken till kontroller som sker i efterhand för att ta reda på om ett visst utfall har blivit korrekt eller inte. I likhet med bedömningar som har gjorts av tidigare utred- ningar där bl.a. frågor om myndigheters kontrollverksamhet varit aktuella anser vi att kontroll ska ges en vid definition i detta sam- manhang. Kontroll bör ses som en aspekt av myndigheternas arbete genom hela ärendehanteringen eller beslutsprocessen. Det avser där- med åtgärder som myndigheterna vidtar från det att information lämnas till enskilda, genom hela beslutsprocessen, fram till dess att eventuella efterhandskontroller sker. Med andra ord avses kontroller som sker före, under eller efter handläggnings- eller beslutsproces- sen.8 Genom denna definition finns större möjligheter att se över myndigheternas förutsättningar att använda dataanalyser och urval såväl preventivt som reaktivt för att upprätthålla en effektiv kon- trollverksamhet.
För att utföra sina uppgifter, fatta korrekta beslut och minska risken för och förekomsten av fel i respektive verksamhet har Skatte- verket, Tullverket och Kronofogdemyndigheten vissa myndighets- specifika utrednings- och kontrollbefogenheter som regleras i olika materiella författningar. Förutsättningarna för myndigheternas kon- troll skiljer sig åt eftersom deras respektive uppdrag ser olika ut. Exempelvis har Skatteverket och Tullverket en mer omfattande kon- trollverksamhet än Kronofogdemyndigheten.
Av relevans i sammanhanget är även vissa generella föreskrifter i myndighetsförordningen. Enligt 3 § myndighetsförordningen ansvarar
8SOU 2014:16, Det ska vara lätt att göra rätt – Åtgärder mot felaktiga utbetalningar inom den arbetsmarknadspolitiska verksamheten, s.
1014
SOU 2023:100 |
Dataanalyser och urval |
en myndighets ledning inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktel- ser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndig- heten hushållar väl med statens medel. Av 6 § första stycket myndig- hetsförordningen följer att myndigheterna fortlöpande ska utveckla verksamheten.
Vidare ska myndigheterna enligt 23 § FL se till att ett ärende blir utrett i den omfattning som dess beskaffenhet kräver. Bestämmelsen innebär bl.a. att kraven på omfattningen av myndighetens utrednings- åtgärder kan variera med hänsyn till ärendets karaktär. Exempelvis behöver en myndighet i praktiken inte vara lika aktiv om ärendet avser en enskilds begäran om att få en förmån av det allmänna, som i ett ärende som avser myndighetens ingripanden mot någon enskild.9 Enligt 9 § första stycket FL ska ett ärende handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts. Mer specifika regler om utredningsansvar kan också finnas i vissa specialförfattningar, t.ex. 40 kap. 1 § SFL.
14.2.3Myndigheternas specifika utrednings- och kontrollverksamhet
Skatteverkets beskattningsverksamhet
Allmänt om kontroll inom beskattningsverksamheten
För att Skatteverket ska kunna uppfylla sitt uppdrag att bl.a. säker- ställa en riktig uppbörd är myndighetens arbete med skattekontroll ett viktigt verktyg. Arbetet bidrar också till att upprätthålla privat- personers och företags vilja att göra rätt, vilket är av grundläggande betydelse för ett väl fungerande samhälle. Skattekontroll bidrar även till minskad illojal konkurrens. Målet med skattekontrollen är att rätt skatt ska betalas. Kontrollen kan därför resultera i ett beslut om att den skattskyldige har betalat in såväl för mycket som för lite skatt.
Skatteverket arbetar med kontroll på flera olika sätt. Som exem- pel kan nämnas att alla deklarationer som lämnas in till myndigheten, både från privatpersoner och företag, kontrolleras inledningsvis maski- nellt. Utifrån resultatet av de maskinella kontrollerna väljs sedan
9Prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, s. 308.
1015
Dataanalyser och urval |
SOU 2023:100 |
vissa deklarationer ut för ytterligare kontroll. Vid dessa kontroller kan Skatteverket t.ex. ställa frågor om uppgifter som finns eller sak- nas i deklarationen eller begära klargöranden om underlag till dekla- rationen. Inom vissa områden, där risken för skattefel är särskilt stor, gör Skatteverket s.k. riktade kontroller. Det kan handla om svart- arbete, oredovisade inkomster och olika former av skatteupplägg. Skatteverket kombinerar ofta kontrollverksamheten med informa- tionsåtgärder, branschsamverkan eller andra åtgärder. Erfarenheterna från kontrollerna ger myndigheten kunskap om vilka fel som ofta förekommer, och denna kunskap kan sedan användas för att exempel- vis förbättra myndighetens informations- och kontrollinsatser.
Skatteverkets arbete med att bedöma skattefelet utvecklas över tid och vissa metoder och områden har tillkommit. Skatteverket upp- gav i årsredovisningen 2022 att arbetet med att bedöma det totala skattefelet fortfarande var under uppbyggnad och de bedömningar som myndigheten redovisade för 2022 utgjorde därför endast delar av det totala skattefelet. Resultatet är därmed inte direkt jämförbart med de bedömningar som gjordes i Skatteverkets årsredovisning 2021. Totalt bedömde dock Skatteverket att det kontrollerbara skattefelet för inkomst av tjänst och näringsverksamhet för privatpersoner till 12,1 miljarder kronor, vilket utgjorde 1,5 procent av den fastställda skatten 2022.10
Den huvudsakliga regleringen av Skatteverkets kontrollbefogen- heter inom beskattningsverksamheten finns i skatteförfarandelagen. Ytterligare materiella regler av betydelse för Skatteverkets kontroll- verksamhet finns bl.a. i inkomstskattelagen, mervärdesskattelagen, socialavgiftslagen (2000:980) och de olika punktskattelagarna, såsom lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter, LPK.
Utöver skattekontrollen utför Skatteverket även kontrollverksam- het inom ramen för andra författningar som i dag omfattas av tillämp- ningsområdet för lagen (2001:181) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet, skattedatabaslagen (SdbL). Det rör sig bl.a. om verksamhet enligt lagen (2013:948) om stöd vid kort- tidsarbete och lagen (2020:548) om omställningsstöd.
10Skatteverkets årsredovisning 2022, s. 29.
1016
SOU 2023:100 |
Dataanalyser och urval |
Skatteförfarandelagen
Förfarandet vid uttag av skatter och avgifter regleras i huvudsak i skatteförfarandelagen. Lagen innehåller bestämmelser om bl.a. Skatte- verkets kontroll av deklarationer och om revisioner. Skatteverkets kontroll inom detta område utgår från den uppgiftsskyldighet enskilda har gentemot myndigheten samt myndighetens kontrollbefogenheter.
I
I
Viss särskild reglering om analys av relevans för skattekontroll finns i 33 b kap. SFL. I 33 b kap. 2 § anges att uppgifter om rapporter- ingspliktiga arrangemang ska lämnas som underlag för Skatteverkets utbyte av upplysningar enligt 12 d § lagen (2012:843) om admini- strativt samarbete inom Europeiska unionen i fråga om beskattning. Uppgifterna ska även lämnas som underlag för skattekontroll och analys av risker i skattesystemet. Med skattekontroll avses t.ex. att göra riskbaserade urval för skatterevisioner eller andra utrednings- åtgärder för kontroll i enskilda fall eller att kontrollera att andra upp- gifter som ska lämnas till ledning för beskattningen faktiskt lämnas och är korrekta. Med analys av risker i skattesystemet avses mer all- männa analyser av skattesystemet som kan leda t.ex. till rättsliga ställ- ningstaganden från myndigheten eller att myndigheten uppmärksam- mar lagstiftaren på att det kan behöva göras en viss ändring.13 Den nu gällande skattedatabaslagen har kompletterats med en ändamåls- bestämmelse i 1 kap. 4 § 6 e till följd av bestämmelserna i 33 b kap. SFL.
1137 kap. 2 § första stycket SFL.
1240 kap. 1 § SFL.
13Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 206.
1017
Dataanalyser och urval |
SOU 2023:100 |
Några övriga författningar
Ytterligare regler om Skatteverkets kontroll som inte direkt avser skattekontroll finns som anges ovan i ett flertal andra författningar. Exempelvis finns regler om uppgiftslämnande, föreläggande och kon- trollbesök i
Skatteverkets folkbokföringsverksamhet
Allmänt om kontrollen av uppgifter inom folkbokföringsverksamheten
Skatteverket vidtar en rad olika åtgärder för att minska folkbokför- ingsfelet, dvs. förekomsten av fel i folkbokföringen i förhållande till lagstiftningens krav. För att säkra en korrekt folkbokföring genom- för Skatteverket kontrollåtgärder. Det görs i olika delar av ärende- hanteringen, såväl innan som efter registrering av uppgifter. Skatte- verket har valt att dela in ärendehanteringen i ärendegrupperna ”Flytta till Sverige”, ”Bosättning” och ”Övrigt”.14
Den preventiva kontrollen innebär att en inkommande anmälan granskas innan beslut tas. Den aktualiseras såväl vid flyttningsanmäl- ningar inom och till Sverige som vid anmälningar som avser flytt- ningar till utlandet. Kontrollen i efterhand handlar om att granska om en befintlig uppgift i folkbokföringsdatabasen är korrekt, exem- pelvis efter att Skatteverket mottagit en underrättelse om felaktig adress. Kontrollerna kan även vara initierade av Skatteverket.15
Folkbokföringen har tagit fram en kontrollinriktning där Skatte- verket inom givna förutsättningar utvecklar kontrollarbetet mot de områden där risken för fel och fusk är högst. I kontrollinriktningen ingår bl.a. att arbeta förebyggande i olika kommunikationskanaler för att sprida kunskap i samhället om vikten av att vara rätt folkbok- förd. De förebyggande åtgärderna riktas mot områden där risken för fel är hög eller kan innebära allvarlig skada för individ eller samhälle.16
Under 2022 har Skatteverkets hantering av inkomna underrättel- ser om felaktig folkbokföring förenklats med maskinella avslut och
14Skatteverkets årsredovisning 2022, s. 64 och 71.
15Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 17.
16Skatteverkets årsredovisning 2022, s. 69.
1018
SOU 2023:100 |
Dataanalyser och urval |
fördelningsregler utifrån bl.a. risk. Användning av AI som stöd för risk och urval har även utvecklats. Det totala folkbokföringsfelet har av Skatteverket skattats till cirka 200 000 individer eller 1,9 procent av Sveriges befolkning år 2020.17
Sedan den 1 maj 2023 har folkbokföringsverksamheten genom ändringar i bl.a. lagen (2001:182) om behandling av personuppgifter
iSkatteverkets folkbokföringsverksamhet, folkbokföringsdatabas- lagen (FdbL), fått utökade möjligheter att göra dataanalyser och ur- val för att förebygga, förhindra och upptäcka felaktiga uppgifter.
De uppgifter som registrerats i folkbokföringen bygger i stor ut- sträckning på den enskildes egna anmälningar och uppgifter.18 Det finns även möjligheter för Skatteverket att vidta egna utrednings- och kontrollåtgärder genom bestämmelser i bl.a. folkbokföringslagen.
Folkbokföringslagen
Enligt 1 § första stycket FOL innebär folkbokföring enligt den lagen fastställande av en persons bosättning samt registrering av de upp- gifter om personen som enligt folkbokföringsdatabaslagen får före- komma i folkbokföringsdatabasen. Särskilda regler om utredning och kontroll finns huvudsakligen i
Enligt 31 § får Skatteverket förelägga en person som kan antas vara skyldig att göra en anmälan enligt lagen, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som be- hövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt folk- bokföringslagen eller för kontroll eller komplettering av andra upp- gifter om en person som får föras in i folkbokföringsdatabasen enligt folkbokföringsdatabaslagen.
Skatteverket får också enligt 32 § förelägga en fastighetsägare eller innehavare av bostadslägenhet, som upplåter en bostad åt någon annan, att uppge till vem bostaden upplåts och om denne med fastighets- ägarens eller lägenhetsinnehavarens medgivande upplåter bostaden åt någon annan samt vilka personer som enligt fastighetsägarens eller lägenhetsinnehavarens kännedom bor i fastigheten respektive lägen-
17Skatteverkets årsredovisning 2022, s. 14.
18Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 18.
1019
Dataanalyser och urval |
SOU 2023:100 |
heten. Om någon inte följer ett sådant föreläggande kan Skatteverket besluta om ett nytt föreläggande förenat med vite (37 §). Vidare kan Skatteverket i vissa fall besluta om kontrollbesök för att kontrollera en persons bosättning, om det behövs för bedömningen av frågan om folkbokföring. Om det finns skäl för det får Skatteverket också besluta om kontrollbesök på en fastighet eller i en lägenhet för att kontrollera vilka som kan anses bosatta där (32 a och 32 b §§). Skatte- verkets kontrollbefogenheter i folkbokföringen är alltså som utgångs- punkt kopplade till handläggning av ärenden.
Tullverket
Allmänt om Tullverkets kontrollverksamhet
Den svenska kontroll som genomförs vid Sveriges gränser utförs av Tullverket, Polismyndigheten och Kustbevakningen. Tullverket an- svarar för kontrollen av varor, Polismyndigheten har huvudansvaret för kontrollen av personer och Kustbevakningen kontrollerar sjö- trafiken avseende såväl varor som personer. Tullverkets kontroll- befogenheter finns reglerade i ett flertal olika författningar och syftar i huvudsak till att kontrollera att lagstiftningen på de olika områdena följs.19
Inom ramen för Tullverkets ansvar för att övervaka och kontrol- lera trafiken till och från landet så att bestämmelser om in- och ut- försel av varor följs, samt för att fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas får Tullverket och tulltjänstemän utföra olika typer av kontroller. För att säkerställa en korrekt uppbörd arbetar Tullverket med tillståndsgivning, klarering och efterkontroll i enlighet med Europaparlamentet och rådets för- ordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (ombearbetning), härefter benämnd tullkod- exen, och övrig tullagstiftning. Efterkontroller genomförs i form av revisioner och eftergranskningar. Företag kan ansöka om olika tillstånd för att förenkla sin tullhantering, vilka prövas av Tullverket. Klarering är den tullhantering som görs när en vara förs in eller ut över EU:s gräns för att säkerställa att deklarations- och uppgiftsskyldigheten enligt tullagstiftningen följs. Vid klareringen beslutar Tullverket om bl.a. tull och andra avgifter och om en vara ska frigöras på den inre
19SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s.
1020
SOU 2023:100 |
Dataanalyser och urval |
marknaden. Under 2022 lämnades nästan 14 miljoner tulldeklaratio- ner till Tullverket. Mer än 94 procent klarerades automatiskt i dekla- rationssystemen.20 Med hjälp av spärrar i systemet väljs de deklara- tioner ut som behöver kontrolleras manuellt.
Tullverkets kontroller ska primärt vara baserade på underrättelse- och riskinformation. Det totala flödet av varor är mycket stort och därför prioriterar Tullverket sina kontroller utifrån riskbedömningar. I underrättelsearbetet inhämtas och analyseras information som lämnas vidare till kontrollverksamheten. Underlagen omfattar över- gripande inriktningar av kontroller och kontrollarbetet i stort samt underrättelser som är riktade mot specifika kontrollobjekt. Tull- verket arbetar datadrivet genom att analysera deklarationsdata för att identifiera mönster eller avvikelser främst för uppbördsbortfall. Tull- verket kan genom detta arbete identifiera möjliga fel i varuflödet som tidigare varit okända. Tullverket utför olika typer av kontroller för att säkerställa att deklarations- och anmälningsskyldigheten är upp- fylld, både ur ett restriktions- och ett uppbördsperspektiv, samt att ingenting otillåtet förs in i landet.21
Skattefelet är skillnaden mellan den uppbörd som fastställs av Tullverket och den uppbörd som skulle ha fastställts om alla upp- gifter hade redovisats korrekt i samband med införseln till Sverige. Skattefelet uppstår till följd av den handel som inte har deklarerats eller som har deklarerats felaktigt. Tullverkets uppbörd består av flera olika avgifter, främst tullmedel, mervärdesskatt och andra nationella skatter som exempelvis alkoholskatt och tobaksskatt. Det skattade tullfelet, alltså skillnaden mellan de fastställda och de teoretiskt rik- tiga beloppen tull, avseende mörkertal i deklarationer uppgick under år 2022 till 180 686 tkr.22
En central reglering i sammanhanget är tullkodexen som ger ramen för kontrollverksamheten vid den yttre gränsen, dvs. vid gränsen mot tredjeland. Vid den inre gränsen, dvs. vid Sveriges gräns mot en annan
20Tullverkets årsredovisning 2022, s. 12.
21Tullverkets årsredovisning 2022, s.
22Tullverkets årsredovisning 2022, s. 61 och 63.
1021
Dataanalyser och urval |
SOU 2023:100 |
heten, bl.a. tullagen och lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter.23
Tullkodexen
Tullkodexen innehåller de allmänna regler och förfaranden som ska tillämpas på varor som förs in i eller ut ur EU:s tullområde.24 Tull- kodexen är omfattande och utgör endast en del av det regelsystem som styr EU:s tullrätt.25 Vid införsel av varor i EU:s tullområde är huvudregeln att varorna ska deklareras. Alla varor som förs in i EU:s tullområde ska ha tullstatus som antingen unionsvaror eller icke- unionsvaror.26 Unionsvaror är varor som framställts i EU och varor som är i fri omsättning i unionen, vilket innebär att de får befordras utan tullformaliteter inom EU. En icke unionsvara är en vara som inte är en unionsvara. Alla varor som befinner sig i unionens tullområde ska antas ha tullstatus som unionsvaror, såvida det inte fastställs att de inte har tullstatus som unionsvaror (artikel 153.1). Varor som ska föras in i eller ut ur EU:s tullområde omfattas av tullövervakning och får underkastas tullkontroller. Varorna ska kvarstå under tullövervak- ning under den tid som krävs för att fastställa deras tullstatus. Icke- unionsvaror ska kvarstå under tullövervakning till dess att deras tull- status ändras eller de förs ut ur unionens tullområde eller förstörs. (artikel 134.1). I syfte att kontrollera riktigheten av uppgifterna i en godtagen tulldeklaration får tullmyndigheterna granska deklarationen och de styrkande handlingarna, begära att deklaranten lämnar andra handlingar, undersöka varorna och ta prover för analys eller för för- djupad undersökning av varorna (artikel 188). De resultat som tull- myndigheten får vid en kontroll av en tulldeklaration ska användas vid tillämpningen av bestämmelserna om det tullförfarande till vilket varorna hänförs (artikel 191.1). Resultatet av tullmyndigheternas kon- troll ska ha samma bevisvärde i hela unionens tullområde (arti-
23SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s. 263.
24Artikel 1 i tullkodexen.
25SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s. 264. Två ytterligare rättsakter som har antagits av
26SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s. 264.
1022
SOU 2023:100 |
Dataanalyser och urval |
kel 191.3). Om villkoren för att hänföra varorna till förfarandet i fråga är uppfyllda och förutsatt att eventuella restriktioner har till- lämpats och att varorna inte är föremål för några förbud, ska tull- myndigheterna frigöra varorna så snart uppgifterna i tulldeklaratio- nen har kontrollerats eller godtagits utan kontroll (artikel 194.1). Detsamma gäller om kontroll inte kan slutföras inom rimlig tid och varorna inte längre behöver vara tillgängliga för kontrolländamål. Vidare ska varor som ska föras ut ur EU:s tullområde omfattas av tullövervakning och får underkastas tullkontroller (artikel 267.1).
Varor som förs in i eller ut ur EU:s tullområde omfattas alltså av tullövervakning och får underkastas tullkontroller. Enligt artikel 46.1 får tullmyndigheterna genomföra alla tullkontroller som de anser nödvändiga. Tullkontrollerna kan enligt samma artikel särskilt bestå i att undersöka varor, utföra provtagning, kontrollera att de uppgif- ter som lämnas i en deklaration eller en anmälan är riktiga och full- ständiga, kontrollera att dokument finns och är äkta, riktiga och giltiga, granska ekonomiska aktörers räkenskaper och annan bok- föring eller undersöka transportmedel, bagage och andra varor som personer för med sig eller bär på sig samt utföra officiella undersök- ningar och andra liknande handlingar. Andra tullkontroller än slump- visa kontroller ska enligt artikel 46.2 främst baseras på riskanalys som görs med hjälp av elektronisk databehandlingsteknik i syfte att, på grundval av kriterier som utarbetats på nationell nivå, unionsnivå och, i förekommande fall, internationell nivå, identifiera och bedöma risker och utarbeta nödvändiga motåtgärder. Tullkontroller ska ut- föras inom en gemensam ram för riskhantering som grundar sig på utbyte av riskinformation och riskanalysresultat mellan tullförvalt- ningar och genom vilken det fastställs gemensamma riskkriterier och standarder, kontrollåtgärder och prioriterade kontrollområden (arti- kel 46.3). Riskhanteringen ska enligt artikel 46.4 innefatta aktiviteter som insamling av uppgifter och information, riskanalys och risk- bedömning, föreskrifter om och vidtagande av åtgärder samt regel- bunden övervakning och översyn av denna process och dess resultat, baserat på internationella och nationella källor och strategier, källor i unionen och unionsstrategier. Vidare ska tullmyndigheterna under vissa förutsättningar utbyta riskinformation och resultat av riskanalys (artikel 46.5). Tullkontroller får även genomföras efter det att varor har frigjorts (artikel 48).
1023
Dataanalyser och urval |
SOU 2023:100 |
ställa en enhetlig tillämpning av tullkontroller, inkluderande utbyte av resultaten av riskinformation och riskanalys.
Varje person som direkt eller indirekt är involverad i fullgörandet av tullformaliteter eller i tullkontroller ska, på tullmyndigheternas begäran och inom föreskriven tid, tillhandahålla dessa myndigheter alla nödvändiga dokument och uppgifter i lämplig form, och ge dem all nödvändig hjälp för att fullgöra dessa formaliteter eller kontroller (artikel 15.1).
Vidare ska medlemsstaterna samarbeta med kommissionen för att utveckla, underhålla och använda elektroniska system för utbyte av uppgifter mellan olika tullmyndigheter och med kommissionen och för lagring av sådan information i enlighet med kodexen (artikel 16.1).
Tullagen
Tullagen innehåller bestämmelser som kompletterar tullkodexen. I 3 kap. finns regler om tullövervakning och 4 kap. reglerar Tullverkets kontrollverksamhet. Med tullövervakning avses de allmänna åtgärder som vidtas av tullmyndigheterna i syfte att sörja för att främst tull- lagstiftningen följs (artikel 5.27 i tullkodexen). Några av de åtgärder som Tullverket får vidta är att förbjuda en förare av eller befälhavare på ett transportmedel som omfattas av tullövervakning att utan Tullverkets medgivande ankomma eller avgå med transportmedlet (3 kap. 5 och 17 §§) eller tillfälligt ta hand om en
Med tullkontroll avses de särskilda åtgärder som vidtas av tull- myndigheterna för att säkerställa efterlevnad av tullagstiftningen och annan lagstiftning om bl.a. införsel och utförsel av varor (artikel 5.3 i tullkodexen). I 4 kap. finns en rad bestämmelser som reglerar Tull- verkets tullkontroller. Tullverket får exempelvis begära att ett trans- portföretag som befordrar varor, passagerare eller fordon till eller från Sverige ska lämna de aktuella uppgifter om ankommande och avgå- ende transporter som företaget har tillgång till (4 kap. 6 § första stycket). För kontroll av att deklarations- och uppgiftsskyldighet enligt tullagstiftningen har fullgjorts får Tullverket bl.a. undersöka transportmedel, containrar, lådor och andra utrymmen där varor kan förvaras (4 kap. 16 §). Vidare finns i 4 kap.
1024
SOU 2023:100 |
Dataanalyser och urval |
företag. Tullverket får även förelägga den som är eller kan antas vara deklarations- eller uppgiftsskyldig enligt tullagstiftningen att lämna uppgift som verket behöver för kontroll av att deklarations- eller uppgiftsskyldigheten har fullgjorts (4 kap. 24 § första stycket). Före- läggande får också riktas mot den som bedriver verksamhet i vilken uppgift av betydelse för kontrollen av en annan persons deklara- tions- eller uppgiftsskyldighet enligt tullagstiftningen kan hämtas ur handlingar som rör verksamheten, att lämna uppgift om en rätts- handling med någon annan (4 kap. 25 §).
I fråga om revision får Tullverket enligt 4 kap. 26 § besluta om en sådan för att kontrollera att alla nödvändiga dokument och uppgifter har tillhandahållits enligt artikel 15.1 i tullkodexen och att dokumen- ten och uppgifterna är riktiga och fullständiga, och för att göra så- dana kontroller som avses i artikel 48 i tullkodexen (kontroll efter frigörande). Om den reviderade inte samverkar på ett sådant sätt att den inte onödigt hindrar verksamheten hos denne, kan Tullverket förena ett föreläggande med vite (4 kap. 29 §). Bestämmelserna i 4 kap. om föreläggande och revision och om uppgifter och handlingar som ska undantas för kontroll har utformats med SFL som förebild.27 Vidare finns i 4 kap. regler om bl.a. bevissäkring, uppgifter och hand- lingar som ska undantas från kontroll samt regler om tullkontroll av kontanta medel.
Inregränslagen
Regler om kontroll finns även i inregränslagen. Lagen innehåller be- stämmelser om Tullverkets befogenheter vid införsel eller utförsel över Sveriges gräns mot ett annat land inom Europeiska unionen
27Prop. 2015/16:79, En ny tullag, s. 185.
281 § inregränslagen.
1025
Dataanalyser och urval |
SOU 2023:100 |
avses sammanställningar av olika kriterier eller förhållanden och metoder som har noterats vid den brottslighet som har upptäckts.29 Inregränslagen är endast tillämplig på vissa uppräknade varor.30 I 5–
18§§ inregränslagen finns regler om Tullverkets kontrollverksamhet inom lagens tillämpningsområde. Regleringen innefattar bl.a. vad en tulltjänsteman får undersöka, när Tullverket får omhänderta en vara för att utföra en kontroll samt föreskriver en rätt för Tullverket att göra kontrollbesök och revisioner.
Lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter
LPK har sin grund i punktskattedirektivet31 och reglerar flyttning av punktskattepliktiga varor samt kontroll avseende punktskatteplik- tiga varor vid vägtransporter och vid försändelser med post. I LPK finns även bestämmelser om kontroll av upplagshavare inom upp- skovsförfarandet. Bestämmelserna har sin grund delvis i rådets direktiv (EU) 2020/262 av den 19 december 2019 om allmänna regler för punkt- skatt, i den ursprungliga lydelsen (1 kap. 1 §). Med punktskatte- pliktig vara avses tobaksvara, alkoholvara och energiprodukt (1 kap. 2 §). I 1 kap. 5 § andra stycket anges att kontroller enligt LPK inte får utformas på sådant sätt att urvalet av vad och vem som kontrol- leras sker slumpmässigt. Enligt 1 kap. 6 § får en punktskattepliktig vara flyttas endast om bl.a. de krav i fråga om elektroniskt admini- strativt dokument, administrativ referenskod, elektroniskt förenklat administrativt dokument, förenklad administrativ referenskod, ersätt- ningsdokument samt säkerhet och anmälningsskyldighet och regi- strering är uppfyllda. Om en vara som transporterats i strid med bestämmelsen har omhändertagits ska Tullverket i vissa fall besluta om skatt på varan (2 kap. 13 § och 3 kap. 5 §). En särskild avgift (trans- porttillägg) kan påföras den som gör sig skyldig till överträdelser av lagens administrativa bestämmelser (4 kap. 1 §).32
Tullverket får enligt 2 kap. 1 § i fråga om punktskattepliktiga varor i vägtransporter som är eller kan antas vara omfattade av 1 kap. 6 § kontrollera att varorna transporteras i enlighet med den bestämmel-
29Prop. 1995/96:166, Tullens befogenheter vid den inre gränsen, s.
303 § inregränslagen.
31Rådets direktiv (EU) 2020/262 av den 19 december 2019 om allmänna regler för punktskatt.
32Jfr SOU 2022:49, s.
1026
SOU 2023:100 |
Dataanalyser och urval |
sen (transportkontroll). Enligt 2 kap. 2 § har Tullverket vid kontrol- len bl.a. rätt att undersöka transportmedel, lådor, behållare eller andra utrymmen i transportmedel, containrar eller tankar där punktskatte- pliktiga varor kan förvaras under transport. Vid transportkontroll i lokal får även utrymmen i lokalen där punktskattepliktiga varor för- varas eller kan antas förvaras undersökas. Enligt 2 kap. 3 § får Tullverket vid genomförande av transportkontroll bl.a. öppna transportmedel, containrar och andra utrymmen som är låsta eller har tillslutits på annat sätt eller bereda sig tillträde till områden som inte är tillgäng- liga för allmänheten. Enligt 3 kap. 1 § får Tullverket undersöka post- försändelser, såsom paket och brev, för att kontrollera om de inne- håller alkohol- eller tobaksvaror.
Pågående lagstiftningsarbete
En särskild utredare har nyligen haft i uppdrag att genomföra en samlad översyn av reglerna om Tullverkets befogenheter inom kon- trollverksamheten och den brottsbekämpande verksamheten. Syftet har varit att skapa en överskådlig, ändamålsenlig och enhetlig regler- ing av Tullverkets befogenheter och därmed bättre förutsättningar för Tullverket att utföra sitt uppdrag på ett effektivt sätt. Utredningen har i september 2022 lämnat ett delbetänkande i vilket det bl.a. före- slås att en ny samlad lag, tullbefogenhetslagen, ska införas med be- stämmelser om vilka befogenheter som Tullverket och en tulltjänste- man har vid kontrollverksamhet och vid brottsbekämpning.33 Förslagen innebär att befogenhetsregleringen i ett flertal lagar, bl.a. tullagen och inregränslagen flyttas till den nya lagen.34
Kronofogdemyndigheten
Allmänt om Kronofogdemyndighetens kontroll
Kronofogdemyndigheten har ett flertal arbetsuppgifter. Myndigheten driver bl.a. in skulder genom utmätning av lön och andra ersättningar och genom utmätning av egendom. Under 2022 drev Kronofogde- nmyndigheten in 14,7 miljarder kr, varav drygt en miljard kronor i ett
33SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid.
34Betänkandets förslag har vid tiden för vårt betänkande remissbehandlats.
1027
Dataanalyser och urval |
SOU 2023:100 |
enskilt indrivningsärende. Av det indrivna beloppet avsåg hälften skulder till staten och offentlig sektor. Vid utgången av 2022 fortsatte privatpersoners (394 000. Den totala skulden hos myndigheten var vid samma tid 173 miljarder kr. Inom den summariska processen ökade antalet ansökningar om betalningsföreläggande, vilka uppgick till 1,3 miljoner.35
Kronofogdemyndigheten har under 2022 genomfört utvecklings- insatser för att bl.a. öka den interna effektiviteten. Det har handlat om att förenkla och automatisera arbetet med tillgångsutredningar samt ersätta ett systemstöd för försäljning av fast egendom i syfte att underlätta handläggningen. Även ett nytt verksamhetsstöd för skuldsanering har påbörjats i syfte att effektivisera handläggningen av skuldsaneringsärenden, vilka under 2022 uppgick till 28 000 in- komna ärenden.36
Kronofogdemyndighetens möjligheter att bedriva effektiva pro- cesser och utföra kontroller är viktiga för att förebygga och mot- verka ekonomisk brottslighet. Under 2022 resulterade myndighetens arbete för att upptäcka felaktigheter bl.a. i en bedömning av att 761 an- sökningar om betalningsföreläggande saknade grund. Dessa mot- svarade ett kapitalvärde om 27,4 miljoner kr. Under samma år avslog myndigheten också ansökningar om skuldsanering med koppling till organiserad brottslighet.37
Materiell reglering av Kronofogdemyndighetens huvudsakliga verksamhetsområden summarisk process, verkställighet, konkurs- tillsyn och skuldsanering finns i ett flertal olika författningar. Den materiella regleringen tar sin huvudsakliga utgångspunkt i handlägg- ningen av sådana enskilda ärenden eller mål och innefattar bestäm- melser om utrednings- och kontrollbefogenheter.
Utsökningsbalken
Inom området verkställighet finns ett flertal författningar med mate- riella regler som Kronofogdemyndigheten har att tillämpa.38 Den huvudsakliga regleringen finns i utsökningsbalken. Utsökningsbalken
35Kronofogdemyndighetens årsredovisning 2022, s. 9, 20 och
36Kronofogdemyndighetens årsredovisning 2022, s. 32, 35 och 37.
37Kronofogdemyndighetens årsredovisning 2022, s. 44.
38Se t.ex. utsökningsbalken, lag (1993:891) om indrivning av statliga fordringar m.m., lag (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter samt lag (2014:836) om näringsförbud.
1028
SOU 2023:100 |
Dataanalyser och urval |
är tillämplig i fråga om verkställighet av dom eller annan exekutions- titel, som innefattar betalningsskyldighet eller annan förpliktelse, samt i fråga om verkställighet av beslut om kvarstad eller annan lik- nande säkerhetsåtgärd.
Verkställighet åvilar Kronofogdemyndigheten. Ansökningar om verkställighet ska göras skriftligen eller muntligen hos Kronofogde- myndigheten. Om en ansökan är så bristfällig att den inte kan läggas till grund för prövning i sak och om sökanden inte följer ett före- läggande att avhjälpa bristen, ska ansökan avvisas.
Skulder drivs in av myndigheten genom utmätning av lön och andra ersättningar, samt genom utmätning av egendom. Kronofogdemyn- digheten har möjlighet att hålla förhör med svaranden, om det be- hövs. Även sökanden kan kallas till sådant förhör och förhör kan också hållas med tredje man. Myndigheten kan förelägga om inställelse till förhör vid vite. Myndigheten får även använda vissa tvångsmedel, t.ex. genomsöka hus, rum eller förvaringsställe vid förrättning.
Vid utmätning ska Kronofogdemyndigheten i den utsträckning som det behövs med hänsyn till ansökans innehåll, tillkommande upp- gifter, gäldenärens förhållanden och omständigheterna i övrigt utreda gäldenärens anställnings- och inkomstförhållanden och undersöka om gäldenären har utmätningsbar egendom. Kronofogdemyndigheten får vidta de utredningsåtgärder som är befogade. Myndigheten kan bl.a. ålägga gäldenären att inge förteckning över sina tillgångar eller bestämma inom vilken tid tredje man ska lämna vissa upplysningar.39
Vidare finns i utsökningsbalken ett stort antal detaljerade bestäm- melser om förfarandet vid bl.a. utmätning av lön och andra ersätt- ningar samt försäljning av lös eller fast egendom.
Lagen om betalningsföreläggande och handräckning
Inom summarisk process prövar Kronofogdemyndigheten yrkanden om att någon ska åläggas att fullgöras en förpliktelse enligt lagen om betalningsföreläggande och handräckning. Sådana yrkanden kan avse betalningsföreläggande, vanlig handräckning eller särskild handräck- ning.40 Om en ansökan är så bristfällig att den inte kan läggas till grund för handläggning av målet, ska Kronofogdemyndigheten före-
391 kap. 1 och 3 §§, 2 kap. 1, 5, 10, 11 och 17 §§, 4 kap. 9 §, 4 kap. 14 § andra stycket samt
4kap. 15 § UB.
401 § BfL.
1029
Dataanalyser och urval |
SOU 2023:100 |
lägga sökanden att avhjälpa bristen.41 Om ansökningen tas upp av Kronofogdemyndigheten, ska svaranden föreläggas att till myndig- heten yttra sig inom viss tid.42 För det fall en ansökan om betalnings- föreläggande eller vanlig handräckning inte bestrids, ska Kronofogde- myndigheten snarast meddela utslag i enlighet med ansökningen.43 Ett utslag meddelas alltså i dessa fall närmast automatiskt utan några ytterligare kontroller från myndighetens sida, om övriga förutsätt- ningar är uppfyllda. När det gäller särskild handräckning ska Krono- fogdemyndigheten meddela utslag om ansökan inte bestritts i den ut- sträckning den är lagligen grundad och de omständigheter som ska läggas till grund för prövningen utgör skäl för att bevilja åtgärden.44
Skuldsaneringslagen
Bestämmelser om skuldsanering finns i skuldsaneringslagen. Enligt 1 § skuldsaneringslagen innebär skuldsanering att en gäldenär helt eller delvis befrias från ansvar för betalningen av de skulder som om- fattas av skuldsaneringen.
Det är Kronofogdemyndigheten som prövar ärenden om skuld- sanering och ärenden om omprövning av ett beslut om skuldsaner- ing.45 Kronofogdemyndigheten ska även lämna upplysningar om skuld- sanering till svårt skuldsatta fysiska personer som är eller har varit föremål för verkställighet enligt utsökningsbalken.46 Om en ansökan om skuldsanering är bristfällig kan Kronofogdemyndigheten före- lägga gäldenären att avhjälpa bristen. Myndigheten ska också i den utsträckning det behövs kontrollera i sina register att uppgifterna i ansökan är korrekta och inhämta upplysningar från andra myndig- heter om gäldenärens personliga och ekonomiska förhållanden.47 Om myndigheten har beslutat att inleda skuldsanering ska myndigheten se till att ärendet blir så utrett som dess beskaffenhet kräver.48
4120 § BfL.
4225 § BfL.
4342 § BfL.
4443 § BfL.
454 § skuldsaneringslagen.
462 § skuldsaneringslagen.
4713 och 15 §§ skuldsaneringslagen.
4820 § skuldsaneringslagen.
1030
SOU 2023:100 |
Dataanalyser och urval |
Några övriga författningar
Regler av relevans för tillsyn i konkurs och över rekonstruktörer finns bl.a. i konkurslagen, lagen (1996:764) om företagsrekonstruktion samt i lönegarantilagen (1992:497). Vidare finns regler om Kronofogde- myndighetens tillsyn över meddelade näringsförbud i lagen (2014:836) om näringsförbud, vilket också är en verksamhet som innehåller inslag av kontroll.
14.2.4Gränsdragningen mellan kontrollverksamhet och brottsbekämpning
Den kontrollverksamhet vi redogör för i detta sammanhang avser uteslutande sådan kontrollverksamhet som inte utgör brottsbekäm- pande verksamhet.49 Vid sidan av Skatteverkets skatte- och avgifts- kontroll och Tullverkets kontrollverksamhet är dessa myndigheter också behöriga myndigheter inom ramen för dataskyddsdirektivet50 och brottsdatalagen (2018:1177).51 Skatteverkets och Tullverkets verksamheter som inte utgör brottsbekämpande verksamhet omfat- tas av EU:s dataskyddsförordning och lagen (2018:218) med kom- pletterande bestämmelser till EU:s dataskyddsförordning, dataskydds- lagen.
Gränsdragningen mellan kontrollverksamhet och brottsbekämp- ning är även av materiell betydelse eftersom enskildas skyldighet att medverka skiljer sig mycket åt beroende på om det är fråga om kon- trollverksamhet eller brottsutredning. Vid kontrollverksamhet kan myndigheterna tvinga enskilda att t.ex. lämna korrekta och fullstän- diga uppgifter, att lämna över handlingar eller att bereda kontrollan- ten tillträde till olika utrymmen såsom fordon eller lokaler. När myndigheterna arbetar med brottsbekämpning får den som är miss- tänkt för brott aldrig tvingas att bidra till utredningen eller till bevis- ning. Detta eftersom han eller hon därmed riskerar att belasta sig
49Enligt utredningens direktiv ligger det inte inom ramen för vårt uppdrag att analysera be- hovet av ändringar i de registerförfattningar som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter. Samma avgränsning gäller för vårt uppdrag att se över förut- sättningarna för myndigheterna att göra dataanalyser och urval för en effektivare kontroll- verksamhet.
50Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fys- iska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.
51Jfr SOU 2017:29, Brottsdatalag, s. 198.
1031
Dataanalyser och urval |
SOU 2023:100 |
själv på ett sätt som strider mot rätten till en rättvis rättegång enligt artikel 6.1 i Europakonventionen.52
Det är inte alltid enkelt att dra en tydlig gräns mellan Skatteverkets och Tullverkets kontrollverksamhet respektive brottsbekämpande verksamhet. När Tullverket exempelvis utför tullkontroller för att klarera varor och transportmedel kan det leda till ett beslut om att genomföra en fysisk kontroll, som i sin tur kan leda till att misstanke om brott uppstår.
Kontrollverksamhet kan alltså i sig leda till att brott upptäcks eller förhindras. Det gäller för både Skatteverkets och Tullverkets kon- trollverksamhet. Ett grundläggande krav för att brottsdatalagen ska vara tillämplig är att den som behandlar personuppgifterna är en be- hörig myndighet och i egenskap av behörig myndighet behandlar per- sonuppgifter för något av de i lagen angivna syftena.53 Sådan kontroll som här avses utförs dock inte av myndigheterna i brottsbekämpande syfte, även om sådan kontrollverksamhet kan anses ha brottsförebyg- gande inslag i vissa delar och att myndigheternas verksamhet kan ha effekter på brottsligheten.54 Verksamheten avser i stället att i första hand stödja författningsenlig tillämpning av lagstiftningen och att upptäcka olika avvikelser. All offentligrättslig kontrollverksamhet bör därför inte ses som ett sätt att direkt förebygga brott. Det är först när det i kontrollverksamhet finns anledning att anta att ett konkret brott har begåtts eller att någon utövar viss brottslig verksamhet som verksamheten övergår till att bli brottsbekämpande.55 I de fall en myn- dighet är skyldig att anmäla om det uppstått misstanke om brott, medför det inte att anmälaren ska betraktas som behörig myndighet i brottsdatalagens mening, om anmälaren varken har ett brottsbekäm- pande uppdrag eller utövar myndighet för de syften som brottsdata- lagen omfattar.56 Av förarbetena till brottsdatalagen framgår vidare att kontrollverksamhet ligger utanför dess tillämpningsområde.57
Mot bakgrund av detta ska den behandling av personuppgifter som föranleds av Skatteverkets och Tullverkets kontrollverksamhet i det sammanhang som här är aktuellt enligt vår bedömning ske i enlighet med bestämmelserna i EU:s dataskyddsförordning, dataskyddslagen
52SOU 2017:29, Brottsdatalag, s. 198.
53Jfr 1 kap. 6 § brottsdatalagen. Se även prop. 2017/18:232, Brottsdatalag, s.
54Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 113.
55SOU 2017:29, Brottsdatalag, s.
56Prop. 2017/18:232, Brottsdatalag, s. 111.
57Prop. 2017/18:232, Brottsdatalag, s. 113.
1032
SOU 2023:100 |
Dataanalyser och urval |
och de sektorspecifika författningarna om dataskydd. Den aktuella personuppgiftsbehandlingen kommer därmed inte medföra att data- skyddsdirektivet, brottsdatalagen eller de sektorspecifika register- författningarna på brottsdatalagens område blir tillämpliga.
14.2.5Behovet av en effektiv kontrollverksamhet
Förekomsten av felaktigheter i myndigheternas verksamheter kan leda till olika konsekvenser för samhället. Skatteundandraganden leder till att skatten blir lägre vilket gör att den som medvetet undandrar medel från beskattning får en högre disponibel inkomst. Det innebär också att samhället går miste om skattemedel, vilket får negativa effekter på de offentliga finanserna. Det leder i sin tur till en svagare utveckling av statens och kommunernas inkomster. Minskade skatte- intäkter drabbar i slutänden de skattebetalande medborgarna efter- som de antingen får betala mer i skatt för att kompensera uteblivna skatteinkomster eller får en sämre välfärd. I förlängningen kan skatte- undandraganden leda till ett minskat förtroende för och tillit till skattesystemet och välfärdsstaten. Det kan också försämra seriösa företags konkurrenskraft i förhållande till de företag som undandrar skatt.58 Skatteverket har vidare i en rapport konstaterat att det finns stark empirisk evidens för att skattekontroll i sig samt högre sanno- likhet för att bli kontrollerad leder till bättre regelefterlevnad.59
Att uppgifterna i folkbokföringen speglar befolkningens bosätt- ning, identitet och familjerättsliga förhållanden är bl.a. en förutsätt- ning för Skatteverkets fastställande av skatter och även för att andra samhällsfunktioner ska ha ett korrekt underlag för beslut och åtgär- der. Uppgifter i folkbokföringen ligger till grund för bl.a. ersättningar och bidrag men även för samhällsplanering och forskning. Om upp- gifter i folkbokföringen är felaktiga kan det riskera att exempelvis leda till att befolkningsstatistiken för vissa geografiska områden blir missvisande eller att bidragsutbetalningar och beskattning sker på fel grunder.60
58SOU 2017:37, Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s.
59Skatteverket, Rapport
60Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 18.
1033
Dataanalyser och urval |
SOU 2023:100 |
En effektiv kontrollverksamhet inom Tullverket innebär att mer uppbörd kan tas in till de offentliga finanserna, att konkurrensen mellan företag blir mer rättvis, ett ökat skydd för skyddsvärda växter, djur och kulturföremål, säkrare konsumentprodukter och att farliga varor hindras från att spridas på EU:s inre marknad. Det innebär även att laglig och korrekt in- och utförsel i mindre utsträckning störs av onödiga kontroller. I ett större perspektiv kan det stärka allmän- hetens förtroende för myndigheten och i förlängningen tilltron till rättsstaten som helhet.
Kronofogdemyndigheten har en viktig roll att se till att välfärds- staten inte utnyttjas som verktyg av personer och företag för att tillskansa sig medel på felaktiga grunder. Kronofogdemyndigheten har konstaterat att myndigheten används i brottslig verksamhet för att fastställa, driva in och sanera oriktiga fordringar. Inom verksam- heten med betalningsföreläggande förekommer falska ansökningar och ansökningar som grundar sig på brott. Felaktigt fastställda ford- ringar riskerar att senare hamna för verkställighet av gäldenären. Då finns det små möjligheter att invända mot ett lagakraftvunnet utslag. Vidare kan falska skulder föras fram i ett ärende om skuldsanering och senare omfattas av ett beslut om skuldsanering.
Sammanfattningsvis är det enligt vår uppfattning viktigt att be- rörda myndigheter ges adekvata och nödvändiga förutsättningar att motverka felaktigheter i respektive verksamhet, inte minst för att upprätthålla legitimiteten och förtroendet för myndigheternas skatte- finansierade verksamhet.
14.3Vad är dataanalyser och urval?
14.3.1En övergripande beskrivning
I likhet med Utredningen om samordning av statliga utbetalningar från välfärdssystemen väljer vi att använda begreppet dataanalyser i betydelsen att använda digitala verktyg och tekniker för att analysera stora mängder data. Dataanalyser kan bl.a. användas för att upptäcka avvikelser, mönster, samband och andra riskindikatorer.61
Urval avser processen genom vilken urvalsträffar tas fram. För att få fram en urvalsträff används urvalsmodeller som har utformats ut-
61SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp- täcka felaktiga utbetalningar från välfärdssystemen, s. 110.
1034
SOU 2023:100 |
Dataanalyser och urval |
ifrån avvikelser, mönster, samband och andra indikatorer som har iden- tifierats med hjälp av dataanalyser. Med andra ord kan urvalsmodeller tillämpas på data som tillgängliggjorts för ett visst ändamål för att upp- täcka exempelvis uppgifter som det kan finnas anledning att anta är felaktiga, dvs. urvalsträffar.62 Sedan granskas och utvärderas urvals- träffarna för att avgöra vilka som bör kontrolleras närmare samt vilka övriga åtgärder som bör vidtas innan ett eventuellt ärende inleds.
Dagens tekniska verktyg ger myndigheter en möjlighet att an- vända dataanalyser på ett mer avancerat sätt än vad som var möjligt vid ikraftträdandet av Skatteverkets, Tullverkets och Kronofogde- myndighetens nu gällande registerförfattningar. Vid myndigheter är det ofta dataanalytiker som arbetar med att genomföra dataanalyser och utveckla urvalsmodeller som sedan kan användas i en verksamhet. Dataanalytiker kan arbeta med olika metoder som inbegriper arti- ficiell intelligens (AI), men så behöver inte nödvändigtvis vara fallet.
14.3.2Något om AI och maskininlärning
För att genomföra dataanalyser och utveckla urvalsmodeller kan myndigheterna använda sig av artificiell intelligens (AI). Det är tro- ligt att sådana tekniker kommer att bli alltmer intressanta för myn- digheter att använda i olika delar av deras verksamheter ju mer sådana verktyg utvecklas. AI är en teknik som är under snabb utveckling och den kan användas på en mängd olika sätt inom olika delar av sam- hället. Genom tekniken kan stora effektivitetsvinster uppnås, sam- tidigt som den också kan ge upphov till olika risker. Myndigheten för digital förvaltning, DIGG, har uppskattat att det ekonomiska värdet av ett fullständigt införande av nuvarande
Det finns ingen enhetlig definition av AI. Europeiska kommis- sionen har definierat AI som att det avser system som uppvisar intelligent beteende genom att analysera sin miljö och vidta åtgärder
62SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp- täcka felaktiga utbetalningar från välfärdssystemen, s. 110.
63Myndigheten för digital förvaltning (DIGG), Främja den offentliga förvaltningens förmåga att använda AI, delrapport i regeringsuppdraget I2019/01416/DF och I2019/01020/DF (del- vis), s. 9.
1035
Dataanalyser och urval |
SOU 2023:100 |
–med viss grad av självständighet – för att uppnå specifika mål.64 I kommissionens förslag till en ny
Det som utmärker AI från andra metoder för automation är AI- teknikens förmåga att lära sig och bli smartare över tid.66 Inom AI finns flera olika delområden. Hit hör bl.a. maskininlärning, där logi- ken inte längre är exakt programmerad på förhand, utan tränas på stora datamängder med syfte att själv förstå samband mellan data- punkter. Ju mer processorkraften ökar, desto mer komplexa tillämp- ningar kan göras med AI.67
Ett moment som tillkommer med maskininlärda algoritmer är att den behöver tränas under en viss period innan den tas i drift. Det finns inget motsvarande moment vid programmering av traditionella algoritmer. När AI och maskininlärda algoritmer tränas hanteras olika former av indata i en stor mängd och det kan ske i olika lager. Om- rådet för system som hanterar många olika lager av indata och som med hjälp av maskininlärning uppdaterar sina algoritmer kallas djup- inlärning. Systemen i sig kallas neurala nätverk.68 Djupinlärning är en form av maskininlärning.69
När en maskininlärd algoritm tränas krävs att den har tillgång till stora mängder data för att den ska kunna förbättra sig själv. Mäng- den data som används vid träningen av en modell kan i sig vara en nödvändig faktor för att kunna garantera rättssäkra förfaranden. Av rättssäkerhetsskäl krävs även att träningen har ägt rum med just den typ av data som sedan ska användas i skarpa fall. Om så inte görs ökar
64European Commission, A definition of AI: main capabilities and disciplines, Independent High- level Expert Group on Artificial Intelligence set up by the European Commission in June 2018.
65Artikel 3.1 i förslag till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unionslag- stiftningsakter, COM(2021) 206 final.
66Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 4. Informationsmaterial, N2018.14.
67SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 149.
68SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s.
69Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 6.
1036
SOU 2023:100 |
Dataanalyser och urval |
risken för fel och rättsosäkerhet om dataunderlaget varit bristfälligt under
14.3.3Skatteverkets, Tullverkets och Kronofogdemyndighetens arbete med dataanalyser och urval i dag
Skatteverkets beskattningsverksamhet
En grundläggande del i Skatteverkets uppdrag är att säkerställa en korrekt uppbörd. En del i det uppdraget är att myndigheten ska genom- föra olika typer av kontroller. Riskhantering fungerar då som en metod för att säkerställa att Skatteverket riktar sina resurser dit de behövs som mest. I dag arbetar Skatteverket brett med riskhantering i verk- samheten enligt en särskild riskhanteringsmodell.74 Urvalsarbetet är en del av riskhanteringsarbetet och handlar om att planlägga ärenden för kontroll eller andra åtgärder. Urvalsarbetet inleds med ett iden- tifierat behov av urval och avslutas när en urvalsträff skickas till pro- cessen för ärendehantering.
När t.ex. en deklaration avseende inkomstskatt, arbetsgivardeklara- tion, ansökan om godkännande för
70SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 212.
71Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 10. Informationsmaterial, N2018.14.
72Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 11.
73Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 11. Informationsmaterial, N2018.14.
74Riskmodellen utgår från parametrarna identifiera, analysera, värdera och prioritera, utföra samt utvärdera.
1037
Dataanalyser och urval |
SOU 2023:100 |
medför att komplettering krävs eller om mer utredning behöver före- tas. Inom detta arbete är dataanalyser och urval verktyg som Skatte- verket använder för att effektivisera kontrollverksamheten. Exem- pelvis gör myndigheten maskinella urval som bygger på riskanalyser för att välja ut deklarationer för vidare kontroll. Riskerna kan bl.a. identifieras utifrån myndighetens tidigare erfarenheter eller från om- världsanalyser. Urvalet kan ske både innan och efter handläggningen av ett visst ärende. Ytterligare områden där Skatteverket använder dataanalyser och urval i dag är bl.a. yrkanden om rot- och rutavdrag och internprissättning. I dag arbetar myndigheten ofta på ett sätt som innebär att urval görs när det skett en viss händelse i ett ärende- flöde, t.ex. genom att en ansökan om godkännande för
Skatteverket använder olika typer av modeller för urval. Det kan handla om manuella modeller eller modeller som är baserade på AI- metoder, såsom maskininlärning. Skatteverkets ambition är att öka användningen av AI inom urvalsarbetet, som i nuläget till stor del bygger på erfarenhetsdrivna urvalsmodeller.
Urvalsmodeller kan tillämpas både vid handläggningen av ärenden eller vid kontroll i efterhand. I det förstnämnda fallet tillämpas model- lerna ärende för ärende. Skatteverket har uppgett att urvalsmodellerna tillämpas mer sällan för att göra kontroller i efterhand eftersom det är bättre att upptäcka fel inför beslut och eventuella utbetalningar. Analyser och urval utgör enligt myndigheten kärnan i kontrollverksam- heten för att på ett resurseffektivt sätt kunna identifiera kontroll- objekt bland den stora mängd ärenden som hanteras.
Skatteverkets folkbokföringsverksamhet
I folkbokföringsverksamheten arbetar Skatteverket för närvarande med att uppdatera riskanalyser och implementera den riskhanterings- modell som redan används inom beskattningsverksamheten. Arbetet med analyser och urval har inte kommit lika långt inom folkbokför- ingsverksamheten som beskattningsverksamheten. En del i detta är att arbetet med folkbokföringen har varit mer av registrerande karak- tär, och det är först på senare tid som de vidare samhällskonsekven- serna av en felaktig folkbokföring har börjat diskuteras.
1038
SOU 2023:100 |
Dataanalyser och urval |
I dagsläget försöker Skatteverket bedöma risken för felaktigheter om uppgifter i ett nytt ärende skulle registreras. Detta görs för att identifiera vilka ärenden som behöver utredas närmare. Riskanalyser sker även för efterhandskontroller, ofta baserat på underrättelser från enskilda och andra myndigheter. De parametrar som används för att identifiera vilka ärenden där det finns högst risk för fel tas fram manu- ellt, dvs. inte genom maskinella dataanalyser, baserat på myndighetens erfarenheter.
Skatteverkets folkbokföringsverksamhet har den 1 maj 2023 fått utökade möjligheter att göra dataanalyser och urval genom en ny reglering i folkbokföringsdatabaslagen och förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet, folkbokföringsdatabasförordningen (FdbF). Syftet med den nya regleringen är att ge Skatteverket bättre möjligheter att minska fel i folkbokföringsverksamheten.75 Den nya regleringen innebär att folkbokföringsdatabaslagen har kompletterats med en ny ändamåls- bestämmelse som innebär att uppgifter får behandlas för att tillhanda- hålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokför- ingsverksamheten.76 Det har även införts bestämmelser om att det i folkbokföringsverksamheten ska finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § angivna ändamålen (analys- och ur- valsdatabas).77 I analys- och urvalsdatabasen får vissa angivna upp- gifter behandlas om vissa personkretsar.78 Det rör sig framför allt om uppgifter som i dag får finnas i folkbokföringsdatabasen. Regeringen har även föreskrivit i folkbokföringsdatabasförordningen att i data- basen får sådana uppgifter behandlas som ska lämnas av andra myn- digheter till Skatteverket för kontroll av uppgifter i folkbokförings- verksamheten. Uppgifter om fastigheter, byggnader, lagfarter och tomträtter får också behandlas.79 Vidare finns i lagen vissa särskilda bestämmelser om sökbegrepp, krav på dokumentation och längsta tid för behandling.80 I förordningen finns en bestämmelse som anger
75Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 1.
761 kap. 4 a § FdbL.
772 a kap. 1 § FdbL.
782 a kap.
795 c § FdbF.
80
1039
Dataanalyser och urval |
SOU 2023:100 |
att Skatteverket ska ha rutiner för utformningen av urvalsmodeller och användandet av sökbegrepp i analys- och urvalsdatabasen.81
Tullverket
Tullverket har till följd av sitt uppdrag omfattande kontrollverksam- het som innefattar utförande av riskanalyser för att välja ut exempelvis vilka transporter av varor som särskilt bör kontrolleras. Det görs också för att granska tulldeklarationer i efterhand för att säkerställa en riktig uppbörd, vilket t.ex. kan leda till att revisioner inleds. För att möjliggöra urval till riskbaserade kontroller gör myndigheten analy- ser av olika slag. En sådan typ av analys är mer övergripande analyser där olika data bearbetas för att exempelvis upptäcka trender som tull- kontrollerna kan inriktas på. Utifrån resultaten av analyserna och nationella och
Den data som bearbetas kan exempelvis bestå av samtliga upp- gifter som lämnas av ekonomiska aktörer enligt tullkodexen med kompletterande lagstiftning, underrättelseinformation eller tips från ekonomiska aktörer eller andra tullmyndigheter. Myndigheten har i dag ett särskilt verksamhetsstöd för att underlätta utförandet av analys- och urvalsverksamheten. Till verksamhetssystemet görs en selektiv överföring av olika data till en separat lagringsyta för att möj- liggöra analyser skilt från de skarpa verksamhetssystemen. Data från den brottsbekämpande verksamheten hålls logiskt separerad från data inom den övriga tullverksamheten. Samma tjänstemän kan dock arbeta med analyser och urval vad gäller såväl illegala och farliga varor som uppbörd och restriktioner.
815 b § FdbF.
82En spärr innebär att myndigheten inom sina system lägger in olika parametrar som när de är uppfyllda innebär att de deklarationer som uppfyller parametrarna hindras från att klareras. En riskprofil fungerar på motsvarande sätt, men används inom området säkerhet och skydd.
1040
SOU 2023:100 |
Dataanalyser och urval |
De urval som Tullverket i dag gör är regelbaserade, dvs. det finns tydliga kriterier för urvalen som går att uttrycka. Myndigheten an- vänder sig inte i så stor utsträckning av prediktiva analyser83 i dag, men avser att arbeta mer med sådana analysmetoder i framtiden.
Exempel på analyser som myndigheten utför är mönsteranalyser. Syftet med dessa är att identifiera vissa företeelser. Det kan röra sig om fysiska eller juridiska personer som kan misstänkas för felaktig- heter inom områdena uppbörd och restriktioner, organiserad brotts- lighet eller annan kriminalitet och lagöverträdelser, varusändningar (tulldeklarationer) innehållande felaktigheter som kan leda till upp- bördsbortfall eller restriktionsbrott samt varusändningar som inte har blivit tullbehandlade.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att myndigheten för närvarande har begränsade tekniska verktyg för att genomföra dataanalyser i verk- samheten, men att det finns en ambition om att utveckla dessa. I dag arbetar myndigheten med manuell hantering för att t.ex. upptäcka otillbörliga eller brottsliga ansökningar om betalningsförelägganden. Detsamma gäller arbetet för att upptäcka felaktiga beslut om löne- garanti inom konkurstillsynen.
Analysverktyg används inom Kronofogdemyndighetens arbete med att motverka överskuldsättning. Det handlar om att ta fram sam- manställningar för att t.ex. göra skuldanalyser över kön och ålder. Myndigheten gör också vissa prediktiva analyser i syfte att förutse eller bedöma sannolikheten för vissa skeenden baserat på den data som myndigheten har tillgång till.
Ett exempel på analysarbete som bedrivs vid Kronofogdemyndig- heten är att ta fram en prediktionsmodell över återkommande gälde- närer. Myndigheten kan genom användning av sådana verktyg bli mer effektiv i sitt arbete med att motverka överskuldsättning genom t.ex. särskilda och riktade informationsinsatser.
Kronofogdemyndigheten har även utforskat förutsättningarna för att använda s.k. nätverksanalyser inom verksamheten med verkstäl- lighet. Genom sådana analyser skulle myndigheten kunna identifiera fler utmätningsbara tillgångar hos dem som kan men inte vill betala.
83Vid prediktiva analyser används data och algoritmer för att förutse vad som sannolikt kom- mer att hända, se vidare avsnitt 14.6.2.
1041
Dataanalyser och urval |
SOU 2023:100 |
14.3.4Dataanalyser och urval i andra sammanhang
Försäkringskassan
Försäkringskassan har i en promemoria från 2018 beskrivit hur myn- dighetens kontrollarbete ser ut. I promemorian anges att Försäkrings- kassan under de senaste åren har utvecklat s.k. urvalsprofiler inom flera förmåner. Dessa bygger på dataanalyser av mönster och samband i hur förmånerna används. Urvalsprofilerna används i stor utsträck- ning för att styra handläggningen, t.ex. för att prioritera ärenden för uppföljning och förnyad utredning. Urvalsprofiler kan även användas för att identifiera ärenden med hög risk för felaktigheter, som väljs ut för ytterligare kontroll innan eller efter utbetalning. Riskbaserad urvalsprofilering har framför allt använts av Försäkringskassan för att välja ut ärenden för kontroll efter utbetalning, men
Försäkringskassan ska enligt myndighetens instruktion bl.a. säker- ställa att felaktiga utbetalningar inte görs och motverka bidragsbrott.85 Bestämmelser om myndighetens personuppgiftsbehandling finns i 114 kap. socialförsäkringsbalken (SFB).86 I regleringen av ändamål finns ingen särskild bestämmelse som omfattar analys- och kontroll- verksamhet.87 I 114 kap. 10 § SFB finns emellertid en bestämmelse som ger uttryck för finalitetsprincipen.
Centrala studiestödsnämnden
Den 1 juli 2020 trädde vissa nya bestämmelser i studiestödsdatalagen (2009:287) i kraft. Regeringen gjorde i förarbetena bedömningen att testverksamhet generellt sett är en sådan administrativ åtgärd som krävs för att Centrala studiestödsnämnden, CSN, ska kunna utföra studiestödsverksamheten. Det ansågs därför inte krävas något ytter-
84Försäkringskassan, Försäkringskassans kontrollarbete – kartläggning och förslag på fortsatt arbete, PM 2018:3, s. 31.
852 § 3 förordningen (2009:1174) med instruktion för Försäkringskassan.
86För närvarande pågår ett lagstiftningsarbete avseende en översyn av dataskyddsregleringen för Försäkringskassan och Pensionsmyndigheten. Förslag har lämnats av regeringen i prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet. Lagändringarna före- slås träda i kraft den 15 februari 2024.
87Se 114 kap. 7 § SFB.
1042
SOU 2023:100 |
Dataanalyser och urval |
ligare författningsstöd, utöver myndighetens materiella verksamhets- reglering, i form av t.ex. en ny ändamålsbestämmelse för att CSN ska kunna behandla personuppgifter för att testa nya system.88
Vidare bedömde regeringen att finalitetsprincipen skulle utgöra den yttersta ramen för behandling av personuppgifter i studiestöds- verksamheten. Mot denna bakgrund infördes en bestämmelse som anger att personuppgifter som behandlas enligt ändamålsbestämmel- serna i lagen får behandlas även för andra ändamål, under förutsätt- ning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (4 a §). Ett syfte med detta var att ge CSN möjlighet att kunna använda personuppgifter för att ta fram s.k. prediktiva analyser för att motverka felaktiga ut- betalningar.89
Utbetalningsmyndigheten
Den nya Utbetalningsmyndigheten ska inleda sin verksamhet den 1 januari 2024. Myndigheten ska förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Som ett led i detta ska myndigheten bl.a. göra dataanalyser och urval (1 och 2 §§ förord- ningen [2023:461] med instruktion för Utbetalningsmyndigheten).
I samband med att Utbetalningsmyndigheten inleder sin verk- samhet träder lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten i kraft. I denna lag regleras bl.a. den person- uppgiftsbehandling som myndigheten kommer utföra vid dataanalyser och urval. I 1 kap. 6 § första stycket föreskrivs att Utbetalnings- myndigheten får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter att administrera ett system med transaktionskonto, och förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Vidare anges i lagen att person- uppgifter som behandlas enligt 6 § även får behandlas för andra ända- mål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för (1 kap. 8 §). Känsliga personuppgifter får behandlas, om det är nöd- vändigt med hänsyn till ändamålet med behandlingen (1 kap. 9 §).
88Prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s.
89Prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 22.
1043
Dataanalyser och urval |
SOU 2023:100 |
Vidare finns vissa särskilda bestämmelser om sökbegränsningar, till- gång till personuppgifter och elektroniskt utlämnande av person- uppgifter (1 kap.
I lagen anges även att för att göra dataanalyser och urval, i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar från väl- färdssystemen, ska det vid Utbetalningsmyndigheten finnas en upp- giftssamling, benämnd uppgiftssamlingen för dataanalyser och urval (3 kap. 1 §). Endast de personuppgifter som behövs för att göra data- analyser och urval får behandlas i uppgiftssamlingen. Personuppgif- terna som behandlas för att göra dataanalyser och urval får inte be- handlas någon annanstans än i uppgiftssamlingen (3 kap. 2 §). Sökning och annan behandling i uppgiftssamlingen för dataanalyser och urval ska genomföras med respekt för enskildas personliga integritet (3 kap. 3 §). Metoder för att ta fram urval och de sökbegrepp som används vid sökningar i uppgiftssamlingen ska dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand. Utbetalningsmyndigheten ska regelbundet följa upp de sökningar som har gjorts i uppgiftssamlingen (3 kap. 4 §). Personuppgifter får som huvudregel inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med be- handlingen (4 kap. 1 §).
I 8 § förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten finns en särskild bestämmelse om vilka uppgifter som får behandlas i uppgiftssamlingen för dataanalyser och urval. Bestämmelsen har följande lydelse.
I uppgiftssamlingen för dataanalyser och urval får det behandlas upp- gifter som omfattas av
I uppgiftssamlingen får det vidare behandlas uppgifter om
1.en fysisk persons identitet, medborgarskap, uppehållsrätt, bosätt- ning, familjeförhållanden, adress och andra kontaktuppgifter samt upp- gifter om ombud,
2.en juridisk persons identitet, säte, ägarförhållanden, firmatecknare och andra företrädare, kontaktpersoner samt kontaktuppgifter,
3.en utbetalning som avser en ekonomisk förmån, ett ekonomiskt stöd eller en återbetalning av ett överskott på skattekontot samt upp- gifter om enskildas kontouppgifter,
4.företag och andra juridiska personer, företrädare och huvudmän som finns i Bolagsverkets register,
5.skulder hos Kronofogdemyndigheten för företag och andra juri- diska personer samt deras företrädare,
6.fastigheter, byggnader och lagfarter från fastighetsregistret, och
1044
SOU 2023:100 |
Dataanalyser och urval |
7.urvalsträffar samt resultatet av en inledande eller en fördjupad gransk- ning enligt lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetalningar.
I uppgiftssamlingen får det även behandlas en uppgift av liknande slag som anges i första och andra styckena och som är nödvändig för myn- dighetens dataanalyser och urval.
I 7 § förordningen om behandling av personuppgifter vid Utbetal- ningsmyndigheten anges att Utbetalningsmyndigheten ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas i uppgiftssamlingen för dataanalyser och urval.
14.3.5Utgör dataanalyser och urval ärendehandläggning eller faktiskt handlande?
Förvaltningslagen skiljer på myndigheters verksamhet som inne- fattar ärendehandläggning och annan förvaltningsverksamhet (jfr 1 § FL). Enligt förarbetena till förvaltningslagen är gränsen mellan vad som är ärendehandläggning och vad som är annan förvaltnings- verksamhet, dvs. det som vanligen brukar betecknas faktiskt hand- lande, i många fall förhållandevis tydlig. En principiell skillnad mellan åtgärder av det ena och det andra slaget är att handläggningen av ett ärende avslutas med ett beslut av något slag, medan ett faktiskt hand- lande karaktäriseras av att myndigheten i praktiken vidtar en viss fak- tisk åtgärd. Åtgärder av typen köra spårvagn, hämta sopor och under- visa är exempel på faktiskt handlande som tydligt illustrerar denna form av förvaltningsverksamhet, medan debitering av biljettkostnad eller avfallsavgifter och betygssättning är exempel på verksamhet som innefattar handläggning av ett ärende.
I vissa fall kan det vara något svårare att avgöra om en åtgärd inne- fattar ärendehandläggning eller enbart ett faktiskt handlande. I gräns- zonen märks t.ex. åtgärder som kännetecknas av att de innebär ett ingripande som till synes inte föregåtts av någon handläggning och där det finns ett mycket nära tidsmässigt samband mellan myndig- hetsföreträdarens ställningstagande att ingripa och den faktiska åtgär- den. Ett exempel som illustrerar en sådan situation är polismannens ingripande med våldsanvändning mot ordningsstörande verksamhet. En sådan åtgärd får vidtas bara om vissa rättsliga förutsättningar är
1045
Dataanalyser och urval |
SOU 2023:100 |
uppfyllda och det krävs därför ett aktivt ställningstagande, dvs. ett beslut av den myndighetsperson som handlar innan åtgärden vidtas.90 Myndigheternas användning av dataanalyser och urval som verk- tyg för kontroll innebär att de vidtar en åtgärd. Denna åtgärd innebär inte i sig att myndigheterna ingriper i enlighet med materiell verk- samhetsreglering. Det är i stället åtgärder som myndigheterna vidtar för att välja ut vilka ärenden eller subjekt som särskilt ska kontrol- leras.91 Användningen av verktygen förutsätter att uppgifter, där- ibland personuppgifter, behandlas. Innan personuppgifter behandlas gör myndigheterna visserligen en bedömning av om uppgifterna får behandlas. Personuppgiftsbehandlingen kräver nämligen att vissa rätts- liga förutsättningar är uppfyllda. Användningen av dataanalyser och urval – och därmed den personuppgiftsbehandling som då kan komma att utföras – avslutas dock inte i sig med något beslut. Åtgärden måste inte heller avslutas med ett beslut. En annan sak är att utfallet av åt- gärden, urvalsträffarna, kan innebära att myndigheten i nästa led initie- rar ett ärende. Verktygen kan därför beskrivas som att användningen av dem är ett hjälpmedel vid myndigheternas handläggning av ärenden. Mot denna bakgrund är vi av uppfattningen att när myndigheterna utför dataanalyser och urval är det inte fråga om ärendehandläggning i förvaltningsrättslig mening. Det bör i stället anses utgöra det som
brukar betecknas som faktiskt handlande.
14.4Myndigheternas behov
14.4.1Behovet av att använda dataanalyser och urval som verktyg för kontroll
Skatteverkets beskattningsverksamhet
Skatteverket har till utredningen uppgett att användningen av data- analyser och urval effektiviserar kontrollverksamheten och därmed också den faktiska handläggningen av ärenden. Om analys- och ur- valsverksamheten får bedrivas mer maskinellt än vad som är möjligt
idag anser myndigheten även att det är möjligt att arbeta mer enhet- ligt och ytterligare effektivisera processen. Möjligheten att utföra ut-
90Prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, s.
91Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 20.
1046
SOU 2023:100 |
Dataanalyser och urval |
ökade analyser och urval innebär också ett ökat stöd för verksam- heten. Skatteverket kontrollerar alla deklarationer maskinellt men har inte resurser för att genomföra fördjupade kontroller i alla fall. Genom utökade dataanalyser och urval vill Skatteverket kunna styra kontrollerna mot de områden där de största riskerna för fel finns. Med andra ord har myndigheten ett behov av att välja ut ett antal deklarationer som innehåller en typ av risk.
Skatteverket har vidare uppgett att hela urvalsprocessen fram till att handläggningen av ett ärende tar vid inte är särskilt reglerad i dag. Frånvaron av särskild reglering av hur uppgifter får behandlas under en sådan process innebär enligt myndigheten att det är allmänna regler för myndighetens verksamhet som kan tillämpas, och den rättsliga grunden för behandlingen av personuppgifter utgörs huvudsakligen av kontrollbefogenheterna när det är fråga om urval för kontroll.
Skatteverkets informationshantering har enligt myndigheten för- ändrats avsevärt i förhållande till hur det såg ut vid införandet av skatte- databaslagen då bl.a.
Skatteverket har uppgett att när uppgifter behandlas som i dag inte får ingå i beskattningsdatabasen, behöver behandlingen ske i enlighet med 1 kap. SdbL. För att det ska vara fråga om behandling utanför databasen, ska det vara fråga om tillfällig behandling och tillgången till uppgifterna måste vara begränsad så effekten inte blir att uppgif- terna kan användas gemensamt i verksamheten. Uppgifterna kan allt- så inte hanteras på samma sätt som uppgifter som får registreras i ett ärendehanteringssystem. Mot bakgrund av dagens befintliga
1047
Dataanalyser och urval |
SOU 2023:100 |
Skatteverket har vidare uppgett att det i vissa fall är oklart om den nuvarande regleringen av behandling av personuppgifter kan utgöra ett tillräckligt stöd för mer omfattande analys- och urvalsarbete för kontroll. Visst rättsligt stöd finns enligt myndigheten i förordningen med instruktion för Skatteverket. Om behandlingen omfattas av regeringsformens skydd för den personliga integriteten i 2 kap. 6 § andra stycket RF krävs dock lagstöd. Vidare är det ett problem att en stor del av den nuvarande regleringen utgår från handläggning av ärenden och det är oklart i vilken utsträckning befintliga ändamåls- bestämmelser ger stöd för sådan behandling som ligger utanför ett ärende. Mot denna bakgrund anser Skatteverket att det behövs ett förtydligande av den rättsliga grunden för behandlingen. Om myndig- heten exempelvis utför mer omfattande prediktiva analyser kan det vara svårt att hitta rättsligt stöd för detta. Det hade enligt myndig- heten underlättat med någon form av förtydligande reglering, t.ex. en ändamålsbestämmelse som samtidigt förtydligar den rättsliga grun- den. Det skulle också göra det enklare att bedöma proportionaliteten i en åtgärd, t.ex. i fråga om den mängd uppgifter som får användas i förhållande till ett visst ändamål.
Av bestämmelsen om gallring i 1 kap. 8 § SdbL framgår i dag att uppgifter som behandlas automatiserat i ett ärende ska gallras senast ett år efter det att ärendet har avslutats om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att uppgifter skall gallras vid en annan tidpunkt eller att uppgifter ska bevaras. Det får enligt Skatteverket till följd att om uppgifter inte behandlas inom ramen för ett ärende finns ingen bestämmelse om gallring. Fråga uppstår då enligt myndigheten om avsikten över huvud taget har varit att det ska vara möjligt att hantera uppgifter utanför ett ärende.
Skatteverkets folkbokföringsverksamhet
Uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunk- tioner får ett korrekt underlag för beslut och åtgärder. Vissa fel kan få större samhällskonsekvenser än andra. I regleringsbrevet anges att Skatteverket ska prioritera de områden där risken för fel och fusk är
1048
SOU 2023:100 |
Dataanalyser och urval |
som störst, vilket innebär att myndigheten vill utföra kontroller där de ger störst effekt.
I dag har Skatteverket t.ex. långa handläggningstider inom folk- bokföringsverksamheten avseende personer som flyttar till Sverige. När myndigheten använder sig av dataanalyser och urval kan de som har angett korrekta uppgifter identifieras snabbare och deras ären- den därmed handläggas snabbare, vilket bl.a. leder till kortare hand- läggningstider. Vidare kan samhällskostnaderna även minska då Skatte- verkets analyser har visat att många personer som fått avslag senare återkommer med en ny anmälan om inflyttning till Sverige och då får bifall och blir folkbokförda.
Urval som verktyg ger Skatteverket möjligheter att identifiera folkbokföringsfelet på en strukturell nivå, bli mer proaktiva och för- hindra fel innan de orsakar problem. Det ger dessutom myndigheten möjlighet att kunna samköra data för att hitta de största riskerna och få högre träffsäkerhet.
Skatteverket vill kunna använda information för att ta korrekta beslut om vilka åtgärder som ska vidtas för kontroll, utan att det är fråga om ärendehandläggning. Vidare finns det önskemål om att kunna arbeta datadrivet med nya tekniker, t.ex. artificiell intelligens, samt att kunna fatta datadrivna beslut om hur verksamheten kan styras och planeras på ett sätt som maximerar resursanvändandet.
Skatteverket har nyligen fått utökade möjligheter att göra data- analyser och urval inom folkbokföringsverksamheten genom änd- ringar i bl.a. folkbokföringsdatabaslagen och folkbokföringsdatabas- förordningen.
Tullverket
Tullverket har uppgett att myndigheten har ett behov av att kunna behandla uppgifter för att utföra riskanalyser i enlighet med myndig- hetens uppdrag. Tullverket utför framför allt kontroller vid gräns mot tredjeland (yttre gräns), men får även utföra kontroller vid gräns mot annat
1049
Dataanalyser och urval |
SOU 2023:100 |
underrättelsebaserat och utför riskbaserade eller misstankebaserade kontroller vid samtliga gränsövergångar. Analys- och urvalsverksam- heten syftar bl.a. till att identifiera juridiska eller fysiska personer som kan misstänkas för felaktigheter inom områdena uppbörd och restriktioner, till att identifiera organiserad brottslighet eller varu- sändningar innehållande felaktigheter som kan resultera i uppbörds- bortfall eller restriktionsbrott.
I den nuvarande lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), finns en särskild bestämmelse om att Tullverket får behandla personuppgifter för analys- eller kontrollverksamhet.92 I författningen finns också reglerat att uppgifter som får behandlas för bl.a. analys- eller kontrollverk- samhet även får behandlas för att tillhandahålla information som be- hövs i författningsreglerad verksamhet hos någon annan än Tull- verket för bl.a. revision och annan analys- eller kontrollverksamhet.93 Motsvarande reglering finns även om uppgifterna behövs för att Tull- verket ska kunna bekämpa brott. Tullverket bedömer att myndig- heten har en tydlig rättslig grund för sin behandling genom den mate- riella tullagstiftningen. Vilka uppgifter som sedan behandlas måste bestämmas utifrån syftet med analysen, med en proportionalitets- bedömning och beaktande av allmänna principer.
Ett hinder mot genomförande av analyser är enligt Tullverket den nuvarande utformningen av sökbegränsningar samt om behandling av uppgifter om vissa lagöverträdelser i tulldatabaslagen. Det är ofta svårt för myndigheten att förhålla sig till regleringen om tillåtna sök- begrepp samtidigt som analyser måste kunna ske utifrån samtliga uppgifter som anges i exempelvis en deklaration. Bestämmelserna för- svårar arbetet med riskanalyser och hindrar möjligheten att kartlägga mönster och tillvägagångssätt som använts för att hitta andra risker, fel och överträdelser. Sökförbud i lagen kan också innebära att lika- behandlingsprincipen sätts ur spel. Nuvarande bestämmelse om sök- begränsningar hindrar vissa riskanalyser som förutsätter jämförelser och sökningar utifrån alla tillgängliga uppgifter. Bara en tulldeklara- tion kan innehålla avsevärt många fler uppgifter än de tillåtna sök- begreppen, såsom uppgifter om berörda aktörer, varor, färdmedel och färdvägar m.m. I vissa fall kan sådana uppgifter utgöra känsliga personuppgifter. Tullverket anser att myndigheten borde få använda
921 kap. 4 § 2 TDL.
931 kap. 5 § 1 b TDL.
1050
SOU 2023:100 |
Dataanalyser och urval |
samtliga tillgängliga uppgifter som lämnats i en tulldeklaration för sina riskanalyser. Den nuvarande databasregleringen kan också hindra myndighetens behov av att arbeta med analys- och urvalsverksamhet till följd av uppgifter som får göras gemensamt tillgängliga eller inte.
Tullverket anser också att det finns behov av en tydlig rättslig grund för att myndigheten ska kunna utveckla mer avancerade analysverktyg baserade på artificiell intelligens. För sådana analyser är det enligt myndigheten även oklart vilka uppgifter som får behandlas och hur de får behandlas. Sådana mer avancerade verktyg skulle enligt myn- digheten öka möjligheterna att göra mer träffsäkra urval. För att Tullverket ska kunna bibehålla effektiviteten i ett ständigt ökande informationsflöde anser myndigheten att möjlighet att använda arti- ficiell intelligens som stöd vid sökning och filtrering av information behövs. Till exempel skulle en urvalsmodell utvecklad med hjälp av maskininlärning kunna hitta avvikande deklarationer genom att upp- täcka mönster som myndigheten inte tidigare har sett. För att utveckla en sådan modell behöver systemet dock tränas på en stor mängd deklarationer för att generera godtagbara resultat.
Tullverket har också uppgett att det inom analysverksamheten finns ett stort behov av samverkan och uppgiftsutbyte med andra nationella myndigheter.
För att Tullverket ska kunna fullgöra sitt uppdrag på ett effektivt sätt behöver tulldatabaslagen enligt myndigheten anpassas till de för- ändringar i rättsakter som reglerar Tullverkets uppdrag, digitaliser- ing, teknisk utveckling och samhället i övrigt som skett sedan lagen kom till. Den nya regleringen behöver även utformas så att den skapar förutsättningar för Tullverkets verksamhet att möta ytterligare för- ändringar framöver.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att det finns goda förutsättningar för att effektivisera myndighetens verksamhet med analyser och ur- val samt att det är viktigt att lagstiftningen är tydlig i detta avseende.
Kronofogdemyndigheten har enligt myndigheten ett behov av att inom kärnverksamheten kunna titta på vilka samband det finns mellan olika personer. Det kan t.ex. handla om uppgifter om vilka bolag en person ingår i eller på vilka adresser personer bor. En urvalsmodell som
1051
Dataanalyser och urval |
SOU 2023:100 |
utvecklats med hjälp av artificiell intelligens skulle kunna upptäcka samband som är svåra att identifiera vid manuella kontroller. En tyd- ligare möjlighet att behandla personuppgifter utanför ärendehandlägg- ning kan enligt Kronofogdemyndigheten förbättra resultaten avse- värt. Generellt anser myndigheten att användningen av dataanalyser och urval kan leda till mycket träffsäkrare analyser i verksamheten. Det kan bl.a. effektivisera uppföljningen i handläggningen av ären- den genom att identifiera avvikelser som kan bero på tekniska eller mänskliga fel, oavsiktliga eller avsiktliga. Till exempel kan felaktiga utbetalningar eller ansökningar identifieras.
Kronofogdemyndigheten vill ha möjlighet att kunna använda analysverktyg inom verksamheten för att t.ex. kunna prioritera ären- den eller analysera olika typer av samband för att hitta ärenden som innefattar olika risker, och sedan återföra resultatet till den operativa verksamheten. Som regleringen i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet, kronofogde- databaslagen (KFMdbL), med tillhörande förordning (2001:590)94 ser ut i dag bedömer myndigheten att det inte är möjligt att dela alla uppgifter de skulle vilja mellan de olika databaserna utan att göra en finalitetsprövning i varje sådant fall, vilket tar tid. En registerförfatt- ning som innehåller detaljerade bestämmelser om vilka uppgifter som får användas kan vidare skapa problem i framtiden för denna typ av analysverksamhet.
Kronofogdemyndigheten har bl.a. till uppgift att förebygga och motverka ekonomisk brottslighet. Myndigheten ska också delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.95 Det finns önskemål om att Kronofogdemyndigheten i högre utsträckning ska arbeta med dataanalyser och urval och andra tekniska verktyg för att på ett mer effektivt sätt t.ex. identifiera de bolag som det finns anledning att utreda eller kontrollera närmare. Genom maskinella analyser av data kan olika parametrar och möns- ter hittas som typiskt sett medför ökad risk för felaktigheter och oegentligheter. Utifrån sådana identifierade mönster, eller riskindi- katorer, skulle urvalsmodeller kunna utformas för att upptäcka före- teelser som t.ex. tyder på undandragande av tillgångar och som det därför kan finnas anledning att utreda eller kontrollera närmare. Det kan också användas för att identifiera företag med s.k. riskbeteenden
94Härefter kronofogdedatabasförordningen, även förkortad KFMdbF.
954 § förordningen med instruktion för Kronofogdemyndigheten.
1052
SOU 2023:100 |
Dataanalyser och urval |
vilket skulle kunna vara effektivt i arbetet med att förebygga och motverka ekonomisk brottslighet.
Inom verksamheten med verkställighet vill Kronofogdemyndig- heten kunna använda analysverktyg för att bedöma vilka utrednings- åtgärder som är lämpliga i olika situationer, givet framtagna kriterier i kombination med registeruppgifter om en gäldenärs tillgångssitua- tion. Med förfinade urvalsmetoder bedömer Kronofogdemyndig- heten att den kommer att kunna bedriva effektivare utredningsarbete och få bättre träffsäkerhet i syfte att hitta och utmäta fler tillgångar så att fler borgenärer får mer betalt och fler gäldenärer minskar sina skulder.
Vidare är det enligt Kronofogdemyndigheten i dag ett förekom- mande problem att det skickas in ansökningar om betalningsföre- läggande mot personer som befinner sig i utsatta situationer och som inte förväntas agera i ärendet, exempelvis avseende fordringar som redan omfattas av en pågående skuldsanering. Ett betalningsföreläg- gande leder automatiskt till ett utslag om det inte bestrids. Den som ansökt om betalningsföreläggandet kan sedan begära verkställighet och företeelsen upptäcks av myndigheten först när utslaget redan är lagakraftvunnet. Myndigheten ser att sådana ageranden skulle kunna upptäckas med hjälp av dataanalyser och urval.
Ytterligare uppdrag som Kronofogdemyndigheten har är tillsyn i konkurs och tillsyn över rekonstruktörer.96 Myndigheten har identi- fierat minst två områden inom tillsynsverksamheten där det kan finnas behov av dataanalyser, nämligen tillsyn över konkursförvaltares och rekonstruktörers arbete med lönegaranti samt arvodeshantering.
Det är konstaterat att det sker relativt omfattande lönegaranti- bedrägerier.97 En förklaring till detta som har anförts är brister i eller avsaknad av erforderlig kontroll.98 Inom ramen för sitt tillsynsupp- drag granskar Kronofogdemyndigheten lönegarantibeslut genom stickprovskontroller. Det fattas varje år omkring 100 000 beslut om lönegaranti vilket innebär att myndigheten inte kan göra ingående
961 § förordningen med instruktion för Kronofogdemyndigheten.
97Riksrevisionen har granskat den statliga lönegarantin bedömer sammantaget att
98Regionala underrättelsecentret Stockholm, Strategisk rapport: Samhällshotande bedrägerier mot den statliga lönegarantin, dnr
1053
Dataanalyser och urval |
SOU 2023:100 |
granskningar av samtliga beslut. Mot bakgrund av att lönegaranti- systemet är omfattande och att det är känt att det inom detta område förekommer missbruk av systemet, ser Kronofogdemyndigheten att dataanalyser och urval kan bidra till en effektivare kontrollverksam- het inom detta område. Myndigheten har även uppgett att samkör- ning av vissa uppgifter skulle kunna underlätta arbetet. Myndigheten vill på ett effektivt sätt t.ex. ha möjlighet att identifiera de fall där en person beviljats lönegaranti för en period samtidigt som personen har haft en annan heltidsinkomst under samma period.
Arvodet till förvaltare i konkurser bestäms av rätten och rätten inhämtar yttrande i arvodesfrågan från Kronofogdemyndigheten innan arvodesframställningen prövas.99 Under senare tid har det enligt Kronofogdemyndigheten skett en kraftig ökning av andelen ärenden där myndigheten har synpunkter på arvodet. Myndigheten har upp- gett att den bedömer att en arvodesframställning innefattar oskäligt högt arvode i ungefär 5 procent av fallen. I denna verksamhet har Kronofogdemyndigheten identifierat att det finns en utmaning i att se till att lika fall bedöms lika samt att det finns utrymme för att effektivisera arbetet. En arbetsredogörelse som ligger till grund för beräkningen i arvodesfrågan är mycket omfattande i jämförelse med andra domstolsmål vilket innebär att det är en tidskrävande uppgift för myndigheten. Mot denna bakgrund bedömer Kronofogdemyndig- heten att dataanalyser skulle kunna effektivisera arbetet. Exempelvis hade myndigheten kunnat analysera en stor mängd arvodesräkningar och ta fram någon form av normalarvode, eller riktarvode, för varje enskild åtgärd, förvaltarberättelse, inledande åtgärder m.m., klassi- ficerat utifrån andra parametrar såsom hur omfattande en viss kon- kurs är. Om det är möjligt att identifiera ett sådant normalarvode kan det underlätta för att få signaler om en viss arvodesräkning av- viker från detta. Det krävs en handläggare för att fastställa om ett arvode är oskäligt högt, men med hjälp av dataanalys och urval skulle myn- digheten på ett mer effektivt sätt kunna identifiera de ärenden som behöver granskas närmare.
9914 kap. 4 och 8 §§ konkurslagen.
1054
SOU 2023:100 |
Dataanalyser och urval |
14.4.2Uppgifter myndigheterna behöver behandla för att göra dataanalyser och urval
Utredningens kartläggning
Utredningen har haft omfattande kontakt med Skatteverket, Tull- verket och Kronofogdemyndigheten för att kartlägga vilken informa- tion som behövs för att göra adekvata dataanalyser och urval. Utifrån den information vi har fått går det inte att på ett detaljerat och ut- tömmande sätt redogöra för vilka uppgifter som respektive myndig- het behöver. Myndigheterna har på ett generellt plan uppgett att det är mycket svårt att i förväg svara på vilka uppgifter som behövs efter- som det i så hög grad beror på ändamålet med respektive analys- och urvalsprojekt, dvs. vad som ska uppnås i det enskilda fallet. Vilka upp- gifter som är nödvändiga att behandla förändras även över tid i takt med att ny lagstiftning införs.
Det har också kommit fram att det som t.ex. inom Skatteverkets beskattningsverksamhet beskrivits hindra utförandet av dataanalyser och urval utan koppling till ärendehandläggning inte främst rör vilken information myndigheten har tillgång till. Det handlar i stället fram- för allt om det rättsliga stödet för behandlingen när det inte avser ärendehandläggning samt de oklarheter som finns avseende hur omfat- tande personuppgiftsbehandling som får ske vid användning av sådana verktyg, bl.a. mot bakgrund av skyddet i 2 kap. 6 § andra stycket RF.
Skatteverkets beskattningsverksamhet
Den information som i dag används vid dataanalyser och urval inom Skatteverkets beskattningsverksamhet kommer bl.a. från Skatteverkets olika verksamhetssystem, Bolagsverket, Transportstyrelsen, tredje man m.m. De uppgifter som används tillgängliggörs centralt i ett s.k. informationslager. Omfattande analyser sker enligt myndigheten både i och utanför beskattningsdatabasen.
Skatteverket har till utredningen uppgett att det generellt är svårt att på förhand bestämma vilka typer av uppgifter som det kan finnas behov av att använda vid dataanalyser och urval. Vilka uppgifter som behövs beror bl.a. på syftet med ett visst analys- och urvalsprojekt och på vilken typ av metod för urval som används. För att få ett kor- rekt och träffsäkert resultat behöver den data som används vid t.ex.
1055
Dataanalyser och urval |
SOU 2023:100 |
träning av en urvalsmodell även avspegla verkligheten på ett så nära sätt som möjligt samt vara relevant för vad som ska uppnås genom analyserna och urvalen.
Skatteverket har vidare uppgett att den nuvarande detaljregler- ingen i skattedatabaslagen av vilka uppgifter som får behandlas i be- skattningsdatabasen upplevs som föråldrad i sammanhanget. Den har sitt ursprung i en tidigare registerlagstiftning då i princip enbart upp- gifter från deklarationer och kontrolluppgifter fick behandlas. Skatte- verket anser att myndigheten själv bör få avgöra vilka uppgifter som är nödvändiga att behandla för ett visst ändamål, även vid data- analyser och urval, med utgångspunkt i principerna för behandling av personuppgifter och den materiella verksamhetsregleringen.
I dag finns vissa bestämmelser i skattedatabaslagen som innebär att uppgifter endast får behandlas i beskattningsdatabasen om det be- hövs för handläggningen av ett ärende. Sådana uppgifter kan enligt Skatteverket inte behandlas utanför ärendehandläggningen, t.ex. för att initiera ett kontrollärende. Det är först när det är fråga om plane- rad, beslutad, pågående eller avslutad revision och annan kontroll av skatter, avgifter och stöd som sådana uppgifter får utgöra en del av beskattningsdatabasen (jfr 2 § första stycket 2 förordningen [2001:588] om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen [SdbF]). Innan dess måste uppgifterna han- teras på ett sätt som gör att de inte betraktas som gemensamt tillgäng- liga, vilket enligt Skatteverket är ett betydande hinder för hur de får hanteras i en automatiserad miljö.
Skatteverket vill kunna behandla alla de uppgifter som i dag får behandlas för ärendehandläggning även för dataanalyser och urval i kontrollverksamheten. Sådana uppgifter behöver enligt myndigheten kunna användas i t.ex. jämförelsesyfte för att upptäcka om det finns motsägelser och för att kunna utreda felaktigheter.
Skatteverket har även uppgett att det finns ett behov av att kunna behandla känsliga personuppgifter och personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott (härefter uppgifter om lagöverträdelser) när uppgifterna är hänförliga till en om- ständighet som är relevant för myndighetens uppdrag. Ett exempel är uppgifter om avgiftsskyldighet till ett registrerat trossamfund och medlemskap i fackförening. Behovet av att kunna behandla känsliga personuppgifter vid dataanalyser och urval är alltså kopplat till om dessa uppgifter har någon materiell betydelse för tillämpningen av
1056
SOU 2023:100 |
Dataanalyser och urval |
den reglering som styr verksamheterna som faller inom ramen för SdbL. Det finns också ett behov av att kunna behandla känsliga per- sonuppgifter vid dataanalyser och urval för att kunna utvärdera om en framtagen modell ger ett skevt resultat. Sådana utvärderingar kan också behöva göras innan en modell faktiskt tillämpas. En konse- kvens kan annars enligt myndigheten bli att det finns en påtaglig risk att modellen diskriminerar vissa grupper. Det behövs vidare en möj- lighet för Skatteverket att kunna behandla uppgifter om administra- tiva sanktioner, såsom skattetillägg.
Skatteverkets folkbokföringsverksamhet
Som nämns i avsnitt 14.3.3 ovan har Skatteverket genom vissa lag- ändringar nyligen fått utökade möjligheter att göra dataanalyser och urval inom folkbokföringsverksamheten. Behoven av ny reglering för att kunna behandla personuppgifter i syfte att göra dataanalyser och urval för kontroll är därför inte lika stora inom Skatteverkets folk- bokföringsverksamhet som i övriga verksamheter. Med anledning av vårt förslag till en ny lag om dataskydd inom folkbokföringsverksam- heten bör vissa av de behov Skatteverket har redogjort för till utred- ningen ändå redovisas. Det finns också skäl att redogöra för de delar där Skatteverket anser att det finns behov av ändringar utöver de ut- ökade möjligheter som myndigheten redan har fått.
Skatteverket har uppgett att en allt för detaljerad beskrivning av vilka uppgifter som kan användas för analys och urval skulle riskera att leda till att myndigheten inte kan förbättra urvalen, vilket i sin tur leder till sämre förutsättningar för proportionerliga åtgärder. Att på förhand veta vilken information som krävs är enligt myndigheten svårt, och till en början kommer folkbokföringsverksamheten i stor utsträckning att förlita sig på beprövad erfarenhet. Utgångspunkten är dock att alla uppgifter som har koppling till det materiella uppdraget är av betydelse.
Skatteverket har vidare uppgett att myndigheten behöver kunna behandla alla uppgifter som i dag får behandlas för handläggning av ärenden eller för kontroll av uppgifter i folkbokföringsdatabasen även för att göra dataanalyser och urval. Urvalsmöjligheter behövs såväl när det finns ett folkbokföringsärende som när det inte finns ett ärende. Uppgifterna behövs av de skäl som framgår av betänkandet
1057
Dataanalyser och urval |
SOU 2023:100 |
SOU 2021:57. I grunden kan folkbokföringsverksamheten givet de ändrade uppgiftsskyldigheterna100 hämta in mycket information som kan ge stor effekt.
Vidare har Skatteverket uppgett att de personkretsar som folk- bokföringsverksamheten i dag får behandla uppgifter om bör utvid- gas på ett sätt som innebär att uppgifter om personer får behandlas för att göra dataanalyser och urval om det behövs inom verksamheten. Skatteverket vill för att göra dataanalyser och urval kunna behandla personuppgifter även om personer som aldrig har varit folkbokförda redan innan ett eventuellt förvaltningsrättsligt ärende startas för att kunna förebygga fel på ett effektivt sätt. Det kan t.ex. röra sig om uppgifter om
Därutöver har Skatteverket uppgett att det finns ett behov av att även kunna använda vissa känsliga personuppgifter vid dataanalyser och urval, vilket inte är möjligt i dag. Vissa sådana kategorier av upp- gifter är enligt myndigheten av direkt materiell betydelse, och där- med av betydelse även för dataanalyser och urval. Ett exempel är upp- gifter om fysiska personers hälsa vid bedömning av uppehållsrätt (4 § FOL och 3 a kap. 2 § 4 utlänningslagen [2005:716]). Därtill finns det ett behov av att kunna behandla biometriska uppgifter för att utföra analyser i syfte att upptäcka försök till att erhålla multipla iden- titeter. Skatteverket har vidare uppgett att om känsliga personuppgif- ter som är nödvändiga för ändamålet inte får behandlas blir analys- underlaget inte komplett eller tillförlitligt. Det skulle också innebära att uppgifter som lämnas i fritext inte kan användas för att göra dataanaly- ser och urval eftersom det inte är möjligt att skilja ut sådana uppgif- ter som lämnats i fritext.
Tullverket
Som tidigare nämnts i avsnitt 14.4.1 anser Tullverket att det i den be- fintliga materiella regleringen redan finns stöd för analys- och urvals- verksamheten som sådan. När det gäller vilka uppgifter myndigheten använder i sådan verksamhet rör det sig om flera olika typer av upp- gifter från Tullverkets verksamhet som inte utgör brottsbekämpande verksamhet. Det handlar t.ex. om information om olika aktörer vid
100Se bl.a.
1058
SOU 2023:100 |
Dataanalyser och urval |
import eller export, uppgifter om varor eller uppgifter kopplade till tullproceduren eller deklarationsförfarandet. Uppgifterna kombineras och analyseras för att identifiera objekt där risken för undandragen uppbörd eller brott mot restriktioner föreligger. Det rör sig alltså om samtliga uppgifter som har samlats in, men också komplettering i form av uppgifter från externa källor såsom internet, andra myndigheter eller Tullverkets verksamhet inom brottsdatalagens tillämpnings- område.
Tullverket vill fortsatt kunna behandla alla de uppgifter som i dag får behandlas inom tulldatabasen samt inom ramen för ett ärende för dataanalyser och urval. Myndigheten bedömer att samtliga uppgifter behövs för att bedriva analysverksamheten och att det inte är möjligt att förutse vilka uppgifter som kan komma att behövas i framtiden. Det beror bl.a. på att handelsmönster skiftar och att nya tillvägagångs- sätt, företeelser och restriktionsområden tillkommer. Det bör enligt myndigheten vara principerna om proportionalitet och uppgiftsmini- mering som ska styra vilka uppgifter som får användas.
Idag får uppgifter behandlas i tulldatabasen om personer som om- fattas av verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, övervakning, revision och annan analys- eller kontrollverksamhet och fullgörande av ett ålig- gande som följer av ett för Sverige bindande internationellt åtagande. Uppgifter om andra personer får endast behandlas om det behövs för handläggningen av ett ärende, vilket enligt myndigheten är begrän- sande (2 kap. 2 § och 1 kap. 4 §
Tullverket har vidare uppgett att det fortsättningsvis finns ett be- hov av att behandla sådan information som anges i 2 kap. 4 § TDL även för analyser och urval, dvs. handlingar som kommit in i eller upp- rättats i ett ärende, då alla uppgifter som får behandlas i ett ärende är intressanta för analyser och urval.
Även när det gäller uppgifter som i dag får hämtas in från andra myndigheter har Tullverket fortsättningsvis ett behov av att också kunna behandla dessa för analys och urval i de fall det är lämpligt och rättsligt möjligt utifrån den materiella regleringen. Det finns också ett behov av att fortsatt kunna behandla uppgifter från gemensamma
1059
Dataanalyser och urval |
SOU 2023:100 |
för en mängd olika syften. Dessa utbyten bidrar till att viktig risk- information delges Tullverket som möjliggör effektiva kontroller.
Även Tullverket har uppgett att myndigheten har ett behov av att kunna behandla känsliga personuppgifter vid dataanalyser och urval. Enligt myndigheten varierar omfattningen av behovet, men sett till den totala andelen uppgifter som Tullverket behandlar är det en obe- tydlig mängd känsliga uppgifter som behöver behandlas. I dagsläget behandlar Tullverket sådana uppgifter främst i syfte att skydda EU- medborgarnas liv och hälsa genom att motverka terrorism eller annan författningshotande verksamhet. Enligt Tullverket skulle varukoder vid
För det fall känsliga personuppgifter inte skulle få behandlas be- dömer Tullverket att myndigheten inte kan uppfylla de skyldigheter som åligger den. Myndigheten har uppgett att om den t.ex. ska kon- trollera att inte potentiellt farliga läkemedel importeras behöver sök- ningar och analyser på uppgifter utifrån läkemedel och de inblandade aktörerna göras. Sådana uppgifter kan avslöja något om en fysisk per- sons hälsa och därmed utgöra känsliga personuppgifter i de fall impor- ten görs av en fysisk person. Utan uppgiften om läkemedel går det enligt myndigheten inte att göra en analys eftersom varan är utgångs- punkten i analysen. Om nödvändiga känsliga personuppgifter inte får användas anser Tullverket vidare att myndigheten inte kan upp- fylla skyldigheten att skydda medborgarnas hälsa och liv, bl.a. genom att motverka terrorism. Detta eftersom vissa personers hälsa och liv kan vara hotade på grund av etnisk, religiös, politisk eller facklig till- hörighet. För att kunna analysera och göra urval av försändelser till sådana mottagare är det i vissa fall nödvändigt att behandla sådana kategorier av känsliga personuppgifter kopplade till mottagare. Exem- pelvis kan flödet av varor till ett religiöst eller politiskt samfund analy- seras för att se vad som är en normal försändelse och därigenom hitta försändelser som avviker. Om inte Tullverket kan behandla sådana uppgifter om företrädarna när det är nödvändigt går det enligt myn- digheten inte att göra sådana analyser. Det ökar risken för att t.ex. människor kommer till skada.
1060
SOU 2023:100 |
Dataanalyser och urval |
Tullverket har vidare uppgett att dagens reglering av behandling av känsliga personuppgifter i 1 kap. 7 § och 2 kap. 4 § TDL kan ut- göra ett hinder när myndigheten utför behandling som inte har kopp- ling till ett ärende, som t.ex. vid dataanalyser och urval. Det beror dock enligt myndigheten på hur vitt begreppet ärende tolkas.
Kronofogdemyndigheten
I dag behandlar Kronofogdemyndigheten inte andra uppgifter för analys och urval än de uppgifter som redan behandlas i de befintliga databaserna. Kronofogdemyndigheten har uppgett att myndigheten har ett behov av att kunna behandla alla de uppgifter som i dag får behandlas inom databaserna även för dataanalyser och urval. För att hitta relevanta avvikelser och samband som leder till ett träffsäkert ur- val av t.ex. företag som används som brottsverktyg, grupper av per- soner som är på väg in i överskuldsättning eller bedrägliga ansök- ningar om betalningsförelägganden är det enligt myndigheten svårt att begränsa behandlingen till en viss typ av uppgifter. Vid träning och validering av
Myndigheten har även uppgett att begränsningen av personkrets i den nu gällande kronofogdedatabaslagen utgör ett hinder mot ana- lysverksamhet. Exempelvis kan uppgifter om fysiska personer som inte omfattas av grundverksamheten användas vid tillgångsutredningar för att hitta tillgångar som har överförts till andra i syfte att undandra egendomen från utmätning. Sådana uppgifter kan också användas för att identifiera bedrägerier med lönegarantin, t.ex. målvakter som an- vänds i flera konkurser. Här kan även databasregleringen vara hind- rande. Det kan alltså finnas behov av att behandla uppgifter om
1061
Dataanalyser och urval |
SOU 2023:100 |
personer som inte omfattas av kärnverksamheten trots att uppgif- terna inte behövs för handläggningen av ett specifikt mål.
Vidare ser myndigheten ett behov av att kunna använda uppgifter som får inhämtas från andra myndigheter även för dataanalyser och urval. Det handlar t.ex. om uppgifter från Bolagsverket gällande status för bolag och huvudmän, uppgifter från Skatteverket om folkbokför- ing och inkomstkälla samt uppgifter från Lantmäteriet om fastigheter. Det finns även ett behov av att kunna hämta in vissa uppgifter från andra myndigheter enbart för att använda vid dataanalyser och urval för kontrolländamål. Det rör sig t.ex. om uppgifter som myndigheten har tillgång till om de behövs inom ärendehandläggning men som inte rent faktiskt har behandlats inom ärendehandläggningen. Myndigheten har i dagsläget inte något behov av att kunna behandla uppgifter som finns i gemensamma
Även Kronofogdemyndigheten har uppgett att det vid vissa data- analyser och urval kan finnas ett behov av att behandla känsliga per- sonuppgifter, även om det inte rör sig om ett stort behov. Det kan t.ex. handla om uppgifter om hälsa, såsom utbetalningar av ersättning kopplade till sjukdom vid analyser inom verksamheten med motver- kande av överskuldsättning. Kronofogdemyndigheten har vidare upp- gett att tillgången till data för dataanalyser inte bör begränsas utifrån om det handlar om känsliga personuppgifter eller inte. En sådan be- gränsning skulle enligt Kronofogdemyndigheten leda till en nedsatt förmåga att förse verksamheten med relevanta analyser eftersom analysunderlaget i sådana fall skulle baseras på annan data än den som finns tillgänglig i verksamheten.
1062
SOU 2023:100 |
Dataanalyser och urval |
14.5Nuvarande möjligheter att behandla personuppgifter för att göra dataanalyser och urval
Vår bedömning: Den nuvarande regleringen innebär i vissa fall oklarheter i fråga om i vilken utsträckning dataanalyser och urval kan användas som verktyg i myndigheternas kontrollverksamheter. Regleringen kan även vara ett hinder för en effektiv användning av sådana verktyg för att göra mer övergripande analyser och urval.
Skälen för vår bedömning
Inledande anmärkningar
Som framgår av avsnitt 14.3.3 använder Skatteverket, Tullverket och Kronofogdemyndigheten redan, i varierande utsträckning, dataanaly- ser och urval som verktyg i kontrollverksamhet. I dag finns det dock begränsningar i hur myndigheterna kan behandla personuppgifter för kontrolländamål. Begränsningarna ser olika ut till följd av utform- ningen av de nuvarande registerförfattningarna samt den materiella verksamhetsregleringen. I avsnitt 3.2.8 finns generella redogörelser för hur regleringen av de respektive myndigheternas personuppgifts- behandling ser ut i de nuvarande registerförfattningarna.
Skatteverkets, Tullverkets och Kronofogdemyndighetens uppfatt- ningar om de nuvarande registerförfattningarnas utformning i förhål- lande till möjligheterna att använda dataanalyser och urval redogörs för i avsnitt 14.4 ovan.
Ändamålsbestämmelser
Det kan konstateras att de primära ändamål som finns i de gällande registerlagarna är direkt anpassade till den verksamhet som bedrivs av myndigheterna och utgör den yttersta ram inom vilken person- uppgifter får behandlas i den egna verksamheten. Ändamålsbestäm- melserna omfattar all behandling som utförs inom ramen för register- lagarna. Det innebär att ändamålsbestämmelserna styr för vilka syften
1063
Dataanalyser och urval |
SOU 2023:100 |
behandling får ske såväl utanför databaserna som inom dessa.101 Bland de uppräknade primära ändamålen finns bestämmelser som uttryck- ligen anger att behandling får ske om det behövs för handläggning av mål eller ärenden. Vidare finns det ändamålsbestämmelser som inte uttryckligen anger att behandling får ske om det behövs för handlägg- ning av ärenden, men som avser sådan verksamhet. Dataanalyser och urval sker dock utanför ärendehandläggningen, även om det kan vara en integrerad del av t.ex. ett verksamhetsstöd för ärendehandlägg- ning. Frågan är vilket stöd som finns för att myndigheterna ska kunna behandla personuppgifter för kontrolländamål i vidare bemärkelse än i ärendehandläggning.
Samtliga myndigheter har en möjlighet att behandla uppgifter för tillsyn, kontroll, uppföljning och planering av verksamheterna.102 Ut- ifrån förarbetsuttalanden ger dessa bestämmelser dock enbart stöd för behandling av uppgifter som görs för intern kontroll och tillsyn över myndigheternas egna verksamheter.103 Det finns för Skatteverkets beskattningsverksamhet även ett särskilt ändamål som innebär att upp- gifter får behandlas för att tillhandahålla information som behövs hos Skatteverket för revision och annan analys- eller kontrollverksam- het.104 En liknande ändamålsbestämmelse finns för Tullverket.105 Som redan nämnts finns nu även en särskild ändamålsbestämmelse för data- analyser och urval i kontrollverksamhet för Skatteverkets folkbok- föringsverksamhet.106
I förarbetena som rör Skatteverkets behandling av uppgifter i beskattningsverksamheten uttalade regeringen att de dåvarande skatte- myndigheterna som en förberedande åtgärd inför revisioner eller andra kontroller tog fram olika riskprofiler med hjälp av dataprogram, dvs. analyser av vilka skattesubjekt som skulle granskas. Regeringen an- gav även att skattemyndigheterna hade en skyldighet att utföra kon- troller som kanske endast utmynnade i påpekanden om att exempel- vis ett företag sannolikt skulle komma att anses som arbetsgivare med åtföljande skyldighet att betala preliminär skatt och arbetsgivar- avgifter. Det förutsattes även att skattemyndigheterna måste behandla
101Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
1021 kap. 4 § 10 SdbL, 1 kap. 4 § 7 FdbL, 1 kap. 4 § 4 TDL samt 2 kap. 2 § 7, 2 kap. 8 § 4, 2 kap.
14§ 4 och 2 kap. 20 § 3 KFMdbL.
103Se bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124, 140, 159 och 177.
1041 kap. 4 § 4 SdbL.
1051 kap. 4 § 2 TDL.
1061 kap. 4 a § FdbL.
1064
SOU 2023:100 |
Dataanalyser och urval |
uppgifter för kontroll av personer eller företag som inte var registre- rade hos myndigheterna trots att de möjligen borde betala skatter eller avgifter.107 Mot denna bakgrund, samt genom den nya ändamåls- bestämmelsen för folkbokföringsverksamheten, bedömer vi att de ändamål som i dag föreskrivs i 1 kap. 4 § SdbL och 1 kap. 4 a § FdbL redan tillåter att Skatteverket behandlar uppgifter för att tillhanda- hålla information som behövs för analys- och kontrolländamål. Efter- som ändamålsregleringen har sin utgångspunkt i den materiella verk- samhetsregleringen och inte enskilt utgör rättslig grund för den be- handling som är nödvändig, och den materiella verksamhetsregleringen har en stark koppling till ärendehandläggning, kan det dock ändå uppkomma situationer då det är oklart i vilken mån dataanalyser och urval får användas i syfte att förebygga fel, dvs. innan det finns ett ärende.
Avseende ändamålet som reglerar behandling för analys- eller kon- trollverksamhet för Tullverket finns inga särskilda förarbetsuttalan- den som exemplifierar användningen av analys för olika kontroller. Den aktuella ändamålsbestämmelsen fördes endast över från den tidi- gare tullregisterlagen (1990:137) med vissa redaktionella ändringar.108 I tullregisterlagen angavs inte analys i ändamålsbestämmelsen om myndighetens kontrolluppgifter. Det kan dock konstateras att ut- formningen av 1 kap. 4 § TDL redan i dag tillåter att Tullverket får behandla uppgifter för att tillhandahålla information som behövs för analys- eller kontrollverksamhet. I likhet med vad som anförs ovan om Skatteverket kan det dock också för Tullverket tänkas uppstå situationer då det är oklart i vilken utsträckning personuppgifter får behandlas för att göra analyser och urval utan koppling till ett ärende, bl.a. till följd av den materiella verksamhetsregleringens utformning. Kopplingen till ärendehandläggning är dock inte lika stark i Tull- verkets materiella verksamhetsreglering.
Kronofogdemyndighetens registerlag innehåller inget särskilt ända- mål om analys- och kontrollverksamhet eller liknande. Myndigheten har dock när det gäller behandling av uppgifter i alla fyra databaser ett ändamål som anger att Kronofogdemyndigheten får behandla upp- gifter i databaserna för att tillhandahålla uppgifter som behövs för förebyggande av överskuldsättning. Enligt förarbetena riktar myn- dighetens förebyggande verksamhet in sig på att försöka identifiera
107Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.
108Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.
1065
Dataanalyser och urval |
SOU 2023:100 |
skuldfällor och andra företeelser som kan leda till att enskilda ham- nar i skuld och att finna lösningar. Verksamheten bevakar och analy- serar omvärlden i samverkan med övriga processer. Enligt regeringen bygger detta mycket på analyser av uppgifter i databaserna för att se om myndigheten kan identifiera nya skuldfällor eller tendenser kring skulder och skuldutveckling. Det rör sig enligt regeringen i huvud- sak om behandling av uppgifter av närmast statistiskt slag.109
För Kronofogdemyndighetens del kan det i högre grad sägas vara oklart i vilken mån ändamålsbestämmelserna ger stöd för behandling av personuppgifter för mer övergripande kontroll- och analysverk- samhet.
Databasregleringen
De befintliga registerförfattningarna omfattar särskilda bestämmelser om uppgifter som behandlas gemensamt inom respektive verksamhet, dvs. uppgifter som behandlas i myndigheternas respektive databaser. Skatteverket har nyligen även fått möjlighet att föra en ny databas, analys- och urvalsdatabasen, inom folkbokföringsverksamheten.110 I myndigheternas databaser får uppgifter behandlas gemensamt för samtliga angivna primära ändamål. Vilka uppgifter som får behandlas inom databaserna anges särskilt i registerlagarna samt i förekom- mande fall tillhörande förordningar. Regleringen är ofta detaljerad och vilka personkretsar som uppgifter får behandlas om är begränsad.
Av avsnitt 14.4 framgår att myndigheterna till viss del uppfattar databasregleringen på olika sätt i förhållande till möjligheterna att behandla uppgifter för att göra dataanalyser och urval för kontroll, även när det inte finns ett ärende.
Vi kan konstatera att i de fall regleringen innebär att vissa upp- gifter får behandlas i databaserna om det behövs vid myndigheternas handläggning av ärenden, kan det uppstå oklarheter om samma upp- gifter får behandlas för att göra dataanalyser och urval också när det inte finns ett ärende. För Skatteverkets beskattningsverksamhet an- ges även i skattedatabasförordningen att det i beskattningsdatabasen får behandlas uppgifter som inhämtats från andra myndigheter, så- som t.ex. aktiebolagsregistret, Arbetsförmedlingen och Försäkrings-
109Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 25.
1102 a kap. FdbL.
1066
SOU 2023:100 |
Dataanalyser och urval |
kassan.111 Motsvarande detaljreglering som anger att uppgifter från andra myndigheter får behandlas i de andra databaserna finns inte, trots att även Tullverket och Kronofogdemyndigheten har möjlighet att inhämta uppgifter från andra myndigheter genom olika uppgiftsskyl- digheter som är reglerade i lag eller förordning. Det kan därmed upp- stå oklarheter i vilken mån regleringarna tillåter behandling av sådana inhämtade uppgifter från andra myndigheter i de fall det inte uttryck- ligen anges att de får finnas i databaserna. Exempelvis finns för Tull- verket ingen reglering i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF), av vilka uppgifter som får finnas i tulldatabasen. Däremot anges i tull- databaslagen att, utöver vissa specificerade kategorier av uppgifter, även andra uppgifter får behandlas i databasen som behövs för full- görande av ett åliggande som följer av ett för Sverige bindande in- ternationellt åtagande.112
För beskattningsverksamheten verkar regeringen vid införandet av den nuvarande skattedatabaslagen ha förutsatt att uppgifter får samlas in och därefter på annat sätt behandlas även utanför beskatt- ningsdatabasen genom t.ex. sambearbetning med andra register för urvals- eller kontrollprojekt.113 Liknande uttalanden finns dock såvitt
vihar funnit inte för Tullverket eller Kronofogdemyndigheten varför det även av den anledningen kan uppstå oklarheter i vilken mån upp- gifter får behandlas för dataanalyser och urval.
Samma oklarheter finns dock inte för folkbokföringsverksamheten sedan den nya regleringen i 2 a kap. FdbL trädde i kraft.
Generellt sett bör inte regleringen av personkretsarna för vilka uppgifter får behandlas i databaserna i sig anses innebära några större hinder mot att behandla uppgifter för dataanalyser och urval, även när det inte finns ett ärende. Regleringen tillåter nämligen att myndig- heterna behandlar uppgifter om personer där det är relevant för utför- andet av sina uppgifter, däribland de ändamål för analys och kontroll som finns i vissa av registerlagarna. I vilken utsträckning regleringen utgör ett problem i dag kan dock skilja sig mellan de olika verksam- heterna, se exempelvis nedan angående regleringen i folkbokförings- databaslagen.
1112 kap. 2 § SdbF.
1122 kap. 3 § andra stycket TDL.
113Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
1067
Dataanalyser och urval |
SOU 2023:100 |
Att olika regler gäller för uppgifter som behandlas i eller utanför en databas, och som därmed avgör vilka uppgifter som får göras gemen- samt tillgängliga, kan innebära att myndigheterna behöver göra tids- krävande bedömningar som inte alltid har direkt betydelse för en- skildas integritet. Redan av dataskyddsförordningen följer nämligen att även om uppgifter är tillåtna att behandla i databaserna får inte samtliga tjänstemän vid myndigheterna ha tillgång till samtliga upp- gifter (se bl.a. artikel 25 i dataskyddsförordningen). Uppgifter som inte får vara gemensamt tillgängliga behöver även i regel behandlas i en särskild
Viss övrig reglering
I de nuvarande registerlagarna finns särskild reglering av känsliga per- sonuppgifter och uppgifter om lagöverträdelser.114 Generellt gäller för Skatteverket, Tullverket och Kronofogdemyndigheten att käns- liga personuppgifter och uppgifter om lagöverträdelser som innefat- tar brott, domar i brottmål, straffprocessuella tvångsmedel eller admi- nistrativa frihetsberövanden endast får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I annat fall får sådana uppgifter endast behandlas om det särskilt anges i de kapitel som reglerar innehållet i databaserna.115 I vilken mån sådana kategorier av uppgifter får behandlas för att göra mer omfat- tande och övergripande dataanalyser och urval kan därmed komma att bero på om de uppgifter som används görs gemensamt tillgäng- liga eller inte. Det kan också konstateras att möjligheterna för myn- digheterna att behandla sådana särskilda kategorier av personupp- gifter är mer begränsande i förhållande till dataskyddsförordningen och dataskyddslagen när det gäller behandling som är nödvändig av hänsyn till bl.a. ett viktigt allmänt intresse eller som krävs enligt lag.116
Vidare kan de nu gällande bestämmelserna om sökbegrepp inne- bära obefogade hinder mot att behandla personuppgifter för data- analyser och urval då endast vissa angivna begrepp får användas vid sökningar. Generellt utesluter även dessa bestämmelser att känsliga
114Se avsnitten 10.2 och 10.3 för en närmare redogörelse av vad som gäller vid behandling av sådana särskilda kategorier av uppgifter.
1151 kap. 7 § SdbL, 1 kap. 6 § FdbL, 1 kap. 7 § TDL och 1 kap. 6 § KFMdbF.
116Artikel 9 i dataskyddsförordningen och 3 kap. 3 § dataskyddslagen.
1068
SOU 2023:100 |
Dataanalyser och urval |
personuppgifter och uppgifter om lagöverträdelser används som sök- begrepp.117 Det gäller däremot inte folkbokföringsverksamhetens analys- och urvalsdatabas.118 I praktiken finns det dock begränsningar för hur känsliga personuppgifter och uppgifter får behandlas även i folkbokföringsverksamhetens analys- och urvalsdatabas, vilka går längre än dataskyddsförordningen (se nedan).
Utöver detta gäller i dag enligt registerförfattningarna olika gall- ringsbestämmelser beroende på om uppgifter behandlas inom eller utanför en databas. De gallringsbestämmelser som generellt gäller vid behandling utanför databaserna avser enligt ordalydelserna endast uppgifter som behandlas automatiserat i ett ärende.119 För folkbok- föringsverksamheten finns nya bestämmelser om längsta tid för be- handling för uppgifter som behandlas i analys- och urvalsdatabasen.120
Särskilt om den nya regleringen i folkbokföringsdatabaslagen med tillhörande förordning
Skatteverkets folkbokföringsverksamhet har fått tydligare och i viss mån större möjligheter att använda uppgifter, även från andra myn- digheter, för analyser och urval.121 Även den nya regleringen för Skatteverkets folkbokföringsverksamhet innebär dock att det finns vissa obefogade hinder mot att kunna behandla uppgifter som behövs för att göra effektiva analyser och urval. Till exempel får inte alla upp- gifter som får behandlas i folkbokföringsdatabasen behandlas i analys- och urvalsdatabasen. Myndigheten får över huvud taget inte behandla känsliga personuppgifter eller uppgifter om lagöverträdelser som finns i handlingar i folkbokföringsdatabasen i analys- och urvalsdatabasen.122
Myndigheten har överlag små möjligheter att behandla känsliga personuppgifter i analys- och urvalsdatabasen. Sådana uppgifter kan dock behövas, dels för att få ett effektivt urval, dels för att säkerställa att urvalet ger ett rättvisande och korrekt resultat. Det är vidare prak- tiskt svårt för Skatteverket att kunna separera ut vilka handlingar som får finnas i analys- och urvalsdatabasen med utgångspunkt i dess innehåll.
1172 kap. 10 § SdbL, 2 kap. 9 § TDL och 2 kap. 29 § KFMdbL.
1182 a kap. 4 § FdbL.
1191 kap. 8 § SdbL, 1 kap. 8 § TDL och 1 kap. 7 § KFMdbL.
1202 a kap. 6 § FdbL.
121Se bl.a. 1 kap. 4 a §, 2 a kap. 3 § andra stycket FdbL och 5 c § FdbF.
122Se 2 a kap. 3 § jämförd med 1 kap. 6 § samt 2 kap.
1069
Dataanalyser och urval |
SOU 2023:100 |
Utöver detta finns det i dag begränsningar av vilka personkretsar Skatteverket får behandla uppgifter om. Genom den nuvarande regler- ingen får endast uppgifter om personer som har tilldelats person- nummer eller samordningsnummer behandlas. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.123 Att Skatteverket inte får behandla uppgifter för övergri- pande analyser om personer som myndigheten t.ex. beslutat att inte tilldela personnummer eller samordningsnummer kan innebära be- gränsningar i myndighetens möjligheter att göra jämförelser av om- ständigheter som har lett till att vissa personer tilldelats personnum- mer eller samordningsnummer och de som inte har det. Detta trots att myndigheten till följd av den materiella regleringen har rättslig grund för att behandla uppgifter även om personer vars ärenden avslutas med att de inte tilldelas personnummer eller samordningsnummer.
Vår sammantagna bedömning
Av redogörelserna ovan gör vi bedömningen att den nuvarande regler- ingen avseende myndigheternas personuppgiftsbehandling i vissa fall innebär att det är oklart i vilken omfattning personuppgifter får be- handlas för att göra dataanalyser och urval för kontroll utan kopp- ling till ärendehandläggningen, såsom för förebyggande syften och i samband med utveckling, testning och utvärdering av analysmetoder och urvalsmodeller. Regleringen innebär även att det i vissa fall kan vara oklart vilka bestämmelser som ska tillämpas i vilka situationer. Utöver detta bedöms den nuvarande regleringen ställa upp vissa omotiverade hinder för att kunna använda dataanalyser och urval som ett verktyg för att effektivisera kontrollverksamheten. Vissa skillna- der bedöms även finnas mellan myndigheternas möjligheter att be- handla personuppgifter för att använda dataanalyser och urval. Detta gäller särskilt för Skatteverkets folkbokföringsverksamhet som nyligen getts bättre möjligheter att använda sådana verktyg för kontroll.
I vilken mån vi anser att de oklarheter och hinder som finns genom den nuvarande regleringen bör ändras för att ge myndigheterna ut- ökade möjligheter att göra dataanalyser och urval framgår i följande avsnitt som behandlar olika frågor hänförliga till myndigheternas dataanalyser och urval. Våra förslag till reglering av myndigheternas
1232 a kap. 2 § jämförd med 2 kap. 2 § FdbL.
1070
SOU 2023:100 |
Dataanalyser och urval |
personuppgiftsbehandling vid dataanalyser och urval påverkas också i hög grad av den nya reglering vi i övrigt föreslår i beskattningsdata- lagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedata- lagen.
14.6Utökade möjligheter att göra dataanalyser och urval
14.6.1Myndigheterna bör ges utökade möjligheter att göra dataanalyser och urval
Vår bedömning: Skatteverket, Tullverket och Kronofogdemyn- digheten bör ges utökade möjligheter att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet.
Skälen för vår bedömning
Dataanalyser och urval är ett effektivt verktyg i myndigheternas verksamheter
Myndigheter har vissa generella krav på sig som kan uppfattas vara sinsemellan svårförenliga. De har å ena sidan ett utredningsansvar, och å andra sidan finns lagstadgade krav på effektivitet i handlägg- ningen. Detta kan få konsekvenser för myndigheters kontrollverk- samhet genom att kontroll ibland kan få stå tillbaka i förhållande till kraven på effektiv och snabb handläggning, eftersom kontrollåtgär- der kan vara resurskrävande.124 Ju större möjligheter myndigheterna har att rikta sina (kontroll)resurser rätt, dvs. till de ärenden som karaktäriseras av hög risk för felaktigheter, desto enklare låter sig de synbart motstridiga kraven på utredning och effektivitet förenas.
Dataanalyser och urval har i ett flertal rapporter, betänkanden och propositioner ansetts kunna bidra till att effektivisera olika myndig- heters kontrollverksamhet genom att exempelvis underlätta arbetet
124SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 128.
1071
Dataanalyser och urval |
SOU 2023:100 |
med att identifiera felaktigheter.125 Regeringen har nyligen uttalat att dataanalyser och urval är en naturlig del i myndigheters kontroll- verksamhet, och samtidigt konstaterat att under de senaste åren har Arbetsförmedlingen, CSN, Försäkringskassan och Pensionsmyndig- heten i viss mån använt denna typ av verktyg för att upptäcka felak- tiga utbetalningar.126
Enligt vår bedömning är det tydligt att även Skatteverket, Tull- verket och Kronofogdemyndigheten har behov av att använda data- analyser och urval för att kunna bedriva en resurseffektiv kontroll- verksamhet.127 Vi anser att även dessa myndigheter bör ges goda förutsättningar att på ett adekvat sätt kunna behandla personuppgif- ter för att göra sådana dataanalyser och urval. Samtliga dessa myn- digheter ansvarar för att utföra sina uppgifter på ett korrekt sätt. För att kunna uppfylla detta har myndigheterna getts olika kontroll- och utredningsbefogenheter inom respektive ansvarsområde. I kontroll- verksamheten ingår att myndigheterna gör kontroller av uppgifter innan beslut fattas samt att göra efterhandskontroller för att säker- ställa att korrekta beslut har fattats. Dataanalyser och urval måste, i enlighet med regeringens nyss refererade uttalanden, anses utgöra en naturlig del i sådan kontrollverksamhet. Genom att samköra upp- gifter som myndigheterna har tillgång till som en följd av bl.a. ärende- handläggning samt uppgifter som myndigheterna har möjlighet att begära in från exempelvis andra myndigheter blir det möjligt att identifiera områden där det finns störst risk för fel och fusk. I för- längningen leder det till att myndigheterna på ett effektivt sätt kan förhindra att felaktiga beslut fattas eller åtgärda tidigare fattade fel- aktiga beslut.
Exempelvis kan Skatteverket ta fram ett urval av deklarationer för ytterligare kontroll i vilka avdrag för vissa specifika kostnader har yrkats. Ett sådant urval kan med hjälp av dataanalyser baseras på högst risk för fel till följd av olika identifierade riskfaktorer utifrån den materiella regleringen om rätt till avdrag i inkomstskattelagen. Tull-
125Se t.ex. rapport från Riksrevisionen, Folkbokföringen – ett kvalitetsarbete i uppförsbacke, RiR 2017:23, s. 45, rapport från Inspektionen för socialförsäkringen, Profilering som urvals- metod för riktade kontroller – En granskning av träffsäkerheten, effektiviteten och rättssäkerheten i Försäkringskassans modeller för riskbaserade kontroller, ISF 2018:5, s. 119, SOU 2020:35, Kon- troll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetal- ningar från välfärdssystemen, s. 213 och prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s.
126Prop. 2022/23:34, Utbetalningsmyndigheten, s. 46.
127Jfr avsnitt 14.4 om myndigheternas uppgivna behov av att använda sådana verktyg.
1072
SOU 2023:100 |
Dataanalyser och urval |
verket kan t.ex. använda sig av dataanalyser och urval för att på ett effektivt och träffsäkert sätt identifiera försändelser där det finns en hög risk för att de innehåller varor med importrestriktioner som inte följer de särskilda krav som finns för införsel av sådana varor. När det gäller Kronofogdemyndigheten kan myndigheten använda sådana verktyg för att exempelvis identifiera ansökningar om betalnings- förelägganden som grundar sig på oriktiga fakturor.
Skatteverket har till utredningen gett exempel på hur vissa be- drägliga förfaranden kan gå till. Nedan görs en kort beskrivning av ett sådant exemplifierande scenario samt hur dataanalyser och urval kan förhindra sådana förfaranden.
Exempel på hur Skatteverket kan använda dataanalyser och urval för att effektivisera kontrollverksamheten
Scenario
Ett företag bildas genom förvärv av ett befintligt företag. Ungefär samtidigt anmäler en person att denne har flyttat till Sverige och ska arbeta i företaget. Personen folkbokförs av Skatteverket efter anmälan och myndighetens kontakt med dennes arbetsgivare. Personen tilldelas även ett personnummer och lämnar sedan Sverige. Det rör sig dock om en skenanställning. Det otillbörliga förfaran- det kan på olika sätt resultera i oriktiga skatteavdrag, återbetal- ningar av mervärdesskatt, oriktiga företagskrediter och förmån- liga lån. Vidare kan det leda till att den ”anställde” får felaktiga utbetalningar från andra myndigheter, såsom Försäkringskassan och
Genom olika former av bedrägliga upplägg kan flera felaktiga utbetalningar från välfärdssystemen hinna göras innan Skatteverket upptäcker att redovisade belopp inte stämmer. Utsikterna att genom återbetalningskrav och andra borgenärsåtgärder återvinna någon större del av sådana medel kan vara små.
1073
Dataanalyser och urval |
SOU 2023:100 |
Möjligt scenario med utökade förutsättningar att göra dataanalyser och urval
Genom användningen av dataanalyser och urval har Skatteverket utvecklat en riskvärderingsmodell för anmälningar om flytt till Sverige. Modellen kan flagga för att en anmälan behöver genomgå en fördjupad granskning. En sammanställning visar flera olika indikatorer som pekar ut risker för att anmälan är felaktig eller bedräglig. Modellen kan baseras på folkbokföringsuppgifter samt uppgifter från bl.a. beskattningsverksamheten, skattebrottsenheten och andra myndigheter som har bedömts relevanta för att upp- täcka fel och fusk i samband med flytt till Sverige.
Genom att modellen flaggar för vissa risker med anmälan om flytt till Sverige av personen som beskrivits ovan begär Skatte- verket komplettering av uppgifter och handlingar som visar att det som anges i anmälan om flytt är korrekt. Vid uteblivet eller otillfredsställande svar kan Skatteverket besluta att personen inte ska folkbokföras. Det minskar i sig risken för att t.ex. felaktiga utbetalningar även sker från andra myndigheter. Riskvärderings- modellen kan sedan uppdateras med resultatet av utredningen för att utveckla och förstärka myndighetens förmåga att upptäcka liknande upplägg. Vissa uppgifter som kommit fram vid en sådan utredning kan även lämnas till andra verksamheter inom Skatte- verket eller till andra myndigheter som behöver uppgifterna i sin verksamhet.
Med hjälp av uppgifterna kan även beskattningsverksamheten i sin tur uppdatera de riskvärderingsmodeller som tillämpas vid t.ex. företagsregistrering, återbetalning av mervärdesskatt samt redovisning av arbetsgivaravgifter med tillhörande individuppgif- ter. Nya riskindikatorer i modellerna kan öka träffsäkerheten för urval som indikerar avsiktligt fusk.
Sammantaget kan Skatteverket genom att använda dataanaly- ser och urval t.ex. öka förmågan att tidigt upptäcka registreringar av företag som ska användas som brottsverktyg, oriktiga redo- visningar av individuppgifter samt felaktiga utbetalningar.
När det gäller Tullverket ska myndigheten kontrollera transporter med varor som kommer landvägen, järnvägen, via sjöfarten och i flyg- flödet. Under år 2022 hanterades knappt 14 miljoner
1074
SOU 2023:100 |
Dataanalyser och urval |
genom ett automatiserat beslutsfattande.128 Utöver detta tillkommer andra typer av deklarationer och anmälningar som ska göras i tull- proceduren. De stora trafik- och varuflödena gör det omöjligt att kontrollera varje in- och utförsel. Personer som ägnar sig åt brottslig verksamhet och andra medvetna överträdelser hittar nya vägar och metoder för att transportera illegala varor eller undanhålla tull m.m. Det ställer krav på riskbaserade och underrättelsebaserade tullkon- troller.129
En importör kan undvika att betala korrekt tull genom att med- vetet deklarera ett lägre värde än det faktiska för de importerade varorna vilket ofta kombineras med att förfalskade handelsdokument visas upp. Tull kan även undandras genom att felaktiga uppgifter om ursprungsland anges för varorna, eller genom att varorna klassificeras felaktigt för att få en lägre tullsats. Ett undandragande kan även göras genom en kombination av ovanstående åtgärder eller genom att en importör utnyttjar en tullbefrielse genom att begära undantag för varor som inte är berättigade till det.130 Om den debiterade uppbörden är lägre än vad som skulle vara fallet om varan hade deklarerats kor- rekt ger det sämre förutsättningar för offentliga verksamheter och samhällsekonomin i stort. Under år 2022 debiterade Tullverket sam- manlagt 252 964 tkr efter tullkontroller, exklusive tulltillägg. Skatte- bortfall utifrån alkohol- och tobaksbeslag, beräknad på beslagtagen mängd, var samma år 36 004 tkr. Mörkertalet gällande bortfall av tull till följd av fel i deklarationer uppskattades till 180 686 tkr.131
Felaktig uppbörd bidrar även till att snedvrida konkurrensen. Företag som betalar för låg tull, annan skatt eller avgifter får en kon- kurrensfördel i förhållande till företag som lämnar korrekta upp- gifter. Vidare omfattas många varutyper av förbud eller krav på licen- ser eller särskilda tillstånd, s.k. restriktionsvaror. Det finns mer än 60 olika restriktionsområden. En restriktion kan ha sin grund i hän- syn till handelspolitiska skäl, miljöskydd, skydd för människors hälsa eller säkerhet, skydd för nationalskatter eller för att förhindra sprid- ning av djur- och växtsjukdomar.132 Exempel på restriktionsvaror är gränsöverskridande avfallstransporter, skydd för utrotningshotade
128Tullverkets årsredovisning 2022, s. 30.
129Tullverkets årsredovisning 2021, s. 26.
130Tullverkets årsredovisning 2021, s. 59.
131Tullverkets årsredovisning 2022, s. 57, 145 och 148.
132
1075
Dataanalyser och urval |
SOU 2023:100 |
djur och växter (cites)133, kulturföremål, kemiska produkter, livs- medel, läkemedel, narkotika och skjutvapen. Handel med restriktions- varor, som exempelvis kulturföremål, kan också ske för att tvätta pengar i brottslig verksamhet och för att finansiera terrorism. Över- trädelser av restriktionsregler kan därmed utgöra ett allvarligt hot mot samhället i en vidare bemärkelse.
För att kontrollverksamheten ska fungera effektivt behöver Tull- verket ha förmåga att identifiera komplicerade mönster i handelsflödet, strukturer och företeelser som utgör risker för fel, regelöverträdelser och säkerhet. Det förutsätter att myndighetens underrättelseverksam- het utvecklar sin förmåga att arbeta med datadrivna och predikativa analyser genom att använda nya metoder och ny teknik. Förmågan att se sammanhang och mönster är viktig för att kunna prioritera hur resurser kan användas på bästa sätt och på så sätt bidra till störst samhällsnytta. Det bidrar till en högre träffsäkerhet vid urval för kon- troll och att Tullverket kan fullgöra sitt uppdrag effektivt. Enligt Riksrevisionen är en effektiv resursanvändning beroende av att det finns möjlighet till en ändamålsenlig uppföljning av arbetet.134
Kronofogdemyndigheten har konstaterat att myndigheten används i brottslig verksamhet för att fastställa, driva in och sanera oriktiga fordringar. Inom verksamheten med betalningsföreläggande före- kommer enligt myndigheten falska ansökningar och ansökningar som grundar sig på brott. Mot bakgrund av att det årligen kommer in unge- fär 1,3 miljoner ansökningar om betalningsföreläggande till Krono- fogdemyndigheten är det svårt för myndigheten att i den manuella hanteringen upptäcka otillbörliga ansökningar. De krav som inte upp- täcks riskerar att fastställas i utslag, vilket kan leda till ekonomisk skada för enskild och förtroendeskada för myndigheten.
Inom verksamheten med betalningsföreläggande har Kronofogde- myndigheten under längre tid arbetat aktivt med att manuellt söka efter otillbörliga eller brottsliga ansökningar om betalningsföreläg- ganden. Om myndigheten hade haft större möjligheter att använda analys och urval hade detta arbete enligt myndigheten kunnat för- bättras och effektiviseras. Som ett exempel granskade myndigheten 897 mål under år 2022, varav 761 mål identifierades och kunde stoppas
133Cites står för Convention on International Trade in Endangered Species of Wild Fauna and Flora. Cites, även kallad
134Riksrevisionens rapport, Tullverkets kontroll – en träffsäker verksamhet?, RIR 2019:12, s. 54.
1076
SOU 2023:100 |
Dataanalyser och urval |
i vilka yrkade belopp samlat uppgick till cirka 14 miljoner kr. Felaktigt fastställda fordringar riskerar att senare hamna för verkställighet av gäldenären. Då finns det små möjligheter att invända mot ett laga- kraftvunnet utslag.
Även inom skuldsaneringen förekommer brottsupplägg, exem- pelvis falska fordringar, där dataanalyser kan förbättra möjligheterna att upptäcka sådana.
Dataanalyser och urval skulle också med framgång kunna användas inom Kronofogdemyndighetens tillsyn av konkurser och närings- förbud. Med hjälp av bättre verktyg skulle det vara möjligt att på ett mer effektivt sätt upptäcka lönegarantibedrägerier och brott mot näringsförbud. Riksrevisionen har tidigare konstaterat att det före- kommer missbruk av den statliga lönegarantin.135 Kronofogdemyn- digheten är en av få offentliga instanser som i sin handläggning kan upptäcka enskilda bedrägerier.
Utökade möjligheter att göra dataanalyser och urval
Skatteverkets, Tullverkets och Kronofogdemyndighetens behov av att kunna göra dataanalyser och urval skiljer sig i vissa delar åt till följd av myndigheternas olika uppdrag. Samtliga myndigheter har dock uttryckt att det finns ett behov av att använda sådana verktyg för att på olika sätt effektivisera kontrollverksamheten (se avsnitt 14.4).
Vi konstaterar ovan att användningen av dataanalyser och urval är effektiva verktyg i Skatteverkets, Tullverkets och Kronofogdemyndig- hetens verksamheter. För att dataanalyser och urval faktiskt ska fun- gera effektivt i kontrollverksamhet krävs att det är möjligt att använda sådana verktyg även för att förebygga och förhindra felaktigheter redan innan de uppstår i verksamheterna. En sådan möjlighet kan även minska antalet kostsamma efterhandskontroller och domstolsproces- ser. Det har exempelvis konstaterats att sambehandling av uppgifter från flera myndigheter är effektivt för att upptäcka och förhindra felaktiga utbetalningar.136
I avsnitt 14.5 framgår vissa av de begränsningar som den nu gällande sektorspecifika regleringen av berörda myndigheters personuppgifts-
135Se Riksrevisionens rapport, Den statliga lönegarantin – förekomst av missbruk och myndig- heternas kontrollarbete, RIR 2022:4.
136SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s.
1077
Dataanalyser och urval |
SOU 2023:100 |
behandling kan medföra i förhållande till att använda dataanalyser och urval. En förutsättning för att myndigheterna ska kunna bedriva en effektiv och rättssäker kontrollverksamhet är att det är möjligt att på ett adekvat sätt automatiserat behandla personuppgifter för kon- trolländamål.137 Regleringen tillsammans med myndigheternas materi- ella verksamhetsreglering (se avsnitt 14.2), vilka i flera fall är kopp- lade till ärendehandläggning, kan enligt vår uppfattning i vissa fall innebära att det i dag är oklart i vilken omfattning myndigheterna får behandla personuppgifter för att använda verktygen, särskilt för att förebygga felaktigheter. En del i detta är också det faktum att exem- pelvis utveckling, testning och utvärdering av analysmetoder och ur- valsmodeller kräver att personuppgiftsbehandling utförs på ett sätt som ligger utanför ärendehandläggningen. Redan i förarbetena till de nuvarande registerlagarna nämns dock att Skatteverket ska ges stöd för att kunna behandla personuppgifter i analysverksamhet som syftar till att ta fram olika riskprofiler, dvs. analyser av vilka skatte- subjekt som ska granskas, även avseende personer eller företag som inte är registrerade hos myndigheten.138 Även Tullverket gavs ett pri- märt ändamål som omfattar analys- och kontrollverksamhet.139 I dag ställer dock dataskyddsförordningen krav på att den rättsliga grun- den för behandlingen enligt bl.a. artikel 6.1 e, dvs. uppgiften av all- mänt intresse eller myndighetsutövningen, ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt (artikel 6.3 i dataskyddsförordningen).140 Den rättsliga grunden ska vidare vara tydlig och precis och dess tillämpning bör vara förutsägbar för per- soner som omfattas av den (se vidare avsnitt 14.7 nedan).141 Den rätts- liga grunden kan sedan även innehålla bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas och ändamålsbegränsningar (artikel 6.3 andra stycket i dataskyddsförordningen). Dataskyddsförordningen ställer därmed upp vissa krav som inte 1995 års dataskyddsdirektiv142 gjorde, vilken gällde när de berörda myndigheternas nuvarande register-
137Jfr SOU 2017:37, Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 378.
138Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.
139Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.
140Prop. 2017/18:105, Ny dataskyddslag, s.
141Skäl 41 till dataskyddsförordningen.
142Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
1078
SOU 2023:100 |
Dataanalyser och urval |
författningar infördes. Utöver detta innebär regeringsformens skydd mot betydande intrång i den personliga integriteten att vissa åtgärder som utgör sådana intrång måste regleras i lag för att vara tillåtna (2 kap. 6 § andra stycket och 2 kap. 20 och 21 §§ RF). Någon uttryck- lig eller särskild reglering av Skatteverkets, Tullverkets eller Krono- fogdemyndighetens möjligheter att använda digitala verktyg som kräver behandling av uppgifter även utanför ärendehandläggning, så- som dataanalyser och urval, i syfte att effektivisera kontrollverksam- heten finns inte i svensk rätt i dag. Ett undantag är dock den nyligen införda regleringen i folkbokföringsdatabaslagen som gäller i Skatte- verkets folkbokföringsverksamhet.
Vi gör bedömningen att Skatteverket, Tullverket och Kronofogde- myndigheten bör ges utökade möjligheter att använda dataanalyser och urval i sina verksamheter för kontrolländamål. Syftet ska vara att förebygga, förhindra och upptäcka fel inom Skatteverkets beskatt- ningsverksamhet och folkbokföringsverksamhet samt inom Tull- verkets och Kronofogdemyndighetens respektive verksamheter som omfattas av vårt uppdrag. Det ska alltså vara möjligt för myndig- heterna att behandla personuppgifter för att använda sådana verktyg även när det saknas koppling till ett visst ärende. Myndigheterna ges då bättre förutsättningar att utföra sina uppdrag och minska felak- tigheter i respektive verksamhet. Vår utgångspunkt är att regleringen ska möjliggöra sådan behandling samtidigt som skyddet för den per- sonliga integriteten upprätthålls. Generellt bör myndigheterna ges möjlighet att utföra den personuppgiftsbehandling som behövs för att de ska kunna utföra sina uppdrag på ett effektivt och rättssäkert sätt även när dataanalyser och urval används.
I den del av vårt uppdrag som avser en översyn av befintliga register- författningar har vi valt att föreslå genomgripande förändringar i för- hållande till hur regleringen ser ut i dag. Vi bedömer att det i sig inne- bär att vissa av de osäkerheter och omotiverade begränsningar kring personuppgiftsbehandling som dagens registerförfattningar innebär vid myndigheternas analys- och urvalsarbete inte längre kommer att finnas kvar. Det handlar bl.a. om slopad reglering av personkrets, databaser och handlingar samt ändrad reglering av tillåtna ändamål, sökbegränsningar, behandling av känsliga personuppgifter och upp- gifter om lagöverträdelser samt gallring av personuppgifter. Till följd av hur myndigheternas materiella verksamhetsreglering är utformad i vissa fall kommer dock enligt vår mening vissa tveksamheter att kvar-
1079
Dataanalyser och urval |
SOU 2023:100 |
stå i fråga om analyser och urval som görs utan koppling till ett enskilt ärende (se vidare avsnitt 14.7 nedan).
14.6.2Närmare om myndigheternas dataanalyser och urval
Olika analysmetoder
Myndigheterna kan komma att använda olika typer av analysmeto- der i arbetet med dataanalyser beroende på vad som mer specifikt ska uppnås. Det är varken möjligt eller vår avsikt att här uttömmande ange vilka metoder som kan komma att bli aktuella för Skatteverket, Tullverket och Kronofogdemyndigheten att använda. Det är ytterst upp till myndigheterna att avgöra vilka metoder som är möjliga att använda inom ramen för tillåten behandling av personuppgifter. Här ges några exempel på analysmetoder som kan komma att bli aktuella.
Deskriptiva analyser använder data för att beskriva något som redan har skett.143 Sådana analyser kan användas för att upptäcka avvikel- ser, dvs. anomalier.144 Ett exempel på deskriptiv analys kan vara att uppgifter om stora skulder från Kronofogdemyndighetens verksam- het med utsökning och indrivning analyseras för att upptäcka över- skuldsättning hos en viss samhällsgrupp.
Prediktiva analyser använder data och algoritmer för att förutse vad som sannolikt kommer att hända, ofta genom användning av maskininlärning.145 Sådana analyser kan användas för att se mönster och samband som sedan kan ligga till grund för urvalsmodeller. Pre- diktiva analyser använder historiska data och utgår på så sätt från tidigare konstaterade fel. Utifrån tidigare fall kan prediktiva analyser upptäcka mönster eller andra typer av indikatorer som kan indikera vad som kan vara korrekt respektive felaktigt. Det kan också användas för att uppskatta omfattningen av fel och bedrägerier146, eller för att identifiera vissa återkommande omständigheter i ärenden där felak- tiga utbetalningar har konstaterats.147 Prediktiva analyser kan t.ex.
143OECD (2019), A
144SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 217.
145OECD (2019), A
146SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 217.
147Prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 11.
1080
SOU 2023:100 |
Dataanalyser och urval |
användas av Tullverket för att förutse riskerna för att en viss sändning innehåller en restriktionsvara, eller av Skatteverket för att förutse risken för felaktiga momsåterbetalningar.
Nätverksanalyser utgår från samband, exempelvis mellan bolags- företrädare, telefonnummer, familjeförhållanden, adresser, tidpunk- ter, fastigheter, fordon, m.m. Sådana analyser kan vara effektiva för att upptäcka organiserade upplägg, där flera personer samarbetar eller på olika sätt delar med sig av upplägg för att missbruka systemen. Nätverksanalyser kan ge hög precision och bidra till att fel upptäcks tidigt.148 Kronofogdemyndigheten har exempelvis genom syntetiska data, dvs. datorgenererad data149, utforskat förutsättningarna för att använda nätverksanalys inom verkställighet med målet att öka indrivet belopp från de som kan men inte vill betala. Genom sådana analyser kan egendom som kopplar ihop flera gäldenärer identifieras.
Vad sker med urvalsträffarna?
Genom användningen av dataanalyser och urval får myndigheterna urvalsträffar. Myndigheterna granskar och bedömer vilka av urvals- träffarna som bör leda till närmare kontroller eller andra åtgärder utifrån de risker för felaktigheter som har identifierats. Vissa av ur- valsträffarna kan ge myndigheterna anledning att anta att det före- ligger en felaktighet som oupptäckt hade kunnat leda till att t.ex. beslut fattas på felaktiga grunder. Andra urvalsträffar kommer ut- mynna i att ingen ytterligare åtgärd vidtas med anledning av dessa.
I de fall urvalsträffar bedöms kräva närmare kontroller har myn- digheternas handläggare möjlighet att använda de författningsreglerade kontrollbefogenheter som finns tillgängliga för respektive myndighet. Det kan ske i redan befintliga ärenden som valts ut till följd av ur- valsträffen eller i ärenden som öppnats till följd av en urvalsträff. Så- dana närmare kontroller innebär även att myndigheterna exempelvis kan hämta in mer uppgifter från andra myndigheter om den som
148SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 217.
149Se Integritetsskyddsmyndigheten, Vi guidar dig – Vi hanterar bara anonymiserade per- sonuppgifter, då kan vi väl bortse från GDPR?,
1081
Dataanalyser och urval |
SOU 2023:100 |
särskilt ska kontrolleras, eller andra uppgifter av betydelse för kon- trollen, på samma sätt som vid andra kontroller som inte inletts på grundval av dataanalyser och urval. Den behandling av uppgifter som då sker är tillåten enligt bestämmelserna om tillåten behandling för att myndigheterna ska kunna utföra sina uppgifter.
Ytterligare andra urvalsträffar kommer inte att leda till att myn- digheterna använder sina kontrollbefogenheter mot enskilda för att fullgöra sina uppgifter utan kanske endast utmynnar i särskilda in- formationsinsatser eller identifiering av generella risker. Att iden- tifiera sådana generella risker, eller trender, kan i sig hjälpa myndig- heterna att fördela resurser och veta vad kontrollverksamheten bör riktas in på. Det kan också leda till att Skatteverket identifierar före- tag som inte är registrerade hos myndigheten trots att de kanske borde betala skatter och avgifter i Sverige, s.k.
Användning av AI och maskininlärning i analys- och urvalsverksamheten
AI och dess risker i förhållande till dataskyddsregleringen m.m.
Om de datamängder som är nödvändiga för att träna en
150Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
151SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s.
152Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 4. Informationsmaterial, N2018.14.
1082
SOU 2023:100 |
Dataanalyser och urval |
användningen av data. Personuppgifter bör dessutom endast behand- las om syftet med behandlingen inte kan uppnås genom andra medel.153 Begreppet personuppgift är brett definierat i dataskyddsförord- ningen. Dataskyddsförordningen kommer därför i de flesta fall att vara tillämplig på myndigheternas insamling och delning av data som används för dataanalyser, såsom maskininlärning.154 En risk som brukar nämnas i samband med vissa former av maskininlärning är bristande förklarbarhet, eller ”the black box”; svarta lådan. Det innebär att det inte alltid går att säga hur en modell har kommit fram till ett visst resultat.155 Detta kan sättas i relation till dataskyddsförordningens krav på öppenhet i artikel 5.1 a. ”Svarta lådan” kan också diskuteras i förhållande till 32 § FL som anger att ett beslut som kan antas på- verka någons situation på ett inte obetydligt sätt ska innehålla en klargörande motivering, om det inte är uppenbart obehövligt. Om utfallet i slutändan innebär att ett beslut fattas till nackdel för en enskild blir det nyss sagda särskilt aktuellt. Det kan alltså vara nöd- vändigt att kunna förklara och motivera vilken data som har legat till grund för vilken del av de olika övervägandena i ett beslut.156 Det kan inte uteslutas att detta kommer bli aktuellt för myndigheterna att beakta även när dataanalyser och urval används, t.ex. om en urvals-
träff ligger till grund för en del av ett övervägande i ett beslut. Resultatet som kommer ur en modell baserad på maskininlärning
kan vidare vara felaktigt och diskriminerande om den data som har använts för att träna modellen återger en partisk bild av verkliga för- hållanden eller om den inte är av relevans för det resultat som ska åstadkommas. Användning av sådana personuppgifter kan därför stå i strid med dataskyddsförordningens princip om korrekthet i arti- kel 5.1 a.157
För att minska behovet av att använda och dela personuppgifter på ett sätt som är problematiskt enligt dataskyddslagstiftningen kan syntetiska data användas.158 Ett problem som då kan uppstå vid myn- digheters tillämpning av maskininlärda algoritmer är att det kan upp-
153Skäl 39 till dataskyddsförordningen.
154Jfr Westman, D., Dataskyddet som hinder mot maskininlärning och samhällsnyttig analys?, Lov och data, nr 150, september 2022, nr 3/2022, s. 2.
155Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 12.
156Arvidsson, M., (2021), Maskininlärning och rättsligt beslutsfattande, Noll, G. (Red.), AI, digitalisering och rätten – en lärobok, 1:a upplagan, s. 132.
157Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 16.
158Westman, D., Dataskyddet som hinder mot maskininlärning och samhällsnyttig analys?, Lov och data, nr 150, september 2022, nr 3/2022, s. 3.
1083
Dataanalyser och urval |
SOU 2023:100 |
komma risker för fel och rättsosäkerhet om ”träningsdatan” inte motsvarar just den typ av data som sedan ska användas i skarpa fall.
Den nationella regleringen måste utformas i enlighet med data- skyddsförordningen och det är ytterst dessa regler som styr hur personuppgifter får behandlas i ett analys- och urvalsprojekt som in- kluderar
Profilering och diskriminering
Profilering
Profilering definieras i dataskyddsförordningen som varje form av automatisk behandling av personuppgifter som består i att dessa per- sonuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.159 Profilering är inte otillåtet enligt dataskyddsförord- ningen. Vissa krav ställs dock upp vid automatiserat individuellt be- slutsfattande som inbegriper profilering.160 Den registrerade har rätt att inte bli föremål för ett beslut som enbart grundas på automatise- rad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.161 Ett beslut är automatiserat om det enbart grun- das på automatiserad behandling som inbegriper profilering, dvs. bedömning av personliga egenskaper. Är det en eller flera människor som fattat själva beslutet, är det inte automatiserat även om män- niskorna har utnyttjat automatiserad behandling, som inbegriper profilering, för att komma fram till sitt beslut.162
Myndigheternas arbete med dataanalyser och urval innebär i nu- läget inte att myndigheterna fattar ett beslut som enbart grundas på sådant automatiserat individuellt beslutsfattande som avses i data- skyddsförordningen. Användningen av sådana verktyg är i stället ett
159Artikel 4.4 i dataskyddsförordningen.
160Artikel 22 i dataskyddsförordningen.
161Artikel 22.1 i dataskyddsförordningen.
162Öman, S., Dataskyddsförordningen (GDPR) m.m., (1 juli 2022, JUNO), kommentaren till artikel 22.
1084
SOU 2023:100 |
Dataanalyser och urval |
slags beslutsstöd för myndigheterna i kontrollverksamheten.163 Även om profilering inte är förbjuden enligt dataskyddsförordningen bör försiktighet iakttas eftersom det finns integritetsrisker med behand- ling vid dataanalyser och urval. Sådan behandling kan komma att innehålla vissa inslag av profilering trots att analys- och urvalsverk- samheten primärt inte syftar till att hitta en viss enskild individ baserat på exempelvis uppgifter om hans eller hennes ekonomiska situation. Myndigheterna bör därför noga överväga dessa frågor när olika ur- valsmodeller tas fram.164
Diskriminering
Vid användning av exempelvis maskininlärda algoritmer kan det finnas en risk för diskriminerande resultat om inte ”rätt” typ av data används. Det är därför av stor vikt att de urvalsmodeller som har tagits fram utvärderas och granskas kontinuerligt. Det allmänna har ett ansvar för att motverka diskriminering av människor på grund av kön, hud- färg, nationellt eller etniskt ursprung, språklig eller religiös tillhörig- het, funktionshinder, sexuell läggning, ålder eller andra omständig- heter som gäller den enskilde som person.165 Möjligheten att göra sammanställningar av uppgifter begränsas alltså av diskriminerings- lagstiftningen.166 Myndigheterna måste se till att upprätthålla kravet på likabehandling även vid dataanalyser och urval. Diskriminerings- grunderna bör därför undvikas som grund för urval om det inte tyd- ligt kan motiveras.167
163Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 222.
164Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s.
1651 kap. 2 § femte stycket RF.
166Se även diskrimineringslagen (2008:567).
167Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 223.
1085
Dataanalyser och urval |
SOU 2023:100 |
14.7Rättslig grund för behandling av personuppgifter för att göra dataanalyser och urval
Vår bedömning: Skatteverkets, Tullverkets och Kronofogde- myndighetens rättsliga grund för behandling av personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel inom sina verksamheter bör tydliggöras.
Skälen för vår bedömning
Vid användning av dataanalyser och urval behöver Skatteverket, Tull- verket och Kronofogdemyndigheten kunna analysera och utvärdera olika datamängder, däribland personuppgifter. För att dataanalyser och urval ska kunna användas på ett effektivt sätt i Skatteverkets, Tull- verkets och Kronofogdemyndighetens kontrollverksamheter behöver alltså personuppgifter kunna behandlas på ett ändamålsenligt sätt. För att en behandling av personuppgifter över huvud taget ska vara laglig krävs att något av villkoren i artikel 6.1 i dataskyddsförord- ningen är tillämpligt. Dataskyddsförordningen utgår nämligen från att varje behandling av personuppgifter måste vila på någon av de rätts- liga grunder som räknas upp i artikel 6.1. Flera rättsliga grunder kan vara tillämpliga avseende en och samma behandling.168 I avsnitt 3.2.5 och 3.2.6 finns närmare redogörelser för den generella dataskydds- regleringen.
För Skatteverkets, Tullverkets och Kronofogdemyndighetens del är det den rättsliga grunden i artikel 6.1 e som främst är aktuell att tillämpa vid behandling av personuppgifter vid dataanalyser och ur- val.169 Enligt den artikeln är behandling endast laglig om den är nöd- vändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Regeringen har uttalat att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse.170 I normal- fallet utgör en myndighets uppdrag enligt författning, instruktion eller regleringsbrev en rättslig grund för behandling av personupp- gifter enligt artikel 6.1 e.171 Vidare har
168Prop. 2017/18:105, Ny dataskyddslag, s.
169Jfr prop. 2017/18:105, Ny dataskyddslag, s. 57.
170Prop. 2017/18:105, Ny dataskyddslag, s. 56.
171Prop. 2022/23:34, Utbetalningsmyndigheten, s. 114.
1086
SOU 2023:100 |
Dataanalyser och urval |
börd av skatt och bekämpning av skatteundandragande ska betraktas som uppgifter av allmänt intresse.172 Det unionsrättsliga begreppet nödvändigt ska inte anses utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. I dagsläget bör det mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informa- tionshantering inte utgör ett realistiskt alternativ för vare sig myndig- heter eller företag.173
Generellt är de uppgifter som Skatteverket, Tullverket och Krono- fogdemyndigheten utför till följd av uppdrag i myndigheternas in- struktioner, regleringsbrev, specifika regeringsuppdrag, myndighets- förordningen och verksamhetsspecifika materiella författningar, t.ex. skatteförfarandelagen, inkomstskattelagen, folkbokföringslagen, tull- lagen och utsökningsbalken, uppgifter av allmänt intresse.
I avsnitt 14.6.1 konstaterar vi att myndigheterna bör ges utökade möjligheter att göra dataanalyser och urval i syfte att förebygga, för- hindra och upptäcka fel inom de verksamheter som omfattas av de föreslagna nya dataskyddslagarna. Med andra ord anser vi att det ska vara tillåtet att behandla personuppgifter för att använda sådana verk- tyg även när det inte finns någon koppling till ett visst ärende. Vi bedömer att myndigheterna därmed ges bättre förutsättningar att säkerställa att de författningsreglerade uppgifterna kan fullgöras på ett effektivt, korrekt och rättssäkert sätt. Det rör sig alltså om upp- gifter av allmänt intresse. Vidare är det nödvändigt att Skatteverket, Tullverket och Kronofogdemyndigheten behandlar personuppgifter elektroniskt för att utföra det kontrollarbete, vilket dataanalyser och urval är en del av, som krävs vid fullgörandet av uppgifterna. Sam- mantaget bedömer vi att den personuppgiftsbehandling som är nöd- vändig för att myndigheterna ska kunna utföra sina uppgifter ryms inom den rättsliga grunden uppgift av allmänt intresse eller som ett led i myndighetsutövning.
Vidare ska enligt artikel 6.3 första stycket i dataskyddsförord- ningen den grund för behandlingen som avses i artikel 6.1 e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt. Dataskyddsförordningen kräver inte att det finns en lag för varje en-
172
173Prop. 2017/18:105, Ny dataskyddslag, s.
1087
Dataanalyser och urval |
SOU 2023:100 |
skild behandling, utan det kan räcka med en lag som grund för flera behandlingar.174 Det krävs inte heller en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av den rättsliga grunden i artikel 6.1 e. Det som måste ha stöd i rätts- ordningen är uppgiften av allmänt intresse eller rätten att utöva myn- dighet.175 Vidare måste inte den rättsliga grunden fastställas i en lag- stiftningsakt antagen av ett parlament.176
Skatteverket, Tullverket och Kronofogdemyndigheten har alla en skyldighet enligt sina instruktioner att bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och företag som respektive myndighet.177 Dataanalyser och urval är ett verktyg som innebär att myndigheterna kan rikta sina resurser där de behövs som mest, dvs. där det t.ex. finns störst risk för fel eller fusk.
När det gäller Skatteverkets beskattningsverksamhet finns det, med något enstaka undantag178, inget uttryckligt stöd i den materi- ella verksamhetsregleringen för övergripande dataanalyser och urval. Detsamma gäller för Skatteverkets folkbokföringsverksamhet. Som framgått av avsnitt 14.2 utgår de bestämmelser som reglerar Skatte- verkets utrednings- och kontrollbefogenheter från åtgärder som myn- digheten kan vidta i enskilda ärenden i form av exempelvis föreläg- ganden, vitesförelägganden, kontrollbesök och revision.
Av förarbetena till den nu gällande skattedatabaslagen och folk- bokföringsdatabaslagen framgår att Skatteverket inom båda dessa verksamheter ska ha möjlighet att göra riskanalyser med hjälp av automatiserad databehandling för att välja ut ärenden, skattesubjekt eller uppgifter som särskilt ska kontrolleras.179 Särskilda ändamåls- bestämmelser som omfattar sådan behandling finns därför i de nu gällande registerlagarna. Det har dock inte tillförts någon bestämmelse i materiell rätt som ger Skatteverket i uttrycklig uppgift att utföra sådana riskanalyser. Detta trots att de befintliga primära ändamåls- bestämmelserna är direkt anpassade till respektive verksamhet180, vars
174Skäl 45 till dataskyddsförordningen.
175Prop. 2017/18:105, Ny dataskyddslag, s. 49.
176Skäl 41 till dataskyddsförordningen.
17710 § förordningen med instruktion för Skatteverket, 7 § förordningen med instruktion för Tullverket och 5 § förordningen med instruktion för Kronofogdemyndigheten.
178Se t.ex. regleringen i 33 b kap. SFL.
179Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
180Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 99.
1088
SOU 2023:100 |
Dataanalyser och urval |
reglering alltså har en stark koppling till handläggning av enskilda ärenden.
Skatteverket har dock nyligen fått en utökad möjlighet att göra dataanalyser och urval inom folkbokföringsverksamheten genom nya bestämmelser i folkbokföringsdatabaslagen med tillhörande förord- ning. I den proposition som föregick de nya bestämmelserna be- dömde regeringen att det ingår i Skatteverkets uppgifter enligt 2 § för- ordningen med instruktion för Skatteverket att myndigheten måste kunna kontrollera uppgifternas riktighet och utföra analyser och ur- val för att fullgöra den uppgift som ålagts myndigheten. I bestäm- melsen anges att Skatteverket ansvarar för frågor om folkbokföring och personnamn samt att uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Regeringen ansåg mot denna bakgrund att Skatteverket redan i dag har stöd för att använda sig av analyser och urval i folk- bokföringsverksamheten. Något behov ansågs därför inte finnas att av den anledningen ändra i instruktionen eller i folkbokföringslagen.181 Vi har inte funnit någon anledning att nu frångå den bedömningen.
I Skatteverkets instruktion finns ytterligare bestämmelser som vi bedömer är av relevans för beskattningsverksamhetens möjligheter att utföra dataanalyser och urval. Enligt 1 § förordningen med in- struktion för Skatteverket ska Skatteverket fastställa och ta ut skatter, socialavgifter och andra avgifter så att en riktig uppbörd kan säker- ställas. Skatteverket ska även fastställa rättvisande taxeringsvärden på fastigheter så att korrekt underlag finns för skatteberäkning och andra ändamål. Enligt 7 § ansvarar Skatteverket för vissa borgenärs- uppgifter och enligt 8 § ska myndigheten fastställa pensionsgrundande inkomst.
Vi anser att för att Skatteverket ska kunna utföra dessa uppgifter i enlighet med de krav på effektivitet och korrekthet som finns måste myndigheten även inom beskattningsverksamheten få göra dataanaly- ser och välja ut vilka ärenden, skattesubjekt eller uppgifter som ska kontrolleras närmare.
Tullverkets materiella reglering som är av relevans för dataanaly- ser och urval för kontroll skiljer sig från Skatteverkets. Enligt 1 kap. 2 § tullförordningen (2016:287) ska Tullverket utföra de uppgifter
181Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s.
1089
Dataanalyser och urval |
SOU 2023:100 |
som en tullmyndighet eller en behörig myndighet har enligt förord- ning (EU) nr 952/2013, dvs. tullkodexen, och de förordningar som meddelas med stöd av den förordningen om inget annat sägs i lag eller förordning. Av artikel 46 i tullkodexen framgår att Tullverket får genomföra alla tullkontroller som anses nödvändiga. Vidare anges att andra tullkontroller än slumpvisa kontroller främst ska baseras på riskanalys som görs med hjälp av elektronisk databehandlings- teknik i syfte att, på grundval av kriterier som utarbetats på nationell nivå, unionsnivå och, i förekommande fall, internationell nivå, iden- tifiera och bedöma risker och utarbeta nödvändiga motåtgärder.182 Det framgår även att tullkontroller ska utföras inom en gemensam ram för riskhantering som grundar sig på utbyte av riskinformation och riskanalysresultat mellan tullförvaltningar och genom vilken det fastställs gemensamma riskkriterier och standarder, kontrollåtgärder och prioriterade kontrollområden. Vidare framgår det av artikel 227 i kommissionens genomförandeförordning till tullkodexen183 att när tulldeklarationen inges i enlighet med artikel 171 i kodexen184 ska tullmyndigheterna behandla de uppgifter som inlämnas före anmälan av varornas ankomst särskilt för riskanalysändamål. För riskhanter- ing och tullkontroller ska ett gemensamt elektroniskt system an- vändas för bl.a. utbyte och lagring av uppgifter.185 I kompletterings- förordningen till tullkodexen finns mycket detaljerade regler om bl.a. gemensamma uppgiftskrav för utbyte och lagring av uppgifter.186 Ytterligare regler som är hänförliga till riskanalys och kontroller finns
itullkodexen samt genomförandeförordningen och kompletterings- förordningen till tullkodexen.187
Genom den unionsrättsliga materiella verksamhetsregleringen har Tullverket enligt vår mening stöd för att göra analyser och urval, även mer övergripande sådana utan koppling till ärenden, i syfte att utföra tullkontroller inom de områden som omfattas av tullkodexen.
182En definition av risk finns i artikel 5.7 i tullkodexen.
183Kommissionens genomförandeförordning (EU) 2015/2447 av den 24 november 2015 om närmare regler för genomförande av vissa bestämmelser i Europaparlamentets och rådets för- ordning (EU) nr 952/2013 om fastställande av en tullkodex för unionen. I fortsättningen be- nämnd genomförandeförordningen.
184I artikel 171 i tullkodexen anges att en tulldeklaration för inges innan varornas ankomst väntas anmälas till tullen. Om varorna inte anmäls inom 30 dagar efter ingivandet av tull- deklarationen ska den anses inte ha ingetts.
185Artikel 16 i tullkodexen och artikel 36 i genomförandeförordningen.
186Kommissionens delegerade förordning (EU) 2015/2446 av den 28 juli 2015 om komplettering av Europaparlamentets och rådets förordning (EU) nr 952/2013 vad gäller närmare regler avseende vissa bestämmelser i unionens tullkodex.
187Se t.ex. artiklarna 128 och 264 i tullkodexen och artikel 186 i genomförandeförordningen.
1090
SOU 2023:100 |
Dataanalyser och urval |
Det finns vissa andra områden inom Tullverkets verksamhet där det inte är lika tydligt att den materiella verksamhetsregleringen ut- tryckligen ger det stöd som krävs. Det handlar exempelvis om de uppgifter Tullverket utför enligt inregränslagen och lagen om punkt- skattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter. Urval för sådan kontroll får enligt dessa lagar inte göras slumpmässigt (2 § inregränslagen och 1 kap. 5 § andra stycket LPK). I motiven till dessa bestämmelser anges dock att Tullverket får göra det selektiva urvalet för kontroll på grundval av t.ex. risk- profiler eller information som finns tillgänglig hos Tullverket.188 Även sådan reglering kan därmed anses ge stöd för analys- och urvalsverk- samheten. Att det inte på samma sätt framgår av bestämmelsernas ordalydelser bör inte ha betydelse i detta sammanhang.189
Vidare ska Tullverket enligt 1 § förordningen med instruktion för Tullverket fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas. Enligt 2 § ska Tullverket övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs. Även denna reglering bedöms ge stöd för Tullverkets arbete med analyser och urval för att kunna fullgöra de uppgifter som ålagts dem.
Kronofogdemyndighetens materiella verksamhetsreglering utgår från utrednings- och kontrollbefogenheter som kan vidtas i enskilda mål eller ärenden, såsom förelägganden, vitesförelägganden eller för- hör. Till skillnad från Skatteverket finns det inga särskilda uttalanden i propositionen till den nu gällande kronofogdedatabaslagen om myn- dighetens behandling av personuppgifter för att göra analyser och ur- val. Enligt 1 § förordningen med instruktion för Kronofogdemyndig- heten är Kronofogdemyndighetens huvudsakliga uppgifter indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsaner- ing samt tillsyn i konkurs och tillsyn över rekonstruktörer. Enligt 2 § ska Kronofogdemyndigheten verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas. Krono- fogdemyndighetens uppdrag har därmed inte lika omfattande inslag av kontrollverksamhet som Skatteverkets eller Tullverkets. Krono- fogdemyndighetens generella uppdrag är i stället av mer verkställande och rådgivande art genom att den ska bistå borgenärer som inte fått
188Prop. 1995/96:166, Tullens befogenheter vid den inre gränsen, s.
189Jfr prop. 2017/18:105, Ny dataskyddslag, s. 188.
1091
Dataanalyser och urval |
SOU 2023:100 |
betalt och ge stöd och råd till gäldenärer. Det kan här nämnas att flertalet av de analyser som Kronofogdemyndigheten utför görs för att nå högre kunskap om skuldsättningens effekter i samhället. Kronofogdemyndigheten har eller planerar dock för att börja arbeta mer med dataanalyser och urval även för att hitta de områden där det finns högre risk för fel eller fusk eller för att identifiera vilken slags egendom som det typiskt sett finns högre risk för kan komma att undandras.
Trots att kontrolluppdraget inte är lika framträdande för Krono- fogdemyndigheten har även den myndigheten ett ansvar för att se till att utföra de uppgifter som ålagts den på ett effektivt och korrekt sätt. Hänsyn ska inte heller enbart tas till en bestämmelses ordalyd- else för att avgöra om något följer av t.ex. lagtext i dataskyddsför- ordningens mening.190 Vi menar att även Kronofogdemyndigheten måste anses ha stöd för att utföra analyser och urval i syfte att före- bygga, förhindra och upptäcka fel. Det kan exempelvis göras för att identifiera ansökningar om betalningsförelägganden där det finns högre risk för att de grundar sig på oriktiga fakturor eller för att hitta var i samhället risken för överskuldsättning är som störst i syfte att vidta förebyggande åtgärder inom dessa samhällsgrupper.
En rättslig grund för behandling av personuppgifter måste upp- fylla kraven på tydlighet, precision och förutsebarhet i dataskydds- förordningen för att den behandling som stödjer sig på den aktuella grunden ska vara laglig.191 Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Ett mer kännbart intrång, t.ex. behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer pre- ciserad och därmed gör intrånget försvarbart.192
Skatteverket, Tullverket och Kronofogdemyndigheten är tre myn- digheter som alla behandlar personuppgifter i sina respektive verksam- heter. Skatteverket behandlar personuppgifter inom beskattningsverk- samheten och folkbokföringsverksamheten i mycket större omfattning än vad Tullverket och Kronofogdemyndigheten gör i sina respektive verksamheter. Även Tullverkets och Kronofogdemyndighetens verk-
190Prop. 2017/18:105, Ny dataskyddslag, s. 188.
191Artikel 6.2 och skäl 41 till dataskyddsförordningen.
192Prop. 2017/18:105, Ny dataskyddslag, s. 51 och 188.
1092
SOU 2023:100 |
Dataanalyser och urval |
samheter är dock sådana att inte oväsentliga mängder personuppgif- ter behandlas. Dataanalyser och urval inom myndigheternas verksam- heter i syfte att förebygga, förhindra och upptäcka fel innebär för samtliga berörda myndigheter att egna verksamhetsuppgifter sam- körs på ett sätt som inte sker när uppgifterna behandlas för att hand- lägga enskilda ärenden. Vidare kan sådana uppgifter komma att sam- bearbetas med uppgifter som myndigheterna har inhämtat från andra myndigheter, antingen som ett led i ärendehandläggning eller pri- märt för att göra dataanalyser och urval. Det kan även förekomma behandling av känsliga personuppgifter. De urval som tas fram med hjälp av dataanalyserna kommer i förekommande fall att leda till att myndighetsutövning vidtas mot enskilda. Den personuppgiftsbehand- ling som myndigheternas dataanalyser och urval ger upphov till är därmed sammantaget av sådan karaktär och omfattning att intrånget i den personliga integriteten kan bli kännbart. Vi anser därför att den rättsliga grunden behöver ha en relativt hög grad av tydlighet, preci- sion och förutsebarhet för att uppfylla kraven i dataskyddsförord- ningen.
I avsnitt 8.4.3 föreslås att de nya lagarna ska innehålla brett formu- lerade ändamålsbestämmelser. Innebörden av bestämmelserna är att myndigheterna får behandla personuppgifter om det är nödvändigt för att utföra de verksamheter som omfattas av lagarnas tillämpnings- områden. Den föreslagna regleringen tillåter därmed att person- uppgifter behandlas om det är nödvändigt för att Skatteverket, Tull- verket och Kronofogdemyndigheten ska kunna utföra sina uppgifter, i vilka ingår att vidta de åtgärder för kontroll som krävs. Vidare kommer finalitetsprincipen även att ge stöd för viss behandling. Som anges ovan framgår av den materiella verksamhetsregleringen på ett tydligt sätt att Tullverket har i uppgift att utföra olika typer av riskanalyser genom att behandla uppgifter automatiserat för att bl.a. göra tull- kontroller. De författningar som fastställer den uppgift av allmänt intresse som ger stöd för den aktuella behandlingen vid Skatteverket och Kronofogdemyndigheten, samt vissa andra delar i Tullverkets verksamhet, får dock sägas inbegripa mer allmänt hållna bestämmel- ser. Vidare är den övriga materiella verksamhetsreglering som ger myndigheterna befogenheter i hög grad kopplad till åtgärder som kan vidtas i enskilda ärenden.
Mot bakgrund av den karaktär personuppgiftsbehandlingen kan ha vid dataanalyser och urval för kontrolländamål finns det enligt vår
1093
Dataanalyser och urval |
SOU 2023:100 |
mening skäl att tydliggöra den rättsliga grunden för behandlingen. På detta sätt ges myndigheterna även tydligare ramar för hur verktyget får användas i verksamheterna.193 Det kan underlätta för berörda myn- digheter att avgöra i vilken omfattning de får göra dataanalyser och urval. Det gör det även enklare för enskilda fysiska personer att få en uppfattning om vad som är tillåtet för myndigheterna i detta sam- manhang, vilket är viktigt bl.a. mot bakgrund av de kontrollåtgärder som framtagandet av urvalsträffar kan leda till. Av artikel 5.1 a i data- skyddsförordningen framgår dessutom att personuppgiftsbehandling ska ske på ett öppet sätt i förhållande till den registrerade.
Vidare kan myndigheternas personuppgiftsbehandling vid data- analyser och urval för kontroll innebära kartläggning av enskildas personliga förhållanden på ett sätt som utgör betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket RF (se av- snitten 6.2 och 14.12). Behandlingar som innebär begränsningar i regeringsformens skydd för den personliga integriteten kan endast tillåtas genom bestämmelser i lag (2 kap. 20 § första stycket 2 RF). Det innebär att en tydliggörande reglering av behandling av personu- ppgifter vid dataanalyser och urval bör slås fast i lag. I avsnitten 6.2 och 14.12 finns en bedömning av om förutsättningarna för att be- sluta om en sådan rättighetsinskränkande reglering i enlighet med våra förslag är uppfyllda.
Sammanfattningsvis gör vi bedömningen att den rättsliga grunden för myndigheternas användning av dataanalyser och urval som verk- tyg för en effektiv kontrollverksamhet bör tydliggöras genom ytter- ligare reglering i lag. Våra överväganden och förslag till sådan regler- ing finns nedan i avsnitten 14.8 och 14.9.
193Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 22.
1094
SOU 2023:100 |
Dataanalyser och urval |
14.8Nya särskilda ändamålsbestämmelser som avser dataanalyser och urval
Vårt förslag: Det ska finnas bestämmelser i beskattningsdata- lagen, folkbokföringsdatalagen, tulldatalagen och kronofogde- datalagen som föreskriver att myndigheterna får behandla per- sonuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksam- het som omfattas av lagarnas tillämpningsområden.
I kronofogdedatalagen ska det även föreskrivas att Krono- fogdemyndigheten får behandla personuppgifter om det är nöd- vändigt för att göra dataanalyser och urval i syfte att motverka överskuldsättning.
Skälen för vårt förslag
Det bör inte införas särskilda bestämmelser om dataanalyser och urval i befintlig eller ny materiell verksamhetsreglering
Ett sätt för att tydliggöra att Skatteverket, Tullverket och Krono- fogdemyndigheten har rättslig grund för att använda dataanalyser och urval är att införa nya eller ändrade bestämmelser i materiell verk- samhetsreglering. Sådana bestämmelser skulle kunna ges innebörden att myndigheterna får göra dataanalyser och urval för vissa angivna kontrolländamål och införas i anslutning till de regler som finns om myndigheternas utredning och kontroll i exempelvis skatteförfarande- lagen, inregränslagen och konkurslagen.
Sådana bestämmelser i lagar som de nu nämnda, med undantag för vissa av Tullverkets verksamhetsförfattningar, reglerar dock huvud- sakligen myndigheternas befogenheter att vidta utrednings- och kon- trollåtgärder i enskilda ärenden (jfr avsnitt 14.2). Bestämmelserna är också förhållandevis detaljerade. De åtgärder som myndigheterna vid- tar vid analyser och urval är en mer övergripande och resultatorien- terad kontrollverksamhet som därmed skiljer sig från bestämmelser om kontroll i ett enskilt fall. Det är vidare svårt att hitta andra sam- manhang i den typen av författningar där bestämmelser som ger stöd åt användningen av sådana verktyg som här är aktuella skulle passa in. Det bedöms inte heller vara lämpligt att reglera sådana bestäm-
1095
Dataanalyser och urval |
SOU 2023:100 |
melser i exempelvis nya kapitel i varje materiell författning där det skulle kunna vara aktuellt. Dataanalyser och urval är vidare inte någon ny befogenhet eller uppgift som utgör myndighetsutövning och som av den anledningen bör regleras i myndigheternas materiella författningar. Det är därför inte heller lämpligt att föra in nya eller förtydligande bestämmelser i myndigheternas förordningar med instruktioner.194
Ytterligare en möjlighet är att överväga en reglering av myndig- heternas dataanalyser och urval i helt nya författningar. En materiell lag som exempelvis reglerar Skatteverkets arbete med dataanalyser och urval skulle kunna innehålla bestämmelser om när myndigheten får använda sådana verktyg och hur de får användas. En sådan typ av reglering skulle kunna ge tydliga ramar för myndigheternas arbete med dataanalyser och urval, även i de fall det saknas koppling till ärende- handläggning. Personuppgiftsbehandlingen skulle styras av framför allt de föreslagna sektorspecifika lagarna om dataskydd, dataskydds- förordningen och dataskyddslagen. Myndigheternas materiella upp- gifter skulle då fortsatt hållas separerade från dataskyddsregleringen vilket underlättar tillämpningen. Som vi tidigare nämnt avser vi dock inte att reglera en ny uppgift för myndigheterna. En utökad möjlig- het att använda dataanalyser och urval kräver i stället framför allt tyd- ligare rättsligt stöd för den personuppgiftsbehandling som är nöd- vändig att utföra eftersom denna i många fall kommer att utgöra ett ingrepp i enskildas personliga integritet.
Särskilda dataskyddsbestämmelser ska införas
Vi anser att det mest ändamålsenliga för att säkerställa att myndig- heterna kommer att ha rättslig grund för den personuppgiftsbehand- ling som krävs för att göra dataanalyser och urval i syfte att före- bygga, förhindra och upptäcka fel i enlighet med våra förslag är att föra in bestämmelser med kompletterande dataskyddsreglering i de föreslagna lagarna om dataskydd, dvs. beskattningsdatalagen, folk- bokföringsdatalagen, tulldatalagen och kronofogdedatalagen. Särskilda regler om behandling av personuppgifter har visserligen nyligen in- förts i folkbokföringsdatabaslagen. Att vi trots detta anser att nya
194Regeringen har nyligen bedömt att så inte behövs för Skatteverkets folkbokföringsverk- samhet, se prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s.
1096
SOU 2023:100 |
Dataanalyser och urval |
bestämmelser om dataanalyser och urval även ska införas för Skatte- verkets folkbokföringsverksamhet beror på att våra förslag i övriga delar innebär att folkbokföringsdatabaslagen ska upphävas och ersättas av en ny lag som inte kommer att innehålla en databasreglering.
En fråga som uppkommer med anledning av en sådan lösning är om det är möjligt att i svensk rätt införa den kompletterande regler- ing som här avses i sektorspecifika lagar om dataskydd, och vad som i sådana fall kan regleras. Det är uppgiften av allmänt intresse eller myndighetsutövningen i artikel 6.1 e i dataskyddsförordningen som ska fastställas i unionsrätten eller nationell rätt (artikel 6.3 första stycket). En sådan reglering utgör då den rättsliga grunden för be- handling. I artikel 6.3 andra stycket anges dock att den rättsliga grun- den kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Det avser bl.a. de all- männa villkor som ska gälla för den personuppgiftsansvariges behand- ling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Utifrån detta samt sett till hur hela artikel 6 är konstruerad utgår dataskyddsförordningen till synes från att även sådana särskilda be- stämmelser som är möjliga att införa ska regleras i den författning som ger stöd åt uppgiften av allmänt intresse eller myndighetsutöv- ningen. Den systematik som finns i svensk rätt på området avseende myndigheters personuppgiftsbehandling har dock varit att bestäm- melser om dataskydd tas in i särskilda registerförfattningar. Reger- ingen har även anfört att EU:s dataskyddsförordning ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i berörda myndigheters registerlagar.195 Om sådana särskilda bestämmelser som avses i artikel 6.3 andra stycket i dataskyddsför- ordningen tas in i de sektorspecifika lagarna om dataskydd i stället för i materiell rätt, bör det innebära att sådana bestämmelser därmed blir en del av den rättsliga grunden.
En risk med en sådan systematik är att även om syftet med en så- dan kompletterande reglering är att göra den rättsliga grunden mer tydlig och precis, kan effekten bli den motsatta eftersom tillämparen
195Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s.
1097
Dataanalyser och urval |
SOU 2023:100 |
måste beakta bestämmelser i olika författningar för att utföra vissa åtgärder. Ett sätt att undvika sådana tillämpningssvårigheter är, i likhet med vad som diskuterats ovan, att införa regler om personuppgifts- behandling i anslutning till de bestämmelser om myndigheternas upp- gifter som finns i materiell verksamhetsreglering. Den svenska lag- stiftningstraditionen är dock sådan att liknande kompletterande bestämmelser om personuppgiftsbehandling brukar införas i sek- torspecifika författningar om behandling av personuppgifter.196 Vi bedömer att det i just detta fall är en bättre lösning att upprätthålla den svenska systematiken. Vidare är det framför allt just förutsättning- arna för att behandla personuppgifter vid dataanalyser och urval som behöver förtydligas. Vi anser därför att det är lämpligt och möjligt att införa sådana kompletterande bestämmelser i de föreslagna lagarna för att tydliggöra att den personuppgiftsbehandling som kommer att utföras vid dataanalyser och urval har det stöd som krävs.
Utformningen av nya ändamålsbestämmelser om behandling av personuppgifter för att göra dataanalyser och urval
Enligt artikel 5.1 b i EU:s dataskyddsförordning får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ända- mål. Det finns inget krav på att ändamålen ska vara fastställda i nationell författning, men det finns inte heller något som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som efter- strävas.197 Om ändamålsbestämmelser införs i dataskyddsförfattningar är det en sådan typ av specifika bestämmelser som i enlighet med artiklarna 6.2 och 6.3 i dataskyddsförordningen anpassar tillämp- ningen av förordningen. Syftet med sådana bestämmelser är att ange ramen för vilken behandling som är tillåten.198 När ändamålsbestäm- melser finns i sektorspecifika registerförfattningar anses de vara ett
196Jfr t.ex. 1 kap. 6 § och 3 kap.
197Artikel 6.3 andra stycket i dataskyddsförordningen, prop. 2017/18:105, Ny dataskyddslag, s. 48 och prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s.
198Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 24.
1098
SOU 2023:100 |
Dataanalyser och urval |
sådant fastställande av den rättsliga grunden för en uppgift av all- mänt intresse som avses i artikel 6.3 i dataskyddsförordningen.199
En reglering av behandling av personuppgifter när dataanalyser och urval utförs behöver täcka all den behandling som är nödvändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna använda sådana verktyg i myndigheternas kontrollverksam- het. Det är därför viktigt att de inte formuleras på ett sätt som be- gränsar myndigheternas möjligheter i förhållande till vad som gäller i dag. Våra förslag innebär att behandling av personuppgifter för att göra dataanalyser och urval ska få ske för samma övergripande syfte, nämligen att på ett så korrekt och effektivt sätt som möjligt fullgöra sina författningsreglerade uppgifter genom att använda sådana verk- tyg för kontrollverksamhet och i Kronofogdemyndighetens fall även för att motverka överskuldsättning (se nedan). Detta bör framgå på ett sätt som gör det möjligt att förutse när personuppgifter kan komma att behandlas för att göra dataanalyser och urval.
Vi föreslår att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska införas bestämmelser som föreskriver att myndigheterna får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet som omfattas av lagarnas tillämpningsområden. Bestämmelserna bör föras in som särskilda pri- mära ändamål i anslutning till de brett formulerade ändamålsbestäm- melser vi föreslår i avsnitt 8.4.3. Avsikten är att tydliggöra att myn- digheterna har stöd för den behandling av personuppgifter som är nödvändig vid myndigheternas användning av dataanalyser och urval i de verksamheter som omfattas av lagarnas tillämpningsområden. Bestämmelserna kommer tillsammans med finalitetsprincipen att ut- göra den yttre ramen för tillåten behandling av personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. De grunder för behandlingen som framgår av materiell verksamhetsreglering motsvarar denna yttre ram för vilken behand- ling som lagligen får utföras vid sådana dataanalyser och urval, på
199Prop. 2017/18:171, Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning, s. 83, SOU 2017:66, Dataskydd inom Socialdepartementets verk- samhetsområde – en anpassning till EU:s dataskyddsförordning, s. 227 och Öman, S., Dataskydds- förordningen (GDPR) m.m., (13 oktober 2022, Version 2A, JUNO), kommentaren till arti- kel 6 i dataskyddsförordningen under rubriken Tredje punkten – Fastställande av den rättsliga grunden i
1099
Dataanalyser och urval |
SOU 2023:100 |
samma sätt som vid den övriga personuppgiftsbehandling myndig- heterna utför.
Bestämmelserna bör omfatta all behandling som görs vid utförande av dataanalyser och urval för de angivna syftena inom ramen för de föreslagna lagarna. Vad som utgör behandling framgår av artikel 4.2 i dataskyddsförordningen. Kravet på nödvändighet innebär inte att behandlingen måste vara oundgänglig för att den ska vara tillåten. Kravet innebär dock att personuppgifter inte får behandlas om ända- målet med behandlingen kan uppnås med andra medel, t.ex. genom att använda anonymiserade eller pseudonymiserade uppgifter.
Med dataanalyser och urval avses myndigheternas arbete med att analysera data för att välja ut ärenden, uppgifter eller subjekt som särskilt behöver kontrolleras. Även behandling för att identifiera om- råden där det finns störst risk för oavsiktliga fel, som t.ex. kan be- höva mötas med informationsinsatser, omfattas.
Inom ramen för bestämmelserna kommer behandling i form av inhämtning och fortsatt behandling av uppgifter i syfte att utgöra underlag för dataanalyser och urval att rymmas. De omfattar även t.ex. uppföljning, utveckling och testning av analys- och urvalsmodeller.200 Angivandet av att aktuell personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel gör det tydligt att verktygen inte enbart är möjliga att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för
felaktigheter redan innan det finns ett ärende.
Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller mänskliga misstag. Att det nuvarande begreppet ”felaktiga uppgifter” i 1 kap. 4 a § FdbL byts ut mot ”fel” genom våra förslag är inte avsett att innebära någon ändring i sak.
De bestämmelser vi föreslår ska införas i de nya lagarna bedöms sammantaget göra det tydligt att Skatteverket, Tullverket och Krono- fogdemyndigheten får behandla personuppgifter för att göra data- analyser och urval för kontrolländamål, samt var gränserna för sådan behandling går. Utformningen av bestämmelserna, tillsammans med den materiella verksamhetsregleringen och de bestämmelser som före- slås i avsnitt 14.9 om vilka uppgifter som får behandlas, bedöms ge
200Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 25.
1100
SOU 2023:100 |
Dataanalyser och urval |
myndigheterna ändamålsenliga förutsättningar att använda dataanaly- ser och urval som verktyg för en effektivare kontrollverksamhet.
Det ska framhållas att en särskild bestämmelse om dataanalyser och urval inte fråntar de personuppgiftsansvariga myndigheternas an- svar att efterleva de principer som anges i bl.a. artikel 5 i dataskydds- förordningen.201 Det innebär att myndigheterna trots en i författning särskild reglerad bestämmelse som anger den yttre ramen för behand- lingen kan behöva fastställa särskilda, uttryckligt angivna och berät- tigade ändamål för den behandling som utförs vid dataanalyser och urval för att uppfylla kraven i artikel 5.1 b i dataskyddsförordningen.
Särskilda överväganden avseende Tullverket
Vi har särskilt för Tullverket övervägt andra alternativ än de bestäm- melser som nu föreslås. En särskild bestämmelse om dataanalyser och urval får inte stå i strid med den
Vi har övervägt att för Tullverket införa ett tillägg till den före- slagna ändamålsbestämmelsen. Det skulle exempelvis kunna före- skrivas att sådan personuppgiftsbehandling även får ske i de fall det annars följer av lag eller förordning. På detta sätt skulle det möjligen tydliggöras att den föreslagna regleringen inte på något sätt hindrar Tullverket från att utföra den behandling som krävs för att fullgöra ett internationellt åtagande. Vi bedömer dock att den föreslagna be- stämmelsen i tulldatalagen inte är hindrande i detta avseende. Av be- stämmelsen sedd tillsammans med bestämmelsen om lagens tillämp- ningsområde framgår att aktuell behandling av uppgifter är tillåten i de fall den är nödvändig för att fullgöra förpliktelser som följer av internationella åtaganden. Mot denna bakgrund anser vi att ett tillägg i den särskilda ändamålsbestämmelsen inte behövs.
Vi har också övervägt att formulera den föreslagna bestämmelsen så att den omfattar Tullverkets verksamhet enligt tullagstiftningen med undantag för åligganden som följer av ett för Sverige bindande internationellt åtagande. Av samma skäl som anförs ovan, dvs. att den
201Artikel 5.2 i dataskyddsförordningen och prop. 2017/18:105, Ny dataskyddslag, s. 48.
1101
Dataanalyser och urval |
SOU 2023:100 |
föreslagna bestämmelsen inte bedöms hindra sådan behandling, anser
vidock att något tillägg av detta slag inte heller behöver införas. Den föreslagna bestämmelsen är vidare utformad på ett sätt som
är avsett att säkerställa att den inte står i strid med
Kronofogdemyndigheten ska också få behandla personuppgifter för att göra dataanalyser och urval i syfte att motverka överskuldsättning
Ett av Kronofogdemyndighetens uppdrag är att motverka överskuld- sättning.203 Detta arbete handlar bl.a. om informationsinsatser gent- emot enskilda. Med hjälp av dataanalyser och urval som verktyg kan myndigheten på ett effektivt sätt identifiera var i samhället risken för överskuldsättning är som störst. Sådana verktyg används då alltid utanför ärendehandläggningen. Det handlar t.ex. om att använda analy- ser och urval för att förutse vilka som riskerar att hamna i eller åter- falla i överskuldsättning. Möjligheten att använda sådana verktyg för att utföra detta uppdrag underlättar för myndigheten att kunna vidta förebyggande åtgärder inom de samhällsgrupper där det behövs som mest. Det rör sig alltså inte om eventuella efterföljande åtgärder som utgör myndighetsutövning mot enskilda på det sätt som kan vara fallet när dataanalyser och urval används för att förebygga, förhindra eller upptäcka fel. Däremot kräver sådana analyser och urval också behandling av stora mängder personuppgifter av varierande art.
Vi anser att Kronofogdemyndigheten har ett behov av att kunna behandla personuppgifter för att göra dataanalyser och urval i syfte att utföra sitt uppdrag med att motverka överskuldsättning på ett effektivt sätt. Effektiva verktyg är inom detta område viktigt för att så få personer som möjligt ska hamna i överskuldsättning, vilket kan innebära stort lidande för den enskilde och även innebära ökade kost- nader för olika delar av samhället. Exempelvis har det genom myndig- hetens arbete med att förebygga vräkningssituationer uppmärksam- mats att det ger stor effekt om unga vuxna genom samtal aktiveras tidigt för att ta kontakt med sin hyresvärd. Det finns också ett behov
202
2032 § förordningen med instruktion för Kronofogdemyndigheten.
1102
SOU 2023:100 |
Dataanalyser och urval |
av att kunna ge anpassat stöd redan vid det första tillfället någon ådrar sig en brottsrelaterad skuld. Genom möjligheten att arbeta med data- analyser och urval får Kronofogdemyndigheten effektiva verktyg att hitta rätt metod gentemot rätt målgrupp.
Det finns även andra sätt att motverka överskuldsättning på som inte innebär användning av dataanalyser och urval. Ett sådant arbete kan dock i princip endast utföras på statistiknivå, vilket innebär att möjligheterna till att utföra effektiva riktade informationsinsatser minskar.
Den bestämmelse vi föreslår ska införas i kronofogdedatalagen innebär att det blir tydligt att Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksam- het som omfattas av lagens tillämpningsområde. När det gäller Krono- fogdemyndighetens arbete med att motverka överskuldsättning hand- lar detta arbete inte i första hand om att förebygga, förhindra eller upptäcka fel. Det rör sig snarare om att identifiera områden där Kronofogdemyndigheten t.ex. behöver genomföra riktade informa- tionsinsatser för att försöka se till att färre personer hamnar i en situ- ation som innebär att personen blir överskuldsatt.
Kronofogdemyndighetens arbete med att motverka överskuld- sättning framgår av materiell verksamhetsreglering och anses vara en integrerad del i myndighetens andra verksamheter (se avsnitt 7.4.8). Av 2 § förordningen med instruktion för Kronofogdemyndigheten framgår att Kronofogdemyndigheten ska verka för att en god betal- ningsvilja upprätthålls i samhället och att överskuldsättning mot- verkas.204 Det finns därmed en rättslig grund för behandlingen (arti- kel 6.1 e i dataskyddsförordningen). För att det ska vara tydligt att personuppgifter även får behandlas för att göra dataanalyser och ur- val i syfte att myndigheten ska kunna utföra sitt uppdrag att mot- verka överskuldsättning på ett effektivt sätt anser vi dock att det finns skäl att i lag tydliggöra att även sådan behandling är tillåten. Vi föreslår därför att det i kronofogdedatalagen ska föreskrivas att Krono- fogdemyndigheten får behandla personuppgifter om det är nödvän- digt för att göra dataanalyser och urval i syfte att motverka över- skuldsättning.
204Se även prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgifts- hantering, s. 25.
1103
Dataanalyser och urval |
SOU 2023:100 |
Dataanalyser och urval i annan verksamhet än kontrollverksamhet
De föreslagna särskilda bestämmelserna som innebär att ändamålet med personuppgiftsbehandlingen vid dataanalyser och urval framgår klart och tydligt är utformade mot bakgrund av vårt uppdrag, dvs. att se över myndigheternas förutsättningar att använda dataanalyser och urval för en effektivare kontrollverksamhet. Användningen av verktygen för sådana syften kan i förlängningen komma att ligga till grund för myndigheternas myndighetsutövning gentemot enskilda. Vi har också gjort bedömningen att det finns ett behov av att tydlig- göra Kronofogdemyndighetens möjligheter att behandla personuppgif- ter för att göra dataanalyser och urval i syfte att motverka överskuld- sättning.
I vårt arbete har myndigheterna även beskrivit vissa behov av att använda dataanalyser och urval som verktyg också i annan verksam- het än kontrollverksamhet och verksamhet med att motverka över- skuldsättning. Exempelvis har Kronofogdemyndigheten uppgett att myndigheten arbetar med att utveckla sätt att genom analyser och urval försöka förutse återkallelser av ansökningar om betalningsföre- läggande och handräckning mot bakgrund av att cirka 40 procent av alla ansökningar återkallas. Syftet med sådana analyser och urval är att effektivisera myndighetens arbete och rikta resurserna dit de be- hövs som mest då arbetet med fysisk delgivning är tids- och resurs- krävande för myndigheten. Genom sådana åtgärder hoppas Krono- fogdemyndigheten kunna fördela resurserna till de mål som sannolikt inte kommer att återkallas. Användningen av analyser och urval i detta sammanhang görs alltså inte direkt i syfte att förebygga, för- hindra eller upptäcka fel eller för att motverka överskuldsättning.
Mot bakgrund av ramen för vårt uppdrag föreslår vi inte att det ska införas någon särskild ändamålsbestämmelse som på samma sätt klart och tydligt anger att myndigheterna får behandla personupp- gifter för att göra dataanalyser och urval för andra ändamål utöver kontrolländamål. Ett undantag från detta är Kronofogdemyndighetens verksamhet med att motverka överskuldsättning, vilket är en viktig del i hela den myndighetens verksamhet (se ovan). Våra samman- tagna förslag syftar dock inte till att myndigheterna ska ges mins- kade möjligheter att behandla personuppgifter i förhållande till vad som gäller i dag. Den generella primära ändamålsbestämmelsen kom-
1104
SOU 2023:100 |
Dataanalyser och urval |
mer exempelvis att ge stöd för analyser, tester och utveckling av verk- samheten som inte sker i kontrollsyfte (jfr avsnitt 8.4.3).
14.9Reglering av vilka uppgifter som behövs för dataanalyser och urval
14.9.1Utgångspunkter för bedömningen av vilka uppgifter som behövs och hur det kan regleras
Det huvudsakliga syftet med att ge Skatteverket, Tullverket och Kronofogdemyndigheten utökade möjligheter att göra dataanalyser och urval är att effektivisera myndigheternas kontrollverksamhet. Verktygen kan bidra till att myndigheterna ges möjlighet att fördela resurserna till de delar av verksamheterna där det finns störst risk för fel som kan påverka välfärdsstaten, och därmed samhället, negativt.
En av de viktigaste förutsättningarna för träffsäkra urval är att myndigheterna har tillgång till relevanta uppgifter att basera data- analyserna och urvalen på. Om myndigheterna inte ges möjlighet att samla in och behandla adekvata uppgifter i den utsträckning som behövs kommer det bli svårare att uppnå syftet med de förändringar
vianser är lämpliga. En allt för kringskuren möjlighet att behandla uppgifter för dataanalyser och urval kan i praktiken leda till att myn- digheternas möjligheter att behandla personuppgifter styr vilka före- teelser myndigheterna kan rikta sina kontroller mot, snarare än att kontroller kan riktas mot de områden där det faktiskt finns störst risk för fel eller fusk. En effektivare kontrollverksamhet kräver alltså enligt vår mening att myndigheterna får använda olika slags uppgif- ter för dataanalyser och urval. Samtidigt måste intentionerna att effek- tivisera kontrollverksamheten balanseras mot den befintliga regler- ingen om skydd för den personliga integriteten.
Utgångspunkten för övervägandena kring vilka uppgifter myndig- heterna ska få behandla är att de ska vara nödvändiga för syftet data- analyser och urval för att förebygga, förhindra och upptäcka fel i de respektive verksamheter som omfattas av de föreslagna lagarnas till- lämpningsområden. Detsamma gäller för dataanalyser och urval i syfte att motverka överskuldsättning inom Kronofogdemyndighetens verksamhet. Personuppgifter som behandlas ska enligt artikel 5.1 c i dataskyddsförordningen vara adekvata, relevanta och inte för omfat- tande i förhållande till de ändamål för vilka de behandlas (principen
1105
Dataanalyser och urval |
SOU 2023:100 |
om uppgiftsminimering). De uppgifter som behandlas ska vara effek- tiva och antas leda till det avsedda resultatet med användningen av sådana verktyg. En annan utgångspunkt är att om det finns alterna- tiva och mindre integritetskränkande sätt genom vilka myndighet- erna kan utföra sina uppdrag på med samma grad av effektivitet, ska dessa användas i stället i syfte att minska integritetsintrånget.
När det gäller frågan om vilka uppgifter som ska få behandlas och hur det ska regleras, hindrar inte dataskyddsförordningen att med- lemsstaterna inför en reglering av vilka typer eller kategorier av upp- gifter som får behandlas för ett visst ändamål. Det är dock inte alltid ett krav att så görs. Om nationell rätt innehåller sådana bestämmel- ser utgör dessa särskilda bestämmelser som anpassar tillämpningen av dataskyddsförordningen (artikel 6.2 och artikel 6.3 i dataskydds- förordningen). Även sådana bestämmelser kan då anses bli en del av den rättsliga grunden för myndigheternas behandling. I de fall en myn- dighets materiella verksamhetsreglering är allmänt hållen och inte så tydlig kan det medföra att det finns ett behov av att införa särskilda dataskyddsbestämmelser för att uppfylla kraven på att den rättsliga grunden ska vara tillräckligt tydlig, precis, förutsebar och propor- tionerlig (artikel 6.3 och skäl 41 i dataskyddsförordningen). Det be- höver inte nödvändigtvis vara bestämmelser om vilka personuppgif- ter som behandlas, men sådana bestämmelser kan bedömas krävas i vissa fall.
I det följande redogör vi för våra bedömningar av vilka kategorier av uppgifter som Skatteverket, Tullverket och Kronofogdemyndig- heten bör tillåtas få behandla för att göra dataanalyser och urval. Vi presenterar också förslag till en särskild reglering i detta avseende och redogör för alternativa lösningar som vi har övervägt. Våra be- dömningar och överväganden grundar sig på ett kartläggningsarbete som har skett i nära samråd med Skatteverket, Tullverket och Krono- fogdemyndigheten.
1106
SOU 2023:100 |
Dataanalyser och urval |
14.9.2En ny särskild reglering av vilka personuppgifter som får behandlas för dataanalyser och urval
Vårt förslag: Det ska i beskattningsdatalagen, folkbokföringsdata- lagen, tulldatalagen och kronofogdedatalagen föreskrivas att för att göra dataanalyser och urval får de uppgifter behandlas som respektive myndighet förfogar över eller samlar in till följd av den verksamhet som omfattas av respektive lags tillämpningsområde. Myndigheterna ska även få behandla uppgifter som lämnas till dem för att fullgöra uppgiftslämnande som sker i överensstäm- melse med lag eller förordning.
Det ska i lagarna finnas en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrif- ter om vilka uppgifter som får behandlas för aktuella dataanalyser och urval.
Vår bedömning: Myndigheterna kommer att ha tillräckligt stöd för att behandla känsliga personuppgifter och personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott vid dataanalyser och urval. Möjligheterna till sådan behand- ling bör inte begränsas ytterligare vid dataanalyser och urval i för- hållande till den generella reglering vi föreslår i de nya lagarna.
Skälen för vårt förslag och vår bedömning
Det ska införas en reglering som anger vilka uppgifter som får behandlas
För att göra dataanalyser och urval kan myndigheterna komma att behöva behandla stora mängder uppgifter om fysiska personer, även om omfattningen kan antas vara större hos Skatteverket än hos Tull- verket och Kronofogdemyndigheten. Uppgifterna härrör framför allt från de verksamheter som respektive myndighet bedriver. Uppgifter som samlas in från andra myndigheter eller verksamheter kommer också att förekomma, bl.a. genom författningsreglerade uppgifts- skyldigheter. Vid dataanalyser och urval samkörs dessa uppgifter vilket kan innebära att de tillsammans blir mer integritetskänsliga än varje enskild uppgift var för sig. De urvalsträffar som myndigheterna får fram genom analyserna kommer i vissa fall att leda till att enskilda ärenden eller subjekt väljs ut för ytterligare kontroller i myndighet-
1107
Dataanalyser och urval |
SOU 2023:100 |
ernas verksamheter. Sådana åtgärder och efterföljande beslut kommer i många fall att innebära myndighetsutövning gentemot enskilda.
Vi bedömer sammantaget att den behandling av personuppgifter som sker när myndigheterna utför dataanalyser och urval är sådan att det finns ett behov av en reglering som sätter gränser för vilka upp- gifter som får behandlas. Det gäller samtliga här berörda myndig- heter, dvs. Skatteverket, Tullverket och Kronofogdemyndigheten. En sådan reglering skulle även bidra till att tillsammans med myn- digheternas materiella verksamhetsreglering och våra övriga förslag säkerställa att dataskyddsförordningens krav på att den rättsliga grun- den ska vara tydlig, precis, förutsebar och proportionerlig uppfylls.
Vi anser dock att det inte är möjligt att på förhand fastslå exakt vilka uppgifter som myndigheterna behöver kunna behandla för att göra analyser och urval. Vår uppfattning är därför att en reglering av vilka uppgifter som myndigheterna ges tillgång till behöver vara flex- ibel samtidigt som den bidrar till att upprätthålla ett skydd för den personliga integriteten. I vårt utredningsarbete har vi därför övervägt olika former av reglering av vilka uppgifter som myndigheterna får behandla för att göra dataanalyser och urval. Det förslag vi slutligen valt att lägga fram redogör vi för i det följande, varefter vi även redo- visar några av de alternativa former av reglering som vi har övervägt.
Vårt förslag
En förutsättning för att Skatteverket, Tullverket och Kronofogde- myndigheten ska kunna uppnå hög träffsäkerhet vid analyserna och urvalen är att de får behandla relevanta uppgifter. I arbetet med att kartlägga vilka uppgifter som behövs har det kommit fram att det framför allt är uppgifternas art, snarare än mängden uppgifter, som är viktiga för vilken effekt användningen av verktygen kommer att få. De behov som myndigheterna har uppgett redogör vi för i av- snitt 14.4 ovan.
Vi anser att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska införas en bestämmelse som föreskriver att för att göra dataanalyser och urval får uppgifter som respektive myndighet förfogar över eller samlar in till följd av de verksamheter som omfattas av lagarnas tillämpningsområden be- handlas. Vidare ska uppgifter som lämnas till respektive myndighet
1108
SOU 2023:100 |
Dataanalyser och urval |
för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning få behandlas. De föreslagna bestämmelserna är utformade utifrån våra bedömningar av vilka breda kategorier av upp- gifter som vi anser att myndigheterna har ett behov av att behandla för att göra dataanalyser och urval i enlighet med våra förslag.
Mot bakgrund av att behandling av personuppgifter vid dataanaly- ser och urval kan anses vara särskilt integritetskänslig anser vi att det är lämpligt att aktuella bestämmelser införs i lagform. De föreslagna formuleringarna är vidare så pass generella att bestämmelserna inte heller bör behöva justeras allt eftersom myndigheterna t.ex. ges nya uppdrag. En reglering i lagform bedöms därmed inte hindra regler- ingens flexibilitet.
Bestämmelserna formuleras brett för att undvika en alltför kring- skuren tillgång till uppgifter. Regleringen är samtidigt utformad så att den begränsar myndigheternas behandling av personuppgifter, i syfte att skydda enskildas personliga integritet. Den tydliggör att myn- digheterna inte får behandla uppgifter som det inte finns stöd för att behandla till följd av myndigheternas författningsreglerade uppdrag. Det är enligt vår mening inte i detaljeringsgraden som integritets- skyddet ligger, utan i de grundläggande principerna för behandling av personuppgifter, specifika skydds- och säkerhetsåtgärder samt sekre- tessreglering. Bestämmelserna gör det t.ex. inte möjligt för myndig- heterna att hämta in stora mängder personuppgifter från internet för att vissa uppgifter i en sådan mängd möjligen kan vara ”bra att ha” vid utvecklingen av en urvalsmodell. De ger inte heller i sig en ny möjlighet att samla in personuppgifter.
Behandlingen för dataanalyser och urval kommer i många fall att innebära en behandling för andra ändamål än insamlingsändamålen. De föreslagna bestämmelserna tydliggör att Skatteverket, Tullverket och Kronofogdemyndigheten har möjlighet att vidarebehandla aktu- ella personuppgifter för att göra dataanalyser och urval.205 Den till- kommande behandlingen kommer genom våra förslag att grunda sig på nationell rätt. Bestämmelserna bedöms vara nödvändiga och pro- portionerliga i ett demokratiskt samhälle för att skydda ett mål av generellt allmänt intresse i form av viktiga ekonomiska eller finan- siella intressen, såsom bl.a. skattefrågor.206 Även om det enligt skäl 50
205Se avsnitt 8.4.6 för närmare redogörelser av våra bedömningar av att de ändamål för vilka myndigheterna samlar in personuppgifter är sinsemellan förenliga med varandra även om ingen databasreglering införs i de nya lagarna.
206Jfr artikel 6.4 i dataskyddsförordningen.
1109
Dataanalyser och urval |
SOU 2023:100 |
till dataskyddsförordningen inte krävs någon separat rättslig grund för vidarebehandlingen, kommer berörda myndigheter att behöva säkerställa att behandlingen är förenlig med dataskyddsförordningen.
Det förtjänar att påpekas att även om det inte finns något rättsligt hinder mot att använda en viss uppgiftskategori för dataanalyser och urval innebär detta att myndigheterna inte alltid kan använda samt- liga uppgifter för analyser och urval. Uppgifterna måste nämligen all- tid bl.a. vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c i dataskyddsför- ordningen).
Närmare om uppgifter som myndigheterna förfogar över eller samlar in till följd av respektive verksamhet
Det som enligt vår mening bör styra vilka uppgifter som ska få an- vändas för dataanalyser och urval är myndigheternas behov utifrån de materiella uppdragen, såsom att t.ex. säkerställa en korrekt upp- börd eller se till att uppgifterna i folkbokföringen är korrekta. Om myndigheterna även vid dataanalyser och urval får använda samtliga personuppgifter som är relevanta för att de ska kunna utföra sina uppdrag, ges myndigheterna enligt vår bedömning goda möjligheter att utföra kontroller, utreda och avgöra ärenden på ett effektivare samt mer korrekt och rättssäkert sätt, vilket även i längden gagnar de registrerades rättigheter och friheter.
I vårt kartläggningsarbete har det generellt sett inte kommit fram att någon av myndigheterna har ett direkt behov av att få tillgång till många fler uppgifter som de i dag inte över huvud taget har möjlighet att hämta in, med vissa undantag (se avsnitten 14.10.2 och 14.10.3 nedan). Däremot har myndigheterna samstämmigt uppgett att det finns ett behov av att kunna behandla samtliga uppgifter som är rele- vanta för ärendehandläggningen även för dataanalyser och urval. Det har vidare kommit fram att det är de nuvarande sektorspecifika register- författningarna som i vissa fall ställer upp obefogade hinder mot att uppgifter behandlas för analyser och urval.
Vi anser att det närmast är en självklarhet att Skatteverket, Tull- verket och Kronofogdemyndigheten ska få behandla de uppgifter som myndigheterna har tillgång till som en följd av respektive verk- samhet även för analyser och urval. Myndigheterna behandlar redan en mängd personuppgifter i respektive verksamhet till följd av sina
1110
SOU 2023:100 |
Dataanalyser och urval |
författningsreglerade uppdrag. Uppgifterna kan exempelvis ha sam- lats in från enskilda som har ett ärende hos någon av myndigheterna eller så kan uppgifter ha överlämnats från andra myndigheter. Myn- digheterna bör generellt ges tillgång till sådana uppgifter som dessa har möjlighet att behandla inom ramen för ärendehandläggning även för dataanalyser och urval. Det är just möjligheten för myndigheterna att i de stora ärendeflödena kunna urskilja var resurserna och beho- vet av kontroller är som störst som analyser och urval bedöms kunna göra stor nytta.
Uppgifter som myndigheterna redan förfogar över bedöms mot denna bakgrund vara relevanta att använda för att göra övergripande analyser och urval i syfte att identifiera risker för fel eller fusk, vilket i sin tur kan leda till en möjlighet att fördela resurser och utföra kon- troller på ett mer effektivt sätt. Uppgifternas relevans är avhängig de materiella uppdragen. Ett projekt kan exempelvis syfta till att Skatte- verket ska identifiera vilka inkomna ansökningar om godkännande för
1111
Dataanalyser och urval |
SOU 2023:100 |
enligt vår mening inte något beaktansvärt till integritetsskyddet (se vidare nedan). Vilka närmare kategorier av uppgifter som är relevanta för ändamålen framgår i stället redan av den materiella verksamhets- regleringen, i exemplet framför allt av inkomstskattelagen, mervärdes- skattelagen och skatteförfarandelagen, där förutsättningarna för god- kännande för
Även om det inte går att på ett uttömmande sätt redogöra för vilka uppgifter myndigheterna behöver för att göra adekvata dataanalyser och urval kan vi ge en mer generell beskrivning av vilka uppgifter som vi anser att myndigheterna behöver ges tillgång till och vilka kate- gorier av uppgifter som avses med uppgifter som myndigheterna för- fogar över eller samlar in till följd av respektive verksamhet.
I de nuvarande registerlagarna finns reglering av vilka kategorier av uppgifter som får behandlas gemensamt inom myndigheterna i respektive verksamhets databas. Regeringen eller den myndighet som regeringen bestämmer har möjlighet att i förordning mer specifikt beskriva vilka uppgifter det rör sig om. De kategorier av uppgifter som får behandlas i respektive databas får redan i dag behandlas av myndigheterna för att göra analyser och urval för kontroll under för- utsättning att uppgifterna får behandlas för sådana ändamål. Vi anser att det inte finns skäl att begränsa denna möjlighet. Samtliga upp- gifter som myndigheterna i dag får behandla i databaserna har redan bedömts vara relevanta för att myndigheterna ska kunna utföra sina uppdrag. De får därmed anses vara relevanta även för myndigheter- nas dataanalyser och urval. Exempelvis behövs historiska data i syfte att identifiera avvikelser, mönster eller samband utifrån tidigare kon- staterade fel för att ge myndigheterna bättre möjligheter att göra träffsäkra urval. En utgångspunkt bör därför vara att myndigheterna fortsatt ska få behandla de uppgifter som i dag får behandlas inom respektive databas för dataanalyser och urval. Detsamma bör gälla de handlingar som får behandlas i databaserna.
Vilka kategorier av uppgifter som myndigheterna i dag får be- handla i de olika databaserna framgår av de nuvarande registerlagarna med tillhörande förordningar. Gemensamt för Skatteverket, Tullverket och Kronofogdemyndigheten är att de i databaserna får behandla uppgifter om personer som omfattas av viss utpekad verksamhet.
1112
SOU 2023:100 |
Dataanalyser och urval |
Uppgifter om andra personer får behandlas om det behövs för hand- läggningen av ett ärende.207 Några uttryckliga begränsningar av vilka personkretsar uppgifter får behandlas om kommer inte att finnas genom våra förslag.
De kategorier av uppgifter som i dag får behandlas i beskattnings- databasen regleras skattedatabaslagen och skattedatabasförordningen (se 2 kap.
När det gäller folkbokföringsverksamheten finns i dag redan en särskild reglering av vilka uppgifter Skatteverket får använda för data- analyser och urval. I analys- och urvalsdatabasen får uppgifter behand- las om personer som har tilldelats personnummer eller samordnings-
207Se bl.a. 2 kap. 2 § SdbL, 2 kap. 2 § FdbL, 2 kap. 2 § TDL och 2 kap. 4 § KFMdbL.
2082 kap. 3 § SdbL.
2092 kap. 4 § SdbL.
2102 § första stycket 1 SdbF.
2112 § första stycket 11, 12, 14 och 16 SdbF.
1113
Dataanalyser och urval |
SOU 2023:100 |
nummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 a kap. 2 § jämförd med 2 kap. 2 § FdbL). Vidare får, för de ändamål som anges i 1 kap. 4 a § FdbL, dvs. dataanalyser och urval i syfte att förebygga, förhindra och upp- täcka felaktiga uppgifter i folkbokföringsverksamheten, de uppgifter som avses i 2 kap. 3 och 4 §§ FdbL behandlas. Enligt 2 kap. 3 § FdbL får i huvudsak bosättnings- och familjerättsligt relaterade uppgifter behandlas, såsom uppgifter om person- eller samordningsnummer, namn, adress, födelseort, medborgarskap och civilstånd. Vidare får upp- gifter enligt 2 kap. 4 § FdbL behandlas om yrkanden, grunder och be- slut i ett ärende samt andra uppgifter som behövs för handläggningen av ett ärende. I 5 c § FdbF anges att i analys- och urvalsdatabasen får sådana uppgifter behandlas som ska lämnas av andra myndigheter till Skatteverket för kontroll av uppgifter i folkbokföringsverksamheten. Uppgifter om fastigheter, byggnader, lagfarter och tomträtter får också behandlas.
Tullverket får i den nuvarande tulldatabasen behandla uppgifter som anges i tulldatabaslagen (se 2 kap.
I den nuvarande kronofogdedatabaslagen regleras de uppgifter Kronofogdemyndigheten får behandla i fyra olika databaser; utsök- nings- och indrivningsdatabasen, betalningsföreläggande- och hand- räckningsdatabasen, skuldsaneringsdatabasen och konkurstillsyns- databasen. Vilka uppgifter som får behandlas varierar beroende på vilken databas det handlar om. Det rör sig t.ex. om uppgifter om en fysisk persons identitet, bosättning, familjeförhållanden och anställ-
2122 kap. 3 § TDL.
2132 kap. 4 § TDL.
1114
SOU 2023:100 |
Dataanalyser och urval |
ning, en enskilds ekonomiska förhållanden, yrkanden och grunder i ett mål eller ärende, beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende, myndighetens anmälan av misstanke om brott eller lagöverträdelser som innefattar brott eller domar i brottmål, om uppgifterna utgör grund för en begäran om utslag.214 Ytterligare be- stämmelser om vilka uppgifter som får behandlas i databaserna finns i
Utöver de uppgifter som i dag får behandlas i respektive databas får myndigheterna som utgångspunkt behandla andra uppgifter utan- för databaserna under förutsättning att de inte görs gemensamt till- gängliga i verksamheterna. Regeringen har exempelvis förutsatt att viss behandling för att t.ex. kontrollera eller revidera ett visst företag som utförs av en arbetsgrupp inom Skatteverket kommer att utföras utanför databasen för beskattningsverksamheten.215 För behandling som sker utanför databaserna finns i dag ingen uppräkning av vilka kategorier av uppgifter som får behandlas, men däremot en reglering av för vilka primära och sekundära ändamål uppgifter får behandlas. För Kronofogdemyndigheten finns det dock inga särskilda ändamål angivna utanför databasregleringen i kronofogdedatabaslagen, vilket kan anses vara en otydlighet i den nuvarande regleringen.216 Den nu- varande regleringen kan alltså tolkas som att de uppgifter som i dag får finnas i databaserna inte uttömmande reglerar vilka uppgifter som får behandlas för dataanalyser och urval så länge uppgifterna inte görs gemensamt tillgängliga och behandlingen sker för ett tillåtet ända- mål. Det är dock inte tillåtet för myndigheterna att kopiera delar av en databas och göra behandlingar vid sidan av det gemensamma data- systemet endast för att på så sätt kringgå de bestämmelser som gäller för behandling av uppgifter i databasen.217 Myndigheterna måste alltså i dag göra en bedömning av vilka uppgifter som får behandlas i eller utanför databaserna vid dataanalyser och urval.
Mot denna bakgrund kan det konstateras att myndigheterna i dag även bör anses ha möjlighet att behandla andra uppgifter än sådana som anges i regleringen av databasernas innehåll. Vi anser att också sådana uppgifter, dvs. som är nödvändiga att samla in och på annat sätt behandla för att myndigheterna ska kunna utföra sina uppdrag, bör få behandlas även för dataanalyser och urval i fortsättningen
2142 kap. 5, 11, 17 och 22 §§ KFMdbL.
215Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 91.
216Jfr 1 kap. 4 § KFMdbL.
217SOU 1999:105, Skatt – Tull – Exekution – Normer för behandling av personuppgifter, s. 234.
1115
Dataanalyser och urval |
SOU 2023:100 |
oaktat att de i dag inte räknas upp i de nuvarande registerförfattning- arna. Det kan t.ex. röra sig om avgiftsbelagda data som, i de fall det finns stöd för det, inhämtas från öppna källor hos andra myndigheter vilka i förekommande fall innehåller personuppgifter.
Med uppgifter som myndigheterna samlar in till följd av verksam- het enligt 2 § avses sammantaget uppgifter som myndigheterna har stöd för att samla in i sina respektive verksamheter till följd av utföran- det av sina uppgifter i sådan verksamhet som omfattas av de nya lagar- nas tillämpningsområden. Insamlingen kan t.ex. ske i syfte att hand- lägga ärenden eller direkt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Det rör sig med andra ord om uppgifter som myndigheterna ännu inte har samlat in och som de därför inte heller förfogar över till följd av t.ex. handläggning av ärenden.
Närmare om uppgifter som lämnas till myndigheterna för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning
Utöver uppgifter som myndigheterna redan förfogar över eller samlar in till följd av respektive verksamhet finns stora mängder reglerade uppgiftsskyldigheter gentemot myndigheterna. Vi anser att Skatte- verket, Tullverket och Kronofogdemyndigheten även ska ges möj- lighet att för dataanalyser och urval behandla uppgifter som ska lämnas av andra myndigheter till dessa myndigheter i enlighet med så- dana uppgiftsskyldigheter. Möjligheten bör även omfatta uppgifter som lämnas mellan eventuella verksamhetsgrenar inom myndighet- erna, t.ex. Skatteverkets brottsbekämpande verksamhet och beskatt- ningsverksamhet. Detta under förutsättning att den aktuella författ- ningsreglerade uppgiftsskyldigheten tillåter utlämnande för sådana ändamål, dvs. för kontroll eller för Kronofogdemyndighetens del även för att motverka överskuldsättning. Det handlar om uppgifter som myndigheterna redan i dag har möjlighet att hämta in och be- handla i sina respektive verksamheter, men som i vissa fall inte får be- handlas för analys- och urvalsändamål till följd av de nuvarande register- författningarna eller i de fall det rättsliga stödet för sådan behandling är otydligt. Vi anser att nu nämnda uppgifter behövs för att myndig- heterna ska kunna göra effektiva dataanalyser och urval.
Bestämmelsen kommer alltså att omfatta uppgifter som t.ex. en annan myndighet eller självständig verksamhetsgren inom myndig-
1116
SOU 2023:100 |
Dataanalyser och urval |
heterna lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av berörda myndigheter, uppgifter som lämnas till myndigheterna med stöd av den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400), OSL, eller uppgifter som i övrigt lämnas till myndigheterna med stöd av bestäm- melser i lag eller förordning (se vidare nedan). Sådant uppgiftsläm- nande som sker på begäran av Skatteverket, Tullverket eller Krono- fogdemyndigheten kan visserligen möjligen redan sägas omfattas av den föreslagna regleringen om att personuppgifter som myndig- heterna samlar in till följd av sina verksamheter får behandlas för att göra dataanalyser och urval. För att det ska vara tydligt att uppgifter som lämnas till myndigheterna i enlighet med lag eller förordning får behandlas för de aktuella analyserna och urvalen anser vi dock att det finns skäl att detta ska framgå uttryckligen i de nya lagarna. Bestäm- melsen kommer också täcka in sådana situationer när andra myndig- heter på eget initiativ lämnar uppgifter till de berörda myndigheterna med stöd av t.ex. 10 kap. 27 § OSL, dvs. när myndigheterna inte själva kan sägas samla in uppgifter. Det rör alltså även situationer då myndigheterna varken förfogar över eller samlar in uppgifterna till följd av sina respektive verksamheter.
En utökad möjlighet att samköra uppgifter från myndigheternas egna verksamheter tillsammans med uppgifter från andra myndig- heter för att göra urval innebär enligt vår uppfattning en möjlighet att kartlägga enskilda på ett mer omfattande sätt än om uppgifterna behandlas i ett enskilt ärende. Den reglering som ska omgärda myn- digheternas dataanalyser och urval behöver därför utformas så att behandlingen blir proportionerlig. Bland annat finns i avsnitt 14.11 vissa förslag på säkerhets- och skyddsåtgärder och i avsnitten 15.3 och 15.4 förslag på sekretessbestämmelser. En utförlig proportiona- litetsbedömning görs vidare i avsnitt 14.12.
I vårt arbete har vi tillsammans med Skatteverket, Tullverket och Kronofogdemyndigheten kartlagt flera av de bestämmelser som regle- rar uppgiftsskyldigheter myndigheter emellan. Det stora antalet upp- giftsskyldigheter gentemot berörda myndigheter omöjliggör dock att samtliga redovisas i en utredning som denna. Vi anser inte heller att det är nödvändigt för att kunna ta ställning till vilka uppgifter som bör få behandlas för att göra dataanalyser och urval. Uppgiftsskyldig- heterna är i sig utformade på ett sätt som är avsett att balansera det integritetsintrång som uppgiftslämnandet medför i förhållande till
1117
Dataanalyser och urval |
SOU 2023:100 |
Skatteverkets, Tullverkets respektive Kronofogdemyndighetens be- hov av att inhämta uppgifterna. En del av uppgiftsskyldigheterna kan innefatta personuppgifter som är sekretessbelagda hos den utlämnande myndigheten eller verksamhetsgrenen.218 I andra fall omfattar upp- giftsskyldigheten offentliga uppgifter. Utöver särskilda uppgiftsskyl- digheter som bryter eventuell sekretess vid ett sådant utlämnande219, finns även vissa generella sekretessbrytande bestämmelser i OSL vilka innebär att sekretess inte hindrar att uppgifter lämnas ut till andra myndigheter under de förutsättningar som anges i bestämmelserna.220
I särskilda bestämmelser om uppgiftsskyldigheter kan det ibland anges att uppgifter får lämnas ut om det behövs för den mottagande myndighetens kontrollverksamhet.221 I andra fall föreskrivs att upp- gifterna får lämnas ut om de behövs för handläggning av ärenden hos den mottagande myndigheten.222 I de fall bestämmelserna om upp- giftsskyldighet innebär att uppgifterna endast får inhämtas om det behövs i ett ärende hos Skatteverket, Tullverket eller Kronofogde- myndigheten kommer uppgifterna alltså inte att kunna inhämtas i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kommer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i dataskyddsförordningen att kunna behandlas även för att göra dataanalyser och urval.
I 6 kap. 5 § OSL finns även en generell informationsskyldighet myndigheter emellan då det i bestämmelsen föreskrivs att en myn- dighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Det kan t.ex. röra sig om uppgifter som myndigheterna har möjlighet att hämta in från offentliga register såsom aktiebolagsregistret223 eller vägtrafikregistret.224
Regleringen är tänkt att vara flexibel på så sätt att om det skulle framkomma att myndigheterna regelmässigt har behov av ytterligare
218Enligt 8 kap. 1 § OSL får en uppgift för vilken sekretess gäller som huvudregel inte röjas för enskilda eller andra myndigheter. Detsamma gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra, se 8 kap.
2§ OSL.
219Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas ut till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.
220Se bl.a. 10 kap. 2 § och 10 kap. 27 § OSL.
221Se t.ex. 12 § folkbokföringsförordningen (1991:749), FOF.
222Se t.ex. 3 § förordningen (1980:995) om skyldighet för Försäkringskassan och Pensions- myndigheten att lämna uppgifter till andra myndigheter och 5 kap. 3 § vägtrafikdataförord- ningen (2019:382).
223Se bl.a. 2 kap. 1 § aktiebolagsförordningen (2005:559).
224Se bl.a. 2 kap. 1 § vägtrafikdataförordningen (2019:382).
1118
SOU 2023:100 |
Dataanalyser och urval |
uppgifter från andra myndigheter för att göra dataanalyser och urval, behöver inte våra föreslagna lagar eller förordningar ändras. Det kom- mer då i stället att vara tillräckligt att riksdag eller regering föreskriver en ny eller ändrad uppgiftsskyldighet som möjliggör att uppgifter hämtas in av Skatteverket, Tullverket och Kronofogdemyndigheten för att göra dataanalyser och urval.
Genom våra förslag kommer Skatteverket, Tullverket och Krono- fogdemyndigheten sammanfattningsvis ha möjlighet att inhämta, och alltså behandla, uppgifter som lämnas till myndigheterna i enlighet med uppgiftsskyldigheter i lag eller förordning även för dataanalyser och urval.
Särskilt om känsliga personuppgifter och uppgifter om lagöverträdelser
En utförlig redogörelse för den generella regleringen i EU:s data- skyddsförordning och dataskyddslagen om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser finns i avsnitt 10.2. Som framgår av kapitel 10 behandlar Skatteverket, Tullverket och Kronofogdemyndigheten vissa kategorier av känsliga personuppgif- ter och uppgifter om lagöverträdelser i respektive myndighets verk- samhet. Mängden beror dock på vilken verksamhet det är fråga om. Exempelvis behandlar Skatteverket inom beskattningsverksamheten fler känsliga personuppgifter än vad som görs inom folkbokförings- verksamheten samt inom Kronofogdemyndigheten och Tullverket. Våra förslag i det nämnda kapitlet innebär i korthet att det ska in- föras en särskild bestämmelse i de nya lagarna som föreskriver att myndigheterna får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), om det är nödvändigt med hänsyn till ändamålet med behandlingen. Vidare gör
vibedömningen att den behandling av uppgifter om lagöverträdelser som myndigheterna behöver utföra inte bör begränsas eller på annat sätt särregleras i de nya lagarna. Vi föreslår även att det ska införas särskilda sökbegränsningar som utgår från syftet med en sökning. De nya bestämmelserna om känsliga personuppgifter och sökbegräns- ningar kommer att vara tillämpliga även när myndigheterna behand- lar personuppgifter för att göra dataanalyser och urval.
Den nuvarande regleringen i registerförfattningarna hindrar i vissa fall myndigheterna från att behandla känsliga personuppgifter och
1119
Dataanalyser och urval |
SOU 2023:100 |
uppgifter om lagöverträdelser vid dataanalyser och urval för att göra övergripande kontroller.225 Så är dock inte fallet för Skatteverkets folkbokföringsverksamhet avseende uppgifter som behandlas i ana- lys- och urvalsdatabasen, även om de uppgifter som där behandlas i huvudsak inte avser sådana personuppgifter.226 Som ovan framgår i avsnitt 14.4 har samtliga berörda myndigheter uppgett att det finns ett behov av att behandla känsliga personuppgifter och uppgifter om lagöverträdelser även för dataanalyser och urval i de fall det är rele- vant för utförandet av respektive materiellt uppdrag.
Skatteverket, Tullverket och Kronofogdemyndigheten har ett be- hov av att behandla känsliga personuppgifter och uppgifter om lag- överträdelser för att utföra sina författningsreglerade uppdrag, t.ex. inom ärendehandläggningen. För att myndigheterna ska kunna göra adekvata dataanalyser och urval bedömer vi att det är nödvändigt att myndigheterna ges möjlighet att använda sådana kategorier av per- sonuppgifter även när analyser och urval används. Om känsliga per- sonuppgifter eller uppgifter om lagöverträdelser är nödvändiga att behandla för att utföra en viss uppgift, t.ex. för att Skatteverket ska kunna fatta beslut om befrielse från skattetillägg varvid omständig- heten hälsa kan vara av betydelse för saken227, är det nämligen även av betydelse för myndigheternas förmåga att få fram träffsäkra urval. Vidare kan det av rättssäkerhetsskäl vara viktigt att myndigheternas träning av en urvalsmodell baserad på maskininlärda algoritmer sker med just den typ av data som sedan ska användas i skarpa fall för att minska risken för fel och rättsosäkerhet.228 När myndigheterna tillåts behandla personuppgifter för dataanalyser och urval bör vidare risk- erna för att urvalsmodeller ger falska positiva träffar vara så liten som möjligt. En del i detta är att det ska vara möjligt att använda samtliga de uppgifter som är nödvändiga för det specifika ändamålet, även i de fall det inkluderar känsliga personuppgifter. Om känsliga person- uppgifter och uppgifter om lagöverträdelser inte tillåts behandlas för att göra dataanalyser och urval, kommer myndigheterna inte att kunna använda sådana verktyg inom samtliga verksamhetsområden där den materiella rätten innebär att sådana uppgifter är relevanta att behandla för att exempelvis Skatteverket ska kunna säkerställa en riktig uppbörd.
225Se t.ex. 1 kap. 7 § SdbL, 1 kap. 7 § TDL och 1 kap. 6 § KFMdbL.
226Prop. 2022/23 :41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 29.
22751 kap. 1 § SFL.
228SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 212.
1120
SOU 2023:100 |
Dataanalyser och urval |
Myndigheter får enligt artikel 10 i dataskyddsförordningen be- handla uppgifter om lagöverträdelser utan att det finns något särskilt stöd för det i nationell rätt. Vi anser att i huvudsak samma skäl som
vii avsnitt 10.8 fört fram för att det inte längre bör finnas någon från dataskyddsförordningen avvikande reglering i de nya lagarna som av- ser behandling av uppgifter om lagöverträdelser även gör sig gällande
ifråga om dataanalyser och urval.
När det gäller känsliga personuppgifter är dataskyddsförordning- ens krav på sådan behandling högre för myndigheter i förhållande till vad som gäller för uppgifter om lagöverträdelser. En första förutsätt- ning för att myndigheterna över huvud taget ska tillåtas behandla käns- liga personuppgifter vid dataanalyser och urval är att behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g i dataskyddsförordningen). Skatteverket, Tullverket och Kronofogde- myndigheten har ett ansvar för att respektive verksamhet bedrivs på ett korrekt sätt. I myndigheternas författningsreglerade uppdrag in- går att kunna utföra kontroller genom att bl.a. göra dataanalyser och urval. Det ingår även i myndigheternas uppdrag enligt respektive för- ordning med instruktion för myndigheterna. Förslagen i detta kapitel innebär också att myndigheterna ges tydligare rättsligt stöd och ramar för arbetet med dataanalyser och urval. Det övergripande syftet med den tillåtna behandlingen är att förebygga, förhindra och upp- täcka felaktigheter. Skatteverkets, Tullverkets och Kronofogdemyndig- hetens behandling av de känsliga personuppgifter som är nödvändiga för att utföra dessa uppgifter får enligt vår mening anses vara en behandling som är av viktigt allmänt intresse.
En andra förutsättning för att undantaget i artikel 9.2 g ska vara tillämpligt när myndigheterna gör dataanalyser och urval är att be- handlingen sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet. Vi bedömer att myndigheterna har stöd för den behandling som är nödvändig på grundval av unionsrätten eller nationell rätt som finns fastställd i materiell verksamhetsreglering. Vi anser vidare att den föreslagna bestämmelsen i de nya lagarna om tillåten behandling av känsliga personuppgifter kommer att ge tillräckligt rättsligt stöd för den behandling av känsliga personuppgifter som är nödvändig. Den materiella verksamhetsregleringen bedöms vara proportionerlig i för- hållande till syftet. När det gäller behandlingen föreslår vi att ett fler- tal skyddsåtgärder införs i de nya lagarna samt att det ska införas nya
1121
Dataanalyser och urval |
SOU 2023:100 |
sekretessbestämmelser, som kommer att vara tillämpliga även på myn- digheternas arbete med dataanalyser och urval.
Mot denna bakgrund bedömer vi sammantaget att den behand- ling av känsliga personuppgifter som är nödvändig vid dataanalyser och urval kommer att ha ett tillräckligt rättsligt stöd genom våra för- slag till generell reglering.
Vi anser vidare att de ovan nämnda skälen för att ge myndighet- erna tillgång till att behandla känsliga personuppgifter även för att göra dataanalyser och urval är sådana att möjligheterna till behand- lingen inte bör begränsas ytterligare i förhållande till den generella reglering vi föreslår. Det kan här framhållas att vår bedömning inte förtar det förhållandet att myndigheternas behandling av känsliga personuppgifter vid dataanalyser och urval alltid bör ske med för- siktighet och aldrig slentrianmässigt. Myndigheterna måste alltid noga överväga om förutsättningarna för sådan behandling är uppfylld, t.ex. genom en tillämpning av principen om uppgiftsminimering.
Myndigheterna ges genom våra förslag inte heller möjlighet att behandla känsliga personuppgifter som det saknas stöd i materiell verksamhetsreglering att behandla. Som framgår av avsnitt 14.4.2 har Skatteverket uppgett att myndigheten har ett behov av att kunna behandla biometriska uppgifter inom folkbokföringsverksamheten för att utföra analyser i syfte att upptäcka försök till att erhålla mul- tipla identiteter. Möjligheten till sådan behandling kräver dock nog- granna överväganden och ändringar i materiell verksamhetsreglering som enligt vår mening inte lämpar sig att utreda inom ramen för detta uppdrag.
Alternativa former av reglering som har övervägts
Under vårt arbete som lett till den ovan föreslagna regleringen av vilka personuppgifter som ska få behandlas för dataanalyser och ur- val har vi övervägt andra former av reglering av denna fråga.
I Skatteverkets, Tullverkets och Kronofogdemyndighetens nuvar- ande registerförfattningar finns särskilda bestämmelser om formen för behandling av uppgifter, genom benämningarna databas och gemen- samt tillgängliga uppgifter. I avsnitt 9.4.2 föreslår vi att regleringen av berörda myndigheternas databaser slopas. Vi har trots detta över- vägt om det är lämpligt att införa en reglering av särskilda databaser
1122
SOU 2023:100 |
Dataanalyser och urval |
eller uppgiftssamlingar som sätter gränser för vilka uppgifter som får behandlas för att göra dataanalyser och urval. Till en databas eller upp- giftssamling kan särskilda regler avseende en viss behandling av person- uppgifter knytas, såsom bestämmelser som begränsar vilka uppgifter som berörs. För Utbetalningsmyndigheten har det genom lagen om behandling av personuppgifter vid Utbetalningsmyndigheten införts en särskilt reglerad uppgiftssamling kallad uppgiftssamlingen för dataanalyser och urval. Det har även för folkbokföringsverksamhet- ens analyser och urval införts en särskilt reglerad samling av uppgif- ter kallad analys- och urvalsdatabasen genom bestämmelser i folk- bokföringsdatabaslagen.229
När det juridiska databasbegreppet infördes i Skatteverkets, Tull- verkets och Kronofogdemyndighetens nuvarande registerförfattning- ar var de bakomliggande tankegångarna att en lag om behandling av personuppgifter inte ska reglera hur uppgifterna tekniskt organiseras, utan endast utgöra en ram för vilka uppgifter som får behandlas och på vilket sätt de får användas för att säkerställa ett gott integritets- skydd. Den nuvarande databasregleringen är alltså inte en reglering av indelningen av uppgifterna i databasen i t.ex. olika servrar eller i form av flera register.230 Trots detta har begreppet inneburit att tanken förs till en samling uppgifter som är avgränsade, systematise- rade eller organiserade på ett visst tekniskt sätt. Myndigheternas be- handling av personuppgifter sker dock inte på detta sätt i en helt automatiserad miljö. Uppgifter kan t.ex. finnas helt ostrukturerade i ett enskilt program eller filhanteringssystem. Begreppet databas har också en annan betydelse i just tekniska sammanhang. En reglering av en databas för myndigheternas dataanalyser och urval framstår mot denna bakgrund inte som det mest ändamålsenliga, teknikneutrala eller moderna valet av reglering. Av skäl 15 till dataskyddsförord- ningen framgår uttryckligen att skyddet för fysiska personer bör vara teknikneutralt och inte beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Även om den nuvarande databasregleringen inte utgör en teknisk avgränsning av en samling uppgifter har begreppet en stark teknisk anknytning.
229Se vidare nedan avseende hur våra förslag påverkar den nuvarande analys- och urvalsdata- basen inom Skatteverkets folkbokföringsverksamhet.
230SOU 1999:105, Skatt – Tull – Exekution – Normer för behandling av personuppgifter, s. 212.
1123
Dataanalyser och urval |
SOU 2023:100 |
Inom Skatteverkets beskattningsverksamhet sker vidare en del av behandlingen av personuppgifter för analys- och urvalsverksamhet i dag utanför beskattningsdatabasen i de fall uppgifter behandlas som inte får göras gemensamt tillgängliga enligt den nuvarande regleringen i skattedatabaslagen. Det innebär att vissa skyddsåtgärder som i dag regleras för uppgifter som finns i beskattningsverksamheten inte är tillämpliga vid sådan behandling, trots att det kan röra sig om mycket integritetskänslig behandling. Den övergripande analys- och urvals- verksamheten sker dock avgränsat från övrig verksamhet utan möj- lighet till åtkomst för andra medarbetare.
En reglering av en särskild databas har vidare ofta syftat till att avgränsa vilka uppgifter som får göras gemensamt tillgängliga i en verksamhet samt att göra det möjligt att knyta särskilda handlings- regler eller skyddsåtgärder till behandling av de uppgifter som ingår i en databas. Vi anser att de särskilda skyddsåtgärder som föreslås i de nya lagarna generellt sett ska gälla för all den behandling av per- sonuppgifter som myndigheterna utför i den aktuella verksamheten. De ska därmed även gälla den behandling som sker vid analyser och urval, även om sådan behandling sker avgränsat från övrig verksam- het utan möjlighet till åtkomst för andra än ett fåtal tjänstemän. Detta mot bakgrund av att sådan behandling kan omfatta stora mängder personuppgifter. Vi anser generellt att det är möjligt att endast tala om behandling av personuppgifter i stället för databaser. I de fall sär- skilda regler bör gälla för en viss typ av behandling, kan detta ändå specificeras genom att t.ex. ange i vilken verksamhet behandlingen sker eller vad behandlingen syftar till.
Att införa en särskild databas för analys och urval riskerar vidare att försvåra tolkningen av och systematiken i vår föreslagna lagregler- ing i övrigt, och kan innebära att vissa skyddsregler inte gäller för behandlingen trots att det saknas skäl för det. Det kan också leda till att myndigheterna måste lägga tid på att bedöma vilken behandling som får ske i eller utanför en databas i stället för på bedömningen av vilken behandling som faktiskt är tillåten och vilka integritetshöjan- de åtgärder myndigheterna måste vidta. EU:s dataskyddsförordning ställer inte heller några krav på särskilda skyddsåtgärder för behand- ling av personuppgifter som används gemensamt i en verksamhet. Det är i stället behandlingens art, omfattning, sammanhang och ända- mål samt riskerna för fysiska personers rättigheter och friheter som
1124
SOU 2023:100 |
Dataanalyser och urval |
kraven på säkerhet för behandlingen utgår ifrån (artiklarna 25 och 32 i dataskyddsförordningen).
Att som i andra lagstiftningar som alternativ exempelvis välja att införa begreppen uppgiftssamling eller gemensamt tillgängliga upp- gifter i stället för begreppet databas just för analyser och urval förtar inte de argument som förs fram ovan. Vidare skulle det enligt vår mening fortsatt innebära en mindre flexibel och teknikneutral regler- ing – oavsett om syftet med en sådan reglering inte bygger på tekniska avgränsningar av uppgiftssamlingen – eftersom tankarna ändå förs till sådana avgränsningar.
Sammantaget anser vi att det inte finns några bärande skäl att skilja på behandling av personuppgifter i en särskild databas eller uppgifts- samling för dataanalyser och urval i förhållande till annan behand- ling. Det finns i övrigt inte heller skäl att särskilt reglera uppgifter som får göras gemensamt tillgängliga.
Vi har också som alternativ till vår föreslagna reglering övervägt om det finns skäl att införa en mer detaljerad reglering som sätter gränser för vilka uppgifter som får användas för dataanalyser och ur- val utan att reglera en strukturerad samling av uppgifter. En sådan bestämmelse innehållandes en, i förhållande till vårt förslag, mer detal- jerad ”lista” över tillåtna uppgifter för behandling skulle kunna pla- ceras i förordning och vara avsedd att närmare fånga och avgränsa behandlingen till de kategorier av uppgifter vi bedömer att myndig- heterna behöver använda för att göra adekvata analyser och urval. Bestämmelsen skulle kunna vara utformad i likhet med hur de nu- varande registerförfattningarna reglerar vilka uppgifter som får be- handlas i respektive databas.231 I lag skulle det samtidigt kunna finnas en bredare bestämmelse som ger uttryck för principen om uppgifts- minimering232 genom att tydliggöra att myndigheterna för att göra dataanalyser och urval endast får behandla de personuppgifter som är nödvändiga för ändamålen med behandlingen. Lagbestämmelsen kan slutligen kompletteras med en upplysningsbestämmelse som tyd- liggör att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela föreskrifter om vilka upp- gifter som får behandlas.
En fördel med en sådan reglering är att det stärker skyddet för den personliga integriteten samt skapar en förutsebarhet för enskilda
231Se t.ex. 2 kap. 3 § SdbL och 2 § SdbF.
232Artikel 5.1 c i dataskyddsförordningen.
1125
Dataanalyser och urval |
SOU 2023:100 |
och de personuppgiftsansvariga myndigheterna. Dataskyddsregler- ingen skulle då i sig ge en uppfattning om vilka av myndigheternas egna uppgifter som samkörs med andra myndigheters uppgifter – samlat på ett ställe.
Enligt vår mening är det dock som ovan nämnts inte möjligt att förutse vilka kategorier av uppgifter som myndigheterna behöver behandla för att göra adekvata dataanalyser och urval. Våra försök att formulera en sådan detaljerad reglering har utmynnat i att det i slutänden finns en risk för att uppgifter myndigheterna behöver kunna behandla för att göra effektiva analyser och urval faller utan- för, även om kategorierna formuleras relativt brett. En reglering som i hög grad avgränsar vilka uppgifter som myndigheterna ges tillgång till vid sådana analyser och urval riskerar därmed att styra inom vilka verksamhetsområden myndigheterna har störst möjlighet att före- bygga, förhindra och upptäcka fel. Det är i sig inte önskvärt mot bak- grund av att medvetna, men även omedvetna, fel och fusk med all- männa medel som kostar välfärdsstaten och skattebetalarna pengar tenderar att variera i inriktning och upplägg över tid. Vidare sker relativt frekventa ändringar i myndigheternas materiella verksamhets- reglering vilket innebär att vilka uppgifter som är relevanta att be- handla till viss del även förändras i takt med sådana ändringar. En konsekvens av en alltför detaljerad reglering kan därmed bli att data- skyddsregleringen kräver frekventa ändringar och snabbt anses vara föråldrad.
Om kategorierna formuleras på ett liknande sätt som i de gällande registerförfattningarnas bestämmelser om innehåll i databaserna kom- mer det vidare riskera att skära av myndigheternas möjligheter att behandla uppgifter i förhållande till vad som gäller i dag. I dag finns det nämligen enligt vår uppfattning inget i registerförfattningarna som hindrar att andra uppgifter behandlas för att göra dataanalyser och urval utanför databaserna, så länge övriga krav för behandlingen är uppfyllda, såsom att det ska finnas en rättslig grund för behandlingen. Vid sådan behandling gäller inte de särskilda uppräkningarna av vilka uppgifter som får behandlas i respektive databas.
En detaljerad uppräkning gör sig vidare bättre vid reglering av rena myndighetsregister, som t.ex. vägtrafikregistret233 eller belastnings- registret234, vilka främst syftar till att ge vissa aktörer tillgång till spe-
233Se vägtrafikdatalagen (2019:369) med tillhörande förordning (2019:382).
234Se lagen (1998:620) om belastningsregister.
1126
SOU 2023:100 |
Dataanalyser och urval |
cifik information. En sådan typ av reglering är dock inte ändamåls- enlig när det gäller myndigheters möjligheter att handlägga ärenden och utföra kontroller i den egna verksamheten.
Vi menar alltså att en reglering som pekar ut vilka kategorier av uppgifter som är tillåtna att behandla för dataanalyser och urval ris- kerar att i hög grad begränsa myndigheternas möjligheter att på ett effektivt sätt göra relevanta urval. Om möjligheterna att behandla personuppgifter är för begränsad kommer det i praktiken leda till att förmågan att förebygga, förhindra och upptäcka felaktigheter blir av- hängig det nationella rättsliga stödet för personuppgiftsbehandling i stället för att utgångspunkten ligger i myndigheternas materiella uppdrag och verksamhetsreglering. Myndigheterna hade därmed i vissa fall behövt att först gå till dataskyddsförfattningen för att hitta stöd för att utföra sitt uppdrag i stället för att gå till de författningar som faktiskt reglerar detta.
Det finns också en risk att en ”lista” med uppgifter uppfattas som att alla uppgifter som där står angivna alltid är tillåtna att behandla för dataanalyser och urval. Det kan i sin tur leda till att den person- uppgiftsansvariga myndigheten inte gör den proportionalitetsbedöm- ning och andra avvägningar som måste ske inför och under behand- lingen. Vidare finns en risk för fler falska positiva urvalsträffar om myndigheterna inte ges möjlighet att använda ”rätt” typ av data, vilket kan vara svårt att fånga i en författningsreglering. Det kan innebära ett onödigt integritetsintrång om det leder till obehövliga kontroller för att avgöra om någon åtgärd ska vidtas. Vi ser med andra ord en risk för att en mer detaljerad reglering av vilka kategorier av uppgifter som ska få behandlas kommer utgöra ett förslag som inskränker snarare än utvidgar myndigheternas möjligheter att göra dataanaly- ser och urval.
Sammantaget gör vi bedömningen att det inte bör införas någon detaljerad eller uttömmande reglering av vilka kategorier av uppgifter myndigheterna får behandla för dataanalyser och urval.
En upplysning om regeringens restkompetens
Vi föreslår även att det i bestämmelsen som reglerar vilka uppgifter myndigheterna får behandla för att göra dataanalyser och urval tas in en bestämmelse som upplyser om regeringens restkompetens. Av denna ska framgå att regeringen eller den myndighet som regeringen
1127
Dataanalyser och urval |
SOU 2023:100 |
bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela före- skrifter om vilka uppgifter som får behandlas för dataanalyser och urval.
Bestämmelser om vilka slags uppgifter det kan vara fråga om att behandla i en särskilt reglerad databas eller uppgiftssamling för data- analyser och urval har av regeringen i andra sammanhang bedömts kunna finnas i förordning.235
Regeringen kan alltså med stöd av restkompetensen i förordning föreskriva vilka uppgifter som får behandlas, eller inte får behandlas, för att göra dataanalyser och urval och på så vis begränsa tillgången till uppgifter. Det kan t.ex. tänkas bli aktuellt om någon av myndig- heterna får ett nytt uppdrag som innebär att myndigheten ges möj- lighet att samla in nya kategorier av uppgifter som regeringen bedömer inte bör få användas för att göra övergripande analyser och urval.
Särskilt om den nuvarande analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet
I dag finns i folkbokföringsdatabaslagen sedan den 1 maj 2023 en reglering av en analys- och urvalsdatabas (2 a kap. FdbL). Analys- och urvalsdatabasen får användas gemensamt i folkbokföringsverksam- heten för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten.236 I analys- och urvalsdata- basen får bosättnings- och familjerättsligt relaterade uppgifter samt de uppgifter som behövs för handläggning av ärenden behandlas.237 De personkretsar som det får behandlas uppgifter om i analys- och urvalsdatabasen är också desamma som i folkbokföringsdatabasen.238
Utöver dessa uppgifter kan regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen med- dela ytterligare föreskrifter om vilka uppgifter som får behandlas i analys- och urvalsdatabasen.239 Sådana föreskrifter har meddelats av regeringen i folkbokföringsdatabasförordningen. Enligt 5 c § FdbF får i databasen sådana uppgifter behandlas som ska lämnas av andra
235Prop. 2022/23:34, Utbetalningsmyndigheten, s. 143 och prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 27.
2362 a kap. 1 § jämförd med 1 kap. 4 a § FdbL.
2372 a kap. 3 § första stycket jämförd med 2 kap. 3 och 4 §§ FdbL.
2382 a kap. 2 § jämförd med 2 kap. 2 § FdbL.
2392 a kap. 3 § andra stycket FdbL.
1128
SOU 2023:100 |
Dataanalyser och urval |
myndigheter till Skatteverket för kontroll av uppgifter i folkbokför- ingsverksamheten.240 Uppgifter om fastigheter, byggnader, lagfarter och tomträtter får också behandlas.
När det gäller känsliga personuppgifter och uppgifter om lagöver- trädelser avser de uppgifter från folkbokföringsdatabasen som får be- handlas i databasen i huvudsak inte sådana uppgifter.241 I praktiken har Skatteverkets folkbokföringsverksamhet därför i dag begränsade möjligheter att behandla känsliga personuppgifter för att göra data- analyser och urval.
Våra förslag innebär att den nuvarande folkbokföringsdatabaslagen ska upphävas och ersättas av en ny lag, folkbokföringsdatalagen (se avsnitt 6.2). Det får därmed följder på den relativt nya lagstiftning som har införts vilken ger folkbokföringsverksamheten bättre möjlig- heter att göra dataanalyser och urval. Vi anser att de förslag vi lämnar ovan avseende reglering av vilka uppgifter som ska få användas för dataanalyser och urval bör införas även i den nya folkbokförings- datalagen. Den nya lagstiftningen innebär att vilka uppgifter folkbok- föringsverksamheten får använda för att göra dataanalyser och urval inte längre kommer att vara uttryckligen begränsade till bl.a. särskilda personkretsar eller till de uppgifter som i dag får finnas i folkbokför- ingsdatabasen. Det kommer innebära en utvidgning t.ex. på så sätt att Skatteverket kommer att kunna behandla uppgifter om personer som har fått avslag på en ansökan eller begäran om tilldelning av per- sonnummer för att göra dataanalyser och urval.242 I fråga om vilka uppgifter Skatteverket kommer att få använda för att göra dataanaly- ser och urval innefattar det samma uppgifter som får användas för dataanalyser och urval för kontroll enligt folkbokföringsverksamhet- ens registerförfattningar i dag. Den nuvarande databasregleringen inne- bär dock i praktiken begränsningar av vilka uppgifter som får be- handlas för sådana ändamål. Dessa begränsningar kommer inte längre att finnas genom våra förslag. Det kommer att innebära en utvidgad möjlighet att behandla uppgifter för analyser och urval eftersom ytter- ligare uppgifter än de som i dag anges i folkbokföringsdatabaslagen med tillhörande förordning kommer att vara möjliga att använda i sådan verksamhet.
240Se
241Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s.
242Jfr 2 a kap. 2 § och 2 kap. 2 § FdbL.
1129
Dataanalyser och urval |
SOU 2023:100 |
Även den nuvarande regleringen är dock anpassad till folkbok- föringsverksamhetens behov, som utgår från den materiella verk- samhetsregleringen i bl.a. folkbokföringslagen och lagen om samord- ningsnummer. Våra förslag kommer fortsatt innebära att Skatteverket t.ex. inte får behandla uppgifter om personer som inte är relevanta i myndighetens verksamhet. På samma sätt kommer myndigheten en- dast ha möjlighet att behandla personuppgifter i de fall det finns rätts- lig grund för det och övriga krav för att få behandla uppgifter är uppfyllda. Därmed bör de kategorier av uppgifter som myndigheterna kommer att kunna behandla för att göra analyser och urval i princip inte skilja sig så mycket åt i förhållande till den reglering som finns i dag. Den föreslagna regleringen kommer dock att rent faktiskt ut- öka Skatteverkets möjligheter att behandla personuppgifter för att göra dataanalyser och urval. Exempelvis kommer dataanalyserna och urvalen, till skillnad från i dag, att som nyss nämnts kunna omfatta uppgifter om personer som Skatteverket inte tilldelar samordnings- nummer, dvs. när myndigheten avslår en begäran eller ansökan om samordningsnummer. Även känsliga personuppgifter kommer att kunna behandlas i högre utsträckning.
Sammanfattningsvis innebär våra förslag att tillgången till upp- gifter vid dataanalyser och urval utvidgas i förhållande till vad som är tillåtet i dag.
14.9.3Våra förslag i förhållande till bestämmelser om användningsbegränsningar i andra författningar
Vår bedömning: Våra förslag om vilka uppgifter som får behand- las för att göra dataanalyser och urval påverkar inte bestämmelser i andra författningar som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat.
Skälen för vår bedömning
I avsnitt 8.4.5 har vi närmare redogjort för vad som avses med be- stämmelser som innefattar s.k. användningsbegränsningar. Sådana bestämmelser finns ibland i internationella avtal och sektorspecifika
1130
SOU 2023:100 |
Dataanalyser och urval |
rättsakter och innebär att en svensk myndighet endast får använda uppgifter som myndigheten får enligt avtalet eller rättsakten för vissa angivna ändamål eller i viss verksamhet. Det rör sig inte alltid om uppgifter som innefattar personuppgifter, men kan göra det. Använd- ningsbegränsningar som finns i
Vi föreslår ovan i avsnitt 14.9.2 en bestämmelse som reglerar vilka personuppgifter Skatteverket, Tullverket och Kronofogdemyndig- heten får behandla för att göra dataanalyser och urval. I den mån Skatteverket, Tullverket eller Kronofogdemyndigheten får person- uppgifter i enlighet med internationella avtal eller
14.9.4Särskilt om uppgifter som lämnas från betaltjänstleverantörer till Skatteverket
Vår bedömning: Det bör inte införas särskilda bestämmelser som begränsar Skatteverkets möjligheter att behandla uppgifter som lämnas från betaltjänstleverantörer för att göra dataanalyser och urval.
243Författningar som är specifika går före generella författningar.
1131
Dataanalyser och urval |
SOU 2023:100 |
Skälen för vår bedömning
I avsnitt 8.4.8 gör vi bedömningen att uppgifter som samlas in av Skatteverket från betaltjänstleverantörer med anledning av de nya kraven på betaltjänstleverantörer att lämna uppgifter inte ska omfattas av särskilda ändamålsbegränsningar i den föreslagna beskattnings- datalagen. Närmare redogörelser för vad den nya
Lagstiftningsärendet om de nya kraven på betaltjänstleverantörer att lämna uppgifter behandlas i prop. 2022/23:121. Förslagen har om- händertagits och lagändringarna ska träda i kraft den 1 januari 2024.245 I samband med lagstiftningsärendet hade Skatteverket till den före- gående utredningen, benämnd Utredningen om ny uppgiftsskyldig- het för betaltjänstleverantörer, vars arbete redovisas i betänkandet Nya krav på betaltjänstleverantörer att lämna uppgifter (SOU 2022:25), uppgett att de aktuella uppgifterna skulle kunna förbättra myndig- hetens omvärlds- och riskanalyser och i sin tur bidra till att effekti- visera myndighetens kontroll. Enligt Skatteverkets bedömning med- gav dock inte gällande dataskyddsreglering att myndigheten utför analyser med ett mera allmänt och övergripande syfte, som exempel- vis att upptäcka nya trender eller växande branscher. Regeringen ut- talade att frågan om Skatteverket bör medges användning av uppgif- terna för omvärlds- och riskanalyser av mer allmänt slag överlappar vissa frågor som behandlas av vår utredning mot bakgrund av upp- draget att analysera och bedöma lämpligheten och utformningen av en reglering som innebär en utökad möjlighet för Skatteverket att göra dataanalyser och urval, utan att det finns en koppling till ett ärende. Regeringen ansåg därför att det inte var lämpligt att inom ramen för det lagstiftningsarbetet utreda frågan om Skatteverket borde få an- vända de insamlade uppgifterna till analyser med ett mer allmänt och övergripande syfte.246 Regeringen tog därmed inte ställning till om Skatteverket borde få använda de insamlade uppgifterna från betal-
tjänstleverantörerna för sin omvärlds- och riskanalys.
244Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 107.
245Prop. 2022/23:121, bet. 2023/24:SkU2, rskr. 2023/24:12.
246Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s.
1132
SOU 2023:100 |
Dataanalyser och urval |
Till följd av regeringens uttalanden i prop. 2022/23:121 finns det skäl att inom ramen för denna utredning särskilt behandla frågan om uppgifter som lämnas från betaltjänstleverantörer till Skatteverket ska få behandlas vid myndighetens dataanalyser och urval.
Inledningsvis kan vi konstatera att de hinder avseende den gällande dataskyddsregleringen som Skatteverket förde fram till den ovan nämnda utredningen inte längre kommer att finnas till följd av vårt förslag till ny beskattningsdatalag med tillhörande förordning. Frågan är om det trots det finns skäl att införa särskilda ändamålsbegräns- ningar för behandling av uppgifterna i någon av de nya författningarna.
Som nämnts i avsnitt 8.4.8 rör det sig i detta sammanhang inte om uppgifter som är av så integritetskänslig natur att vi generellt an- ser att uppgifterna bör omfattas av särskilda ändamålsbegränsningar i lag eller förordning. I sin verksamhet behandlar Skatteverket mäng- der med andra uppgifter som är mer integritetskänsliga än de som inhämtas från betaltjänstleverantörer för överföring till Europeiska kommissionen som i sin tur samlar uppgifterna i ett centralt elektro- niskt system, kallat Cesop. Skatteverket har vidare uppgett ett berät- tigat behov av att behandla uppgifterna för mer övergripande analy- ser.
247Rådets förordning (EU) nr 904/2010 av den 7 oktober 2010 om administrativt samarbete och kampen mot mervärdesskattebedrägeri. Jfr prop. 2022/23:121, Nya krav på betaltjänst- leverantörer att lämna uppgifter, s. 112.
1133
Dataanalyser och urval |
SOU 2023:100 |
som inhämtas från betaltjänstleverantörer.248 De skäl vi i avsnitt 8.4.8 för fram om varför vi anser att uppgifterna som inhämtas från betal- tjänstleverantörer inte bör omfattas av särskilda ändamålsbegräns- ningar i den föreslagna lagen eller föreslagna förordningen gör sig sam- mantaget enligt vår mening gällande även avseende frågan om uppgif- terna ska få behandlas för Skatteverkets dataanalyser och urval.
Vi gör mot denna bakgrund bedömningen att det inte rör sig om sådana särskilt integritetskänsliga uppgifter för vilka det bör införas särskilda ändamålsbegränsningar. Det finns därför ingen anledning att särreglera behandlingen av dessa uppgifter i förhållande till andra uppgiftskategorier. Att uppgifterna får behandlas med hjälp av sådana verktyg påverkar i sig inte denna bedömning. Uppgifter som betal- tjänstleverantörer lämnar till Skatteverket bör alltså vara möjliga att behandla även för myndighetens dataanalyser och urval. Det kommer dock fortsatt, som vid all behandling, att finnas krav på att de uppgifter som behandlas är nödvändiga för att Skatteverket ska utföra en upp- gift av allmänt intresse eller som ett led i myndighetsutövning (arti- kel 6.1 e i dataskyddsförordningen). Behandlingen måste också följa kraven i artikel 5 i dataskyddsförordningen, bl.a. att uppgifterna som behandlas är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsmini- mering, artikel 5.1 c i dataskyddsförordningen). Att vi inte föreslår några särskilda ändamålsbegränsningar för de aktuella uppgifterna innebär alltså inte att det kommer att vara tillåtet för Skatteverket att vid varje tillfälle behandla de aktuella uppgifterna för att göra över- gripande dataanalyser och urval.
Det kan även tilläggas att regeringen har uttalat att de uppgifter som ska samlas in av betaltjänstleverantörerna är uppgifter som när de samlas in inte har något direkt samband med beskattningen och som dessutom med stor sannolikhet endast till en mycket liten del kan komma att få någon betydelse vid skattekontroll.249 Det kan därför antas att det i flera fall inte kommer att anses vara nödvändigt eller relevant för Skatteverket att använda de aktuella uppgifterna för mer övergripande analyser och urval.
248Jfr regeringens bedömning i prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s.
249Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 94.
1134
SOU 2023:100 |
Dataanalyser och urval |
14.10 Vissa uppgiftsskyldigheter ska utökas
14.10.1 Gällande rätt och myndigheternas behov
Allmänt om informationsutbyte mellan myndigheter
Det förekommer att den information som behövs för att myndig- heter ska kunna utföra sina uppdrag finns hos en annan myndighet. Möjligheten att utbyta uppgifter är på grund av detta viktigt för att myndigheter ska kunna fullgöra sina uppgifter, men också för en fungerande samverkan mellan myndigheter i övrigt.
Många uppgifter som behandlas inom en myndighet skyddas av sekretessbestämmelser. Om en myndighet får en sekretessreglerad uppgift från en annan myndighet, gäller sekretess för uppgiften hos den mottagande myndigheten endast om sekretess följer av en primär sekretessbestämmelse som är tillämplig hos den mottagande myn- digheten eller av en bestämmelse om överföring av sekretess.250 Som ovan nämnts råder sekretess inte bara gentemot enskilda, utan också i förhållande till andra myndigheter.251
Det finns dock ett antal bestämmelser i lag och förordning som bryter sekretessen mellan myndigheter, t.ex. genom en sekretess- brytande uppgiftsskyldighet. Det möjliggör att myndigheter och olika verksamhetsgrenar inom myndigheter utbyter information.
Det finns även möjligheter för myndigheter att utbyta uppgifter även om det saknas uttryckliga bestämmelser som tar sikte på infor- mationsutbyte mellan två myndigheter, t.ex. avseende information i offentliga register såsom fastighetsregistret eller aktiebolagsregistret vilka ska ge offentlighet åt den information som ingår i registret.252 Utöver detta spelar också bestämmelser om rätt att behandla de even- tuella personuppgifter som innefattas i de utbytta uppgifterna in. Det innebär att ett flertal olika typer av författningar aktualiseras vid uppgiftsutbyte mellan myndigheter, t.ex. dataskyddsrättslig regler- ing, offentlighets- och sekretesslagen samt materiell lagstiftning. När förändringar i regleringen om uppgiftsutbyte mellan myndigheter övervägs krävs också noggranna avvägningar mellan viktiga allmänna intressen och skyddet för den personliga integriteten.
2507 kap. 2 § OSL.
2518 kap. 1 § OSL.
2521 § lagen (2000:224) om fastighetsregister och 2 kap. 1 § aktiebolagsförordningen (2005:559).
1135
Dataanalyser och urval |
SOU 2023:100 |
I avsnitten 13.2.1 och 13.2.2 finns närmare redogörelser för vad som rättsligt gäller vid informationsutbyte mellan myndigheter, bl.a. avseende sekretessreglering och den dataskyddsrättsliga regleringen. I avsnitten
Kartläggning av myndigheternas behov
Möjligheten för Skatteverket, Tullverket och Kronofogdemyndig- heten att utbyta uppgifter mellan varandra eller andra myndigheter kan ge bättre förutsättningar för träffsäkra dataanalyser och urval. I arbetet med att kartlägga vilken information som behövs för att möjliggöra adekvata analyser och urval har det kommit fram att det finns vissa behov av ändrade bestämmelser om sekretessbrytande upp- giftsskyldigheter. Skatteverket har uttryckt att det inom beskattnings- verksamheten finns ett behov av utökat uppgiftsutbyte med Krono- fogdemyndigheten. Tullverket har fört fram ett behov av utökade möjligheter till uppgiftsutbyte med Skatteverket. Närmare redogör- elser för dessa myndigheters uttryckta behov samt våra förslag och bedömningar i dessa delar finns nedan i avsnitten 14.10.2 och 14.10.3.
Den nuvarande regleringen som avser utlämnande av uppgifter från andra myndigheter till Kronofogdemyndigheten begränsas i vissa fall till utlämnanden avseende en person som är gäldenär hos myn- digheten, eller till att uppgifterna måste vara av betydelse för hand- läggning av ärenden.253 Så är dock inte fallet avseende andra uppgifts- skyldigheter.254 Vissa befintliga uppgiftsskyldigheter kan därmed hindra att Kronofogdemyndigheten inhämtar sådana sekretesskyddade uppgifter från andra myndigheter enbart för att göra dataanalyser och urval för kontrolländamål. Kronofogdemyndigheten har uttryckt att det kan finnas ett behov av att kunna hämta in uppgifter även när det inte finns något ärende. Myndigheten har dock uppgett att det i dags- läget är svårt att beskriva sådana behov på ett tillräckligt tydligt sätt innan myndigheten har hunnit utveckla användningen av dataanaly- ser och urval som verktyg för kontroll. Kronofogdemyndigheten har
253Se t.ex. 59 § skuldsaneringslagen, 15 § studiestödsdataförordningen (2009:321) och 4 d § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens admini- stration.
254Se t.ex. 1 kap. 4 §§ TL.
1136
SOU 2023:100 |
Dataanalyser och urval |
därför fört fram till utredningen att myndigheten väljer att inte lägga fram någon konkret önskan om förändrade eller nya sekretessbryt- ande uppgiftsskyldigheter i syfte att göra dataanalyser och urval. Mot denna bakgrund finns det inget underlag för att inom ramen för denna utredning föreslå utökade uppgiftsskyldigheter från andra myndigheter gentemot Kronofogdemyndigheten.
I samband med att Skatteverket under 2023 fick bättre möjlig- heter att göra dataanalyser och urval i folkbokföringsverksamheten har regeringen infört utökade uppgiftsskyldigheter i bl.a. folkbokför- ingsförordningen, skattedatabasförordningen och kronofogdedata- basförordningen. Tidigare kunde vissa uppgifter som ansågs kunna komma att behövas för dataanalyser och urval endast hämtas in från andra myndigheter och verksamhetsgrenar om det behövdes för handläggning av folkbokföringsärenden eller kontroll av uppgifter i folkbokföringsdatabasen. Det handlade t.ex. om uppgifter från be- skattningsdatabasen255, Kronofogdemyndigheten256 och Migrations- verket.257 Ett flertal uppgiftsskyldigheter gentemot Skatteverkets folk- bokföringsverksamhet har sedan den 1 maj 2023 ändrats så att de i stället för att avse bl.a. kontroll av uppgifter i folkbokföringsdata- basen avser kontroll av uppgifter i folkbokföringsverksamheten.258 Uppgifter som omfattas av uppgiftsskyldigheter som möjliggör ut- lämnande till Skatteverket för kontroll av uppgifter i folkbokförings- verksamheten får i dag behandlas i analys- och urvalsdatabasen.259
Skatteverket har mot bakgrund av dessa ändringar som nyligen skett framfört att det för närvarande inte finns några behov av ytterligare ändrade bestämmelser om uppgiftsskyldighet gentemot folkbokför- ingsverksamheten. I likhet med Kronofogdemyndigheten arbetar även Skatteverket med att utveckla analys- och urvalsverksamheten inom folkbokföringsverksamheten, vilket enligt myndigheten också är ett skäl till att det är svårt att konkretisera något behov av ytterligare ändringar. Mot denna bakgrund finns det inte heller något underlag för att inom ramen för denna utredning föreslå utökade uppgifts- skyldigheter från andra myndigheter gentemot Skatteverkets folk- bokföringsverksamhet.
2555 c § SdbF i sin lydelse enligt SFS 2020:335.
2567 a § KFMdbF i sin lydelse enligt SFS 2022:1283.
2577 kap. 15 b § utlänningsförordningen, i sin lydelse enligt SFS 2022:1285.
258Se t.ex.
2595 c § FdbF.
1137
Dataanalyser och urval |
SOU 2023:100 |
Vi föreslår att den nuvarande folkbokföringsdatabaslagen med tillhörande förordning ska upphävas och ersättas av en ny folkbok- föringsdatalag med tillhörande förordning (se avsnitten 6.2 och 6.4). Vi föreslår även vissa lagtekniska ändringar av uppgiftsskyldigheter från bl.a. Skatteverkets beskattningsverksamhet till folkbokförings- verksamheten (se avsnitt 13.5). Våra ändringsförslag bedöms dock inte innebära något hinder mot att Skatteverket fortsatt kommer att kunna inhämta och i övrigt behandla sådana uppgifter som ska läm- nas av andra myndigheter till Skatteverket för kontroll av uppgifter i folkbokföringsverksamheten för dataanalyser och urval. Mot denna bakgrund behöver inga författningsändringar göras i detta avseende med anledning av våra förslag.
14.10.2 En utökad uppgiftsskyldighet gentemot Skatteverket
Vårt förslag: Kronofogdemyndigheten ska lämna ut vissa upp- gifter till Skatteverket i den utsträckning det behövs för Skatte- verkets dataanalyser och urval. De uppgifter som ska lämnas ut är följande:
1.en fysisk persons identitet, bosättning och familjeförhållanden,
2.en juridisk persons identitet, säte, firmatecknare och andra före- trädare,
3.en enskilds ekonomiska förhållanden,
4.näringsförbud,
5.egendom som berörs i ett mål,
6.yrkanden och grunder i ett mål eller ärende, och
7.beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende.
Utlämnande av uppgifterna ska inte få ske på initiativ av Krono- fogdemyndigheten.
1138
SOU 2023:100 |
Dataanalyser och urval |
Vår bedömning: Det behövs inga nya sekretessbestämmelser som skyddar uppgifterna efter ett utlämnande till Skatteverket.
Det finns inget behov av ytterligare ändringar i myndigheter- nas dataskyddslagar för att nu aktuella personuppgifter ska få ut- bytas.
Förslaget är förenligt med skyddet för den enskildes personliga integritet.
Skälen för vårt förslag och vår bedömning
Skatteverkets behov av uppgifter från Kronofogdemyndigheten
I dag anges i 7 § KFMdbF att på begäran av Tullverket eller Skatte- verket ska lämnas ut uppgifter som avses i 2 kap. 5 §
De aktuella uppgifterna kan i dag endast inhämtas av Skatteverket från Kronofogdemyndigheten om uppgifterna avser en person som förekommer i ett ärende hos Skatteverket.
Skatteverket har uppgett att det finns ett behov av att kunna in- hämta uppgifterna även när det inte finns något ärende för att göra dataanalyser och urval. Ett skäl till detta hänger samman med möjlig- heten för Skatteverket att bevilja anstånd till fördel för det allmänna. Denna möjlighet regleras i 63 kap. 23 § SFL som föreskriver att om det kan antas vara till fördel för det allmänna, får Skatteverket bevilja anstånd med betalning av skatt eller avgift. Bestämmelsen infördes när Skatteverket tog över de s.k. offensiva borgenärsuppgifterna från Kronofogdemyndigheten, vilket innebär att det är Skatteverket som företräder det allmänna som borgenär i fråga om fordringar av offent- ligrättslig karaktär. Med andra ord företräder Skatteverket staten i fråga om vissa närmare angivna borgenärsuppgifter när det gäller ford-
1139
Dataanalyser och urval |
SOU 2023:100 |
ringar som vid verkställighet enligt utsökningsbalken handläggs som allmänna mål. Ett anstånd anses vara till fördel för det allmänna om det främjar utsikterna för att skatten eller avgiften kommer att be- talas. Anståndet ska alltså framstå som ett bättre alternativ än att låta fordringen gå till indrivning. Så kan vara fallet om ett överlämnade till indrivning och registrering i utsöknings- och indrivningsdata- basen skulle försämra den skattskyldiges möjlighet att fortsätta sin verksamhet eller ta lån och därmed betala sin skuld. Om den skatt- skyldige redan har en eller flera restförda skatte- eller avgiftsskulder hos Kronofogdemyndigheten kan ett överlämnande för indrivning avseende ytterligare en skuld normalt inte anses påverka möjlig- heterna negativt att få betalt.260
När Skatteverket har initierat anståndsfrågan på grund av att myn- digheten har övervägt att vidta en offensiv borgenärsåtgärd är det en- ligt myndigheten viktigt att skuldernas totala omfattning är klarlagd, att skuldorsaken är ordentligt utredd samt att en prognosbedömning har gjorts avseende hur skulderna ska betalas efter en anståndstids utgång. Skatteverket har uppgett att det offensiva borgenärsarbetet därmed förutsätter att myndigheten har en heltäckande bild av den enskildes restförda skulder hos Kronofogdemyndigheten när Skatte- verket planlägger ärenden. I dagsläget har Skatteverket enbart tillgång till uppgifter om de skulder som Skatteverket har överlämnat till Kronofogdemyndigheten och inte till t.ex. skulder till underleveran- törer som är restförda som enskilda mål vid Kronofogdemyndigheten. I avsaknad av sådana uppgifter kan Skatteverket inte starta en offen- siv borgenärsåtgärd genom ett effektivt urval. Skatteverket agerar offensivt i borgenärsarbetet även i de fall skulder ännu inte har upp- stått hos Skatteverket.
De aktuella uppgifterna från Kronofogdemyndigheten är alltså enligt Skatteverket betydelsefulla för att genomföra analyser och ur- val för att avgöra vilka som kan vara aktuella att beviljas anstånd till fördel för det allmänna. Uppgifter om stora skulder är t.ex. en indi- kation på att något inte står rätt till i ett bolag och kan vara en risk- indikator för undandragande av olika skatter eller avgifter till det all- männa. Om anstånd med betalning av skatt eller avgift inte meddelas där det finns fog för det, finns det enligt Skatteverket en risk för att den skattskyldige prioriterar betalning av andra skulder än skulder till det allmänna. Till följd av att statliga fordringar är oprioriterade i
260Prop. 2010/11:164, Skatteförfarandet, s.
1140
SOU 2023:100 |
Dataanalyser och urval |
en konkurs finns följaktligen en risk för att det allmänna inte får betalt. Uppgifterna från Kronofogdemyndigheten kan, om de används vid dataanalyser och urval, därmed bidra till att förhindra att staten går miste om sådana medel.
Skatteverket har även uppgett att aktuella uppgifter kan vara av betydelse för att upptäcka s.k.
En utvidgad bestämmelse om uppgiftsskyldighet
Av kartläggningen har det kommit fram att Skatteverket vid utföran- det av sina uppgifter behöver ta del av ovan nämnda uppgifter om bl.a. enskildas ekonomiska förhållanden och uppgifter i enskilda ären- den vid Kronofogdemyndigheten. Vi bedömer att de uppgifterna från Kronofogdemyndigheten bör kunna lämnas ut utan hinder av sekre- tess eller ärendeanknytning för att förbättra Skatteverkets möjlig- heter att göra adekvata dataanalyser och urval. Uppgifterna bedöms vara nödvändiga för Skatteverkets verksamhet som borgenär för statens fordringar samt för sitt uppdrag att utreda och besluta om skatter och avgifter. En möjlighet att inhämta aktuella uppgifter kan därmed bidra till ökade förutsättningar för Skatteverket att fatta kor- rekta beslut i enlighet med sitt uppdrag. Eftersom uppgifter om t.ex. en enskilds ekonomiska förhållanden och befintliga skulder kan änd- ras är det ändamålsenligt att Skatteverket också löpande kan ta del av uppgifter om förändringar av sådana förhållanden. Uppgifterna anses också vara av värde även innan det finns ett enskilt ärende vid Skatte- verket.
Uppgifterna bedöms alltså vara av betydelse för att Skatteverket på ett effektivt sätt ska kunna avgöra vilka borgenärsåtgärder som bör vidtas i syfte att förhindra att staten går miste om inbetalning av skatter och avgifter. De är också av betydelse för att Skatteverket ska
1141
Dataanalyser och urval |
SOU 2023:100 |
kunna upptäcka vilka företag som inte är registrerade för att betala skatter och avgifter i Sverige, men som borde vara det.
I förekommande fall omfattas de aktuella uppgifterna av sekretess i Kronofogdemyndighetens verksamhet. Bland annat gäller sekretess hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (2014:836) om närings- förbud, för uppgift om en enskilds personliga eller ekonomiska för- hållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men (34 kap. 1 § första stycket OSL). Sekretessen gäller dock inte beslut i mål eller ärende (34 kap. 1 § femte stycket OSL).
Vi bedömer att behovet av att Skatteverket ska kunna utföra sina uppgifter på ett effektivt och korrekt sätt, vilket i detta fall förhind- rar potentiella skatteundandraganden, generellt sett kan anses väga tyngre än det intresse som sekretessen hos Kronofogdemyndigheten skyddar. Det rör sig även om ett uppgiftsutbyte som kan antas be- höva ske återkommande. Vi anser därför att uppgiftsskyldigheten för Kronofogdemyndigheten gentemot Skatteverket bör utvidgas.
Som framgår ovan gäller uppgiftsskyldigheten i 7 § KFMdbL en- bart om uppgifterna avser en person som förekommer i ett ärende hos Skatteverket. I avsnitt 13.8 föreslår vi att Kronofogdemyndig- hetens uppgiftsskyldigheter ska regleras i en ny förordning benämnd förordningen om utlämnande av uppgifter från Kronofogdemyndig- heten. Genom förslaget förändras strukturen avseende befintliga upp- giftsskyldigheter som i dag regleras i bl.a. kronofogdedatabasförord- ningen. Därmed kommer vissa ändringar att göras av den befintliga 7 § KFMdbF redan av denna anledning. Ändringarna föreslås föras in i den nya 5 § i förordningen om utlämnande av uppgifter från Kronofogdemyndigheten.
För att Skatteverket ska kunna hämta in aktuella uppgifter även för analys- och urvalsändamål föreslår vi att uppgiftsskyldigheten i 5 § förordningen om utlämnande av uppgifter från Kronofogdemyndig- heten ska formuleras så att uppgifter, utöver vid ärendehandlägg- ning, får hämtas in om de behövs för Skatteverkets dataanalyser och urval. Det blir då även fortsatt tydligt att det ska finnas ett berättigat behov hos Skatteverket innan uppgifter får lämnas ut. Utlämnande av uppgifterna kommer inte att få ske på initiativ av Kronofogde- myndigheten (se 9 § förordningen om utlämnande av uppgifter från
1142
SOU 2023:100 |
Dataanalyser och urval |
Kronofogdemyndigheten). En närmare motivering av denna bestäm- melse finns i avsnitt 13.4.4.
Frågor om sekretess
En av de grundläggande principerna för sekretessregleringen är att sekretess som huvudregel inte följer med en uppgift när den lämnas till en annan myndighet. När uppgifter som rör en enskilds person- liga eller ekonomiska förhållanden lämnas från Kronofogdemyndig- heten till Skatteverket kommer de sekretessregler som gäller hos Skatteverket att bli tillämpliga på uppgifterna.
I avsnitt 15.3 föreslår vi att absolut sekretess ska gälla i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattnings- datalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Vidare regleras skattesekretessen hos Skatteverket i bl.a. 27 kap. 1 § OSL. Enligt första stycket gäller absolut sekretess i verksamhet som avser bestämmande av skatt eller fastställande av underlag för skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretess kommer även i enlighet med våra förslag i avsnitt 15.5.3 att gälla vid förande av eller uttag ur en automatiserad uppgiftssamling som Skatteverket använder i verksam- het som avses i 2 § beskattningsdatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden (27 kap. 1 § andra stycket 1 OSL). Vidare gäller enligt 27 kap. 2 § första stycket 3 OSL (absolut) sekretess för uppgift om en enskilds personliga eller ekonomiska för- hållanden i ärende om anstånd med erläggande av skatt. Sekretessen gäller dock inte beslut i ärende (27 kap. 2 § tredje stycket 1 OSL). Enligt 27 kap. 2 § andra stycket gäller sekretess i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Bestämmelsen har alltså ett omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess. Inte heller här omfattar sekretessen beslut i ärende (27 kap. 2 § tredje stycket 1 OSL).
1143
Dataanalyser och urval |
SOU 2023:100 |
Det kan alltså konstateras att uppgifterna från Kronofogdemyn- digheten till Skatteverket kommer att omfattas av bestämmelser om sekretess som har samma eller starkare skyddsnivå hos Skatteverket. Mot denna bakgrund gör vi bedömningen att uppgifterna kommer att ha ett tillräckligt skydd hos Skatteverket också efter ett utvidgat utlämnande. Det bedöms därmed inte behövas nya sekretessbestäm- melser som skyddar uppgifterna efter ett utlämnande till Skatteverket.
Frågor om personuppgiftsbehandling
När det gäller den utvidgade uppgiftsskyldighet som är aktuell här handlar det om ett utlämnande av uppgifter från Kronofogdemyndig- heten till Skatteverket. Både utlämnande och mottagande myndighet omfattas alltså av vårt uppdrag i fråga om att se över deras befintliga registerförfattningar.
Kronofogdemyndigheten kommer att ha stöd för den vidareanvänd- ning av personuppgifter som den aktuella uppgiftsskyldigheten med- för då skyldigheten följer av en förordningsbestämmelse i nationell rätt. Uppgiftsskyldigheten bedöms vara en nödvändig och propor- tionell åtgärd i ett demokratiskt samhälle för att skydda bl.a. landets ekonomiska eller finansiella intressen i form av skattefrågor (jfr arti- kel 6.4 i dataskyddsförordningen). Behandlingen bedöms därmed vara förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in (artikel 5.1 b i dataskyddsförordningen). Vidare finns i den föreslagna kronofogdedatalagen en bestämmelse som förtydligar att personuppgifter som Kronofogdemyndigheten behandlar för att utföra sin verksamhet inom lagens tillämpningsområde också får behandlas för att fullgöra uppgiftslämnande som sker i överensstäm- melse med lag eller förordning (se avsnitt 8.4.4).
För Skatteverkets del gäller att myndigheten får behandla person- uppgifter om det är nödvändigt för att utföra sin verksamhet inom ramen för den föreslagna beskattningsdatalagens tillämpningsområde (se avsnitt 8.4.3). Vidare kommer Skatteverket genom den nya lagen att ha stöd för att behandla personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i samma verksamhet (se avsnitt 14.8). Skatteverket kommer även ha stöd för att behandla eventuella känsliga personuppgifter, om det är nödvän- digt med hänsyn till ändamålet med behandlingen (se avsnitt 10.7).
1144
SOU 2023:100 |
Dataanalyser och urval |
Mot denna bakgrund görs bedömningen att de inte krävs ytterligare överväganden för att Skatteverket som mottagande myndighet ska ha stöd för den behandling av personuppgifter som föranleds av det utökade uppgiftsutbytet.
Här kan också nämnas att det genom de föreslagna nya lagarna kommer att finnas förutsättningar för att uppgiftsutbytet kan ske elektroniskt då ett av våra förslag innebär att myndigheterna ska få lämna ut personuppgifter elektroniskt om det inte är olämpligt (se avsnitt 11.7.5).
Skyddet för den enskildes personliga integritet
Genom bestämmelser om uppgiftsskyldighet kan riskerna för otill- börlig spridning av personuppgifter öka, vilket i sin tur ökar risken för integritetsintrång. De uppgifter som omfattas av den utökade upp- giftsskyldigheten är dock redan i dag uppgifter som får lämnas ut från Kronofogdemyndigheten till Skatteverket, och som Skatteverket har stöd för att behandla inom beskattningsverksamheten.
Vi gör bedömningen att arten av de personuppgifter som omfattas av den utökade uppgiftsskyldigheten inte är sådan att det föranleder några större förändringar av de uppgifter som Skatteverket redan be- handlar. Däremot kan omfattningen, dvs. mängden uppgifter, komma att öka. Syftet med förslagen är att Skatteverket ska kunna utföra adekvata dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Avsikten är att detta i förlängningen ska leda till att Skatteverket ges bättre möjligheter att utföra sitt uppdrag på ett kor- rekt och effektivt sätt till förmån för välfärdsstaten i stort. Vi anser att det av Skatteverkets uppgifter till oss framgår att det finns ett berättigat och konkret behov av att kunna inhämta aktuella uppgifter från Kronofogdemyndigheten för det nu nämnda syftet. När Skatte- verket väl har hämtat in uppgifterna för att göra dataanalyser och ur- val måste det, trots den utvidgade sekretessbrytande uppgiftsskyldig- heten, som vid varje behandling, finnas en tillämplig rättslig grund vilken måste sökas någon annanstans. Det kommer att finnas ett ut- tryckligt krav på att uppgifterna behövs för utförandet av Skatte- verkets verksamhet i detta avseende. Kravet innebär att behandlingen får anses vara en nödvändig och proportionerlig åtgärd för att säker- ställa aktuella allmänna intressen. Vidare måste de grundläggande prin-
1145
Dataanalyser och urval |
SOU 2023:100 |
ciperna om behandling följas, såsom principen om uppgiftsminimer- ing (artikel 5.1 c i dataskyddsförordningen) och lagringsminimering (artikel 5.1 e i dataskyddsförordningen). Någon risk för att fler upp- gifter inhämtas än vad som behövs, eller sparas längre än nödvändigt, föreligger därmed inte. Dessutom gäller kraven på inbyggt dataskydd och dataskydd som standard (artikel 25). Utöver detta kommer, som framgår ovan, sekretesskyddet hos Skatteverket att vara mycket starkt efter överlämnandet av uppgifterna.
Vid en intresseavvägning gör vi sammantaget bedömningen att det integritetsintrång förslaget innebär är godtagbart.
14.10.3 En utökad uppgiftsskyldighet gentemot Tullverket
Vårt förslag: Skatteverket ska lämna ut vissa uppgifter till Tull- verket i den utsträckning det behövs för Tullverkets dataanalyser och urval. De uppgifter som ska lämnas ut är följande:
1.en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
2.en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare,
3.registrering för skatter och avgifter,
4.underlag för fastställande av skatter och avgifter,
5.bestämmande av skatter och avgifter,
6.yrkanden och grunder i ett ärende, och
7.beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Utlämnande av uppgifterna ska inte få ske på initiativ av Skatteverket.
Vår bedömning: Det behövs inga nya sekretessbestämmelser som skyddar uppgifterna efter ett utlämnande till Tullverket.
Det finns inget behov av ytterligare ändringar i myndigheter- nas dataskyddslagar för att nu aktuella personuppgifter ska få ut- bytas för dataanalyser och urval.
Förslaget är förenligt med skyddet för den enskildes person- liga integritet.
1146
SOU 2023:100 |
Dataanalyser och urval |
Skälen för vårt förslag och vår bedömning
Tullverkets behov av uppgifter från Skatteverket
I 5 § första stycket SdbF anges följande.
På begäran av Tullverket ska sådana uppgifter lämnas ut som avses i
2kap. 3 § första stycket
1.är eller kan antas vara gäldenär enligt tullagstiftningen,
2.är eller kan antas vara skyldig att betala skatt för vara vid import,
3.är eller kan antas vara skattskyldig enligt lagen (1994:1776) om skatt på energi, lagen (2016:1067) om skatt på kemikalier i viss elektro- nik, lagen (2018:696) om skatt på vissa nikotinhaltiga produkter, lagen (2020:32) om skatt på plastbärkassar, lagen (2022:155) om tobaksskatt eller lagen (2022:156) om alkoholskatt,
4.avses i 3 §, eller
5.annars är föremål för Tullverkets kontrollverksamhet.
I 3 § SdbF anges att i beskattningsdatabasen ska även de uppgifter behandlas som anges i rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004.
De uppgifter som avses genom hänvisningen till 2 kap. 3 § första stycket
Enligt 5 a § första stycket SdbF ska på begäran av Tullverket så- dana uppgifter lämnas ut som avses i 2 kap. 4 a § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
I 2 kap. 4 a § SdbL anges att i databasen får uppgifter och hand- lingar behandlas som ingår i det datoriserade system som avses i arti- kel 1 i Europaparlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om förflyttningar och kontroller av punktskattepliktiga varor.
Tullverkets bedömning är att bestämmelserna i 5 § första stycket och 5 a § första stycket SdbF innebär att Tullverket endast kan hämta in uppgifterna när det finns ett pågående ärende i någon form. Myn-
1147
Dataanalyser och urval |
SOU 2023:100 |
digheten anser dock att det skulle vara värdefullt om uppgifterna även fick hämtas in för analys- och urvalsändamål.
När Tullverket har hämtat in aktuella uppgifter från Skatteverket inom ramen för ett ärende får de enligt myndighetens bedömning senare vidareanvändas för att hitta samband, avvikelser och förete- elser som indikerar att det finns felaktigheter. Sådana analyser används för att välja ut objekt för ytterligare analys, i ett skede då det inte finns något ärende i förvaltningsrättslig mening. Eftersom Tullverket en- bart kan använda uppgifter som redan har samlats in är möjligheterna till en mer omfattande jämförelseanalys enligt myndigheten ytterst begränsad. Såväl bredden på urvalet som kvaliteten på analyserna på- verkas enligt Tullverket eftersom analysen enbart kan avse ett fåtal utvalda aktörer. Om Tullverket hade haft möjlighet att i en övergri- pande analys använda ett bredare underlag för jämförelser, skulle resultatet enligt myndighetens bedömning ge mer information och ha högre kvalitet. Tullverket har därför uppgett att det finns ett be- hov av att hämta in aktuella uppgifter för analys även utan att det finns ett pågående ärende.
Mer konkret handlar behovet om att när Tullverket utför olika former av analyser, bl.a. mönsteranalyser för att hitta mönster i importflödet, är det relevant att titta på vilka gemensamma nämnare respektive olikheter som finns inom olika branscher. Sådana analyser kan bidra till att identifiera var det finns högre risk för avvikelser och fel. För att förbättra indelningen av företag i olika branscher eller storlekar behöver Tullverket data som beskriver olika verksamheter och omfattningen av företags ekonomiska aktivitet. För att dela in företagen i branscher kan både
261SNI är en förkortning för svensk näringsgrensindelning, vilket används för att klassificera företag och arbetsställen efter vilken verksamhet som bedrivs. Det är Skatteverket som samlar in
1148
SOU 2023:100 |
Dataanalyser och urval |
Tullverket bedömer att det skulle finnas ett stort värde i att upp- gifter i mervärdesskattedeklarationer avseende importmoms skulle kunna jämföras med Tullverkets uppgifter i tulldeklarationer för att avvikelser avseende värdet på varor som importeras på så sätt ska kunna identifieras. Sådana avvikelser kan vara indikationer på fel och fusk.
Ett annat exempel är att Tullverket enligt myndigheten kan an- vända aktuella uppgifter för att se om företag som har fått negativa ändringsbeslut hos Skatteverket även har fått det hos Tullverket, och vice versa. Att ett företag är mindre nogräknat med att göra korrekta skatteavdrag eller sköta sin bokföring kan enligt Tullverket vara en indikation på att detsamma gäller avseende tullfrågor. Negativa änd- ringsbeslut vid Skatteverket kan också vara en riskindikator vid ett företags första import. Tullverket anser att uppgifter från Skatte- verket om beslut samt underlagen för dessa därmed behövs för att eventuella korrelationer ska kunna upptäckas.
En utvidgad bestämmelse om uppgiftsskyldighet
Det kan först konstateras att den nu gällande bestämmelsen i 5 a § första stycket SdbF inte är formulerad så att det krävs att aktuella uppgifter hämtas in för ärendehandläggning eller avseende en viss person som är aktuell hos Tullverket. Vi gör därmed bedömningen att denna uppgiftsskyldighet inte hindrar att Tullverket hämtar in där aktuella uppgifter för att göra dataanalyser och urval även innan det finns ett pågående ärende. Våra förslag i avsnitt 13.7 kommer inte heller att medföra att uppgiftsskyldigheten ändras i sak.
Bestämmelsen i 5 § första stycket SdbF är dock i dag formulerad så att uppgifter endast får lämnas ut från Skatteverket om de avser en viss person som t.ex. är eller kan antas vara gäldenär enlig tullagstift- ningen, eller annars är föremål för Tullverkets kontrollverksamhet. Det har ovan kommit fram att Tullverket vid utförandet av sina upp- gifter har ett behov av att ta del av de uppgifter som omfattas av denna bestämmelse även när det inte finns något pågående ärende eller kontrollinsats avseende ett företag eller en privatperson vid Tull- verket, men där det finns uppgifter hos Tullverket om en viss sådan aktör att jämföra med. Som framgår ovan avser det uppgifter i bl.a. beslut och skattedeklarationer vid Skatteverket.
Vi bedömer att det är befogat och nödvändigt att aktuella upp- gifter från Skatteverket kan lämnas ut utan hinder av sekretess för att
1149
Dataanalyser och urval |
SOU 2023:100 |
förbättra Tullverkets möjligheter att göra adekvata dataanalyser och urval. Uppgifterna bedöms vara nödvändiga för Tullverkets verksam- het med att fastställa och ta ut tullar, skatter och avgifter samt med att övervaka och kontrollera trafiken till och från Sverige så att be- stämmelser om in- och utförsel av varor följs. En möjlighet att hämta in aktuella uppgifter kan därmed bidra till ökade förutsättningar för Tullverket att identifiera felaktigheter och fatta korrekta beslut i en- lighet med myndighetens uppdrag. Uppgifterna är av värde även innan det finns ett enskilt ärende vid Tullverket. Genom att Tullverket kan få del av uppgifterna innan ett ärende påbörjats ges myndigheten möjlighet att i ett tidigare skede identifiera var resurserna avseende olika former av kontroller bör riktas i det stora varuflöde som myn- digheten ansvarar för att kontrollera.
Uppgifterna är alltså av betydelse för att Tullverket på ett effek- tivt sätt ska kunna avgöra vilka objekt som bör kontrolleras ytter- ligare i syfte att förhindra att staten inte går miste om inbetalning av tullar, skatter och andra avgifter.
De aktuella uppgifterna omfattas av sekretess i Skatteverkets verk- samhet. Enligt 27 kap. 1 § första stycket OSL gäller absolut sekretess i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Vissa undantag från sekretessen finns avseende beslut varigenom skatt eller pensionsgrundande inkomst bestäms eller underlag för bestäm- mande av skatt fastställs (27 kap. 6 § OSL).
Vi bedömer att behovet av att Tullverket ska kunna utföra sina uppgifter på ett effektivt sätt, vilket i detta fall förhindrar potentiella tull- och skatteundandraganden, generellt sett kan anses väga tyngre än det intresse som sekretessen hos Skatteverket skyddar. Det rör sig även om ett uppgiftsutbyte som kan antas behöva ske återkommande. Vi anser därför att uppgiftsskyldigheten för Skatteverket gentemot Tullverket bör utvidgas.
Som framgår ovan gäller uppgiftsskyldigheten i 5 § första stycket SdbF enbart om uppgifterna avser en person som har eller kan antas ha en skyldighet gentemot Tullverket och som därmed också före- kommer i ett pågående ärende vid myndigheten. I avsnitt 13.5.1 före- slår vi att Skatteverkets uppgiftsskyldigheter ska regleras i en ny för- ordning benämnd förordningen om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet. Genom förslaget ändras struk-
1150
SOU 2023:100 |
Dataanalyser och urval |
turen avseende befintliga uppgiftsskyldigheter som i dag regleras i bl.a. skattedatabasförordningen. Vissa ändringar av den befintliga 5 § SdbF kommer därmed redan av denna anledning behövas. Ändring- arna föreslås föras in i 5 kap. 1 och 2 §§ förordningen om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet.
För att Tullverket ska kunna hämta in aktuella uppgifter även för analys- och urvalsändamål föreslår vi att uppgiftsskyldigheten i 5 kap.
1§ förordningen om utlämnande av uppgifter från Skatteverkets be- skattningsverksamhet ska formuleras så att uppgifter, utöver vid bl.a. ärendehandläggning, får hämtas in om de behövs för Tullverkets data- analyser och urval. Det blir då även fortsatt tydligt att det ska finnas ett berättigat behov hos Tullverket innan uppgifter får lämnas ut. Ut- lämnande av uppgifterna kommer inte att få ske på initiativ av Skatte- verket (se 5 kap. 5 § förordningen om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet). En närmare motivering av denna bestämmelse finns i avsnitt 13.4.4.
Frågor om sekretess
Som ovan beskrivits är en av de grundläggande principerna för sekre- tessregleringen att sekretess som huvudregel inte följer med en upp- gift när den lämnas till en annan myndighet. När sekretessbelagda uppgifter som rör en enskilds personliga eller ekonomiska förhållan- den lämnas från Skatteverket till Tullverket kommer de sekretess- regler som gäller hos Tullverket att bli tillämpliga på uppgifterna.
I avsnitt 15.3 föreslår vi att absolut sekretess ska gälla i verksam- het som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som avses i 2 § tulldatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Vidare regleras sekretessen hos Tullverket i bl.a. 27 kap. 3 § OSL. Enligt första stycket gäller sekretessen enligt 27 kap. 1 och 2 §§ OSL för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Bestämmelsen har alltså ett omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess. I 27 kap. 6 § OSL finns vissa undan- tag från sekretessen avseende bl.a. vissa beslut varigenom skatt be- stäms eller underlag för bestämmande av skatt fastställs.
1151
Dataanalyser och urval |
SOU 2023:100 |
I avsnitt 15.5.3 föreslår vi att bestämmelsen i 27 kap. 3 § andra stycket OSL i fortsättningen bör ha en lydelse som innebär att mot- svarande sekretess som anges i 27 kap. 3 § första stycket OSL gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen för uppgift som finns i den uppgiftssamlingen.
Det kan alltså konstateras att uppgifterna från Skatteverket till Tullverket kommer att omfattas av bestämmelser om sekretess som har samma eller något svagare skyddsnivå hos Tullverket. Även om uppgifterna i vissa fall inte kommer att omfattas av absolut sekretess hos Tullverket, kommer det i sådana situationer att finnas en presum- tion för sekretess. Det innebär i de allra flesta fall att sekretess allt- jämt kommer att gälla för uppgifterna vid Tullverket. Det rör sig även om en typ av uppgifter som Tullverket redan i dag har möjlighet att hämta in från Skatteverket – om än i mindre omfattning – samt genom direktåtkomst, varvid sekretessen i 27 kap. 1 § andra stycket 1 OSL gäller med absolut sekretess.
Trots att uppgifterna efter ett utlämnande i vissa fall kan komma att få ett något svagare sekretesskydd vid Tullverket gör vi bedöm- ningen att sekretesskyddet kommer att vara tillräckligt även efter ett utvidgat utlämnande till Tullverket. Vid denna bedömning har vi be- aktat att uppgifterna fortsatt kommer att omfattas av sekretess vid Tullverket, att Tullverket är i behov av uppgifterna samt att uppgifts- utlämnandet får anses vara nödvändigt och proportionerligt för att förebygga och förhindra tull- och skatteundandragande, företeelser som påverkar välfärdssystemen negativt. Ett något svagare sekretess- skydd i vissa situationer kan därmed godtas. I övrigt kommer upp- gifterna, t.ex. vid dataanalyser och urval, fortsatt att omfattas av absolut sekretess. Det bedöms mot denna bakgrund inte behövas nya sekre- tessbestämmelser som skyddar uppgifterna efter ett utlämnande till Tullverket.
Frågor om personuppgiftsbehandling
När det gäller den uppgiftsskyldighet som här är aktuell handlar det om ett utlämnande av uppgifter från Skatteverket till Tullverket. Både utlämnande och mottagande myndighet omfattas alltså av vårt uppdrag i fråga om att se över deras befintliga registerförfattningar.
1152
SOU 2023:100 |
Dataanalyser och urval |
Skatteverket kommer att ha stöd för den vidareanvändning av personuppgifter som den aktuella uppgiftsskyldigheten medför efter- som skyldigheten följer av en förordningsbestämmelse i nationell rätt. Uppgiftsskyldigheten bedöms vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda bl.a. landets ekono- miska eller finansiella intressen i form av penning- och skattefrågor (jfr artikel 6.4 i dataskyddsförordningen). Behandlingen bedöms där- med vara förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in (artikel 5.1 b i dataskyddsförordningen). Vidare finns i den föreslagna beskattningsdatalagen en bestämmelse som förtydligar att personuppgifter som Skatteverket behandlar för att utföra sin verksamhet inom lagens tillämpningsområde också får behandlas för att fullgöra uppgiftslämnande som sker i överensstäm- melse med lag eller förordning (se avsnitt 8.4.4).
För Tullverkets del gäller att myndigheten får behandla person- uppgifter om det är nödvändigt för att utföra sin verksamhet inom ramen för den föreslagna tulldatalagens tillämpningsområde (se av- snitt 8.4.3). Vidare kommer Tullverket genom den nya lagen att ha stöd för att behandla personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i samma verk- samhet (se avsnitt 14.8). Sådant stöd finns även för Tullverkets del genom unionsrättslig reglering, såsom tullkodexen. Tullverket kom- mer även ha stöd för att behandla eventuella känsliga personuppgifter, om det är nödvändigt med hänsyn till ändamålet med behandlingen (se avsnitt 10.7). Mot denna bakgrund görs bedömningen att det inte krävs ytterligare överväganden för att Tullverket som mottagande myndighet ska ha stöd för den behandling av personuppgifter som föranleds av det utökade uppgiftsutbytet.
Här kan också nämnas att det genom de föreslagna nya lagarna kommer att finnas förutsättningar för att uppgiftsutbytet kan ske elektroniskt då ett av våra förslag innebär att myndigheterna ska få lämna ut personuppgifter elektroniskt om det inte är olämpligt (se avsnitt 11.7.5).
Skyddet för den enskildes personliga integritet
Genom bestämmelser om uppgiftsskyldighet kan riskerna för otill- börlig spridning av personuppgifter anses öka, vilket i sin tur ökar risken för integritetsintrång. De uppgifter som omfattas av den ut-
1153
Dataanalyser och urval |
SOU 2023:100 |
ökade uppgiftsskyldigheten för dataanalyser och urval är dock redan i dag uppgifter som får lämnas ut från Skatteverket till Tullverket, och som Tullverket har stöd för att behandla inom tullverksamheten.
Vi gör bedömningen att arten av de personuppgifter som omfattas av uppgiftsskyldigheten inte är sådan att det föranleder några större förändringar av de uppgifter som Tullverket redan behandlar. Där- emot kan omfattningen, dvs. mängden uppgifter, komma att öka. Syftet med förslagen är att Tullverket ska kunna utföra adekvata dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Avsikten är att detta i förlängningen ska leda till att Tullverket ges bättre möjligheter att utföra sitt uppdrag på ett effektivt sätt till förmån för välfärdsstaten i stort. Vi anser att det av Tullverkets upp- gifter till oss framgår att det finns ett berättigat och konkret behov av att kunna inhämta aktuella uppgifter från Skatteverket för det nu nämnda syftet. När Tullverket väl har hämtat in uppgifterna för att göra dataanalyser och urval måste det, trots den sekretessbrytande uppgiftsskyldigheten, som vid varje behandling, finnas en tillämplig rättslig grund vilken måste sökas någon annanstans. Det kommer att finnas ett uttryckligt krav på att uppgifterna behövs för utförandet av Tullverkets verksamhet i detta avseende. Kravet innebär att be- handlingen får anses vara en nödvändig och proportionerlig åtgärd för att säkerställa aktuella allmänna intressen. Vidare måste de grund- läggande principerna om behandling följas, såsom principen om upp- giftsminimering (artikel 5.1 c i dataskyddsförordningen) och lag- ringsminimering (artikel 5.1 e i dataskyddsförordningen). Regelverket medger således inte att fler uppgifter hämtas in än vad som behövs, eller sparas längre än nödvändigt. Dessutom gäller kraven på inbyggt dataskydd och dataskydd som standard (artikel 25). Utöver detta kom- mer, som framgår ovan, det fortfarande finnas ett starkt sekretess- skydd hos Tullverket efter överlämnandet av uppgifterna.
Vid en intresseavvägning gör vi sammantaget bedömningen att det integritetsintrång förslaget innebär är godtagbart.
1154
SOU 2023:100 |
Dataanalyser och urval |
14.11 Särskilda skydds- och säkerhetsåtgärder
14.11.1Något om vilka skyddsåtgärder som kommer att vara tillämpliga vid dataanalyser och urval
Vår bedömning: De generella skydds- och säkerhetsåtgärderna i EU:s dataskyddsförordning, dataskyddslagen samt i förslagen till beskattningsdatalag, folkbokföringsdatalag, tulldatalag och krono- fogdedatalag med tillhörande förordningar kommer att vara till- lämpliga även vid behandling av personuppgifter för dataanalyser och urval.
Vissa ytterligare bestämmelser om särskilda skydds- och säker- hetsåtgärder avseende dataanalyser och urval bör införas i de före- slagna lagarna respektive förordningarna.
Skälen för vår bedömning
Dataskyddsregleringarnas generella skydds- och säkerhetsåtgärder kommer att vara tillämpliga
När Skatteverket, Tullverket och Kronofogdemyndigheten behand- lar personuppgifter vid dataanalyser och urval uppkommer vissa sär- skilda integritetsrisker. Uppgifter som i sig inte är särskilt känsliga till sin art eller omfattning kan vid sambearbetning med andra upp- gifter inom myndigheterna eller från andra myndigheter komma att få en betydligt mer integritetskänslig karaktär än när de behandlas inom t.ex. ett enskilt ärende. EU:s dataskyddsförordning och data- skyddslagen innehåller ett flertal bestämmelser om olika åtgärder som ska tillämpas vid all automatiserad behandling av personuppgifter i syfte att skydda fysiska personers personliga integritet. Det innebär att bestämmelser om bl.a. grundläggande principer för behandling, rättslig grund, personuppgiftsansvar, känsliga personuppgifter samt inbyggt dataskydd och dataskydd som standard ska tillämpas av be- rörda myndigheter även när dataanalyser och urval utförs. I artikel 32 i dataskyddsförordningen finns bl.a. en skyldighet för den person-
1155
Dataanalyser och urval |
SOU 2023:100 |
uppgiftsansvarige att överväga pseudonymisering262 och kryptering av personuppgifter när det är lämpligt. Dataskyddslagens bestämmel- ser kommer att gälla för myndigheternas personuppgiftsbehandling om inte annat följer av de föreslagna lagarna eller föreskrifter som har meddelats i anslutning till dessa (se avsnitt 7.5.1).
Vi föreslår vidare att det ska införas vissa särskilda skydds- och säkerhetsåtgärder i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen med tillhörande förordningar. Det är bl.a. bestämmelser om sökbegränsningar, tillgång till person- uppgifter, elektroniskt utlämnande av personuppgifter och längsta tid för behandling. Den lagtekniska systematik som föreslås i de nämnda författningarna, som innebär att det inte längre kommer finnas en reglering av särskilda databaser, är avsedd att medföra att samtliga särskilt föreskrivna skydds- och säkerhetsåtgärder kommer att vara tillämpliga även vid behandling av personuppgifter vid dataanalyser och urval. Det kommer inte att spela någon roll om de personuppgif- ter som behandlas kan anses vara gemensamt tillgängliga inom verk- samheten eller inte.
Vissa ytterligare skydds- och säkerhetsåtgärder bör tas in i de föreslagna lagarna och förordningarna
Med anledning av att behandlingen av personuppgifter vid dataanaly- ser och urval kan få en mer integritetskänslig karaktär än annan be- handling anser vi att det är nödvändigt att behandlingen i det samman- hanget omfattas av vissa särskilda skydds- och säkerhetsåtgärder. Sådana åtgärder syftar till att minska risken för onödiga integritets- intrång. Vid behandling av känsliga personuppgifter enligt artikel 9.2 g i dataskyddsförordningen är det även ett krav att det ska finnas be- stämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Den behand- ling som myndigheterna kommer att utföra vid dataanalyser och ur- val kommer att se olika ut vid de olika myndigheterna. Exempelvis kommer Skatteverket att behandla uppgifter om en större del av
262Med pseudonymisering avses enligt artikel 4.5 i dataskyddsförordningen behandling av per- sonuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en spe- cifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kom- pletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
1156
SOU 2023:100 |
Dataanalyser och urval |
befolkningen än Tullverket och Kronofogdemyndigheten. De upp- gifter som behandlas vid myndigheterna kommer dock behöriga tjänstemän vid respektive myndighet att kunna ta del av. Även om myndigheterna redan nu har möjlighet att sammanställa personupp- gifter i sina respektive verksamheter, kommer den samling av infor- mation från verksamheterna och i förekommande fall från andra myn- digheter vid t.ex. utvecklingen av en urvalsmodell med hjälp av AI att innebära särskilda risker.
Det bör alltså ställas höga krav på skydds- och säkerhetsåtgärder vid behandling av personuppgifter som sker för dataanalyser och urval. Vi anser att de flesta och viktigaste bestämmelserna om sär- skilda skydds- och säkerhetsåtgärder i detta sammanhang bör tas in i lag. Andra åtgärder bör dock kunna tas in i förordning.
14.11.2 Proportionalitetsprincipen
Vår bedömning: Proportionalitetsprincipen behöver inte uttryck- ligen regleras i lag avseende behandling av personuppgifter som görs för att utföra dataanalyser och urval.
Skälen för vår bedömning
Vissa tillämpliga allmänna principer
Vid all personuppgiftsbehandling gäller de allmänna principer för behandling av personuppgifter som föreskrivs i artikel 5.1 i dataskydds- förordningen. Där anges principerna om laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lag- ringsminimering samt integritet och konfidentialitet. I artikel 5.2 an- ges att den personuppgiftsansvarige ska ansvara för och kunna visa att samtliga principer efterlevs. Samtliga dessa principer gäller alltså även vid den personuppgiftsbehandling som sker när Skatteverket, Tullverket och Kronofogdemyndigheten utför dataanalyser och ur- val. Dataskyddsförordningen är uppbyggd så att den kräver att den behandling som utförs är proportionerlig i förhållande till behand- lingens syfte.263
263Se bl.a. skäl 4 till dataskyddsförordningen.
1157
Dataanalyser och urval |
SOU 2023:100 |
Utöver dataskyddsrättsliga principer finns vissa allmänna princi- per, varav vissa lagfästa, som myndigheter alltid måste iaktta när åt- gärder vidtas. Exempelvis regleras legalitetsprincipen i 1 kap. 1 § tredje stycket RF där det anges att den offentliga makten utövas under lag- arna. Vidare har legalitetsprincipen, objektivitetsprincipen och pro- portionalitetsprincipen lagfästs i förvaltningslagen.
Enligt 5 § första stycket FL får en myndighet endast vidta åtgär- der som har stöd i rättsordningen (legalitetsprincipen). I bestämmel- sens andra stycke föreskrivs att i sin verksamhet ska myndigheten vara saklig och opartisk (objektivitetsprincipen). Slutligen anges i tredje stycket att myndigheten får ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får aldrig vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot (proportio- nalitetsprincipen). Dessa principer gäller för handläggning av ärenden hos förvaltningsmyndigheterna samt i annan förvaltningsverksam- het hos förvaltningsmyndigheter (1 § FL). Dessa grundläggande prin- ciper gäller alltså även när myndigheterna utför dataanalyser och urval inom ramen för sina uppdrag.
Proportionalitetsprincipen bör inte lagfästas särskilt
Såvitt vi känner till finns det inga lagar om personuppgiftsbehandling som innehåller en bestämmelse som uttryckligen lagfäster propor- tionalitetsprincipen. Så har inte heller föreslagits eller införts avse- ende Skatteverkets dataanalyser och urval i den nuvarande folkbok- föringsdatabaslagen eller i lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. Principen gäller dock som ovan nämns vid all personuppgiftsbehandling som myndigheter utför.
Vi har övervägt om det trots detta finns skäl att reglera propor- tionalitetsprincipen direkt i lagtext avseende behandling av person- uppgifter som görs för att utföra dataanalyser och urval. Detta mot bakgrund av de särskilda risker för enskildas personliga integritet som finns när dataanalyser och urval utförs, framför allt till följd av den sambearbetning av stora mängder uppgifter som kan göras med sådana verktyg. Det kan därför framstå som särskilt viktigt att prin- cipen av integritetsskyddande skäl får en framträdande plats i de
1158
SOU 2023:100 |
Dataanalyser och urval |
föreslagna lagarna, även om principen gäller oavsett om den finns uttryckt direkt i lag i detta sammanhang eller inte. Möjligheten att införa en sådan bestämmelse bedömer vi finns genom artiklarna 6.2 och 6.3 i dataskyddsförordningen. En sådan bestämmelse hade kunnat utformas på så sätt att behandling av personuppgifter för att göra dataanalyser och urval endast får utföras om skälen för sådan be- handling väger tyngre än intrånget i enskildas personliga integritet.
När det gäller proportionalitetsavvägningen i samband med ut- förande av dataanalyser och urval bör särskilt framhållas vikten av att myndigheterna noggrant prövar samtliga skäl som talar för, respek- tive de som talar emot att behandla personuppgifter för att göra data- analyser och urval för kontrolländamål. Denna prövning kan enligt vår mening leda till att en åtgärd inte tillåts trots att de krav som de föreslagna lagarna samt övrig dataskyddsreglering uppställer för att behandling av personuppgifter vid användning av sådana verktyg ska vara tillåten är uppfyllda. Så kan t.ex. vara fallet om en mycket stor mängd personuppgifter, som även innehåller känsliga personuppgif- ter, behandlas vid dataanalyser för att göra ett urval som i slutändan endast förväntas kunna resultera i ett fåtal adekvata och relevanta urvalsträffar för att förhindra fel eller fusk (se vidare nedan).
Myndigheterna måste också säkerställa att användandet av data- analyser och urval över huvud taget kan antas leda till det avsedda resultatet. Om det t.ex. finns en risk för att behandlingen av vissa uppgifter helt saknar betydelse för det avsedda resultatet, eller att de kan leda till ett snedvridet eller diskriminerande resultat, får detta vägas in i proportionalitetsbedömningen vilket kan resultera i att så- dana uppgifter inte får behandlas. Myndigheterna ska ta hänsyn till principen under hela den tid som uppgifterna används för dataanaly- ser och urval. Det kan tänkas uppstå situationer då behandlingen till en början bedömts vara proportionerlig, men där t.ex. utvecklingen och tillämpningen av en viss urvalsmodell måste avbrytas till följd av en tillämpning av proportionalitetsprincipen, trots att åtgärden fort- satt kan bedömas behövas för att effektivisera kontrollverksamheten i ett visst avseende.
När Skatteverket, Tullverket och Kronofogdemyndigheten be- dömer om personuppgifter ska behandlas för ett visst ändamål inom kontrollverksamhet med hjälp av verktygen dataanalyser och urval, bör proportionalitetsprincipen vidare få betydelse när en planerad behandling innefattar känsliga personuppgifter eller en mycket om-
1159
Dataanalyser och urval |
SOU 2023:100 |
fattande mängd personuppgifter. Även syftet med det enskilda analys- och urvalsprojektet bör spela in. I den mån t.ex. mycket känsliga uppgifter kommer att behandlas eller det skulle röra sig om person- uppgifter om en mycket stor del av befolkningen, kommer åtgärden troligen att bedömas som mycket integritetskänslig. Det resultat som myndigheterna avser att uppnå med ett analys- och urvalsprojekt av sådan karaktär måste stå i rimligt förhållande till det bedömda integ- ritetsintrånget. Det krävs i ett sådant fall enligt vår mening att åtgär- derna förväntas leda till stora effektivitetsvinster eller goda resultat avseende att förebygga, förhindra eller upptäcka fel i verksamheterna. Detsamma gör sig gällande när Kronofogdemyndigheten gör data- analyser och urval i syfte att motverka överskuldsättning.
Vid tillämpningen av proportionalitetsprincipen kommer det även att spela roll om de uppgifter som används har pseudonymiserats eller anonymiserats. I ett sådant fall kan integritetsintrånget förvän- tas bli mindre genom användandet av sådana säkerhetsåtgärder. Det ska med andra ord alltid vägas in om andra åtgärder än att behandla personuppgifter avseende identifierbara fysiska personer kan användas för att uppnå samma resultat.
Behandling av personuppgifter i enskilda ärenden för att utföra kontroll bör typiskt sett bedömas vara mindre integritetskänsligt än när myndigheterna behandlar uppgifter för att göra stora dataanaly- ser i syfte att identifiera och välja ut ärenden där det finns större risk för fel eller fusk. Som en utgångspunkt för proportionalitetsbedöm- ningen bör därmed gälla att användningen av personuppgifter för att göra dataanalyser och urval endast är proportionerlig om andra åt- gärder för att effektivisera eller utföra kontrollverksamhet inte är tillräckliga för att myndigheterna ska kunna utföra sina uppdrag på ett bra sätt, skulle vara väsentligen svårare och dyrare att genomföra än vad dataanalyser och urval kan förväntas vara eller om det av någon anledning kan leda till större integritetsintrång än vad dataanalyser och urval kan göra.
Det kan visserligen diskuteras i vilka situationer en proportiona- litetsprövning kan tänkas leda till att personuppgifter inte får behand- las för att göra dataanalyser och urval i de fall övriga krav på bl.a. rättslig grund, uppgiftsminimering och särskilda skydds- och säkerhetsåtgär- der är uppfyllda i enlighet med den allmänna dataskyddsregleringen och de föreslagna lagarna. Proportionalitetsprincipen är dock en redan befintlig grundläggande förvaltningsrättslig princip som myndig-
1160
SOU 2023:100 |
Dataanalyser och urval |
heter ska ta hänsyn till vid alla åtgärder som utförs i myndigheternas förvaltningsverksamhet. Det är av förklarliga skäl svårt att på ett närmare sätt än vad som ovan gjorts beskriva hur myndigheterna ska gå till väga vid en proportionalitetsprövning i samband med att data- analyser och urval utförs, och i vilka fall den kan utmynna i att be- handling inte får utföras.
Ett exempel kan dock vara om en av de berörda myndigheterna bedömer att det finns ett behov av att hämta in större mängder upp- gifter, även förhållandevis integritetskänsliga sådana, om enskilda för att behandla i ett visst analys- och urvalsprojekt. Myndigheten be- dömer att det finns rättslig grund för att behandla uppgifterna då de är nödvändiga för att utföra en uppgift av allmänt intresse. Uppgif- terna bedöms även vara adekvata, relevanta och inte för omfattande i förhållande till det tilltänkta ändamålet med behandlingen. Även övriga krav för att få behandla uppgifterna bedöms vara uppfyllda. En proportionalitetsprövning kan dock i en sådan situation komma att utmynna i att behandlingen ändå inte bör utföras i de fall skälen för behandlingen, dvs. syftet med analys- och urvalsprojektet, inte kan anses uppväga det intrång som behandlingen innebär i enskildas personliga integritet i de fall uppgifterna innefattar en stor mängd information om enskildas privatliv.
Sammantaget kan vi konstatera att proportionalitetsprincipen får stor betydelse när myndigheterna behandlar personuppgifter för att göra dataanalyser och urval, också i det fall den inte lagfästs särskilt. Även om en särskild bestämmelse om proportionalitetsprincipen i de nya lagarna hade förstärkt vikten av att personuppgiftsbehand- lingen hela tiden präglas av en proportionalitetstanke finns det dock skäl som talar emot ett sådant förslag. Eftersom sådana uttryckliga bestämmelser hade utgjort just ett tydliggörande av vad som redan gäller, hade de inte på något sätt ersatt det faktum att myndigheterna måste ta hänsyn till principen vid all personuppgiftsbehandling. Så- dana bestämmelser hade alltså inte nödvändigtvis stärkt integritets- skyddet. Tvärtom riskerar sådana bestämmelser att ge intrycket av att proportionalitetsprincipen främst ska tillämpas när myndighet- erna behandlar personuppgifter för att göra dataanalyser och urval, och inte vid all den övriga personuppgiftsbehandling som kommer att utföras med stöd av lagarna.
Mot denna bakgrund anser vi att det inte finns skäl att införa ut- tryckliga bestämmelser om proportionalitetsprincipen i de nya lagarna
1161
Dataanalyser och urval |
SOU 2023:100 |
som föreskriver att behandling av personuppgifter för att göra data- analyser och urval endast får utföras om skälen för sådan behandling väger tyngre än intrånget i enskildas personliga integritet. Som ovan framgår har myndigheterna redan en skyldighet att se till att all be- handling av personuppgifter sker i enlighet med proportionalitets- principen, dvs. även när dataanalyser och urval utförs.
Även om vi bedömer att det inte finns skäl att införa en särskild bestämmelse om proportionalitetsprincipen, lämnar vi i avsnitt 14.11.3 förslag om krav på viss dokumentation av myndigheternas propor- tionalitetsbedömningar.
14.11.3 Krav på dokumentation
Vårt förslag: När personuppgifter behandlas för att göra data- analyser och urval ska Skatteverket, Tullverket och Kronofogde- myndigheten dokumentera avvägningen mellan det avsedda resul- tatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjlig- gör kontroll i efterhand.
Skälen för vårt förslag
Genom dataanalyser och urval kommer uppgifter från myndigheterna samt andra myndigheter att sambearbetas på ett sätt som kan inne- bära att uppgifternas karaktär bli mer integritetskänsliga än i de fall uppgifterna behandlas inom ramen för ett ärende. Urvalsträffar kan komma att användas av myndigheterna för att vidta kontrollåtgärder mot ett enskilt subjekt. Dessa omständigheter innebär att det bör vara möjligt att i efterhand kontrollera vilka faktorer som har legat till grund för användningen av verktygen och urvalet. Det är viktigt för att kunna se till att Skatteverket, Tullverket och Kronofogdemyndig- heten följer den generella och sektorspecifika dataskyddsregleringen vid sådan behandling. Det bidrar även till att göra det tydligt att myndigheterna behöver göra noggranna överväganden innan person-
1162
SOU 2023:100 |
Dataanalyser och urval |
uppgifter behandlas för att göra dataanalyser och urval för sådana ändamål som anges i de nya lagarna.
För skyddet av den personliga integriteten anser vi att det är av vikt att det i efterhand går att kontrollera myndigheternas propor- tionalitetsbedömningar samt vilka metoder och sökbegrepp för ur- val som har använts. Det ska genom dokumentationen gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål och inte behandlas under längre tid än vad som behövs.264 Vi föreslår därför att det ska införas särskilda bestämmelser i de nya lagarna som innebär att när dataanalyser och urval utförs ska myndigheternas pro- portionalitetsbedömningar samt de metoder och sökbegrepp som används för att ta fram urval dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand. Då det är av vikt att denna särskilda skydds- och säkerhetsåtgärd efterlevs anser vi att bestämmelserna ska föras in i lag.
Vi anser att kravet på dokumentation för det första ska omfatta avvägningen mellan det avsedda resultatet med åtgärden och in- trånget i enskildas personliga integritet. Detta innebär att myndig- heterna behöver dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning behöver myndigheterna ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheterna behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat. Myndigheternas bedömning av behandlingens proportiona- litet och de omständigheter som har beaktats ska gå att utläsa ur dokumentationen i efterhand. Det är inte möjligt att på förhand ange exakt vilka omständigheter som ska dokumenteras då det skiljer sig från fall till fall. Det viktiga är att det i efterhand går att kontrollera den gjorda avvägningen mellan de aktuella intressena.
Av artikel 35.1 i dataskyddsförordningen framgår att den person- uppgiftsansvarige ska göra en konsekvensbedömning avseende data- skydd om en typ av behandling, särskilt med användning av ny tek- nik, och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättig- heter och friheter. Om den personuppgiftsansvarige behöver utföra
264Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 61.
1163
Dataanalyser och urval |
SOU 2023:100 |
en konsekvensbedömning enligt dataskyddsförordningen ska denna innehålla åtminstone en systematisk beskrivning av den planerade behandlingen och behandlingens syften, en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena och en bedömning av riskerna för de registrerades rättigheter och friheter. Bedömningen ska också innehålla de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgär- der och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att dataskyddsförordningen efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen (artikel 35.7 i dataskyddsförordningen). Om behandling en- ligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfat- tas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvens- bedömning i samband med antagandet av denna rättsliga grund, gäll- er inte bestämmelserna om konsekvensbedömning i artikel
Redan av artikel 35 i dataskyddsförordningen framgår alltså att myndigheterna behöver ta hänsyn till och bedöma behandlingens pro- portionalitet i förhållande till syftena. Det kan därför ifrågasättas om det behöver införas en särskild regel som avser ett krav på dokumen- tation av en liknande bedömning i de nya lagarna. En konsekvens- bedömning enligt artikel 35 i dataskyddsförordningen behöver dock endast göras av myndigheterna i vissa specifika situationer. Även om den behandling som myndigheterna utför vid dataanalyser och urval sannolikt kräver en sådan bedömning, kan det inte uteslutas att det kommer finnas situationer då en mindre mängd uppgifter används på ett sätt som innebär att en konsekvensbedömning enligt dataskydds- förordningen inte behöver göras. Vi bedömer därför att det finns skäl att införa det föreslagna kravet på dokumentation som en särskild skyddsåtgärd vid dataanalyser och urval.
I de fall myndigheterna är skyldiga att göra en konsekvensbedöm- ning enligt artikel 35 i dataskyddsförordningen och de därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som
265Artikel 35.10 i dataskyddsförordningen.
1164
SOU 2023:100 |
Dataanalyser och urval |
gör att det går att kontrollera i efterhand, har myndigheterna sam- tidigt uppfyllt det föreslagna dokumentationskravet.
Det kan vidare konstateras att det av de föreslagna lagarna inte kommer att framgå något uttryckligt krav på att myndigheterna ska göra en proportionalitetsbedömning inför utförandet av dataanalyser och urval. Detta hindrar dock inte enligt vår mening att lagarna inne- håller ett krav på dokumentation av myndigheternas avvägning mellan det avsedda resultatet med åtgärden och intrånget i enskildas person- liga integritet. Att myndigheterna vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår nämligen redan av andra författningar, såsom förvaltningslagen och dataskyddsförordningen (jfr avsnitt 14.11.2). Den föreslagna bestämmelsen om krav på dokumentation ställer allt- så inte upp några nya materiella krav på att en proportionalitets- bedömning som inte alltid måste göras nu ska göras, eftersom så är fallet redan i dag.
Även de metoder som används för att ta fram urval ska dokumen- teras på ett sådant sätt att de kan kontrolleras i efterhand. Med meto- der för att ta fram urval menas t.ex. urvalsmodeller som myndig- heterna tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel, eller motverka överskuldsättning för Kronofogde- myndighetens del, i de verksamheter som omfattas av respektive lags tillämpningsområde. Kravet är inte tänkt att tolkas så att en urvals- modell som bygger på
Kravet på dokumentation av sökbegrepp syftar till att det i efter- hand ska gå att kontrollera vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informationsmängd och hitta de poster eller uppgiftskonstellationer där begreppet förekommer. Sökbegrepp kan också användas för att välja bort information.266 Utöver detta kan det handla om sökningar som görs för att sortera fram den information
266Jfr prop. 2006/07:63, En anpassad försvarsunderrättelseverksamhet, s. 138 och SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 384.
1165
Dataanalyser och urval |
SOU 2023:100 |
som kommer användas som underlag för en viss dataanalys, eller sök- ningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare. Kravet säkerställer att myndigheterna inte gör sökningar som är otillåtna enligt de särskilda sökbegräns- ningar som föreslås i avsnitt 10.9 eller att uppgifter som inte får be- handlas, ändå behandlas.
Dokumentationskravet innebär inte att myndigheterna måste redo- visa exakt vilka uppgifter som behandlas. Det är tillräckligt att det fram- går vilka kategorier av uppgifter som behandlas och uppgifternas art.
Avseende formen för den dokumentation som ska göras bör det vara upp till myndigheterna att avgöra denna mot bakgrund av vilka tekniska möjligheter som vid varje tid finns. Det ska dock ske på ett sådant sätt att det är möjligt att göra efterhandskontroller av de om- ständigheter som omfattas av kravet. Dokumentationskravet avser även att underlätta för tillsynsmyndigheternas kontroll.
Vi bedömer att den föreslagna utformningen av kravet på doku- mentation innebär att de bedömningar och åtgärder som myndig- heterna har vidtagit för att få fram ett visst urval, vilket sedan kan komma att ligga till grund för myndighetsutövning mot enskilda, möjliggör adekvata kontroller av arbetet med analyser och urval i efterhand. Detta stärker i sig skyddet för den personliga integriteten. Dokumentationskravet bedöms samtidigt inte vara utformat så att det medför att myndigheterna behöver lägga allt för stora resurser på att uppfylla kravet i förhållande till vad som är rimligt med hänsyn till syftet med dokumentationen. Detta bl.a. då det kommer att vara upp till myndigheterna att avgöra i vilken form dokumentationen ska göras.
Det föreslagna kravet på dokumentation i den nya folkbokför- ingsdatalagen ersätter det nuvarande kravet på dokumentation avse- ende metoder för att ta fram urval som sökbegrepp som används vid sökningar i analys- och urvalsdatabasen inom folkbokföringsverksam- heten som i dag regleras i 2 a kap. 5 § FdbL. Enligt vår bedömning innebär det inget försvagat skydd för den personliga integriteten, utan snarare ett förstärkt skydd eftersom den föreslagna bestämmelsen tillför ett krav på dokumentation av avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
1166
SOU 2023:100 |
Dataanalyser och urval |
14.11.4 Längsta tid som personuppgifter får behandlas
Vår bedömning: Den generella bestämmelsen om att person- uppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen bör gälla även för utförandet av dataanalyser och urval. Det bör inte införas någon yttersta tidsgräns för hur länge personuppgifter får behandlas i sådan verksamhet.
Skälen för vår bedömning
Huvudregeln om längsta tid för behandling bör gälla vid dataanalyser och urval
I avsnitten 12.2 och 12.3 finns närmare redogörelser för arkivrättsliga bestämmelser om bevarande och gallring, för dataskyddsregleringens regler om lagringsminimering och behandling för arkivändamål samt för de nu gällande bestämmelserna för Skatteverket, Tullverket och Kronofogdemyndigheten. Här kan endast nämnas att enligt arti- kel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka person- uppgifterna behandlas. Personuppgifter får dock lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åt- gärder som krävs enligt denna förordning genomförs för att säker- ställa den registrerades rättigheter och friheter (principen om lagrings- minimering).
Vi föreslår i avsnitt 12.4.3 att de nuvarande registerförfattningar- nas regler om gallring ska ersättas av generella bestämmelser om längsta tid för behandling av personuppgifter. Det görs därmed en tydlig åtskillnad mellan dataskyddsregler och arkivrättslig reglering. I linje med detta bör begreppen bevarande och gallring inte heller användas i de föreslagna lagarna i den betydelse de har i arkivlagstiftningen av- seende behandling för att göra dataanalyser och urval. De eventuella föreskrifter om gallring av uppgifter i arkivrättslig mening som fram-
1167
Dataanalyser och urval |
SOU 2023:100 |
över kan bedömas behövas i detta sammanhang får meddelas i enlig- het med den arkivrättsliga regleringen.267
Vad gäller dataanalyser och urval i andra lagstiftningsärenden har det nyligen införts regler om längsta tid för behandling av person- uppgifter vid dataanalyser och urval i Skatteverkets folkbokförings- verksamhet samt i Utbetalningsmyndigetens verksamhet. I Skatte- verkets folkbokföringsverksamhet gäller att uppgifter som behand- las i analys- och urvalsdatabasen inte får behandlas under en längre tid än som behövs med hänsyn till ändamålet med behandlingen. Uppgifterna får dock aldrig behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen.268 I Utbetalningsmyndig- hetens verksamhet kommer en allmän bestämmelse om längsta tid för behandling att som huvudregel vara tillämplig vid den myndig- hetens dataanalyser och urval. Enligt denna bestämmelse får person- uppgifter inte behandlas under längre tid än vad som behövs med hän- syn till ändamålet med behandlingen, dock som längst den tid som följer av 4 kap. 2 och 3 §§.269 De senare paragraferna är inte relevanta för myndighetens uppgiftssamling för dataanalyser och urval. Regler- ingarna vid dessa myndigheter skiljer sig alltså åt på det sättet att det i folkbokföringsverksamheten föreskrivs en yttersta tidsgräns för behandlingen.
De dataanalyser och urval som Skatteverket, Tullverket och Krono- fogdemyndigheten kommer att ges möjlighet att utföra medför be- hov av att kunna behandla personuppgifter för sådana ändamål under varierande tidslängder. Insamlingen av uppgifter kan i vissa fall vara mycket omfattande. Efter insamlingen av underlaget kommer uppgif- terna att sambearbetas, t.ex. genom olika former av automatiserade analyser eller vid utvecklingen och tillämpningen av en urvalsmodell. Olika uppgifter kommer att vara relevanta att analysera beroende på syftet med ett enskilt projekt. Om uppgifterna inte är relevanta för ändamålet får de inte behandlas270, och det skulle även ge ett mindre träffsäkert urval.
När det gäller behovet av att fortsatt behandla uppgifterna varie- rar detta, bl.a. beroende på hur länge ett visst analys- och urvalsprojekt
267Se bl.a. 14 § arkivförordningen (1991:446) som föreskriver att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.
2682 a kap. 6 § FdbL. Särskilda överväganden av vad som bör gälla inom Skatteverkets folk- bokföringsverksamhet finns nedan med anledning av den nyligen införda regleringen.
2694 kap. 1 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten.
270Jfr artikel 5.1 c i dataskyddsförordningen.
1168
SOU 2023:100 |
Dataanalyser och urval |
pågår. Det innebär att det är svårt att på förhand avgöra under hur lång tid det kan vara relevant att behandla uppgifter. De för projektet aktuella uppgifterna måste kunna behandlas under hela den tid som analyserna och urvalen genomförs. I annat fall riskerar syftet med åt- gärderna att gå förlorat. När ett visst analys- och urvalsprojekt är av- slutat är vår uppfattning att uppgifterna inte längre ska behandlas.271
I avsnitt 12.4.3 föreslår vi att det ska finnas generella bestämmel- ser om längsta tid för behandling i de nya lagarna. Det kommer även att finnas en möjlighet för regeringen eller den myndighet som reger- ingen bestämmer att med stöd av 8 kap. 7 § RF meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Vi gör bedömningen att de föreslagna generella bestämmelserna om längsta tid för behandling av personuppgifter, vilka ger uttryck för principen om lagringsminimering, bör gälla som huvudregel även vid behand- ling av uppgifter för dataanalyser och urval. Enligt vår mening är denna typ av reglering, som liknar den som kommer att gälla vid Utbetalnings- myndigheten, att föredra framför att införa en yttersta tidsgräns för behandlingen. En sådan generell bestämmelse säkerställer den grund- läggande principen om att endast uppgifter som behöver behandlas ska behandlas. Bestämmelsen möjliggör samtidigt att Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgif- ter under den tid som behandling är nödvändig, t.ex. för att vid data- analyser och urval kunna analysera historiska företeelser i olika av- seenden272, eller för att se till att en urvalsmodell inte ger ett skevt eller diskriminerande resultat. Sådan behandling får enligt vår mening anses omfattas av ändamålet.
En i lag föreskriven yttersta tidsgräns har visserligen den fördelen att det blir tydligt för både de registrerade och myndigheterna under hur lång tid personuppgifter får behandlas vid dataanalyser och urval från insamlingstidpunkten. I vissa fall kan en sådan reglering troligen även leda till att uppgifter behandlas under kortare tid än vad som annars skulle ha varit fallet vid en tillämpning av huvudregeln. Vi har därför övervägt att i lagarna införa bestämmelser som innefattar yttersta tidsgränser för behandling av personuppgifter för dataanaly- ser och urval.
Enligt vår mening skulle sådana tidsgränser dock behöva sättas så att det görs en rimlig avvägning mellan myndigheternas behov av be-
271Jfr artikel 5.1 e i dataskyddsförordningen.
272Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 150.
1169
Dataanalyser och urval |
SOU 2023:100 |
handling och skyddet för den personliga integriteten. En eventuell tidsgräns kan enligt vår mening inte sättas alltför kort. Exempelvis gäller enligt skattedatabaslagen i dag att uppgifter och handlingar i beskattningsdatabasen ska gallras senast sju år efter utgången av det kalenderår då den beskattningsperiod som uppgifterna eller hand- lingarna kan hänföras till gick ut.273 Det har bl.a. motiverats med att det i efterhand ska vara möjligt att fastställa vilka omständigheter som varit avgörande för ett beslut, särskilt så länge beslutet kan bli före- mål för omprövning.274 Liknande argument skulle göra sig gällande vid avgörandet av vad som är en rimlig yttersta tidsgräns inom vilken personuppgifter får behandlas vid dataanalyser och urval, då omstän- digheter som är relevanta vid ärendehandläggning även är relevanta vid användningen av sådana verktyg för att kunna utföra kontroll- verksamhet. Det skulle enligt vår mening dock vara mycket svårt att närmare utreda vilka tidsfrister som bör gälla för olika typer av analys- och urvalsprojekt. Även om det är möjligt att ge exempel är det svårt att på förhand slå fast dels vilka typer av analyser som myn- digheterna kommer att utföra, dels vilka uppgifter som kommer att användas på vilket sätt. Vi bedömer även att preciseringar i lag av- seende vilka olika tidsfrister som uppgifter får behandlas inte heller generellt krävs enligt dataskyddsförordningen. Att behandlingen är laglig, rättvis och proportionerlig säkerställs enligt vår mening av den föreslagna bestämmelsen om längsta tid för behandling, övrig be- fintlig och föreslagen dataskyddsreglering samt sekretessreglering.
De hänsyn som måste tas vid bestämmandet av en yttersta tids- gräns kan vidare antingen komma att leda till att en del av syftet med myndigheternas utökade dataanalyser och urval går förlorat, eller att vissa uppgifter behandlas under längre tid än vad som egentligen behövs för ändamålet. Detta mot bakgrund av hur svårt det är att förutse behovet. Eftersom en tidsgräns hade gällt just som en yttersta tidsgräns, vilket inte fråntar giltigheten av huvudregeln om att upp- gifter inte får behandlas under längre tid än vad som behövs för ända- målet, anser vi att en sådan lagteknisk utformning inte nödvändigtvis stärker integritetsskyddet. Tvärtom riskerar det alltså att leda till att uppgifter behandlas under längre tid än vad som behövs med hänsyn till ändamålet genom att tidsgränsen kan ses som en möjlighet att göra så. Vi har inte heller funnit skäl att införa någon yttersta tids-
2732 kap. 11 § SdbL. Från regeln finns dock undantag i bl.a. 18 § SdbF.
274Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 135.
1170
SOU 2023:100 |
Dataanalyser och urval |
gräns för behandling av vissa särskilda uppgifter, såsom t.ex. känsliga personuppgifter.
Mot denna bakgrund anser vi att det är att föredra att låta den generella bestämmelsen om längsta tid för behandling gälla även för behandling vid dataanalyser och urval. En sådan bestämmelse ställer höga krav på den personuppgiftsansvarige som löpande måste pröva om personuppgifter ska behandlas eller inte. Fortsatt behandling måste alltid kunna motiveras med hänsyn till det ändamål för vilket behandlingen sker. Om behov av behandling saknas, ska uppgifterna upphöra att vara tillgängliga i de verksamhetssystem som används för aktuella ändamål. Det hindrar dock inte att vissa motsvarande uppgifter behandlas för en efterföljande kontrollåtgärd eller liknande som har initierats i ett ärende som ett resultat av analys- och urvals- projektet.
Det bör även nämnas att myndigheterna har dataskyddsombud samt att de står under bl.a. Integritetsskyddsmyndighetens tillsyn. All behandling måste därmed kunna motiveras inför dessa, och höga krav ställs på en sådan motivering. Vidare gäller artikel 25.2 i data- skyddsförordningen avseende bl.a. tiden för uppgifternas lagring.
Idenna bestämmelse regleras den personuppgiftsansvariges skyldig- het att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.275
Att personuppgifter upphör att behandlas innebär inte nödvändigt- vis att de raderas. Det innebär som ovan nämnts enbart att de inte längre är tillgängliga i verksamhetssystemet. Den bestämmelse vi före- slår ska gälla även för uppgifter som behandlas vid dataanalyser och urval reglerar enbart frågan om hur länge personuppgifter får be- handlas ur ett dataskyddsrättsligt perspektiv. När det gäller allmänna handlingar som inte ska gallras med stöd av gällande regelverk ska dessa bevaras i enlighet med arkivlagstiftningens krav.276 Det kan förekomma att behovet av att behandla personuppgifter kan upp- höra avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål, t.ex. för att göra dataanalyser och urval i syfte att före- bygga, förhindra och upptäcka fel. Den generella bestämmelsen om längsta tid för behandling innebär inte något krav på att all behand- ling ska upphöra, och att uppgifterna i en sådan situation därför inte
275Jfr prop. 2022/23, Utbetalningsmyndigheten, s.
276Prop. 2022/23:34, Utbetalningsmyndigheten, s. 150.
1171
Dataanalyser och urval |
SOU 2023:100 |
får behandlas vid dataanalyser och urval. De uppgifter för vilket be- hov av behandling har upphört ska dock tas bort ur berört verksam- hetssystem.277
Eftersom de föreslagna lagarnas systematik kommer att vara så- dan att bestämmelserna om längsta tid för behandling gäller vid all behandling hos myndigheterna, behöver någon särskild regel om detta inte tas in avseende vad som gäller vid just dataanalyser och urval.
Kompletterande bestämmelser om viss längsta tid för behandling kan finnas i förordning eller myndighetsföreskrifter
Av artikel 6.3 i dataskyddsförordningen framgår att den rättsliga grunden för behandling kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bl.a. lag- ringstid. För personuppgifter som behandlas vid dataanalyser och urval kan det uppkomma ett behov av att fastställa en viss tid som sätter en gräns för hur lång tid personuppgifter får behandlas. Så kan tänkas vara fallet särskilt för känsliga personuppgifter, uppgifter om lagöverträdelser eller för andra särskilda kategorier av uppgifter inom respektive myndighets verksamhetsområde. Detsamma kan även gälla för uppgifter som behandlas vid dataanalyser och urval.
Föreskrifter om mer preciserade tidsfrister för behandling av upp- gifter i vissa fall kommer, med stöd av regeringens restkompetens, att kunna meddelas av regeringen eller den myndighet som regeringen bestämmer. I den generella bestämmelsen om längsta tid för behand- ling som föreslås kommer det även att finnas en upplysning om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sammanfattningsvis kommer det att vara möjligt att i förordning eller myndighetsföreskrifter ange fasta tidsgränser för hur lång tid uppgifter får behandlas vid data- analyser och urval. Som framgår ovan har vi dock för närvarande inte funnit några skäl för att föreslå sådana bestämmelser om yttersta tidsfrister.
Det kan noteras att om särskilda föreskrifter om yttersta tids- gränser införs, ska dessa inte medföra avsteg från huvudregeln om
277Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 151.
1172
SOU 2023:100 |
Dataanalyser och urval |
att uppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen.
Särskilt om Skatteverkets folkbokföringsverksamhet
Som tidigare framgått har Skatteverket sedan den 1 maj 2023 fått ut- ökade möjligheter till att göra dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksam- heten.278 Regleringen innebär att behandlingen av personuppgifter vid dataanalyser och urval ska ske i en särskild samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § FdbL angivna ändamålen (analys- och urvalsdatabas).279 Uppgifterna i analys- och urvalsdatabasen får inte behandlas under en längre tid än som behövs med hänsyn till ändamålet med behandlingen. Uppgifterna får dock aldrig behandlas under en längre tid än tre år från den tidpunkt när de tillfördes data- basen.280 Vi föreslår nu att databasregleringen ska upphävas. Fråga uppkommer då om det mot bakgrund av den befintliga regleringen om längsta tid för behandling finns skäl att göra en annan bedöm- ning för folkbokföringsverksamheten i förhållande till den bedöm- ning som gjorts ovan.
I samband med motiveringen till bestämmelsen om en yttersta tidsgräns för behandling av personuppgifter i analys- och urvalsdata- basen uttalade regeringen att det i databasen kommer att behandlas stora mängder personuppgifter. Den föreslagna bestämmelsen om att uppgifter inte får behandlas under en längre tid än som behövs med hänsyn till ändamålet med behandlingen säkerställer enligt regeringen ytterligare den grundläggande principen om att endast uppgifter som behöver behandlas, ska behandlas. Som yttersta tidsgräns skulle dock enligt regeringen gälla att uppgifterna inte får behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen. Denna yttersta tidsgräns utgör enligt samma motiv inte någon generell ut- gångspunkt för hur länge personuppgiftsbehandling får ske i data-
278Prop. 2022/23:41, bet. 2022/23:SkU8, rskr. 2022/23:156.
2792 a kap. 1 § FdbL.
2802 a kap. 6 § FdbL.
1173
Dataanalyser och urval |
SOU 2023:100 |
basen, utan det måste fortlöpande göras en bedömning av hur länge en uppgift är nödvändig för ändamålet med behandlingen.281
Någon särskild bestämmelse som avviker från huvudregeln om att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet kommer dock inte att gälla för behandling i uppgiftssamlingen för dataanalyser och urval vid Utbetal- ningsmyndigheten.282 I motiveringen till denna reglering förde reger- ingen fram att även utan tidsfrister som anges i författning, kommer genom en bestämmelse om längsta tid för behandling högt ställda krav gälla på att behandlingen ska kunna motiveras.283
Både folkbokföringens och Utbetalningsmyndighetens dataanaly- ser och urval kommer att röra en stor mängd uppgifter om i stort sett hela Sveriges befolkning. Mot bakgrund av Utbetalningsmyndig- hetens kommande uppdrag kan det dock antas att den myndighetens uppgiftssamling vid dataanalyser och urval kommer att innehålla en större mängd uppgifter av känslig art, såsom t.ex. uppgifter om hälsa. Utöver detta finns det många fördelar med en sådan reglering som valts för Utbetalningsmyndigheten. Det möjliggör ändamålsenlig behandling för myndigheten, samtidigt som höga krav gäller för hur länge uppgifter får behandlas i syfte att skydda den personliga integ- riteten. Vidare infördes de i dag gällande bestämmelserna om yttersta tidsfrist för behandling i folkbokföringsverksamhetens analys- och urvalsdatabas då de gallringsregler som finns i Skatteverkets övriga verksamhetsområden innehöll tidsbestämda gallringsfrister. Den re- glering vi föreslår avseende hur länge personuppgifter får behandlas i övrigt i folkbokföringsverksamheten kommer dock inte att inne- hålla några tidsbestämda frister.
Även om det nyligen har införts reglering som innebär att en yttersta tidsgräns gäller för hur länge uppgifterna i folkbokförings- verksamhetens analys- och urvalsdatabas får behandlas, gör vi be- dömningen att någon sådan reglering inte bör införas i den nya före- slagna folkbokföringsdatalagen. Vi anser därför att frågan om längsta tid för behandling av uppgifter inte ska regleras annorlunda vid data- analyser och urval i folkbokföringsverksamheten än för övriga verk- samheter.
281Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 35.
282Se 4 kap. 1 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten.
283Prop. 2022/23:34, Utbetalningsmyndigheten, s. 150.
1174
SOU 2023:100 |
Dataanalyser och urval |
14.11.5En bestämmelse om särskilda rutiner vid dataanalyser och urval bör tas in i förordning
Vårt förslag: I förordning ska det regleras att Skatteverket, Tull- verket respektive Kronofogdemyndigheten ansvarar för att det inom respektive myndighet finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Skälen för vårt förslag
När det gäller det krav på dokumentation som vi föreslår i av- snitt 14.11.3 avseende metoder för att ta fram urval eller vilka sök- begrepp som använts kan det finnas skäl att i myndighetsspecifika rutiner närmare ange t.ex. vilka sökbegrepp som regelmässigt får an- vändas eller hur urvalsmodeller generellt sett ska eller inte ska utfor- mas. Vi anser att det ska vara respektive myndighets uppgift att ta fram sådana rutiner. Detta då det är svårt att på förhand förutse vilka närmare behov som finns vid respektive myndighets arbete med data- analyser och urval.
Ett krav på sådana rutiner säkerställer att myndigheterna på för- hand noggrant överväger vilka sökbegrepp som är tillåtna och som därmed bör användas vid dataanalyser och urval samt att urvals- modeller utformas på ett sätt som är i enlighet med dataskyddsregler- ingen. På detta sätt utgör rutiner en begränsning för den behandling som får utföras, vilket i syftar till att minska riskerna för obefogat intrång i den personliga integriteten. Genom att det kommer att vara möjligt att i efterhand följa upp vilka sökbegrepp och metoder för urval som har använts vid dataanalyser och urval enligt våra förslag i avsnitt 14.11.3, kommer det även vara möjligt att kontrollera att fast- ställa rutiner följs. Vi bedömer att det är tillräckligt att sådana krav på rutiner införs i förordning.284
284Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 32.
1175
Dataanalyser och urval |
SOU 2023:100 |
14.11.6Särskilt om sökbegrepp vid Skatteverkets dataanalyser och urval inom folkbokföringsverksamheten
Vår bedömning: De förändrade bestämmelserna om sökbegrepp som våra förslag utgör i förhållande till vad som gäller vid sökning i analys- och urvalsdatabasen inom Skatteverkets folkbokförings- verksamhet i dag innebär inte att skyddet för enskildas personliga integritet försvagas.
Skälen för vår bedömning
I dag gäller den sökbegränsning som anges i 2 kap. 10 § FdbL även vid sökningar som görs i analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet (2 a kap. 4 § FdbL). I 2 kap. 10 § FdbL an- ges att uppgifter som avses i 2 kap. 3 § första stycket 5, 11, 12 och 17 FdbL, dvs. födelseort, familjesamband som är grundat på adop- tion, inflyttning från utlandet respektive uppehållsrätt för en person som är folkbokförd, inte får användas som sökbegrepp i folkbokför- ingsdatabasen. Medborgarskap får användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
I förarbetena avseende regleringen av analys- och urvalsdatabasen uttalar regeringen att eftersom en handling som enligt den nuvarande 2 kap. 5 § FdbL kommit in i ett ärende eller upprättats i ett ärende inte ska få behandlas i analys- och urvalsdatabasen aktualiseras inte den andra sökbegränsning som enligt 2 kap. 11 § FdbL gäller för folk- bokföringsdatabasen i dag. Regeringen föreslog därför inte att nämnda bestämmelse även skulle gälla för sökningar i analys- och urvalsdata- basen.285
Vi föreslår i avsnitt 10.9.3 att bestämmelsen i 2 kap. 10 § FdbL inte ska ha någon motsvarighet i den nya folkbokföringsdatalagen, med undantag för sökbegrepp om familjesamband som är grundat på adoption. Övriga uppgifter som omfattas av sökförbudet kommer i stället att träffas av en ny sekretessbestämmelse (se avsnitt 15.2). Vidare föreslår vi i avsnitt 10.9.1 att det ska införas en ny bestämmelse om sökbegränsningar i folkbokföringsdatalagen som inte har någon
285Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s.
1176
SOU 2023:100 |
Dataanalyser och urval |
motsvarighet till det nuvarande sökförbudet i 2 kap. 11 § FdbL. En- ligt våra förslag ska det som huvudregel vara förbjudet att inom folk- bokföringsverksamheten utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet ska dock inte omfatta sökningar i en viss handling eller i ett visst ärende.
Den föreslagna lagtekniska utformningen av den nya folkbokför- ingsdatalagen är sådan att föreslagna generella skydds- och säkerhets- åtgärder kommer att gälla även vid behandling av personuppgifter för att göra dataanalyser och urval, dvs. även de föreslagna bestämmel- serna om sökbegränsningar. Våra förslag innefattar inte heller någon reglering av en särskild databas eller uppgiftssamling. Det kommer vidare inte att finnas några särregler om vad som gäller för handlingar som har kommit in i eller upprättats i ett ärende. Sådana handlingar kommer därmed få behandlas även för dataanalyser och urval enligt våra förslag. Våra förslag innebär sammantaget att den nya lagen inte kommer att ha någon bestämmelse som motsvarar den nuvarande regeln i 2 a kap. 4 § FdbL avseende sökbegrepp.
Det kommer dock fortsatt att finnas regler om vilka sökningar som får utföras för att ta fram ett urval av personer grundat på käns- liga personuppgifter samt en särskild kategori av uppgifter som spe- cifikt träffar folkbokföringsverksamheten. Vidare finns bestämmel- ser om sekretess, och vi föreslår även nya sekretessbestämmelser som omfattar uppgifter som behandlas vid dataanalyser och urval samt de övriga särskilda kategorier av uppgifter som i dag avses i 2 kap. 10 § FdbL. Vi bedömer att dessa åtgärder, tillsammans med övriga förslag och den generella dataskyddsregleringen, innebär att skyddet för den enskildes personliga integritet inte försvagas vid Skatteverkets data- analyser och urval som är hänförliga till folkbokföringsverksamheten, trots den förändring av tillåtna sökbegrepp som föreslås.
14.12 Samlad dataskydds- och integritetsbedömning
Vår bedömning: Vid en avvägning mellan behovet av att per- sonuppgifter behandlas för att göra dataanalyser och urval och rätten till skydd för den personliga integriteten framstår förslagen som motiverade och proportionerliga. Förslagen är även förenliga med EU:s dataskyddsförordning och annan övergripande regler- ing till skydd för den personliga integriteten.
1177
Dataanalyser och urval |
SOU 2023:100 |
Skälen för vår bedömning
Inledning
Våra förslag innebär inte att myndigheterna får ytterligare uppgifter att utföra i sina respektive verksamheter än vad som i dag framgår av den materiella verksamhetsregleringen. Dessutom har myndigheterna redan möjlighet att behandla personuppgifter för att göra dataanaly- ser och urval inom ramen för sina respektive verksamheter. Den föreslagna regleringen innebär dock att myndigheterna får ett tyd- ligare rättsligt stöd för och därmed utökade möjligheter att behandla personuppgifter för att göra dataanalyser och urval i syfte att före- bygga, förhindra och upptäcka fel inom respektive verksamhet, samt för att motverka överskuldsättning i Kronofogdemyndighetens verk- samhet. I vilken mån möjligheterna utökas för respektive myndighet skiljer sig åt med anledning av att regleringen i de nuvarande register- författningarna samt den materiella verksamhetsregleringen ser olika ut för de berörda myndigheterna. I kapitlet har vi därför särskilt an- gett de skillnader som finns mellan myndigheternas nuvarande regler- ing och personuppgiftsbehandling där det bedömts nödvändigt.
Det kan också konstateras att regleringen av behandling av per- sonuppgifter vid dataanalyser och urval föreslås införas i nya lagar. Regleringen utgår därför från helt andra förutsättningar än vad som gäller enligt den nuvarande regleringen. Den föreslagna regleringen bör enligt vår mening ses som en helhet, dvs. hänsyn ska tas till samt- liga bestämmelser som föreslås i de nya lagarna.
Det ska framhållas att de utökade möjligheter till behandling av personuppgifter vid dataanalyser och urval som nyligen införts för folkbokföringsverksamheten utgår från den reglering som i dag gäller enligt folkbokföringsdatabaslagen. Enligt denna gäller bl.a. en särskild databasreglering som inte längre kommer att finnas kvar genom våra förslag till en ny folkbokföringsdatalag. De förslag vi lägger fram av- seende regleringen av Skatteverkets möjligheter att göra dataanaly- ser och urval i folkbokföringsverksamheten har därmed andra ut- gångspunkter än den reglering som nyligen införts i bl.a. 2 a kap. FdbL. Det är därför svårt att göra en precis bedömning av förslagens påverkan på den personliga integriteten i förhållande till regeringens tidigare bedömningar i dessa delar.286 Avsikten är dock inte att Skatte-
286Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s.
1178
SOU 2023:100 |
Dataanalyser och urval |
verkets möjligheter att göra dataanalyser och urval i folkbokförings- verksamheten ska inskränkas i förhållande till vad som gäller i dag. Vidare finns särskilda överväganden genomgående i kapitlet samt nedan när det gäller hur våra förslag förhåller sig till den nuvarande regleringen om behandling av personuppgifter vid dataanalyser och urval inom folkbokföringsverksamheten.
Förslagen har påverkan på den personliga integriteten
De förslag som lämnas i detta kapitel, tillsammans med den nya regleringen av Skatteverkets, Tullverkets och Kronofogdemyndig- hetens personuppgiftsbehandling som i övrigt föreslås införas i nya lagar, påverkar enskildas integritet. Genom våra förslag kommer det att finnas särskilda ändamålsbestämmelser i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som ger uttryckligt lagstöd för den personuppgiftsbehandling myndig- heterna får utföra vid dataanalyser och urval för att förebygga, för- hindra och upptäcka fel, samt för att motverka överskuldsättning i Kronofogdemyndighetens verksamhet. En uttrycklig lagreglering som innebär att myndigheterna får behandla personuppgifter om det är nödvändigt för att göra sådana dataanalyser och urval finns inte i skattedatabaslagen, tulldatabaslagen eller kronofogdedatabaslagen
idag, men däremot i folkbokföringsdatabaslagen. Även för folkbok- föringsverksamheten kan dock våra förslag förväntas innebära viss ytterligare personuppgiftsbehandling, se vidare nedan.
Det förhållandet att det i dag inte finns en uttrycklig lagreglering om personuppgiftsbehandling vid dataanalyser och urval har inne- burit att det, med undantag från folkbokföringsverksamheten, funnits en viss osäkerhet om i vilken omfattning personuppgifter får behand- las för att göra mer omfattande dataanalyser och urval även då det inte finns ett ärende. Det beror till synes bl.a. på att olika tolkningar kan göras av den nuvarande regleringen i registerförfattningarna, data- basregleringens utformning, den materiella verksamhetsregleringens koppling till ärendehandläggning samt regeringsformens skydd för enskildas personliga integritet i detta sammanhang. Myndigheterna har olika uppfattningar om i vilken mån regleringen är ett problem
idag, framför allt till följd av att den materiella verksamhetsregler- ingen skiljer sig åt mellan myndigheterna. Exempelvis har Tullverket
1179
Dataanalyser och urval |
SOU 2023:100 |
i stora delar ett tydligare stöd i den materiella verksamhetsregler- ingen för att behandla personuppgifter i syfte att göra riskanalyser i kontrollverksamhet.
Genom att myndigheterna ges ett tydligare rättsligt stöd för per- sonuppgiftsbehandling vid dataanalyser och urval kommer en del av de oklarheter som finns till följd av den nu gällande regleringen att undanröjas. Det kan i sig förväntas innebära en utökad behandling av personuppgifter i fråga om bl.a. i vilka situationer dataanalyser och urval kan användas och hur stora mängder personuppgifter som kan behandlas. Detta kan innebära risker för enskildas personliga integ- ritet genom att enskilda kartläggs i större utsträckning.
Våra förslag innebär även att det inte längre kommer att finnas en reglering av särskilda databaser i myndigheternas verksamheter. Det kommer därmed inte att finnas en reglering av vilka uppgifter som med hjälp av automatiserad behandling får användas gemensamt i verk- samheterna för de i registerlagarna angivna ändamålen. Förslagen i dessa delar innebär att vissa oklarheter i fråga om vilka uppgifter som får behandlas för dataanalyser och urval undanröjs. Det kan leda till att myndigheterna i vissa fall kommer att behandla fler kategorier av personuppgifter än vad som görs för analyser och urval i dag till följd av hur den nuvarande regleringen ibland har tillämpats.
Det är svårt att närmare precisera vilka kategorier av personupp- gifter myndigheterna kommer att behandla för att göra analyser och urval. En stor del avser dock sådana kategorier av uppgifter som myn- digheterna redan i dag kan behandla. Det handlar om uppgifter om enskildas personliga och ekonomiska förhållanden, såsom t.ex. iden- titetsuppgifter, adress och andra kontaktuppgifter, familjeförhållan- den, anställning, inkomster, skulder, hälsa och lagöverträdelser. En närmare exemplifiering av vilka uppgifter det rör sig om för de olika myndigheterna finns i avsnitt 14.9.2.
Det kan också konstateras att det rör sig om behandling av en stor mängd personuppgifter till följd av de omfattande verksamheter Skatteverket, Tullverket och Kronofogdemyndigheten bedriver. Till viss del kommer förslagen även tydliggöra att myndigheterna får be- handla uppgifter från andra källor än den egna verksamheten, bl.a. från andra myndigheter. Det kan nämligen i dag finnas situationer då det uppstår tveksamheter kring vilka uppgifter från andra myndigheter som får behandlas vid dataanalyser och urval i de fall det inte framgår
1180
SOU 2023:100 |
Dataanalyser och urval |
uttryckligen att uppgifterna får behandlas inom ramen för de nuvar- ande databaserna.
Att myndigheterna har stöd för att behandla personuppgifter – som är nödvändiga för att de ska kunna utföra sina uppdrag – även för att göra dataanalyser och urval kommer att framgå genom särskilda bestämmelser om dataanalyser och urval i de nya lagarna. Genom bestämmelserna kommer det också att finnas uttryckligt stöd för myn- digheterna att behandla uppgifter som har överlämnats av andra myn- digheter med stöd av uppgiftsskyldigheter i lag eller förordning. Även denna reglering kan innebära en utökad personuppgiftsbehandling som ökar riskerna för integritetsintrång. Vidare kan det förhållandet att det inte kommer att finnas någon uttrycklig reglering av vilka personer som uppgifter får behandlas om komma att innebära en utökad personuppgiftsbehandling, även om myndigheterna behöver se till att det finns rättslig grund för behandlingen. Vi föreslår också vissa utökade uppgiftsskyldigheter gentemot Skatteverkets beskatt- ningsverksamhet och Tullverket som avser utförandet av dataanaly- ser och urval. I övrigt bedömer vi inte att den nya regleringen i sig bidrar till ett ökat informationsflöde från Skatteverket, Tullverket och Kronofogdemyndigheten, framför allt då uppgifterna primärt ska behandlas för myndigheternas egna behov.
En särskild risk är vidare att våra förslag innebär en utökad möj- lighet att behandla känsliga personuppgifter och uppgifter om lag- överträdelser för att göra dataanalyser och urval, även vad gäller folk- bokföringsverksamheten. Så kommer exempelvis vara fallet om de uppgifter som behandlas avslöjar uppgifter om hälsa, religiös över- tygelse eller begångna brott för att utföra kontroller där sådana om- ständigheter är av betydelse mot bakgrund av den materiella verk- samhetsregleringen. I dag får sådana uppgifter endast behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det, och i databaserna får uppgifterna i annat fall bara behandlas om det särskilt anges i registerlagarna.
Vi föreslår att det fortsatt kommer att finnas särskilda sökförbud i de nya lagarna avseende känsliga personuppgifter. Förslagen inne- bär dock vissa utökade möjligheter att göra sökningar genom att an- vända känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp vid dataanalyser och urval. Undantagen innebär där- för även vissa ökade risker för enskildas personliga integritet i detta sammanhang.
1181
Dataanalyser och urval |
SOU 2023:100 |
Myndigheterna kommer också att ges ett tydligare rättsligt stöd för att göra dataanalyser och urval även då det inte finns något ärende, dvs. i större utsträckning för att kunna förebygga och förhindra fel och i Kronofogdemyndighetens verksamhet för att motverka över- skuldsättning. Det kan antas medföra viss utökad personuppgifts- behandling.
De mer omfattande urval som förväntas kunna göras genom våra förslag kan vidare antas leda till att myndigheterna vidtar ytterligare kontrollåtgärder som innebär myndighetsutövning mot enskilda. Användningen av verktygen kan leda till att myndigheterna inleder ett kontrollärende avseende en enskild fysisk person. I vissa fall för- väntas dock behandlingen vid dataanalyser och urval inte i sig leda till myndighetsutövning, t.ex. om Kronofogdemyndigheten använder analyser och urval i syfte att motverka överskuldsättning.
Ytterligare en risk för enskildas personliga integritet är att våra förslag sammantaget kommer att innebära utökade möjligheter för berörda myndigheter att samköra uppgifter, inklusive sådana upp- gifter som även har lämnats från andra myndigheter. Det gäller även i vissa delar för folkbokföringsverksamheten, bl.a. till följd av slopad databasreglering och reglering av personkrets samt föreslagen regler- ing av känsliga personuppgifter och uppgifter om lagöverträdelser. När uppgifter från flera olika källor samkörs innebär det att de kan sammanställas på ett sätt som utgör kartläggning av den enskilde. Det bedöms också kunna uppkomma informationssäkerhetsrisker genom att många personuppgifter samlas på ett ställe för att myndig- heterna bl.a. ska kunna göra olika former av analyser. En utökad möj- lighet att behandla personuppgifter för att göra dataanalyser och ur- val ökar också riskerna för att uppgifter sprids på ett olämpligt sätt.
Sammantaget kan det konstateras att förslagen avseende data- analyser och urval medför vissa ökade risker för intrång i enskildas integritet. Förslagen innebär att Skatteverket, Tullverket och Krono- fogdemyndigheten kommer att få utökade möjligheter att behandla personuppgifter, även känsliga sådana, vid användning av dataanaly- ser och urval vilket medför att enskilda kartläggs. Personuppgifts- behandlingen kommer i vissa fall att innebära ett betydande intrång i enskildas personliga integritet (se även avsnitt 6.2).
1182
SOU 2023:100 |
Dataanalyser och urval |
Behovet av den föreslagna regleringen
I flera av avsnitten i detta kapitel redovisar vi de behov som ligger till grund för den föreslagna regleringen. Myndigheternas behov av en ändrad reglering skiljer sig åt till följd av att den nuvarande regler- ingen ser olika ut för de olika verksamheterna.
Vad gäller Skatteverkets beskattningsverksamhet har det kommit fram att behovet framför allt är hänförligt till att det är oklart om den nuvarande regleringen i registerförfattningarna och den materiella verksamhetsregleringen kan utgöra ett tillräckligt rättsligt stöd för mer omfattande analyser och urval i syfte att förebygga, förhindra och upptäcka fel, särskilt utan koppling till ett visst ärende. Behoven i Skatteverkets folkbokföringsverksamhet är inte lika stora till följd av att det nyligen införts reglering som ger Skatteverket utökade möjligheter att använda dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i den verksamheten. Även inom folkbokföringsverksamheten innebär dock den nuvarande regler- ingen vissa begränsningar som bedöms kunna hindra Skatteverket från att bedriva en effektiv kontrollverksamhet, bl.a. på grund av den nuvarande regleringen av behandling av känsliga personuppgifter och uppgifter om lagöverträdelser.287 Tullverket har redan i stora delar av verksamheten ett tydligt stöd för att använda dataanalyser och urval som verktyg för kontroll, särskilt genom unionsrättslig reglering. Det finns dock ett behov av utökade möjligheter att behandla person- uppgifter i denna del av Tullverkets verksamhet i förhållande till den nuvarande regleringen i registerförfattningarna, vilken kan hindra myndigheten att utföra sina uppgifter på ett effektivt sätt i enlighet med den materiella verksamhetsregleringen. Kronofogdemyndigheten har ett behov av utökade möjligheter att arbeta med analyser och urval och myndigheten har uppgett att framför allt den nuvarande databasregleringen är ett hinder mot ett sådant arbete. För att Krono- fogdemyndigheten ska kunna bedriva en effektiv analys- och kontroll- verksamhet behöver emellertid även möjligheterna att kunna be- handla personuppgifter med hjälp av sådana verktyg tydliggöras i de fall det inte finns någon direkt koppling till ärendehandläggning.
Det kan konstateras att de uppgifter Skatteverket, Tullverket och Kronofogdemyndigheten utför är uppgifter som tillgodoser flera all-
287Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s.
1183
Dataanalyser och urval |
SOU 2023:100 |
mänintressen. Bland annat har Skatteverket till uppdrag att säkerställa en riktig uppbörd och ansvara för frågor om folkbokföring och personnamn och då se till att uppgifterna i folkbokföringen speglar befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder.288 Även Tullverket har i uppdrag att säkerställa en riktig upp- börd. Tullverket ska också övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs.289 Kronofogdemyndighetens huvudsakliga uppgifter är indrivning, verk- ställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Kronofogde- myndigheten ska även verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas.290 Skatteverket och Kronofogdemyndigheten ska förebygga och motverka ekonomisk brottslighet samt delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.291 Tullverket ska förebygga och motverka brottslighet i samband med in- och utförsel av varor samt delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.292
Tydligare och utökade möjligheter att göra dataanalyser och urval för effektivare kontrollverksamhet innebär för Skatteverket positiva effekter på uppbörd och registrering av uppgifter inom folkbokför- ingsverksamheten. Bättre verktyg i form av dataanalyser och urval behövs för att förebygga och motverka skatteundandragande och ekonomisk brottslighet. Felaktiga uppgifter i beskattnings- och folk- bokföringsverksamheterna kan även ligga till grund för felaktiga ut- betalningar vid andra myndigheter som är beroende av uppgifter från Skatteverket. Även riskerna för otillbörlig konkurrens och risker för utnyttjanden av arbetskraft kan förväntas kunna motverkas på ett mer effektivt sätt genom förslagen. När Skatteverkets urval med stöd av den nya regleringen blir mer träffsäkra förväntas det även leda till besparingar genom att myndigheten inte behöver avsätta resurser till utredningar som t.ex. inte leder till någon beloppsmässig ändring i ett ärende.
2881 och 2 §§ förordningen med instruktion för Skatteverket.
2891 och 2 §§ förordningen med instruktion för Tullverket.
2901 och 2 §§ förordningen med instruktion för Kronofogdemyndigheten.
2916 § förordningen med instruktion för Skatteverket och 4 § förordningen med instruktion för Kronofogdemyndigheten.
2923 § förordningen med instruktion för Tullverket.
1184
SOU 2023:100 |
Dataanalyser och urval |
Den nya regleringen i sin helhet förväntas också bidra till att Tullverket kan få högre träffsäkerhet vid urval för kontroll och att även den myndigheten kan fullgöra sina uppdrag på ett effektivt sätt. Möjligheter till högre träffsäkerhet vid urval för kontroll kan för Tullverkets del förväntas leda till att mer uppbörd kan tas in till de offentliga finanserna, att tullfelet minskar samt att konkurrensen mellan företag blir mer rättvis. Vidare kan Tullverkets förmåga att förhindra restriktionsvaror från att föras in eller ut ur EU eller landet i strid med gällande regler öka. Det medför i sin tur ett bättre skydd för skyddsvärda växter, djur och kulturföremål, säkrare konsument- produkter och att farliga varor hindras från att spridas på EU:s inre marknad. Handel med restriktionsvaror, t.ex. kulturföremål, kan också ske för att tvätta pengar med ursprung i brottslig verksamhet och för att finansiera terrorism. Överträdelser av restriktionsregler kan därmed utgöra ett hot mot samhället i en vidare bemärkelse. En bättre träffsäkerhet vid urval för kontroll innebär dessutom att laglig och korrekt in- och utförsel i mindre utsträckning störs av onödiga kontroller. I ett större perspektiv kan det också stärka allmänhetens förtroende för myndigheten och i förlängningen tilltron till rätts- staten som helhet. Förslagen förväntas utöver detta öka Tullverkets förmåga att identifiera komplicerade mönster i handelsflödet samt strukturer och företeelser som utgör risker för fel, regelöverträdelser och minskad säkerhet. Även vid Tullverket är det viktigt att myndig- heten har en god förmåga att kunna identifiera samband och mönster för att kunna prioritera hur myndighetens resurser kan användas på bästa sätt. Effektiva granskningar av legala handelsflöden kan vidare leda till upptäckter av illegala sådana. Det förekommer också att det finns kopplingar mellan aktörer som medvetet begår administrativa överträdelser och aktörer som begår brott. Genom att Tullverket blir bättre på att upptäcka andra fel än brott kan myndigheten uppmärk- sammas även på brottsliga aktiviteter.
Utökade möjligheter att göra dataanalyser och urval inom Krono- fogdemyndighetens verksamhet kan förväntas leda till effektivitets- vinster inom arbetet med verkställighet, vilket i sin tur kan leda till att fler borgenärer får betalt och att gäldenärers skulder minskar. En effektivisering av de utredningar som företas inom verksamheten med verkställighet kan vidare antas försvåra för gäldenärer att undan- dra tillgångar. Verktygen ökar också Kronofogdemyndighetens möj- ligheter att kunna arbeta mer preciserat i fråga om att motverka över-
1185
Dataanalyser och urval |
SOU 2023:100 |
skuldsättning i samhället. Kronofogdemyndigheten bedöms genom förslagen också få bättre förutsättningar för att kunna bidra i det myn- dighetsgemensamma arbetet mot organiserad brottslighet genom att exempelvis myndighetens förmåga att identifiera företag som används som brottsverktyg ökar. Kronofogdemyndigheten förväntas också ges större möjligheter att upptäcka brottslighet inom myndighetens verksamhet, såsom lönegarantibedrägerier och penningtvätt, samt de fall då myndigheten används i brottslig verksamhet för att fast- ställa, driva in och sanera oriktiga fordringar. Utan den föreslagna regleringen kommer det att kvarstå begränsningar i Kronofogde- myndighetens möjligheter att arbeta med analyser och urval även då det inte finns ett ärende. Det innebär minskade möjligheter att upp- nå effektivitetsvinster i verksamheten och leder till sämre förutsätt- ningar att utveckla myndighetens kontrollverksamhet.
För att utföra sina respektive författningsreglerade uppgifter är det tydligt att myndigheterna behöver arbeta med flera olika åtgär- der och rikta insatser och resurser dit de kan förväntas göra störst nytta. Det är viktigt att myndigheterna ges möjlighet att vidta åtgär- der för att förebygga, förhindra och upptäcka felaktigheter i syfte att minska risken för felaktiga beslut och fusk, och därmed inte endast genom efterhandskontroller. Vid kontroller i efterhand kan det i vissa fall vara mycket svårt att t.ex. återfinna medel som någon har undan- dragit eller tillskansat sig på felaktiga grunder. Myndigheterna har begränsade resurser att fördela för att utföra kontroller i syfte att förebygga, förhindra och upptäcka fel inom respektive verksamhet i förhållande till de stora ärendeflöden som myndigheterna har att han- tera. Det är därför viktigt att myndigheterna ges möjlighet att på ett adekvat sätt använda och vidareutveckla de effektiva verktyg som finns, däribland dataanalyser och urval, för att i så hög grad som möj- ligt kunna fördela sina resurser till de områden och för de ändamål där de gör som mest nytta. Därmed kan de fel som orsakar störst pro- blem för samhället förebyggas och åtgärdas. Förslagen kan genom detta också förväntas leda till att myndigheternas ärendehandlägg- ning effektiviseras.
Det är ur ett samhällsekonomiskt perspektiv viktigt att det inom myndigheter såsom Skatteverket, Tullverket och Kronofogdemyn- digheten finns ett träffsäkert och effektivt kontrollsystem som säker- ställer en korrekt uppbörd, motverkar ekonomisk brottslighet och andra felaktigheter och fusk. Felaktiga beslut vid berörda myndig-
1186
SOU 2023:100 |
Dataanalyser och urval |
heter och missbruk av de offentliga medlen medför nämligen ekono- miska förluster för det allmänna och riskerar att skada legitimiteten i välfärdssystemet. Skatteverket, Tullverket och Kronofogdemyndig- heten måste därför enligt vår mening kunna behandla personuppgif- ter vid användning av dataanalyser och urval för att myndigheterna ska kunna bedriva en effektivare kontrollverksamhet för de angivna syftena. Möjligheten att använda dataanalyser och urval för kontroll i större utsträckning kan även förväntas ha en viktig brottsförebyg- gande funktion genom att det ger myndigheterna möjlighet att på ett bättre sätt använda verktyg för att kunna motverka avsiktliga fel eller avsiktligt fusk.293
För att kunna använda dataanalyser och urval för kontroll på ett effektivt sätt behöver myndigheterna ha möjlighet att behandla per- sonuppgifter, även känsliga sådana, vid analyserna och framtagandet av urvalsmodeller och i förlängningen urvalsträffar. Detta mot bak- grund av att även uppgifts- och ärendeflödena in till myndigheterna innefattar sådana uppgifter. I annat fall kommer inte verktygen att kunna medföra mer träffsäkra urval för att identifiera de ärenden eller subjekt där det finns högre risk för fel eller fusk och inte heller för att motverka överskuldsättning i Kronofogdemyndighetens verksamhet.
Föreslagna integritetsstärkande åtgärder
För att motverka de integritetsrisker som utökade möjligheter att göra dataanalyser och urval m.m. kan medföra, föreslår vi en reglering av myndigheternas personuppgiftsbehandling i lag och förordning som innehåller flera skyddsåtgärder. Lagarna kommer bl.a. att inne- hålla ändamålsbestämmelser, bestämmelser om personuppgiftsansvar, bestämmelser om vilka uppgifter som får behandlas för att göra data- analyser och urval, sökbegränsningar, särskilda dokumentationskrav vid dataanalyser och urval, bestämmelser om tillgång till personupp- gifter samt regler om längsta tid för behandling av personuppgifter.
Utöver detta föreslår vi en reglering i de förordningar som hör till lagarna som innebär att myndigheterna ansvarar för att det inom respektive myndighet finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personupp-
293Jfr SOU 2017:37, Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 122.
1187
Dataanalyser och urval |
SOU 2023:100 |
gifter. Vi föreslår också att det i förordningarna ska finnas bestäm- melser om att myndigheterna ansvarar för att det finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personupp- gifter. Dessutom föreslår vi bestämmelser i förordning som innebär att myndigheterna ansvarar för att det finns rutiner för hur urvals- modeller ska utformas och hur sökbegrepp får användas vid data- analyser och urval.
Kraven på dokumentation och rutiner innebär att myndigheterna måste formulera och sammanställa sina överväganden avseende den behandling av personuppgifter som kommer att utföras vid data- analyser och urval. Det innebär att det i större utsträckning i efter- hand kommer att gå att kontrollera att behandlingen är författnings- enlig och i enlighet med dataskyddsförordningens krav. Detta minskar också i sig riskerna för ogenomtänkt, omotiverad eller oproportio- nerlig behandling av personuppgifter. Den dokumentation som ska göras ska ge en tydlig bild av den helhetsbedömning som myndig- heterna har gjort.
Krav på inbyggt dataskydd och dataskydd som standard samt krav på att vidta lämpliga tekniska och organisatoriska skyddsåtgärder för att säkerställa en lämplig säkerhetsnivå följer direkt av dataskydds- förordningen (artiklarna 25 och 32). Den föreslagna sekretessregler- ingen till skydd för enskildas personliga och ekonomiska förhållan- den vid dataanalyser och urval utgör utöver detta en betydelsefull skyddsåtgärd i syfte att minska spridningsrisken.
Samlad avvägning mellan behov och risk för integritetsintrång
En förutsättning för att utöka Skatteverkets, Tullverkets och Krono- fogdemyndighetens möjligheter att behandla personuppgifter för att göra dataanalyser och urval i bl.a. kontrollverksamhet är att förslagen bedöms vara proportionerliga vid en avvägning mellan myndigheter- nas behov och enskildas personliga integritet. Nyttan med åtgärderna ska väga tyngre än intresset av skydd för den personliga integriteten.
Även om vi föreslår reglering i lag, vilken inkluderar särskilda skyddsåtgärder som syftar till att uppnå en rimlig balans mellan myn- digheternas behov av effektiva verktyg och de effekter på den person- liga integriteten som förslagen kan komma att få, kommer det att kvarstå vissa risker för integritetsintrång. När myndigheterna be-
1188
SOU 2023:100 |
Dataanalyser och urval |
handlar personuppgifter för att göra dataanalyser och urval kommer enskilda att kartläggas. Särskilt Skatteverket behandlar personuppgif- ter om i stort sett hela landets befolkning.
Syftet med våra förslag är huvudsakligen att Skatteverket, Tull- verket och Kronofogdemyndigheten på ett effektivt och adekvat sätt ska kunna förebygga, förhindra och upptäcka fel i respektive verk- samhet med hjälp av dataanalyser och urval, samt för Kronofogde- myndighetens del även motverka överskuldsättning. Vi bedömer att dataanalyser och urval är effektiva verktyg i myndigheternas verk- samheter för att dessa ska kunna rikta sina resurser i de mycket om- fattande ärendeflödena rätt, dvs. till de ärenden som har hög risk för felaktigheter.294
Vi har ovan beskrivit den förväntade nytta förslagen kan medföra
iSkatteverkets, Tullverkets och Kronofogdemyndighetens verksam- heter. Förslagen förväntas bl.a. kunna leda till ökade möjligheter att förhindra och upptäcka felaktigheter och fusk i ett tidigt skede, vilket kan leda till framför allt ekonomiska samhällsvinster, men även till att myndigheterna ges bättre förutsättningar att motverka ekonomisk brottslighet. Skatteverket, Tullverket och Kronofogdemyndigheten är myndigheter som har en central och viktig roll i välfärdssystemet. För att uppnå syftet med våra förslag är det enligt vår bedömning nödvändigt att dessa myndigheter ges möjlighet att behandla person- uppgifter som är av betydelse för att handlägga och kontrollera upp- gifter i ärenden och i andra sammanhang inom myndigheternas verk- samheter. Goda förutsättningar att kunna kontrollera uppgifter som enskilda och i vissa fall andra aktörer lämnar till myndigheterna är en förutsättning för att de berörda myndigheterna ska kunna förebygga, förhindra och upptäcka felaktigheter. Utökade möjligheter för Krono- fogdemyndigheten att arbeta för att motverka överskuldsättning för- väntas vidare innebära vinster både för enskilda individer och sam- hället i stort.
De uppgifter som det kommer att vara aktuellt för myndighet- erna att behandla vid dataanalyser och urval i enlighet med våra för- slag utgör till stor del sådana uppgifter som myndigheterna redan har rättsligt stöd för att behandla genom de nuvarande registerförfatt- ningarna och den materiella verksamhetsregleringen. Vi bedömer att det är befogat att sådana uppgifter som myndigheterna förfogar över till följd av utförandet av sina uppgifter samt som myndigheterna har
294Se avsnitt 14.6.1.
1189
Dataanalyser och urval |
SOU 2023:100 |
möjlighet att samla in också kan användas för att utföra dataanalyser och urval i de fall det bedöms nödvändigt. De ytterligare kategorier av personuppgifter som myndigheterna kommer ges möjlighet att behandla, såsom känsliga personuppgifter och uppgifter om lagöver- trädelser, bedömer vi också behövs.295 Regleringen kommer att inne- fatta sådana skyddsåtgärder som krävs för att undantaget från förbudet mot behandling av känsliga personuppgifter i artikel 9.1 i dataskydds- förordningen kan bedömas vara uppfyllt. Vi bedömer att det inte är ett rimligt alternativ att införa en särskild reglering som räknar upp vilka närmare kategorier av personuppgifter som får behandlas, eller att införa en databasreglering för just den behandling som utförs vid dataanalyser och urval.296 En sådan reglering krävs enligt vår mening inte heller för att uppfylla kraven i EU:s dataskyddsförordning och riskerar att förhindra att myndigheterna faktiskt ges utökade möj- ligheter att göra utökade dataanalyser och urval.
Det är i detta sammanhang också av betydelse att myndigheterna kan samköra uppgifter från enskilda eller uppgifter som de har hämtat in från andra myndigheter i syfte att bl.a. kunna göra adekvata analy- ser och jämförelser. Myndigheterna behöver också kunna samla in uppgifter primärt för de angivna ändamålen om det är nödvändigt för att uppnå dessa. De uppgifter som är nödvändiga att behandla be- höver motsvara de uppgifter som faktiskt används i myndigheternas verksamheter med bl.a. ärendehandläggning eller som annars är av betydelse i förhållande till den materiella verksamhetsregleringen. I annat fall finns det en risk att urvalsträffarna inte blir träffsäkra om exempelvis inte alla kategorier av uppgifter som vanligen finns i de ärendetyper som myndigheterna har att handlägga får behandlas även för att göra analyser och urval. Det inkluderar även känsliga person- uppgifter och uppgifter om lagöverträdelser. Av motsvarande skäl är det ofta inte ett alternativ för myndigheterna att använda anonymi- serade eller pseudonymiserade uppgifter för att göra dataanalyser och urval, även om sådana metoder ska användas i de fall det krävs för att en viss behandling ska vara proportionerlig. Vi bedömer att det inte heller skulle vara möjligt för myndigheterna att åstadkomma samma resultat genom manuella urval av ärenden eller subjekt för kontroll för samma syfte mot bakgrund av de mycket omfattande verksam- heter som respektive myndighet bedriver.
295Se avsnitt 14.9.2.
296Se avsnitt 14.9.2 för en närmare redogörelse av dessa alternativa förslag.
1190
SOU 2023:100 |
Dataanalyser och urval |
Möjligheten att använda analyser och urval bedöms vidare kunna minska risken för att personer som inte behöver kontrolleras ytter- ligare blir utsatta för omfattande kontroller av myndigheterna. Den föreslagna regleringen bedöms även undanröja de oklarheter som i dag finns avseende i vilken mån myndigheterna får behandla per- sonuppgifter för att göra dataanalyser och urval för kontrolländamål, vilket enligt vår mening ökar regleringens förutsebarhet och ger myn- digheterna tydligare lagstöd för åtgärderna.
För det fall att förslagen inte genomförs kan den nuvarande regler- ingen utgöra ett hinder för myndigheternas digitala utveckling, där- ibland möjligheten att använda dataanalyser och urval i verksamheterna. De oklarheter och andra begränsningar som finns i den reglering som gäller i dag bedöms i förlängningen begränsa berörda myndigheters förutsättningar att fullgöra sina författningsreglerade uppgifter på ett korrekt, effektivt och rättssäkert sätt. Det kan även påverka den befintliga kontrollverksamheten negativt. Vidare finns det risk för att exempelvis inkomster undanhålls från staten i högre grad i takt med att oseriösa aktörer blir effektivare på att utnyttja välfärdssyste- met på ett otillbörligt sätt om inte myndigheterna ges möjlighet att använda uppgifter vid bruk av digitala verktyg i kontrollverksamhet.
Det kan i detta sammanhang nämnas att regeringen tidigare har god- tagit inskränkningar i skyddet för den personliga integriteten för att myndigheter ska ges bättre förutsättningar att förebygga, förhindra och upptäcka felaktigheter genom användning av analys- och urvals- verktyg, däribland för Skatteverkets folkbokföringsverksamhet.297
Det är å ena sidan viktigt att skydda den personliga integriteten.
Åandra sidan är det viktigt att säkerställa välfärdssystemets funk- tion, legitimitet och förtroende för detta. Den personuppgiftsbe- handling som kommer att vara nödvändig vid dataanalyser och urval kommer att omfattas av en särskild nationell reglering i lag som också innefattar ett flertal skyddsåtgärder. De uppgifter om enskildas per- sonliga och ekonomiska förhållanden som behandlas kommer också att omfattas av absolut sekretess. Vissa skyddsåtgärder samt den före- slagna sekretessen utgör ett skydd som inte finns i dag när myndig- heterna behandlar personuppgifter för att göra dataanalyser och urval. Myndigheterna måste också följa de krav som finns i annan reglering
297Prop. 2022/23:34, Utbetalningsmyndigheten, s.
1191
Dataanalyser och urval |
SOU 2023:100 |
som syftar till att skydda enskildas personliga integritet, såsom EU:s dataskyddsförordning och dataskyddslagen.
Vid en avvägning mellan intresset av att upprätthålla skyddet för den personliga integriteten och det allmänintresse som ligger till grund för förslagen anser vi att intrånget är motiverat och propor- tionerligt. Det är dock självfallet alltid viktigt att Skatteverket, Tull- verket och Kronofogdemyndigheten följer den tillämpliga dataskydds- regleringen vid all behandling av personuppgifter.
Förslagens förenlighet med kraven i EU:s dataskyddsförordning
Den reglering som vi föreslår bedöms tillsammans med den befint- liga materiella verksamhetsregleringen vara förenlig med kraven i dataskyddsförordningen. Personuppgiftsbehandlingen som är nöd- vändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina respektive uppgifter ryms inom den rättsliga grunden uppgift av allmänt intresse eller som ett led i myndighets- utövning (artikel 6.1 e). Behandlingen av personuppgifter som be- hövs för att berörda myndigheter ska kunna utföra dataanalyser och urval är alltså uppgifter av allmänt intresse. Grunden för behandlingen bedöms också vara fastställd i unionsrätten eller i den nationella rätten på det sätt som krävs enligt artikel 6.3 i dataskyddsförordningen ge- nom myndigheternas respektive materiella verksamhetsreglering och den reglering som vi föreslår. Vi bedömer även att den behandling av personuppgifter som kan komma att ske är proportionell i förhål- lande till de mål som eftersträvas. Det kommer alltså sammantaget att finnas rättslig grund för den personuppgiftsbehandling som våra förslag medför.
Vi föreslår också flera bestämmelser i de nya lagarna som en följd av de krav som ställs i dataskyddsförordningen. Det handlar om de grundläggande principerna i artikel 5 om bl.a. ändamålsbegränsning, uppgiftsminimering och lagringsminimering samt kraven på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläg- gande rättigheter och intressen vid behandling av känsliga person- uppgifter. Utöver detta föreslår vi ytterligare skyddsåtgärder för att motverka riskerna för obefogade intrång i den personliga integriteten (se avsnitt 14.11).
1192
SOU 2023:100 |
Dataanalyser och urval |
Vi anser sammantaget att den föreslagna regleringen är förenlig med dataskyddsförordningen.
Förslagens förenlighet med annan reglering till skydd för den personliga integriteten
Iregeringsformen, Europakonventionen och
Rätten till skydd för den personliga integriteten enligt 2 kap. 6 § andra stycket RF och rätten till respekt för privatlivet enligt artikel 8 i Europakonventionen är inte absoluta rättigheter, utan kan inskränkas genom lag. Även i
Vi har i avsnitt 6.2 bedömt att behandlingen av personuppgifter vid Skatteverkets, Tullverkets och Kronofogdemyndighetens data- analyser och urval kan innebära ett betydande intrång i den person- liga integriteten. Behandlingen omfattas därför av regeringsformens skydd mot sådana intrång. Det övergripande syftet med myndigheter- nas dataanalyser och urval är att förebygga, förhindra och upptäcka fel i respektive myndighets verksamhet, samt att motverka överskuld- sättning i Kronofogdemyndighetens verksamhet. Vad detta närmare innebär har beskrivits ovan samt i övrigt genomgående i detta kapi- tel. Ändamålen är enligt vår bedömning godtagbara i ett demokra- tiskt samhälle och kan därför rättfärdiga en inskränkning av skyddet för den personliga integriteten i bl.a. regeringsformen.
Regleringen av behandlingen av personuppgifter vid dataanalyser och urval föreslås tas in i särskilda lagar som ska gälla hos Skatte-
298Prop. 2022/23:34, Utbetalningsmyndigheten, s. 162.
1193
Dataanalyser och urval |
SOU 2023:100 |
verket, Tullverket respektive Kronofogdemyndigheten. Ramarna för personuppgiftsbehandlingen tillsammans med de bestämmelser som är av central betydelse för integritetsskyddet kommer därmed att slås fast i lag. Viss annan reglering till skydd för enskildas personliga integritet vid personuppgiftsbehandlingen föreslås också finnas i för- ordning. Vi har ovan gjort bedömningen att den personuppgifts- behandling som är nödvändig vid myndigheternas dataanalyser och urval är proportionerlig. Begränsningen av rätten till skydd för den personliga integriteten bedöms därmed inte gå utöver vad som är nöd- vändigt med hänsyn till det ändamål som har föranlett den. I detta ligger då också att begränsningen svarar mot sådana intressen som räknas upp i artikel 8.2 i Europakonventionen, dvs. landets ekono- miska välstånd och förebyggande av oordning eller brott.
Sammanfattande bedömning
Vi har ovan redovisat våra överväganden i fråga om förslagens risker för den personliga integriteten, behovet av den föreslagna regleringen, integritetsstärkande åtgärder och proportionalitet. Vi har även redo- gjort för förslagens förenlighet med kraven i EU:s dataskyddsför- ordning samt de begränsningar i annan reglering till skydd för en- skildas personliga integritet som våra förslag innebär.
Vår slutsats är att det integritetsintrång som kan uppkomma genom våra förslag är motiverat och proportionerligt.
1194
15 Offentlighet och sekretessfrågor
15.1Inledning
I detta kapitel föreslår vi att absolut sekretess ska gälla i Skatte- verkets folkbokföringsverksamhet för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Undantag från sekretessen ska dock gälla för vissa uppgifter om medborgarskap.
Vi föreslår även att absolut sekretess ska gälla till skydd för upp- gifter om enskildas personliga och ekonomiska förhållanden vid Skatte- verkets, Tullverkets och Kronofogdemyndighetens dataanalyser och urval. Sekretess föreslås också gälla för uppgift om metoder, modeller och riskfaktorer som hänför sig till myndigheternas dataanalyser och urval om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs.
I kapitlet föreslår vi också vissa ändringar av befintliga sekretess- bestämmelser som krävs till följd av våra övriga förslag.
I avsnitt 3.3 finns en genomgång av relevant reglering avseende sekretess.
1195
Offentlighet och sekretessfrågor |
SOU 2023:100 |
15.2Sekretess för uppgifter som ingår i vissa sammanställningar i Skatteverkets folkbokföringsverksamhet
15.2.1Uppgifter som ingår i vissa sammanställningar
i Skatteverkets folkbokföringsverksamhet ska omfattas av sekretess
Vårt förslag: Absolut sekretess ska gälla i Skatteverkets folkbok- föringsverksamhet för uppgift i en sammanställning ur en upptag- ning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgar- skap eller uppehållsrätt.
Sekretessen ska dock inte gälla för uppgift som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgar- skap i Sverige, Danmark, Norge, Finland eller Island samt om med- borgarskap inom eller utom Europeiska unionen (unionsmedborgar- skap eller icke unionsmedborgarskap).
Skälen för vårt förslag
Behovet av en sekretessbestämmelse
I dag finns en bestämmelse i 2 kap. 10 § lagen (2001:182) om behand- ling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), som föreskriver att vid sökning i folkbokföringsdatabasen får följande uppgifter inte användas som sökbegrepp:
•födelseort
•make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen som är grun- dat på adoption
•inflyttning från utlandet
•uppehållsrätt för en person som är folkbokförd
1196
SOU 2023:100 |
Offentlighet och sekretessfrågor |
•medborgarskap med undantag för uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unions- medborgarskap).
Bestämmelsen innebär att Skatteverket inte har någon möjlighet att göra sammanställningar av samtliga ärenden som t.ex. rör personer där en viss födelseort finns registrerad. Den innebär även att Skatte- verket inte kan söka fram redan befintliga handlingar med hjälp av de sökbegrepp som räknas upp i bestämmelsen. Regleringen får betydelse vid tillämpningen av den s.k. begränsningsregeln i 2 kap. 7 § tryckfrihetsförordningen, TF. Begränsningsregeln innebär att en sammanställning av uppgifter ur en upptagning för automatiserad be- handling som innehåller personuppgifter inte anses förvarad hos en myndighet om myndigheten enligt lag eller förordning saknar be- fogenhet att göra sammanställningen tillgänglig. Syftet med denna bestämmelse är att allmänheten inte med stöd av offentlighetsprin- cipen ska kunna ta del av sammanställningar av uppgifter ur upptag- ningar som myndigheten av hänsyn till skyddet för enskildas integri- tet själv är förhindrad att ta fram i sin egen verksamhet.1
I avsnitt 10.9.3 föreslår vi att det ska införas en sökbegränsning i den nya folkbokföringsdatalagen som innebär att det fortsatt kommer att vara förbjudet för Skatteverket att som sökbegrepp använda upp- gifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under
18år är bosatt som den registrerade har samband med inom folkbok- föringen om sambandet är grundat på adoption. Vidare gör vi i det avsnittet bedömningen att nuvarande bestämmelser i 2 kap. 10 § FdbL som förbjuder Skatteverket från att använda uppgifter om födelse- ort, inflyttning från utlandet, uppehållsrätt för en person som är folk- bokförd samt vissa uppgifter om medborgarskap som sökbegrepp inte bör ha någon motsvarighet i den nya folkbokföringsdatalagen. Bedömningen grundar sig på att Skatteverket har ett stort behov av att kunna göra sådana sökningar för att utföra sina uppdrag på ett så effektivt, korrekt och rättssäkert sätt som möjligt. I nämnda av- snitt uttalar vi också att även om de aktuella uppgifterna i normal-
1Prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 23.
1197
Offentlighet och sekretessfrågor |
SOU 2023:100 |
fallet inte utgör känsliga personuppgifter i dataskyddsförordningens2 mening kan de anses vara särskilt integritetskänsliga i vissa situa- tioner. Exempelvis kan möjligheten att ta fram och därigenom kunna lämna ut sammanställningar av personer på grundval av uppgifter om i vilket land de är medborgare, födelseort eller varifrån de flyttat t.ex. utnyttjas för att kartlägga och förfölja vissa grupper av personer av utländsk härkomst.3 Särskilda sökbegränsningar avseende uppgifter om nationell anknytning finns vidare i t.ex. 14 § första stycket dom- stolsdatalagen (2015:728).
Våra bedömningar i avsnitt 10.9.3 innebär att Skatteverket kom- mer att ges större möjligheter att söka fram vissa uppgifter och göra vissa sammanställningar som av integritetsskäl inte är möjliga att göra i dag till följd av det absoluta sökförbudet. Även i dag kan dock sådana uppgifter komma att lämnas ut på begäran om den t.ex. avser utfående av beslut eller inkomna handlingar i ärenden mellan en viss tidsperiod.
Möjligheterna för allmänheten att ta del av sådana uppgifter som här är aktuella begränsas dock redan i viss utsträckning av befintliga bestämmelser om sekretess. Enligt 22 kap. 1 § första stycket offent- lighets- och sekretesslagen (2009:400), OSL, gäller sekretess för upp- gift om en enskilds personliga förhållanden, om det av särskild an- ledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksam- het som avser folkbokföring m.m. Bestämmelsen innehåller ett rakt kvalificerat skaderekvisit vilket innebär att det krävs särskilt mycket för att sekretessen ska gälla. Vidare föreskrivs i 21 kap. 5 § OSL att sekretess gäller för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhåll- andet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Bestämmelsen innehåller ett rakt skade- rekvisit och är, till skillnad från 22 kap. 1 § OSL, inte avgränsad till folkbokföringsverksamhet utan gäller oavsett i vilket sammanhang uppgiften förekommer. Sekretessen enligt 21 kap. 5 § OSL har dock ett begränsat tillämpningsområde på så sätt att menbedömningen ska göras i förhållande till omständigheter som föranleds av förhållandet
2Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
3Jfr prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35.
1198
SOU 2023:100 |
Offentlighet och sekretessfrågor |
mellan utlänningen och en utländsk stat eller myndighet eller orga- nisation av utlänningar. Vid sidan av dessa sekretessbestämmelser före- skrivs i 21 kap. 7 § OSL att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning eller dataskyddslagen. Bestäm- melsen kan bl.a. tillämpas vid s.k. massuttag av uppgifter. Också här föreskrivs ett rakt skaderekvisit.
Det kan konstateras att även om det finns tillämpliga sekretess- regler för de aktuella uppgifterna, kommer de i många fall att vara offentliga till följd av utformningen av befintliga sekretessbestäm- melser. En begäran hos Skatteverket om utfående av aktuella uppgif- ter, eller sammanställningar grundade på sådana uppgifter, kommer enligt vår bedömning i högre grad att behöva tillgodoses av myndig- heten till följd av att det nuvarande absoluta sökförbudet inte över- förs till den föreslagna folkbokföringsdatalagen i sin helhet. Vidare finns det i dag väl utvecklade tekniska möjligheter att relativt snabbt och enkelt söka fram och sammanställa uppgifter, vilket är en utveck- ling som kan förutspås öka även framöver.4
I praktiken innebär alltså våra förslag att skyddet för uppgifterna försvagas. Vår avsikt med förändringarna av vilka sökbegränsningar som ska gälla i Skatteverkets folkbokföringsverksamhet är dock inte att försvaga integritetsskyddet för de uppgifter som föreskrivs i det särskilda sökförbudet i 2 kap. 10 § FdbL, utan det är att föreslå en ändamålsenlig och flexibel dataskyddsreglering för myndigheten. Vi anser också att de aktuella uppgifterna fortsatt bör betraktas som integritetskänsliga i vissa fall och att offentliggörande av samman- ställningar som grundar sig på uppgifterna kan medföra skada eller men som resultat av att de lämnas ut. Det rör sig även om uppgifter som enskilda är skyldiga att uppge till Skatteverket till följd av den materiella regleringen om vad som ska registreras i folkbokförings- verksamheten. För att åstadkomma ett fortsatt skydd för uppgift- erna i integritetshöjande syfte, samtidigt som Skatteverkets möjligheter att utföra sina författningsreglerade uppgifter inte begränsas på ett sätt som inte är ändamålsenligt, kan en särskild bestämmelse om sekre- tess för aktuella uppgifter införas i offentlighets- och sekretesslagen.
Av de skäl som nu har anförts anser vi att det finns ett behov av att införa en ny bestämmelse om sekretess i offentlighets- och sekretess- lagen som gäller i Skatteverkets verksamhet som avses i 2 § folkbok-
4Jfr 2 kap. 6 § andra stycket TF.
1199
Offentlighet och sekretessfrågor |
SOU 2023:100 |
föringsdatalagen för uppgift som ingår i en sammanställning ur en upp- tagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap och uppehållsrätt, med undantag för uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgar- skap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). En närmare motivering till utform- ningen av en sådan ny sekretessbestämmelse finns nedan.
Tillämplig sekretessgrund
Huvudregeln är att allmänna handlingar är offentliga.5 Rätten att ta del av allmänna handlingar kan dock begränsas genom sekretess. Sådana begränsningar får göras endast om det krävs med hänsyn till vissa särskilt angivna intressen, bl.a. skyddet för enskildas personliga eller ekonomiska förhållanden (2 kap. 2 § första stycket 6 TF). En be- gränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i en särskild lag eller, om det anses lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till.6 Den särskilda lag som avses är offentlighets- och sekretesslagen.
De aktuella uppgifterna rör uppgifter om en enskilds födelseort, födelseland, inflyttning från utlandet, uppehållsrätt eller medborgar- skap i vissa fall. Enligt vår bedömning bör en sekretessbestämmelse till skydd för den enskildes personliga förhållanden mot denna bak- grund vara tillåten i enlighet med 2 kap. 2 § första stycket 6 TF.
Intresseavvägning
Införandet av en ny sekretessbestämmelse innebär att allmänhetens grundlagsfästa rätt att ta del av allmänna handlingar begränsas. En avvägning måste därför göras mellan behovet av sekretess och all- mänhetens intresse av insyn i fråga om de aktuella uppgifterna.
Det kan konstateras att det rör sig om uppgifter om enskildas nationella anknytning som registreras i folkbokföringen enligt folk- bokföringslagen (1991:481). Uppgifterna rör visserligen inte i sig så- dana särskilda kategorier av personuppgifter som räknas upp i arti-
5Jfr 2 kap. TF.
62 kap. 2 § andra stycket TF.
1200
SOU 2023:100 |
Offentlighet och sekretessfrågor |
kel 9.1 i EU:s dataskyddsförordning, dvs. känsliga personuppgifter. Enligt 22 kap. 1 § OSL är huvudregeln dessutom att uppgifter om bl.a. nationalitet är offentliga. I förarbetena anges dock att även så- dana uppgifter i vissa särskilda fall kan sekretessbeläggas med stöd av denna sekretessbestämmelse, t.ex. i fall då uppgifter begärs ut om utlänningar med viss nationalitet. I förarbetena anges vidare att om omständigheterna tyder på att utlämnande av en dylik förteckning kan leda till aktioner mot invandrarna som dessa uppfattar som hot- ande eller påtagligt obehagliga bör utlämnande av det begärda valet vägras.7 Som nämns ovan kan uppgifter om nationell anknytning även omfattas av sekretess enligt 21 kap. 5 § OSL eller 21 kap. 7 § OSL. I dag finns det inte heller någon möjlighet för Skatteverket att göra sammanställningar baserade på aktuella uppgifter till följd av de gäll- ande bestämmelserna om sökförbud, vilka infördes av integritets- skäl.8 Enligt vår mening finns det sammantaget ett behov av skydd för de aktuella uppgifterna.
Mot detta kan det konstateras att allmänheten har ett intresse av insyn i folkbokföringsverksamheten. Detta framgår bl.a. av att det i 22 kap. 1 § OSL föreskrivs att det krävs särskild anledning att anta att den enskilde eller någon närstående till denne lider men om en uppgift röjs för att kunna sekretessbelägga uppgifter hänförliga till folkbokföringen m.m. Ett grundläggande syfte med folkbokförings- verksamheten anses ofta vara att tillgodose samhällets behov av upp- gifter om fysiska personer bosatta i Sverige. En del av insynsintresset är vidare hänförligt till att det ska finnas möjlighet att granska Skatte- verkets folkbokföringsverksamhet.
Intresset av insyn gör sig dock i allmänhet inte lika starkt gällande i förhållande till uppgifter om en enskilds personliga förhållanden som avseende uppgifter om en myndighets verksamhet. Allmänheten har inte heller i dag möjlighet att begära att Skatteverket gör en sammanställning baserad på aktuella uppgifter för utfående av denna. Vid en avvägning bedömer vi att behovet av skydd för aktuella upp- gifter väger tyngre än behovet av insyn i verksamheten och att en ny sekretessbestämmelse bör införas som ska utformas i enlighet med vad som anges nedan. På detta sätt anser vi att det nuvarande skyddet för uppgifterna fortsatt upprätthålls.
7Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 211.
8Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
1201
Offentlighet och sekretessfrågor |
SOU 2023:100 |
Utformningen av en ny sekretessbestämmelse
Vi anser för det första att den nya sekretessbestämmelsen ska gälla i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen. På detta sätt blir räckvidden av sekretessen densamma som det nu gällande sökförbudet träffar.
Vidare ska den nya sekretessen gälla för uppgift som ingår i en sammanställning om den grundar sig på uppgifter om födelseort, föd- elseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen ska dock inte gälla för uppgift som ingår i en samman- ställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). Sekretessens föremål utformas därmed efter vilka uppgifter som omfattas av det nuvarande sökförbudet i 2 kap. 10 § FdbL.
Födelseort anges i folkbokföringsverksamheten för personer som är födda utomlands.9 Innehållet i den nuvarande regleringen av folk- bokföringsdatabasen, som sökförbudet i 2 kap. 10 § FdbL hänvisar till, har sin grund i lagen (1990:1536) om folkbokföringsregister. När databasregleringen tillkom fördes bestämmelser om vilka uppgifter det tidigare folkbokföringsregistret fick innehålla enligt lagen i stort sett över oförändrade till regleringen av vilka uppgifter databasen fick innehålla.10 I förarbetena till lagen om folkbokföringsregister angav regeringen att med födelseort avsågs både födelseort och land för en person som var född i utlandet.11 I avsnitt 9.4.5 gör vi därför bedömningen att med begreppet födelseort i folkbokföringsdatabas- lagen får även anses avse födelseland för en person som är född utomlands. Av tydlighetsskäl föreslår vi därför i det avsnittet att det uttryckligen ska framgå av folkbokföringslagen att Skatteverket får registrera uppgifter om födelseort och födelseland om en person. Mot denna bakgrund och till följd av syftet med den nya sekretess- bestämmelsen gör vi bedömningen att det även i den nya bestämmel- sen om sekretess uttryckligen bör anges att den aktuella sekretessen gäller om sammanställningen grundar sig på uppgifter om födelseland.
9Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 146.
10Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141.
11Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 40.
1202
SOU 2023:100 |
Offentlighet och sekretessfrågor |
När det gäller uppgifter om inflyttning från utlandet registreras uppgift om datum och från vilket land personen i anmälan har upp- gett att han eller hon har flyttat.
I fråga om uppgifter om uppehållsrätt för en person som är folk- bokförd registreras det förhållandet att en person har uppehållsrätt, men inte på vilken grund. Omständigheterna som ligger till grund för personens uppehållsrätt finns i ärendet genom bl.a. beslutet om folkbokföring. I avsnitt 9.4.5 gör vi bedömningen att den nya bestäm- melsen i folkbokföringslagen – som föreslås reglera vad folkbokför- ing innebär i fråga om registrering av uppgifter – bör avse uppe- hållsrätt, dvs. utan tillägget ”för en person som är folkbokförd”. Mot den bakgrunden, samt mot bakgrund av syftet med sekretessbestäm- melsen, framstår det som överflödigt att det i den nya sekretess- bestämmelsen anges ”uppehållsrätt för en person som är folkbokförd”. Bestämmelsen bör enligt vår mening i stället utformas i enlighet med den nya bestämmelsen i folkbokföringslagen. Sekretess ska därför gälla för uppgift i en sammanställning ur en upptagning för automa- tiserad behandling om den grundar sig på uppgifter om bl.a. uppe- hållsrätt.
När det gäller undantaget för vissa uppgifter om medborgarskap är detta hänförligt till att uppgifterna behövs för bl.a. framställning av röstlängder och för avisering till vissa myndigheter.12
Utformningen av den föreslagna sekretessbestämmelsen innebär att det räcker att någon av de uppräknade uppgifterna är en uppgift av flera andra som har använts för att göra sammanställningen till- gänglig genom t.ex. en sökning för att sammanställningen i sin hel- het ska omfattas av sekretess. Om ingen av de uppräknade uppgift- erna används när sammanställningen görs kommer den dock inte att omfattas av sekretessbestämmelsen. Utformningen av regleringen innebär vidare att eventuella redan befintliga sammanställningar som har grundats på aktuella uppgifter kommer att omfattas av sekretess. Däremot kommer sekretessbestämmelsen inte att omfatta enskilda uppgifter om exempelvis en viss persons födelseort i ett ärende. I ett sådant fall får en prövning i stället göras enligt bl.a. de redan befint- liga sekretessbestämmelser som nämns ovan.
När det gäller avvägningen av vilken sekretessnivå som ska gälla bör inte mer sekretess än vad som är oundgängligen nödvändigt för att skydda det intresse som har föranlett bestämmelsen åstadkom-
12Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 146.
1203
Offentlighet och sekretessfrågor |
SOU 2023:100 |
mas.13 Bestämmelser om sekretess innehåller ofta skaderekvisit som anger sekretessens styrka. Dessa kallas bl.a. raka eller omvända skade- rekvisit. Om en bestämmelse har ett rakt skaderekvisit finns en pre- sumtion för offentlighet medan ett omvänt skaderekvisit innebär en presumtion för sekretess. Vid ett rakt kvalificerat skaderekvisit är huvudregeln att uppgifterna ska vara offentliga och att sekretess endast gäller i undantagsfall.14 I vissa fall gäller absolut sekretess, vilket framgår genom sekretessbestämmelser som saknar skaderekvisit. Så- dan absolut sekretess gäller t.ex. inom Skatteverkets beskattnings- verksamhet.15
Syftet med den föreslagna sekretessbestämmelsen är att samman- ställningar över uppgifter om enskildas nationella anknytning inte ska bli offentliga vid Skatteverket. På detta sätt kommer regleringen i praktiken även att innebära ett likvärdigt skydd för de aktuella upp- gifterna som gäller i dag genom 2 kap. 10 § FdbL. I dag finns det över huvud taget ingen möjlighet att begära att Skatteverket gör sök- ningar på de aktuella uppgifterna för utfående av sammanställningar över dessa. De aktuella sammanställningarna är i dag inte allmänna handlingar på grund av sökbegränsningarna. För att i princip uppnå samma skydd när sammanställningarna kan bli allmänna bedömer vi att det krävs att sekretessen är absolut, dvs. att någon skadeprövning inte ska göras vid begäran om utlämnande av handlingen. Att det i dag är möjligt att få ut samma uppgifter på annat sätt föranleder ingen annan bedömning.
Även om vår avsikt är att åstadkomma samma skydd för uppgift- erna som de har i dag, finns dock vissa sekretessbrytande bestäm- melser i offentlighets- och sekretesslagen som innebär att uppgifter, trots föreskriven absolut sekretess, i vissa fall kan lämnas ut till andra myndigheter. Enligt 10 kap. 2 § OSL hindrar inte sekretess att en upp- gift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Det är därmed den utlämnande myndighetens in- tresse av att lämna uppgiften som är avgörande. Bestämmelsen ska dock tillämpas restriktivt.16
13Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 78.
14Jfr 22 kap. 1 § första stycket OSL där det krävs att det finns särskild anledning att anta att den enskilde eller någon närstående till denne lider men om uppgiften röjs för att uppgiften ska kunna hemlighållas.
15Se 27 kap. 1 § OSL.
16Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 465.
1204
SOU 2023:100 |
Offentlighet och sekretessfrågor |
Vidare anges i 10 kap. 27 § första stycket OSL, den s.k. general- klausulen, att en sekretessbelagd uppgift får lämnas till en myndig- het, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Eftersom bestämmelsen kräver att det är uppenbart att intresset av utlämnande har företräde framför det intresse som sekretessen ska skydda, och då vi föreslår att den nya sekretessbestämmelsen ska föreskriva abso- lut sekretess, bör det enligt vår uppfattning relativt sällan komma
ifråga att Skatteverket kan lämna ut aktuella uppgifter till andra myn- digheter med stöd av generalklausulen. Mot denna bakgrund bedömer
viatt det inte behöver införas något undantag från generalklausulen
i10 kap. 27 § andra stycket OSL.
I de fall det kan komma att finnas behov av särskilda sekretess- brytande bestämmelser får överväganden om införandet av sådana bestämmelser göras när behov av det uppstår.
Sammanfattningsvis innebär våra överväganden ovan att det ska införas en ny sekretessbestämmelse i offentlighets- och sekretess- lagen som föreskriver att absolut sekretess gäller i Skatteverkets folk- bokföringsverksamhet för uppgift i en sammanställning ur en upptag- ning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen ska dock inte gälla för uppgift som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unions- medborgarskap eller icke unionsmedborgarskap).
Skatteverket bör i vissa fall kunna lämna ut uppgifter som avses i den nya sekretessbestämmelsen om uppgifterna har avidentifierats. Detta dock under förutsättning att Skatteverket iakttar stor för- siktighet när myndigheten prövar om de avidentifierade uppgifterna är av sådant slag att det inte går att hänföra dem till en enskild per- son. Det är särskilt viktigt eftersom uppgifterna omfattas av mycket stark sekretess.17 För att ett utlämnande av uppgifterna ska kunna ske i ett avidentifierat skick för t.ex. statistiska syften måste det alltså stå klart att sambandet mellan uppgifterna och enskilda individer inte kan spåras.18 Detta medför en viss skillnad mot vad som gäller
idag. Om sådana avidentifierade uppgifter bedöms kunna lämnas ut,
17Jfr JO 1984/85, dnr
18Jfr Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 179.
1205
Offentlighet och sekretessfrågor |
SOU 2023:100 |
innebär det dock inte enligt vår uppfattning att enskilda har fått ett svagare skydd i förhållande till vad som gäller enligt den nuvarande regleringen i folkbokföringsdatabaslagen.
Vi anser att den nya sekretessbestämmelsen ska införas i anslut- ning till övriga sekretessregler som i dag gäller i folkbokföringen m.m. Sekretessbestämmelsen ska därför enligt vår mening införas som en ny paragraf i 22 kap. 1 b § OSL.
15.2.2Sekretessen ska gälla i högst 70 år
Vårt förslag: Sekretessen för uppgift i allmän handling ska gälla i högst sjuttio år.
Skälen för vårt förslag
Uppgifter om enskildas ekonomiska förhållanden hålls i allmänhet hemliga i maximalt 20 år.19 När det gäller uppgifter om enskildas per- sonliga förhållanden förekommer sekretessperioder upp till 70 år.20 Sekretessen till skydd för enskilds personliga förhållanden vid folk- bokföring m.m. gäller i högst 70 år.21 För uppgift om enskilds per- sonliga eller ekonomiska förhållanden som har tillförts analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet gäller dock sekretessen i högst 20 år.22
De uppgifter om enskildas personliga förhållanden som nu före- slås omfattas av sekretess är sådana uppgifter som förekommer i verksamhet med folkbokföring och som därmed kan omfattas av sekretess enligt 22 kap. 1 § OSL. Vi anser mot denna bakgrund att sekretesstidens längd bör följa vad som annars gäller i folkbokför- ingsverksamheten. Vi föreslår därför att för uppgift i en allmän hand- ling ska sekretessen hos Skatteverket gälla i högst 70 år.
19Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 87. Se även prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 48 och Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 182.
20Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 182.
2122 kap. 1 § OSL.
2222 kap. 1 a § OSL.
1206
SOU 2023:100 |
Offentlighet och sekretessfrågor |
15.2.3Tystnadsplikten ska ha företräde framför meddelarfriheten
Vårt förslag: Tystnadsplikten som följer av den nya sekretess- bestämmelsen avseende vissa uppgifter som ingår i sammanställ- ningar i Skatteverkets folkbokföringsverksamhet ska ha företräde framför meddelarfriheten.
Skälen för vårt förslag
Meddelarfriheten regleras i tryckfrihetsförordningen och yttrande- frihetsgrundlagen. Rätten att meddela uppgifter till grundlagsskyddade medier för offentliggörande och publicering går i regel före den tystnadsplikt som sekretess innebär.23 Det innebär att det i vissa fall är möjligt att straffritt lämna ut normalt sekretessbelagda uppgifter för publicering i t.ex. tryckt skrift, radio eller tv.24 Meddelarfriheten har sin grund i att de vanliga sekretessbestämmelserna ger uttryck för ganska allmänna avvägningar mellan insyns- och sekretessintressena på de berörda områdena. Det innebär att önskemålet om insyn i ett särskilt fall kan vara starkare än det sekretessintresse som har för- anlett den aktuella sekretessregeln. Det kan vidare förhålla sig så att en regel om skydd t.ex. för ett enskilt intresse ibland på ett olämpligt sätt hindrar insyn i en myndighets sätt att fullgöra sina uppgifter. Offentlighetsprincipen skulle inte fullt ut förverkligas om de offent- liga funktionärerna i sådana situationer var förhindrade att bidra med uppgifter till den allmänna debatten. Reglerna om meddelarfrihet är alltså avsedda att motverka sådana icke önskade resultat av sekretess- regleringen.25 Bestämmelser om tystnadsplikt kan dock genom före- skrifter i offentlighets- och sekretesslagen ges företräde framför med- delarfriheten.26
Som grundprincip gäller att stor återhållsamhet alltid bör iakttas vid prövningen av om undantag från meddelarfriheten ska göras i ett särskilt fall. En avvägning ska göras mellan intresset av sekretess och intresset av offentlig insyn. I fråga om sekretessregler utan skade- rekvisit kan det finnas större anledning att överväga undantag från
231 kap. 7 § TF och 1 kap. 10 § YGL.
24Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 104.
25Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s.
267 kap. 22 § första stycket 3 TF och 5 kap. 4 § första stycket 3 YGL.
1207
Offentlighet och sekretessfrågor |
SOU 2023:100 |
meddelarfriheten än i andra fall. Det bör också beaktas om en upp- gift har lämnats av en enskild i en förtroendesituation eller om upp- giften hänför sig till ett ärende om myndighetsutövning. I det förra fallet bör meddelarfrihet normalt vara utesluten. När det gäller upp- gifter av det senare slaget bör däremot meddelarfrihet oftast före- ligga.27
Vi föreslår ovan att absolut sekretess ska gälla enligt den nya sekre- tessbestämmelsen i Skatteverkets folkbokföringsverksamhet. Upp- gifterna som ingår i en sådan sammanställning som föreslås omfattas av sekretess hänför sig visserligen ofta till ärenden om myndighets- utövning. Det rör sig dock om sammanställningar av uppgifter som har lämnats av enskilda i enlighet med de krav för registrering som gäller enligt den materiella reglering som gäller i folkbokföringsverk- samheten.
Vid en sammantagen bedömning anser vi att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen ska ha företräde framför meddelarfriheten.
15.3Sekretess till skydd för enskildas intressen vid dataanalyser och urval
15.3.1Uppgifter om enskildas personliga eller ekonomiska förhållanden ska omfattas av sekretess
Vårt förslag: Absolut sekretess ska gälla vid dataanalyser och ur- val i syfte att förebygga, förhindra och upptäcka fel i Skatte- verkets beskattningsverksamhet och folkbokföringsverksamhet samt i Tullverkets verksamhet och Kronofogdemyndighetens verk- samhet för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Sekretessen ska även gälla i Kronofogdemyndighetens verksam- het med dataanalyser och urval i syfte att motverka överskuld- sättning.
27Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s.
1208
SOU 2023:100 |
Offentlighet och sekretessfrågor |
Skälen för vårt förslag
Det finns ett behov av att skydda uppgifter om enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval
Vi lämnar i kapitel 14 förslag som innebär att Skatteverket, Tull- verket och Kronofogdemyndigheten ges ett tydligare rättsligt stöd att behandla personuppgifter vid dataanalyser och urval i kontroll- verksamhet och, för Kronofogdemyndighetens del, även för att mot- verka överskuldsättning. I berörda myndigheters verksamheter be- handlas, dock i varierande grad, stora mängder uppgifter om enskildas personliga eller ekonomiska förhållanden.28 Dessa uppgifter kom- mer genom våra förslag att i högre utsträckning även kunna behand- las vid dataanalyser och urval. Vilka kategorier av uppgifter det när- mare rör sig om skiljer sig åt i de olika verksamheterna. Det kan dock i samtliga berörda myndigheters verksamheter vara fråga om mindre integritetskänsliga uppgifter, såsom namn, adress och andra kontakt- uppgifter. Andra uppgifter kan vara mer integritetskänsliga. Exem- pelvis behandlar Skatteverket uppgifter som avslöjar religiös tillhör- ighet och uppgifter om hälsa och Tullverket uppgifter om hälsa eller tidigare brottslighet. Kronofogdemyndigheten behandlar t.ex. upp- gifter om fällande domar i brottmål eller beviljade sjukförsäkrings- förmåner. Även om vissa av de uppgifter som myndigheterna be- handlar inom respektive verksamhet är mindre känsliga, antingen till följd av vilka typer av uppgifter det rör sig om eller att uppgifterna var för sig inte kan anses vara så känsliga, kan de tillsammans och genom en användning av dataanalyser och urval komma att ge myn- digheterna möjlighet att skapa en mer omfattande bild av enskildas personliga eller ekonomiska förhållanden.
Myndigheterna kommer också att kunna behandla uppgifter vid dataanalyser och urval som har hämtats in från andra myndigheter. När handlingar med sådana uppgifter kommer in till myndigheterna blir de allmänna handlingar om kriterierna för detta i 2 kap. TF är uppfyllda och det inte finns något tillämpligt undantag. Detsamma
28Med begreppet enskilda avses i offentlighets- och sekretesslagen såväl fysiska som juridiska personer, se prop. 2008/09:150, Offentlighets- och sekretesslag, s. 349. Vad som avses med be- greppet personliga förhållanden i sekretesslagstiftningen ska bestämmas med ledning av van- ligt språkbruk. Uttrycket avser vitt skilda förhållanden som t.ex. en persons adress eller yttring- arna av ett psykiskt sjukdomstillstånd. Även uppgift om en persons ekonomi faller under begreppet personliga förhållanden. Juridiska personer kan inte sägas ha några personliga förhål- landen. En exakt gränsdragning mellan begreppen personliga och ekonomiska förhållanden har dock inte gjorts i lagstiftningen, se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84.
1209
Offentlighet och sekretessfrågor |
SOU 2023:100 |
gäller handlingar med uppgifter om enskilda som inkommer från andra aktörer eller som är att anse som upprättade hos myndigheterna. Huvudregeln är att allmänna handlingar är offentliga. Rätten att ta del av allmänna handlingar kan dock begränsas genom sekretess. Så- dana begränsningar får göras endast om det krävs med hänsyn till vissa särskilt angivna intressen, bl.a. myndigheters verksamhet för inspek- tion, kontroll eller annan tillsyn, det allmännas ekonomiska intresse eller skyddet för enskildas personliga eller ekonomiska förhållanden.29 En begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i en särskild lag eller, om det anses lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till.30 Den särskilda lag som avses är offentlighets- och sekretesslagen.
De sambearbetningar av stora uppgiftsmängder som kommer att göras vid dataanalyser och urval innebär att integritetsintresset är på- tagligt för uppgifterna. Vidare kan de sammanställningar som kan göras med hjälp av verktygen i vissa fall innebära betydande integri- tetsrisker om de skulle bli offentliga. Mot denna bakgrund anser vi att det är angeläget att det finns sekretessbestämmelser som säker- ställer ett tillräckligt skydd för enskildas personliga och ekonomiska förhållanden.31
I berörda myndigheters verksamheter gäller skilda sekretessbestäm- melser som har olika föremål, räckvidd och styrka.32 I det följande diskuteras om vissa befintliga sekretessbestämmelser är tillräckliga för att uppfylla det behov av skydd för enskildas personliga och eko- nomiska förhållanden som vi anser behövs när myndigheterna utför dataanalyser och urval.
292 kap. 2 § första stycket TF.
302 kap. 2 § andra stycket TF. Efter bemyndigande i en sådan bestämmelse får regeringen genom förordning meddela närmare föreskrifter om bestämmelsens tillämplighet.
31I detta sammanhang kan nämnas att särskilda sekretessbestämmelser relativt nyligen har in- förts för uppgifter i den befintliga analys- och urvalsdatabasen i Skatteverkets folkbokförings- verksamhet, se 22 kap. 1 a § OSL. En liknande sekretess kommer även att gälla i Utbetalnings- myndighetens verksamhet enligt en ny bestämmelse i 40 kap. 7 d § OSL vilken träder i kraft den 1 januari 2024, se prop. 2022/23:34, bet. 2022/23:FiU35, rskr. 2022/23:266.
32Se avsnitt 3.3 för en närmare redogörelse om gällande sekretessbestämmelser i berörda myn- digheters verksamhet.
1210
SOU 2023:100 |
Offentlighet och sekretessfrågor |
Skatteverkets beskattningsverksamhet
I 27 kap. 1 och 2 §§ OSL finns sekretessbestämmelser som omfattar verksamhet som avser bestämmande av skatt m.m. Enligt 27 kap. 1 § första stycket OSL gäller s.k. absolut sekretess i verksamhet som av- ser bestämmande av skatt eller fastställande av underlag för bestäm- mande av skatt eller som avser fastighetstaxering för uppgift om en- skilds personliga eller ekonomiska förhållanden, s.k. skattesekretess.33
Sekretess gäller vidare enligt 27 kap. 1 § andra stycket 1 OSL i verk- samhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet34 för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen, s.k. databas- sekretess. Vi föreslår dock att den bestämmelsens lydelse ska ändras så att sekretess gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som Skatteverket använder i verksamhet som avses i 2 § beskattningsdatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretessen ska dock inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket (se avsnitt 15.5).
Enligt 27 kap. 2 § OSL gäller sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden i vissa angivna ärenden, t.ex. avseende skattekontroll eller anstånd med erläggande av skatt. Enligt bestämmelsen gäller absolut sekretess eller sekretess med ett omvänt skaderekvisit beroende på i vilket ärende uppgiften förekom- mer.
Dataanalyser och urval avser inte någon ny verksamhet vid myn- digheten. Vid de dataanalyser och urval som Skatteverket har möjlig- het att utföra i dag tillämpar myndigheten befintliga sekretessregler.
Sekretessen i 27 kap. 1 § första stycket OSL innebär enligt för- arbetena att inte bara själva ärendena etc. täcks av uttrycket verksam- het som avser bestämmande av skatt osv. utan också t.ex. register- föring och annan verksamhet som har anknytning till förfarandet men saknar ärendekaraktär. Ärenden om sådan skattekontroll som utförs utanför ramen för ett skatteärende avser dock inte bestämmande av skatt eller fastställande av underlag för bestämmande av skatt, utan
33Vad som avses med skatt anges i 27 kap. 1 § tredje stycket OSL.
34Skattedatabaslagen, förkortad SdbL.
1211
Offentlighet och sekretessfrågor |
SOU 2023:100 |
de faller i stället under 2 §.35 Det finns vidare vissa förarbetsuttalanden som gjordes i samband med genomförandet av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang som behandlar sekretessbestämmel- sernas tillämplighet vid vissa av Skatteverkets riskbaserade urval. Reger- ingen uttalade då bl.a. att Skatteverket ska kunna använda uppgifter om rapporteringspliktiga arrangemang för skattekontroll, t.ex. för att göra riskbaserade urval för skatterevisioner eller andra utrednings- åtgärder för kontroll. Vidare bedömde regeringen att det i sådan verk- samhet gäller sekretess för uppgifterna antingen enligt 27 kap. 1 § första stycket eller enligt 27 kap. 2 § 1 OSL, beroende på om åtgär- derna ingår som ett led i ett ärende om t.ex. bestämmande av skatt eller om det är ett fristående förfarande.36 Detta talar sammantaget för att nämnda bestämmelser om skattesekretess skulle kunna anses vara tillräckliga för att utgöra ett adekvat skydd för enskildas per- sonliga och ekonomiska förhållanden vid de utökade dataanalyser och urval Skatteverket kommer att kunna göra enligt våra förslag.
Våra förslag avseende Skatteverkets utökade möjligheter till data- analyser och urval omfattar dock fler verksamheter än de som omfattas av skattesekretessen. Exempelvis kommer Skatteverkets handlägg- ning enligt lagen (2013:948) om stöd vid korttidsarbete att omfattas.37 Enligt 28 kap.
35Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 258.
36Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 171.
37Utöver detta kommer även Skatteverkets handläggning enligt lagen (2007:324) om Skatte- verkets hantering av vissa borgenärsuppgifter, verksamhet enligt lagen (1991:1047) om sjuk- lön, verksamhet enligt lagen (2020:548) om omställningsstöd samt verksamhet enligt lagen (2023:230) om förfarande för elstöd till företag fortsatt att omfattas, jfr förslag till 2 § beskatt- ningsdatalag.
3827 kap. 2 § andra stycket OSL.
1212
SOU 2023:100 |
Offentlighet och sekretessfrågor |
stöd samt i verksamhet enligt lagen (2023:230) om förfarande för elstöd till företag.39 Så är dock inte fallet avseende uppgifter i verk- samhet enligt lagen (1991:1047) om sjuklön. Det rör uppgifter om sjuklönekostnader som arbetsgivare lämnar till Skatteverket i arbets- givardeklarationer vilka Skatteverket i sin tur månatligen vidare- befordrar till Försäkringskassan som prövar rätten till ersättning för höga sjuklönekostnader.40 För sådana uppgifter som Skatteverket har i beskattningsdatabasen gäller i dag absolut sekretess enligt 27 kap. 1 § andra stycket 1 OSL.41
Som framgår av redogörelsen ovan gäller alltså olika nivåer av sekretesskydd i olika verksamheter eller ärendetyper vid Skatteverket. Lagstiftaren har därmed gjort olika avvägningar mellan insyns- och skyddsintresset för respektive verksamhet. I de fall det finns ett starkt insynsintresse i en verksamhet, kan det tala för att det bör införas ett svagare sekretesskydd när analyser och urval utförs i verksamheten än i en annan verksamhet där insynsintresset inte har bedömts vara lika starkt. Som ovan beskrivits innebär dock den sambearbetning av uppgifter om enskilda som kan göras genom verktygen att det finns ett påtagligt integritetsintresse för uppgifterna. De sammanställningar av uppgifter som kan göras med rutinbetonade åtgärder innebär med andra ord i sig att integritetsintresset är mycket starkt, även om upp- gifterna var för sig inte är lika integritetskänsliga i vissa verksam- heter. Det rör sig inte heller om uppgifter i förhållande till myndig- hetens verksamhet utan om enskilda. Vi anser mot denna bakgrund att det är lämpligt att ett likvärdigt sekretesskydd gäller för uppgifter om enskildas personliga eller ekonomiska förhållanden när Skatte- verket utför dataanalyser och urval, oavsett i vilken av de verksam- heter som omfattas av den föreslagna nya beskattningsdatalagen det sker. Ett likvärdigt sekretesskydd skulle också göra det tydligare för myndigheten och enskilda vilka sekretessbestämmelser som är tillämp- liga när sådana verktyg används.
Vi ser också att det kan uppstå situationer vid utförandet av vissa analys- och urvalsprojekt där det oaktat ovan nämnda förarbetsuttal- anden inte står lika klart att det finns tillämpliga sekretessbestäm- melser inom beskattningsverksamheten, trots att det finns skydds- värda uppgifter om enskildas personliga eller ekonomiska förhållanden.
3930 kap. 23 § OSL samt 9 § OSF jämte punkterna 78 och 160 i bilagan till OSF.
40Se
41Se prop. 2014/15:1, Budgetpropositionen för 2015 – Förslag till statens budget för 2015, finansplan och skattefrågor, s.
1213
Offentlighet och sekretessfrågor |
SOU 2023:100 |
Så kan exempelvis tänkas vara fallet avseende vissa riskanalyser som inte i första hand leder till bestämmande av skatt eller fastställande av underlag för skatter eller andra avgifter, utan kanske endast ut- mynnar i påståenden om att ett företag sannolikt kommer att anses som arbetsgivare med åtföljande skyldighet att betala preliminär skatt och arbetsgivaravgifter. Ett annat exempel är uppgifter som behandlas för att identifiera aktörer som inte är registrerade hos Skatteverket trots att de möjligen borde betala skatter och avgifter, s.k. non- filers.42 Eftersom dataanalyser och urval är något som utförs för olika ändamål inom kontrollverksamheten, kan det enligt vår bedömning också tänkas uppkomma andra situationer då det är tveksamt om det kan sägas omfatta verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt (27 kap. 1 § OSL).
Det kan sammantaget konstateras att det finns vissa möjligheter för Skatteverket att sekretessbelägga uppgifter om enskildas person- liga eller ekonomiska förhållanden vid dataanalyser och urval. I många fall skyddas även uppgifter inom beskattningsverksamheten av abso- lut sekretess. Enligt vår bedömning finns det dock inte någon sekre- tessbestämmelse som ger ett heltäckande starkt sekretesskydd för sådana uppgifter. En särskild sekretessregel bör därför införas för de uppgifter om enskildas personliga eller ekonomiska förhållanden som behandlas vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel inom Skatteverkets verksamhet som avses i 2 § i den föreslagna beskattningsdatalagen. På detta sätt blir det även tyd- ligt att samma sekretesskydd gäller oavsett inom vilken verksamhet dataanalyserna och urvalen utförs. Vilken styrka sekretessen bör ha redogörs för nedan.
Skatteverkets folkbokföringsverksamhet
Sedan den 1 maj 2023 finns en särskild sekretessbestämmelse i 22 kap. 1 a § OSL i Skatteverkets folkbokföringsverksamhet. Enligt denna gäller absolut sekretess i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen enligt folkbokföringsdatabaslagen för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. Bestämmelsen infördes i samband med att folk-
42Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
1214
SOU 2023:100 |
Offentlighet och sekretessfrågor |
bokföringsverksamheten gavs utökade möjligheter att göra dataanaly- ser och urval.43
I förarbetena har regeringen angett att det inom folkbokförings- verksamheten finns en presumtion för offentlighet (22 kap. 1 § OSL). Vidare har regeringen uttalat att även om de aktuella uppgifterna som behandlas inom dataanalyser och urval var för sig framstår som mindre integritetskänsliga kan de tillsammans ge myndigheten tillgång till en mer omfattande bild av den enskildes personliga eller ekonomiska förhållanden. Mot denna bakgrund har regeringen ansett att det är angeläget att uppgifterna ges ett sekretesskydd utöver det som finns i folkbokföringsverksamheten i övrigt.44
Vi anser att en sekretessbestämmelse som omfattar dataanalyser och urval inom Skatteverkets folkbokföringsverksamhet fortsatt bör finnas i 22 kap. 1 a § OSL. Den nuvarande 22 kap. 1 a § OSL inne- håller som ovan nämnts bestämmelser om sekretess i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen enligt folkbokföringsdatabaslagen. Bestämmelsen innebär att det råder abso- lut sekretess för samtliga uppgifter om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen.45 Vi föreslår dock att den nämnda lagen ska upphöra att gälla och i stället ersättas med en ny lag; folkbokföringsdatalagen. Den nya lagen föreslås inne- hålla bestämmelser om dataanalyser och urval som bl.a. innebär att Skatteverket inte längre ska föra en särskild analys- och urvalsdata- bas (se bl.a. avsnitt 14.9.2). De syften för vilka Skatteverket ska få behandla personuppgifter för att göra dataanalyser och urval kom- mer vara desamma som gäller i dag, dvs. att förebygga, förhindra och upptäcka fel i folkbokföringsverksamheten.46 Vilka uppgifter som kommer att få behandlas vid Skatteverkets dataanalyser och urval i folkbokföringsverksamheten kommer dock förändras något enligt våra förslag. I dag regleras vilka uppgifter som får behandlas i analys- och urvalsdatabasen i 2 a kap.
43Se prop. 2022/23:41, bet. 2022/23:SkU8, rskr. 2022/23:156.
44Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s.
45Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 63.
46Jfr nuvarande 1 kap. 4 a § folkbokföringsdatabaslagen. Att begreppet ”felaktiga uppgifter” byts ut mot ”fel” genom våra förslag är inte avsett att innebära någon ändring i sak.
1215
Offentlighet och sekretessfrågor |
SOU 2023:100 |
Med anledning av de ändringar som sker genom den föreslagna nya folkbokföringsdatalagen, krävs vissa ändringar av bestämmelsen i 22 kap. 1 a § OSL. Sekretessbestämmelsen bör därför ändras till att omfatta verksamhet som avser dataanalyser och urval i syfte att före- bygga, förhindra och upptäcka fel i Skatteverkets verksamhet som anges i 2 § folkbokföringsdatalagen. Bestämmelsen bör fortsatt om- fatta uppgifter om enskildas personliga eller ekonomiska förhåll- anden och vara utformad så att absolut sekretess gäller.47 Även sekre- tesstiden bör bestå oförändrad.
Eftersom Skatteverket genom våra förslag ges möjlighet att vid behov behandla vissa ytterligare uppgifter för dataanalyser och urval genom att databasregleringen tas bort samt genom den nya folkbok- föringsdatalagen med tillhörande förordning, kommer även sekre- tessbestämmelsen i 22 kap. 1 a § OSL att omfatta fler uppgifter än vad som är fallet i dag, t.ex. vad gäller känsliga personuppgifter. Det är dock svårt att närmare definiera vilka uppgifter det rör sig om eftersom det är Skatteverket som kommer att behöva göra en be- dömning av vilka uppgifter som är nödvändiga att behandla för att göra dataanalyser och urval. Det föreslås alltså inte någon mer precis uppräkning i lag eller förordning av vilka typer av uppgifter som ska få behandlas. Med anledning av att Skatteverkets uppdrag inom folk- bokföringsverksamheten är detsamma, kommer det dock enligt vår bedömning inte att röra sig om några större skillnader av vilka upp- gifter som kommer att omfattas av sekretess i förhållande till den nu- varande regleringen.48 Även de nya bestämmelserna om dataanalyser och urval ställer upp ramar för vilka uppgifter som kommer att vara tillåtna att behandla och det måste alltid finnas rättslig grund för be- handlingen. Dessa ramar kommer även att avgöra vilka uppgifter som kan komma att omfattas av sekretess enligt 22 kap. 1 a § OSL. I lik- het med vad regeringen förde fram vid införandet av 22 kap. 1 a § OSL anser vi att det är viktigt att uppgifterna ges ett sekretesskydd utöver det som finns i folkbokföringsverksamheten i övrigt. Integ- ritetsintresset är enligt vår mening sådant att det är motiverat att genomföra de ändringar i sekretessbestämmelsen som vi här föreslår.
Sammanfattningsvis föreslår vi att 22 kap. 1 a § första stycket OSL ändras så att sekretess gäller vid dataanalyser och urval i syfte att före-
47Se vidare nedan avseende sekretessens styrka.
48Se avsnitt 14.9.2 för en exemplifiering av vilka uppgifter Skatteverket kommer att få behandla vid dataanalyser och urval genom våra förslag.
1216
SOU 2023:100 |
Offentlighet och sekretessfrågor |
bygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen för uppgift om en enskilds per- sonliga eller ekonomiska förhållanden. Bestämmelsens andra stycke, som anger att för uppgift i en allmän handling gäller sekretessen i högst tjugo år, bör behållas oförändrad. Närmare överväganden av- seende sekretessens styrka finns nedan.
Tullverkets verksamhet
När det gäller Tullverket anges i 27 kap. 3 § första stycket OSL att sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Det innebär att sekretessens föremål och räckvidd är densamma som avseende Skatteverket. Sekretessens styrka är dock svagare då bestämmelsen innehåller ett omvänt skaderekvisit, dvs. det finns en presumtion för sekretess. Enligt 27 kap. 3 § andra stycket OSL gäller motsvarande sekretess som anges i första stycket, dvs. ett omvänt skaderekvisit, i en myndighets verksamhet som avser förande av eller uttag ur tulldatabasen enligt lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet49 för uppgift som har tillförts databasen. I avsnitt 15.5 föreslår vi dock att bestämmelsens lydelse ska ändras så att motsvarande sekretess gäller vid förande av eller ut- tag ur en automatiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen för uppgift som finns i den uppgiftssamlingen. Sekretessen ska dock inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Tullverket.
Vi anser att i huvudsak samma skäl som ovan anförts vad gäller skattesekretessen inom Skatteverket gör sig gällande i fråga om Tull- verket, även om den verksamhet som kommer att omfattas inte inne- håller bestämmelser med skilda skaderekvisit. Det kan också i Tull- verkets verksamhet inom ramen för den föreslagna tulldatalagen uppkomma situationer när uppgifter om enskilda behandlas för data- analyser och urval där det inte står klart att det finns tillämpliga sekre- tessbestämmelser. Det kan t.ex. vara en följd av att förfarandet inte kan anses avse bestämmande av skatt eller fastställande av underlag
49Tulldatabaslagen, förkortad TDL.
1217
Offentlighet och sekretessfrågor |
SOU 2023:100 |
för bestämmande av skatt.50 Vi anser vidare att det är lämpligt att liknande sekretessbestämmelser som vi bedömt ska finnas i Skatte- verkets beskattningsverksamhet också ska finnas i Tullverkets verk- samhet då de båda förfarandena i princip inte skiljer sig från varandra.51 Denna systematik gäller redan i offentlighets- och sekretesslagen av- seende skattesekretessen.
Sammantaget anser vi att det bör införas en särskild bestämmelse om sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden som ska gälla vid dataanalyser och urval i syfte att före- bygga, förhindra och upptäcka fel i verksamhet som avses i 2 § tull- datalagen.
Kronofogdemyndighetens verksamhet
I Kronofogdemyndighetens verksamhet gäller ett svagare sekretes- skydd för uppgifter om enskildas personliga eller ekonomiska för- hållanden än avseende skattesekretessen. Enligt 34 kap. 1 § första stycket OSL gäller sekretess hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (2014:836) om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men.52 I likhet med vad som gäller i Tull- verkets verksamhet enligt 27 kap. 3 § OSL gäller alltså här ett om- vänt skaderekvisit.
I 34 kap. 1 a § OSL finns en bestämmelse som innebär att under motsvarande förutsättningar som anges i 1 § gäller sekretess för upp- gift om enskildas personliga eller ekonomiska förhållanden i mål och ärenden om inhämtning av bankkontoinformation enligt den s.k. kvar- stadsförordningen.53
I 34 kap. 2 § första stycket OSL anges att under motsvarande för- utsättningar som i 1 § gäller sekretess i verksamhet som avser förande
5027 kap. 3 § första stycket OSL jämförd med 27 kap. 1 § första stycket OSL.
51Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 254.
52I 34 kap. 1 § OSL finns vissa undantag från sekretessen, som bl.a. enligt andra stycket inte gäller uppgift om förpliktelse som avses med den sökta verkställigheten i ett pågående mål, eller i ett avslutat mål, om verkställighet för någon annan förpliktelse söks inom två år eller om verkställighet tidigare sökts och uppgiften inte är äldre än två år.
53Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrätt- ande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskrid- ande skuldindrivning i mål och ärenden av privaträttslig natur.
1218
SOU 2023:100 |
Offentlighet och sekretessfrågor |
av eller uttag ur utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet54 för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. I likhet med motsvarande bestämmelse vid Skatteverket och Tullverket föreslår vi ändringar av denna bestämmelse. Våra förslag innebär att bestämmelsens lydelse ändras till att föreskriva att under motsvarande förutsättningar som i 1 § gäller sekretess vid förande av eller uttag ur en automatiserad upp- giftssamling som Kronofogdemyndigheten använder i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över närings- förbud som avses i 2 § kronofogdedatalagen för uppgift om en en- skilds personliga eller ekonomiska förhållanden. Sekretessen ska dock inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den före- kommer i ett ärende hos Kronofogdemyndigheten (se avsnitt 15.5).
Vidare gäller sekretess hos Kronofogdemyndigheten eller dom- stol i ärende om skuldsanering eller
I 34 kap.
Det kan konstateras att vissa delar av den sekretess som gäller i Kronofogdemyndighetens verksamhet är kopplad till enskilda ären- den. Vidare varierar sekretessens styrka beroende på i vilken verk- samhet en viss sekretessbestämmelse ska tillämpas. Även om avsikten
54Kronofogdedatabaslagen, förkortad KFMdbL.
55Ytterligare sekretessbestämmelser än de som här nämnts finns i 34 kap. OSL vilka gäller i Kronofogdemyndighetens verksamhet.
1219
Offentlighet och sekretessfrågor |
SOU 2023:100 |
har varit att en stor del av uppgifterna inom Kronofogdemyndig- hetens verksamhet ska vara offentliga till följd av det starka insyns- intresse som har bedömts finnas, anser vi att det även för denna myndighets verksamhet finns skäl att införa ett särskilt sekretesskydd för uppgifter om enskilda som behandlas vid dataanalyser och urval. Den information som kommer att behandlas för att göra dataana- lyser och urval kommer bl.a. från enskilda men även från andra myn- digheter. Vid användningen av sådana verktyg kan myndigheten få en mer omfattande bild av enskildas förhållanden på ett sätt som innebär att uppgifterna tillsammans blir mer integritetskänsliga än de skulle vara var för sig. Mot denna bakgrund anser vi att sekretessen bör stärkas i förhållande till det sekretesskydd som gäller för de flesta uppgifter i Kronofogdemyndighetens verksamhet i övrigt. Samma sekretesskydd bör även gälla för uppgifter som behandlas vid data- analyser och urval oavsett inom vilken av Kronofogdemyndighetens verksamheter det används, dvs. oavsett om verktygen t.ex. används i verksamheten med verkställighet eller i verksamheten med betalnings- föreläggande och handräckning. En annan ordning hade gjort sekretess- bestämmelsen svårtillämpad då det kanske kommer att förekomma uppgifter från olika verksamheter inom myndigheten vid ett och samma analys- och urvalsprojekt. Förutom verktygens karaktär moti- verar även tydlighetsskäl en särskild sekretessbestämmelse.
Sammanfattningsvis anser vi alltså att det bör införas en särskild sekretessbestämmelse för att skydda uppgifter om enskildas personliga eller ekonomiska förhållanden vid dataanalyser och urval i Krono- fogdemyndighetens verksamhet. Sekretessen bör omfatta både data- analyser och urval som görs i syfte att förebygga, förhindra och upp- täcka fel och motverka överskuldsättning (jfr avsnitt 14.8).
Sekretessen ska vara absolut
Offentlighetsprincipen är en av de grundläggande förvaltningsrätts- liga principerna i svensk rätt och det finns ett generellt intresse för insyn i myndigheters verksamhet. Vid avvägningen av vilken sekretess- nivå som ska gälla till skydd för enskildas personliga eller ekonomiska förhållanden bör inte mer sekretess än vad som är oundgängligen nöd- vändigt för att skydda det intresse som har föranlett bestämmelsen
1220
SOU 2023:100 |
Offentlighet och sekretessfrågor |
åstadkommas.56 Som exemplifierats ovan innehåller bestämmelser om sekretess ofta skaderekvisit som anger sekretessens styrka. Dessa kallas bl.a. raka eller omvända skaderekvisit. Om en bestämmelse har ett rakt skaderekvisit finns en presumtion för offentlighet57 medan ett omvänt skaderekvisit innebär en presumtion för sekretess.58 I vissa fall gäller absolut sekretess, vilket framgår genom sekretessbestäm- melser som saknar skaderekvisit. Sådan absolut sekretess gäller t.ex. inom Skatteverkets beskattningsverksamhet.59
Uppgifter som används vid myndigheternas dataanalyser och ur- val kommer att hämtas in från de egna verksamheterna men de kan också härröra eller inhämtas från andra myndigheter. De uppgifter som hämtas in från andra myndigheter kan antingen vara offentliga eller omfattas av olika former av sekretess. Ett system med olika styrka på sekretessen, t.ex. med överföring av sekretess från respektive utläm- nande myndighet, skulle vara svårt att hantera. Att vid myndigheters dataanalyser och urval hålla isär uppgifter med olika sekretesskydd bedöms inte vara genomförbart. Det gäller i likhet med regeringens bedömning avseende folkbokföringsverksamheten.60
Dataanalyser och urval är digitala verktyg genom vilka myndig- heterna på ett effektivt sätt kan sammanställa uppgifter om enskilda. I tryckfrihetsförordningen finns bestämmelser om när sådana sam- manställningar, dvs. potentiella handlingar, anses vara förvarade hos en myndighet vilket påverkar frågan om de är allmänna handlingar eller inte. Enligt 2 kap. 6 § första stycket TF anses en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller upp- fattas på annat sätt förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndig- heten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. Enligt andra stycket anses dock en sammanställning av uppgifter ur en upptagning för automatiserad behandling förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 7 §. Enligt 2 kap. 7 § TF anses en sammanställning enligt 6 § andra stycket inte förvarad hos myndigheten om samman-
56Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 78.
57Se t.ex. 22 kap. 1 § OSL.
58Se t.ex. 27 kap. 3 § OSL.
5927 kap. 1 § OSL.
60Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 47.
1221
Offentlighet och sekretessfrågor |
SOU 2023:100 |
ställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen till- gänglig. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person.
Kriteriet avseende rutinbetonade åtgärder i 2 kap. 6 § andra stycket TF, vilket alltså avser frågan om när avsedda s.k. potentiella hand- lingar ska anses förvarade hos en myndighet, innebär att en prövning ska göras som tar sikte på såväl nödvändiga arbetsinsatser och kost- nader för en myndighet som de komplikationer i övrigt som en viss åtgärd kan föranleda.61 HFD har i ett fall ansett att en sammanställ- ning av uppgifter ur en upptagning för automatiserad databehand- ling som kräver en arbetsinsats på
Det är svårt att på ett mer precist sätt göra uttalanden om vilka typer av sammanställningar som kan komma att anses vara förvarade vid berörda myndigheter i samband med utförandet av dataanalyser och urval. Det kan dock konstateras att den digitala teknik som finns i dag, och som kan förutses komma att utvecklas inom en snar fram- tid, med stor sannolikhet innebär att omfattande integritetskänsliga sammanställningar om enskilda kommer att kunna göras med rutin- betonade åtgärder.
Mot bakgrund av detta samt uppgifternas art anser vi att sekre- tesskyddet bör vara mycket starkt.62 Sekretessen bör därmed utfor- mas antingen med ett omvänt skaderekvisit eller med absolut sekretess. Sekretessbestämmelser som innefattar ett omvänt skaderekvisit före- kommer t.ex. inom socialtjänsten för uppgift om en enskilds person- liga förhållanden och inom Tullverket för uppgift om enskilds per- sonliga eller ekonomiska förhållanden.63 Omvända skaderekvisit ger i regel stöd för att uppgifter om t.ex. någons bostadsadress och an- ställning kan lämnas ut.64
Absolut sekretess föreskrivs i ett fåtal sekretessbestämmelser. Det förekommer t.ex. som nämnts i verksamhet som avser bestämmande av skatt m.m. för uppgifter om enskildas personliga eller ekonomiska förhållanden. Absolut sekretess finns också i sådan särskild verksam- het hos en myndighet som avser framställning av statistik för upp-
61Prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 22.
62Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s.
6326 kap. 1 § och 27 kap. 3 § OSL.
64Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 181.
1222
SOU 2023:100 |
Offentlighet och sekretessfrågor |
gifter som avser en enskilds personliga eller ekonomiska förhållan- den och som kan hänföras till den enskilde, inom kommunal famil- jerådgivning för uppgift som en enskild har lämnat i förtroende eller som har inhämtats i samband med rådgivningen, i verksamhet som avser förande av eller uttag ur belastningsregistret eller andra register angående brott, samt för uppgifter om överläggningar hos domstol och annan myndighet.65
I förarbetena till statistiksekretessen i nuvarande 24 kap. 8 § OSL anfördes att offentlighetsintresset i fråga om statistiskt primärmate- rial är förhållandevis svagt medan integritetsintresset är påtagligt. Vidare angavs att Statistiska centralbyråns (SCB) register visserligen kan innehålla uppgifter om den enskilde som var för sig är relativt harmlösa. En sammanställning av sådana uppgifter ansågs dock emel- lertid ofta vara integritetskänslig. Även praktiska skäl ansågs tala för en förhållandevis långtgående statistiksekretess då SCB samlar in upp- gifter dels direkt från enskilda, dels från myndigheter hos vilka upp- gifterna kan vara antingen offentliga eller sekretessbelagda.66
Regeringen har gjort motsvarande bedömningar som fördes fram om statistiksekretessen avseende sekretess hos Utbetalningsmyndig- heten samt i fråga om Skatteverkets folkbokföringsverksamhet vid dataanalyser och urval.67 SCB samlar dock in uppgifter från hela den statliga förvaltningen och om en stor del av landets befolkning. Det- samma kan sägas gälla för den verksamhet som Utbetalningsmyndig- heten ska bedriva. Våra förslag innebär inte att Skatteverket, Tull- verket eller Kronofogdemyndigheten kommer att samla in uppgifter på samma omfattande sätt som dessa två myndigheter. Däremot be- handlar Skatteverket redan inom ramen för sina uppdrag, genom in- hämtning av uppgifter från enskilda och andra myndigheter, uppgifter om i princip hela Sveriges befolkning. Så är fallet både inom beskatt- ningsverksamheten och folkbokföringsverksamheten. Skatteverket kommer genom våra förslag att kunna använda dessa uppgifter vid dataanalyser och urval, så länge de är nödvändiga för det specifika ändamålet i det enskilda fallet. Vi anser därför att motsvarande argu- ment som fördes fram om statistiksekretessen även gör sig gällande avseende Skatteverkets dataanalyser och urval.
6527 kap. 1 §, 27 kap. 2 § första stycket, 24 kap. 8 § första och andra styckena, 26 kap. 3 §,
35kap. 3 och 4 §§ och 43 kap. 6 och 7 §§ OSL.
66Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s.
67Se prop. 2022/23:34, Utbetalningsmyndigheten, s. 74 och prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 47.
1223
Offentlighet och sekretessfrågor |
SOU 2023:100 |
Tullverket och Kronofogdemyndigheten behandlar inte uppgif- ter om en så stor del av befolkningen på det sätt som Skatteverket gör. Den personuppgiftsbehandling som kommer att ske vid data- analyser och urval vid dessa myndigheter kan därför inte på samma sätt jämföras med den uppgiftsbehandling som sker hos SCB eller Skatteverket, eller som kommer att ske vid Utbetalningsmyndig- heten. De föreslagna förbättrade möjligheterna att göra dataanalyser och urval innebär dock som ovan konstaterats att myndigheterna sannolikt kan göra mer omfattande sammanställningar av uppgifter med rutinbetonade åtgärder och att fler uppgifter om enskilda be- handlas i ett sammanhang i stället för i enskilda ärenden. Även Tull- verket och Kronofogdemyndigheten ges därför utökade möjligheter att skapa en mer omfattande bild av enskildas personliga eller eko- nomiska förhållanden. Mot denna bakgrund finns det enligt vår mening skäl att införa starka sekretessbestämmelser även för uppgifter i Tull- verkets och Kronofogdemyndighetens verksamheter med dataanalyser och urval.
Vidare är insynsintresset avseende uppgifter om enskildas per- sonliga eller ekonomiska förhållanden som behandlas vid myndig- heterna inte lika stort som i förhållande till myndigheternas verk- samhet68 eller uppgifter i myndigheternas beslut.69 Dataanalyser och urval innebär inte heller i sig myndighetsutövning. Vid dataanalyser och urval kan vidare som nämnts en mängd uppgifter samköras, och stora sammanställningar kan göras med rutinbetonade åtgärder.70 Om sådana sammanställningar, t.ex. en lista med urvalsträffar eller en lista över de uppgifter om enskilda som har behandlats vid en viss dataanalys, kan bli offentliga uppkommer stora risker för enskildas personliga integritet. Det kan antas att det av en stor del av befolk- ningen skulle upplevas som integritetskränkande att aktuella uppgifter skulle bli offentliga.71 Även om vissa enskilda uppgifter till sin art är harmlösa kan sambearbetningen av uppgifter ge myndigheterna till- gång till en mer omfattande bild av enskildas personliga eller ekono- miska förhållanden.72 Dataanalyserna och urvalen görs även främst för att förebygga, förhindra och upptäcka felaktigheter i myndigheternas
68Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 47.
69Jfr Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 181.
70Jfr 2 kap. 6 § andra stycket TF.
71Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 256.
72Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 48.
1224
SOU 2023:100 |
Offentlighet och sekretessfrågor |
respektive verksamhet. Integritetsintresset är alltså påtagligt i detta sammanhang och bedöms väga tyngre än behovet av den insyn som ett lägre sekretesskydd skulle ge.
Efter en sammantagen bedömning föreslår vi att absolut sekretess till skydd för enskildas personliga eller ekonomiska förhållanden bör gälla vid berörda myndigheters dataanalyser och urval, även om det finns ett visst insynsintresse. Myndigheter kan trots att absolut sekre- tess råder i allmänhet lämna ut s.k. avidentifierade uppgifter utan att risk för skada eller men uppkommer, även om det i vissa fall inte är tillräckligt för att hindra att sambandet mellan individen och uppgif- ten spåras.73 Vidare tillgodoses insynsintresset genom att sekretess generellt sett inte gäller för beslut som fattats av myndigheterna.74 Det uppstår inte heller några direkta konsekvenser för enskilda, som vid t.ex. betungande myndighetsbeslut, när myndigheterna utför data- analyser och urval förrän ytterligare kontrollåtgärder eventuellt vidas i ett enskilt ärende. Dessutom gäller sekretessen inte heller i förhåll- ande till den enskilde själv.75
Vårt förslag innebär att sekretesskyddet för enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval blir mer långtgående än vad som gäller i övrigt i Tullverkets och Kronofogde- myndighetens verksamheter. Detsamma gäller för de ovan nämnda verksamheterna vid Skatteverket i vilka absolut sekretess inte gäller, exempelvis i verksamhet enligt lagen om stöd vid korttidsarbete. Så blir också fallet avseende vissa uppgifter inom folkbokföringsverk- samheten. Av de skäl som anförts anser vi trots detta att det är be- fogat att införa absolut sekretess för aktuella uppgifter i samtliga dessa verksamheter. För Skatteverkets beskattningsverksamhet gäller dess- utom redan absolut sekretess i vissa delar och detsamma gäller mot- svarande verksamhet i den nuvarande analys- och urvalsdatabasen vid Skatteverkets folkbokföringsverksamhet.
73Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84.
74Se t.ex. 27 kap. 2 § tredje stycket, 27 kap. 6 §, 34 kap. 1 § femte stycket och 34 kap. 6 § andra stycket OSL.
75Jfr 12 kap. 1 § OSL.
1225
Offentlighet och sekretessfrågor |
SOU 2023:100 |
Närmare om den föreslagna sekretessens räckvidd och förhållande till befintlig sekretessreglering
Skatteverket, Tullverket och Kronofogdemyndigheten ska enligt våra förslag i kapitel 14 ges möjlighet att i högre grad behandla uppgifter för dataanalyser och urval. Vid dataanalyser och urval som görs i syfte att förebygga, förhindra och upptäcka fel kommer enligt våra förslag till nya bestämmelser sekretess att gälla för uppgifter som då behand- las och som avser enskildas personliga eller ekonomiska förhållanden. Detsamma kommer att gälla för dataanalyser och urval som Krono- fogdemyndigheten utför i syfte att motverka överskuldsättning.
Med dataanalyser och urval menas enligt vår uppfattning inte några nya, självständiga, verksamhetsgrenar eller verksamheter inom Skatte- verket, Tullverket eller Kronofogdemyndigheten. Det utgör verktyg som används i andra verksamheter och som också får användas redan i dag. Formuleringen är avsedd att avgränsa sekretessen så att den gäller när myndigheterna arbetar med dataanalyser och urval för de syften som föreslås anges i beskattningsdatalagen, folkbokförings- datalagen, tulldatalagen och kronofogdedatalagen. I detta innefattas all den behandling som krävs för att utföra sådana dataanalyser och urval, såsom insamling, organisering, strukturering, lagring, bearbet- ning, framtagning, läsning, användning eller annan hantering av upp- gifterna.
Våra förslag i avsnitt 14.8 innebär vidare att dataanalyser och urval ska kunna utföras i Skatteverkets beskattningsverksamhet, Skatte- verkets folkbokföringsverksamhet, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet som faller under tillämpnings- områdena för de föreslagna nya lagarna på dessa områden.76 Det är enligt vår bedömning mest ändamålsenligt att begränsa de föreslagna sekretessbestämmelsernas räckvidd till de aktuella materiella verk- samheterna inom respektive myndighet på det sätt som vi nu före- slår. Det ska alltså föreskrivas att sekretessen gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, samt mot- verka överskuldsättning för Kronofogdemyndigheten, i respektive verksamhet som pekas ut i beskattningsdatalagen, folkbokförings- datalagen, tulldatalagen och kronofogdedatalagen. Sekretessbestäm- melserna ska därför hänvisa till respektive nu nämnda lagars 2 § i vilka lagarnas materiella tillämpningsområden regleras. På detta sätt
76 Se förslagen till beskattningsdatalag, folkbokföringsdatalag, tulldatalag och kronofogdedatalag.
1226
SOU 2023:100 |
Offentlighet och sekretessfrågor |
tydliggörs inom vilka verksamheter sekretessbestämmelserna kom- mer att vara tillämpliga. Ordalydelsen innebär även att det är data- analyser och urval i syfte att förebygga, förhindra och upptäcka fel respektive motverka överskuldsättning som avses, vilket vi även före- slår ska anges i de föreslagna särskilda bestämmelserna om data- analyser och urval (se avsnitt 14.8).
Hänvisningarna är endast avsedda att vara ett utpekande av just de verksamheter som anges i 2 § i lagarna. De behövs för att avgränsa sekretessbestämmelsernas räckvidd, men även för att t.ex. avseende Skatteverket och Tullverket tydliggöra att de inte omfattar dessa myndigheters brottsbekämpande verksamheter. Hänvisningarna ska enligt vår uppfattning inte tolkas så att andra bestämmelser som före- slås i de nya lagarna ska tillämpas eller att de påverkar omfattningen av sekretessbestämmelsernas räckvidd. I beskattningsdatalagen, tull- datalagen och kronofogdemyndighetsdatalagen föreslås exempelvis införas en bestämmelse som innebär att regleringen i dessa lagar inte ska gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Dessa bestämmelser kommer dock sakna betydelse för sekretessbestämmelsernas räckvidd.
Vi har övervägt att i sekretessbestämmelserna i stället skriva ut vilka verksamheter som omfattas. Detta hade gjort det möjligt att direkt genom sekretessbestämmelserna kunna utläsa inom vilka verk- samheter sekretessen gäller. För särskilt Skatteverkets beskattnings- verksamhet hade dock bestämmelsen blivit omfattande och relativt svårläst med en sådan ordalydelse till följd av de verksamheter som omfattas av den nya beskattningsdatalagens tillämpningsområde. Eftersom sekretessen är avsedd att gälla i just de verksamheter som anges i 2 § beskattningsdatalagen, 2 § folkbokföringsdatalagen, 2 § tulldatalagen och 2 § kronofogdedatalagen anser vi bl.a. mot denna bakgrund att det är motiverat och mest tydligt att göra dessa hänvis- ningar i respektive sekretessbestämmelse. För att åstadkomma enhet- lighet bör det göras avseende samtliga berörda myndigheter.
När myndigheterna arbetar med dataanalyser och urval kan samma uppgifter förekomma såväl i den verksamheten, som i enskilda ären- den. Vi har i avsnitt 14.9.2 bedömt att de uppgifter som behandlas vid dataanalyser och urval inte ska regleras genom en särskild data- basreglering på det sätt som i dag gäller i t.ex. Skatteverkets folkbok- föringsverksamhet.77 Att den juridiska konstruktionen databas inte
77Se 2 a kap. FdbL.
1227
Offentlighet och sekretessfrågor |
SOU 2023:100 |
längre kommer att användas för att reglera en viss samling uppgifter som används gemensamt i en verksamhet kan tyckas försvåra av- gränsningen av de uppgifter som får behandlas i sådan verksamhet, och som därmed också kommer att omfattas av de föreslagna sekre- tessreglernas räckvidd. Med dataanalyser och urval avses dock här en särskild typ av behandling av personuppgifter som ofta sker av- gränsat från övrig verksamhet, och som ofta utförs eller övervakas av en enskild medarbetare eller en begränsad grupp av medarbetare vid myndigheterna. Denna typ av behandling ska även ske utan möj- lighet till åtkomst för andra medarbetare som inte arbetar med sådana analyser och urval. Vidare har vi i avsnitt 14.3.1 närmare beskrivit vad som avses med dataanalyser och urval. Dessa beskrivningar kom- mer även att gälla för att avgöra de föreslagna sekretessbestämmel- sernas räckvidd. Med dataanalyser avses användning av digitala verk- tyg och tekniker för att analysera stora mängder data, bl.a. för att upptäcka avvikelser, mönster, samband och andra riskindikatorer. Urval avser processen genom vilken urvalsträffar tas fram. För att få fram en urvalsträff används urvalsmodeller som har utformats utifrån det som har identifierats med hjälp av dataanalyser och urval. Urvals- träffar kan beskrivas som uppgifter som myndigheterna upptäckt och som innebär att det kan finnas anledning att anta är felaktiga.
De här föreslagna sekretessbestämmelserna är alltså avsedda att gälla i sådan mer begränsad verksamhet, dvs. inte när en enskild med- arbetare handlägger ett enskilt ärende som ska avgöras genom någon form av beslut. Att handläggaren genom utförda dataanalyser och urval kan ha fått en indikation på att ett visst ärende behöver kon- trolleras närmare förändrar inte detta förhållande. När det gäller andra processer som inom myndigheterna kan beskrivas genom att använda ord som analyser eller urval kommer inte heller dessa att omfattas av sekretessreglerna. Det gäller t.ex. när en enskild med- arbetare inom Tullverket gör en bedömning vid tullfiltret (passagerar- flödet) på en flygplats eller i en hamn som innebär att urval görs för att välja ut vissa uttag för kontroll.
Att den form av lagstiftning vi har valt för att reglera den behand- ling av personuppgifter som sker vid dataanalyser och urval inte heller för tankarna till en viss teknisk avgränsning för uppgiftshanter- ingen genom t.ex. en utpekad databas eller en uppgiftssamling är enligt vår mening inte heller avgörande för att de föreslagna sekretess- bestämmelserna ska anses ha en tillräckligt tydlig räckvidd. Det av-
1228
SOU 2023:100 |
Offentlighet och sekretessfrågor |
görande för om sekretessen i 22 kap. 1 a, 27 kap. 2 a och 3 a samt 34 kap. 10 b §§ OSL är tillämplig är i vilket sammanhang uppgifterna finns. Om en begäran om att få ut allmänna handlingar t.ex. avser handlingar i ett visst enskilt ärende blir de föreslagna sekretessbestäm- melserna inte aktuella att tillämpa på uppgifter i handlingarna, efter- som uppgifterna då inte finns vid dataanalyser och urval för de an- givna syftena. Begärs det däremot ut handlingar eller uppgifter om enskildas personliga eller ekonomiska förhållanden som har legat till grund för att vissa enskilda ärenden har valts ut för ytterligare kon- troller, och urvalet har skett med hjälp av dataanalyser och urval, blir de föreslagna sekretessreglerna tillämpliga.
Det kan i sammanhanget nämnas att samma uppgifter kan finnas tillgängliga i flera olika delar av en myndighets verksamhet. Exem- pelvis innebär den nya regleringen om dataanalyser och urval i folk- bokföringsdatabaslagen att uppgifter från folkbokföringsdatabasen ska få finnas i analys- och urvalsdatabasen och därmed även få be- handlas i folkbokföringsverksamheten för att tillhandahålla infor- mation som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter.78 I offentlighets- och sekre- tesslagen finns olika sekretessbestämmelser beroende på om uppgif- ten bl.a. förekommer i verksamhet som avser folkbokföringen, eller om uppgiften förekommer i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen enligt folkbokföringsdatabas- lagen.79
På motsvarande sätt kommer enligt vår uppfattning de föreslagna sekretessbestämmelserna att i vissa sammanhang bli tillämpliga på uppgifter om enskildas personliga eller ekonomiska förhållanden som förekommer vid arbetet med dataanalyser och urval, samtidigt som samma uppgift kan förekomma någon annanstans i berörda myndig- heters verksamhet, t.ex. i ett ärende om revision eller skuldsanering, varvid andra sekretessbestämmelser blir tillämpliga. En viss uppgift om en enskilds adress som är offentlig när den t.ex. förekommer i ett folkbokföringsärende vid Skatteverket80 kommer alltså att om- fattas av sekretess om den förekommer i samband med Skatteverkets dataanalyser och urval.
781 kap. 4 a § och 2 a kap. 3 § första stycket FdbL.
7922 kap. 1 § första stycket 1 och 22 kap. 1 a § OSL.
80Jfr 22 kap. 1 § OSL.
1229
Offentlighet och sekretessfrågor |
SOU 2023:100 |
I sammanhanget kan även frågor kring konkurrens mellan sekre- tessbestämmelser uppkomma. I 7 kap. 3 § OSL finns en bestämmelse som reglerar detta. Där anges att om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i denna lag.
Våra förslag är utformade så att bestämmelserna om sekretess vid dataanalyser och urval inte bör anses vara tillämpliga vid handlägg- ning av ett ärende eftersom en enskild medarbetare vid någon av myndigheterna inte använder sådana verktyg i det sammanhanget. Skulle det trots allt uppkomma en situation då de berörda myndig- heterna behöver beakta fler än en sekretessregel, avgör enligt vår upp- fattning 7 kap. 3 § OSL vilken av sekretessreglerna som ska tillämpas på en viss uppgift.
Det kan här nämnas att de undantag från sekretess som finns i
22 kap., 27 kap. och 34 kap. OSL, t.ex. avseende beslut i vissa angivna ärenden81, inte bedöms påverkas av våra förslag till sekretessbestäm- melser i verksamhet med dataanalyser och urval. Om sådana beslut däremot förekommer vid dataanalyser och urval, kan dessa komma att omfattas av sekretess i det sammanhanget.
Den absoluta sekretess vi föreslår ska gälla för uppgifter om en- skildas personliga eller ekonomiska förhållanden vid myndigheter- nas dataanalyser och urval kommer också att gälla i förhållande till enskilda och andra myndigheter samt mellan olika självständiga verk- samhetsgrenar inom myndigheterna när sådana finns.82 Ibland måste dock myndigheter lämna ut uppgifter till andra. Det finns därför sär- skilda sekretessbrytande bestämmelser i lag eller förordning. I 10 kap. OSL finns allmänna bestämmelser som bryter sekretess. Enligt 10 kap. 2 § OSL hindrar inte sekretess att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den ut- lämnande myndigheten ska kunna fullgöra sin verksamhet. I 10 kap. 27 § första stycket OSL regleras vidare den s.k. generalklausulen som anger att utöver vad som följer av vissa angivna bestämmelser i 10 kap. får en sekretessbelagd uppgift lämnas till en myndighet, om
81Se bl.a. 22 kap. 4 a § andra stycket, 27 kap. 2 § tredje stycket, 27 kap. 6 §, och 34 kap. 1 § femte stycket OSL.
828 kap. 1 och 2 §§ OSL.
1230
SOU 2023:100 |
Offentlighet och sekretessfrågor |
det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.83 Utöver detta framgår av 10 kap. 28 § första stycket OSL att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldig- het följer av lag eller förordning. Vidare finns i 12 kap. bestämmelser om sekretess i förhållande till den enskilde, där huvudregeln är att sekretess till skydd för en enskild inte gäller i förhållande till den en- skilda själv.84 Därutöver finns vissa bestämmelser som bryter sekretes- sen enligt vissa angivna bestämmelser i 22 kap., 27 kap. och 34 kap. OSL.85
Trots att de föreslagna sekretessbestämmelserna föreskriver abso- lut sekretess kommer det alltså finnas vissa möjligheter för Skatte- verket, Tullverket och Kronofogdemyndigheten att lämna ut sådana uppgifter till andra myndigheter samt enskilda. Några behov av att föreslå ytterligare sekretessbrytande bestämmelser för uppgifter som berörs av de föreslagna sekretessbestämmelserna har inte identifie- rats. Om möjligheten till sådana utlämnanden behövs i större ut- sträckning än vad som är tillåtet i dag, får sådana behov tillgodoses i ett annat sammanhang än inom ramen för denna utredning.
Ändringar i offentlighets- och sekretesslagen
Vi föreslår alltså att det ska införas nya sekretessbestämmelser som innebär att absolut sekretess ska gälla för uppgift om en enskilds per- sonliga eller ekonomiska förhållanden vid dataanalyser och urval som görs i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattningsverksamhet samt i Tullverkets och Kronofogdemyndig- hetens verksamheter. Hos Kronofogdemyndigheten ska sekretessen även omfatta dataanalyser och urval som görs i syfte att motverka överskuldsättning. Bestämmelserna bör omfatta dataanalyser och ur- val som utförs inom ramen för samma verksamheter som omfattas av de av oss föreslagna nya lagarnas tillämpningsområden. De ska där- för innehålla en hänvisning till 2 § beskattningsdatalagen, 2 § folk- bokföringsdatalagen, 2 § tulldatalagen och 2 § kronofogdedatalagen. De nya bestämmelserna om sekretess föreslås föras in i anslutning till de redan befintliga bestämmelserna om sekretess till skydd för
83Vissa undantag finns i 10 kap. 27 § andra och tredje styckena.
8412 kap. 1 § OSL.
85Se t.ex. 22 kap. 3 a §, 27 kap.
1231
Offentlighet och sekretessfrågor |
SOU 2023:100 |
enskild vid respektive berörd verksamhet vid myndigheterna. Be- stämmelserna bör därför föras in som nya 27 kap. 2 a och 3 a §§ samt 34 kap. 10 b § OSL. Närmast före 34 kap. 10 b § OSL bör även en ny rubrik införas.
När det gäller Skatteverkets folkbokföringsverksamhet bör den befintliga bestämmelsen om sekretess i verksamhet som avser för- ande av och uttag ur analys- och urvalsdatabasen i 22 kap. 1 a § OSL behållas men ändras i enlighet med vad som anförts ovan.
15.3.2Sekretessen ska gälla i högst 20 eller 50 år
Vårt förslag: För uppgift om enskildas personliga eller ekono- miska förhållanden i en allmän handling ska sekretessen hos Skatte- verket och Tullverket gälla i högst tjugo år.
För uppgift om enskildas ekonomiska förhållanden i en allmän handling ska sekretessen hos Kronofogdemyndigheten gälla i högst tjugo år. Om uppgiften avser den enskildes personliga förhållan- den ska dock sekretessen gälla i högst femtio år.
Skälen för vårt förslag
Skatteverket, Tullverket och Kronofogdemyndigheten kommer att behandla en stor mängd uppgifter om enskilda vid dataanalyser och urval som vi föreslår ska omfattas av absolut sekretess. Uppgifter om enskildas ekonomiska förhållanden hålls i allmänhet hemliga i maxi- malt 20 år.86 När det gäller uppgifter om enskildas personliga för- hållanden förekommer sekretessperioder upp till 70 år.87
För uppgift om enskildas personliga eller ekonomiska förhållan- den gäller sekretessen i Skatteverkets beskattningsverksamhet och hos Tullverket i högst 20 år.88 För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock skattesekretessen i högst 70 år.89 Hos Kronofogdemyndigheten förekommer sekretess som gäller i högst 20 år för enskildas ekonomiska förhållanden, och 50 år
86Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 87. Se även prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 48 och Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 182.
87Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 182.
8827 kap. 1 § femte stycket och 27 kap. 3 § fjärde stycket OSL.
8927 kap. 1 § femte stycket OSL.
1232
SOU 2023:100 |
Offentlighet och sekretessfrågor |
för enskildas personliga förhållanden beroende på i vilken verksam- het uppgifterna förekommer.90 Sekretessen till skydd för enskilds personliga förhållanden vid folkbokföring m.m. gäller i högst 70 år.91 För uppgift om enskilds personliga eller ekonomiska förhållanden som har tillförts analys- och urvalsdatabasen i Skatteverkets folk- bokföringsverksamhet gäller dock sekretessen i högst 20 år.92
Som jämförelse gäller sekretessen för uppgift om enskildas per- sonliga förhållanden hos Försäkringskassan och Pensionsmyndig- heten i högst 70 år.93 Försäkringskassan och Pensionsmyndigheten behandlar dock en stor mängd känsliga personuppgifter som rör en- skilds personliga förhållanden, t.ex. uppgifter om sjukdomstillstånd.94 Det kommer inte bli fråga för Skatteverket, Tullverket och Krono- fogdemyndigheten att behandla sådana mängder känsliga person- uppgifter vid dataanalyser och urval. En stor del av de uppgifter om enskilda som behandlas hos berörda myndigheter gäller enskildas eko- nomiska förhållanden, med undantag för vissa uppgifter om t.ex. hälsotillstånd, tidigare brottslighet eller religiösa övertygelse. Fler- talet av de uppgifter som kommer att behandlas vid dataanalyser och urval härrör vidare från myndigheternas egna verksamheter och de uppgifter som hämtas in måste vara nödvändiga för dessa. Uppgifterna kommer endast att få behandlas i verksamheten så länge de behövs för ändamålet med behandlingen (se avsnitt 14.11.4).95
Vid en sammantagen bedömning anser vi att den grundprincip som gäller för sekretesstidens längd vad gäller enskildas ekonomiska förhållanden bör gälla för sådana uppgifter även här. I fråga om upp- gifter om enskildas personliga förhållanden bör sekretesstidens längd huvudsakligen följa vad som annars generellt sett gäller i myndighet- ernas verksamheter, då en stor del av uppgifterna kommer hämtas därifrån. För folkbokföringsverksamheten bör dock samma sekre- tesstid gälla för enskildas personliga eller ekonomiska förhållanden som nyligen införts avseende den nuvarande analys- och urvalsdata- basen, dvs. högst 20 år.
90Se bl.a. 34 kap. 1 och 6 §§ OSL.
9122 kap. 1 § OSL.
9222 kap. 1 a § OSL.
9328 kap. 1 § OSL.
94Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 48.
95Personuppgifter får dock behandlas under längre tid för arkivändamål av allmänt intresse, se bl.a. artikel 5.1 e i dataskyddsförordningen.
1233
Offentlighet och sekretessfrågor |
SOU 2023:100 |
Vi föreslår därför att för uppgift om enskildas personliga eller ekonomiska förhållanden i en allmän handling ska sekretessen hos Skatteverket och Tullverket gälla i högst 20 år. Att sekretess för upp- gift om avgift enligt lagen om avgift till registrerat trossamfund gäll- er i 70 år enligt 27 kap. 1 § femte stycket OSL föranleder inte någon annan bedömning då det inte bör komma i fråga att behandla upp- gifter vid aktuella dataanalyser och urval under så lång tid. Samma sekretesstid föreslås gälla hos Kronofogdemyndigheten för uppgift om enskildas ekonomiska förhållanden i en allmän handling. Om upp- giften avser den enskildes personliga förhållanden ska dock sekre- tessen hos Kronofogdemyndigheten gälla i högst 50 år.
15.3.3Tystnadsplikten ska ha företräde framför meddelarfriheten
Vårt förslag: Tystnadsplikten som följer av de nya och ändrade sekretessbestämmelserna avseende uppgifter om enskildas person- liga eller ekonomiska förhållanden ska ha företräde framför med- delarfriheten.
Skälen för vårt förslag
Som nämns i avsnitt 15.2.3 ovan regleras meddelarfriheten i tryck- frihetsförordningen och yttrandefrihetsgrundlagen. Rätten att med- dela uppgifter till grundlagsskyddade medier för offentliggörande och publicering går i regel före den tystnadsplikt som sekretess inne- bär.96 Bestämmelser om tystnadsplikt kan dock genom föreskrifter i offentlighets- och sekretesslagen ges företräde framför meddelarfri- heten.97
Skatteverket, Tullverket och Kronofogdemyndigheten hanterar uppgifter om enskildas personliga och ekonomiska förhållanden som inhämtas från de egna verksamheterna samt från andra myndigheter. I vissa fall omfattas uppgifterna av tystnadsplikt hos myndigheterna. För Skatteverkets beskattningsverksamhet och Tullverket råder t.ex. i stor utsträckning en inskränkt meddelarfrihet98, medan det i Krono-
961 kap. 7 § TF och 1 kap. 10 § YGL.
977 kap. 22 § första stycket 3 TF och 5 kap. 4 § första stycket 3 YGL.
9827 kap. 10 § OSL.
1234
SOU 2023:100 |
Offentlighet och sekretessfrågor |
fogdemyndighetens verksamhet, med vissa undantag, ofta råder med- delarfrihet.99
Vidare framgår av avsnitt 15.2.3 att det i fråga om sekretessregler utan skaderekvisit kan finnas större anledning att överväga undantag från meddelarfriheten än i andra fall. Det bör också beaktas om en uppgift har lämnats av en enskild i en förtroendesituation eller om uppgiften hänför sig till ett ärende om myndighetsutövning. I det förra fallet bör meddelarfrihet normalt vara utesluten. När det gäller uppgifter av det senare slaget bör däremot meddelarfrihet oftast före- ligga.100
Vi föreslår ovan att absolut sekretess ska gälla för uppgifter om enskildas personliga eller ekonomiska förhållanden i myndigheter- nas verksamheter som avser dataanalyser och urval. Intresset av att offentliggöra uppgifter motiveras främst av behovet av insyn i och granskning av myndigheternas verksamhet. Uppgifterna hänför sig dock inte till ett ärende som innefattar myndighetsutövning. Vidare kommer tjänstemän vid myndigheterna inte att vara förhindrade att informera om missförhållanden vid dataanalyser och urval, t.ex. miss- tankar om att urval görs på grundval av etnicitet på ett sätt som inte är tillåtet.101 Det förhållandet att tystnadsplikten ges företräde fram- för meddelarfriheten hindrar endast myndighetens anställda från att lämna uppgifter om enskilda. Det innebär att en anställd inte skulle få lämna uppgifter om vilka enskilda som omfattas av en urvalsträff eller liknande.102
Vi bedömer mot denna bakgrund att den tystnadsplikt som följer av de föreslagna sekretessbestämmelserna ska ha företräde framför meddelarfriheten.
9934 kap. 11 § OSL.
100Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s.
101Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 77 och SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från väl- färdssystemen, s. 401.
102Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 77.
1235
Offentlighet och sekretessfrågor |
SOU 2023:100 |
15.3.4Ändringar av vissa ytterligare bestämmelser
i offentlighets- och sekretesslagen med anledning av våra förslag
Vårt förslag: Sekretessbestämmelserna till skydd för enskildas intressen vid dataanalyser och urval i Skatteverkets beskattnings- verksamhet och Tullverkets verksamhet ska inte omfattas av bestämmelsen i offentlighets- och sekretesslagen som reglerar vad som gäller för uppgift i mål hos domstol.
Sekretessbestämmelserna till skydd för enskildas intressen vid dataanalyser och urval i Skatteverkets beskattningsverksamhet, Tullverkets verksamhet och Kronofogdemyndighetens verksam- het ska gälla avseende internationella avtal under de förutsätt- ningar som anges om detta i offentlighets- och sekretesslagen.
Vidare ska de sekretessbrytande bestämmelserna i offentlig- hets- och sekretesslagen gentemot förvaltare i en enskilds kon- kurs som gäller i Skatteverkets beskattningsverksamhet samt hos Tullverket och Kronofogdemyndigheten inte omfatta de nya sekre- tessbestämmelserna till skydd för enskildas intressen vid dataana- lyser och urval.
Skälen för vårt förslag
Vissa bestämmelser i 27 och 34 kap. OSL påverkas av våra förslag
Genom att de nya sekretessbestämmelserna till skydd för enskildas intressen vid dataanalyser och urval i Skatteverkets beskattnings- verksamhet samt i Tullverkets verksamhet föreslås placeras i 27 kap. 2 a och 3 a §§ OSL kommer vissa andra sekretessregler i samma kapitel att påverkas. Bestämmelserna i 27 kap. 4, 5 och 8 §§ innehål- ler nämligen hänvisningar till andra paragrafer i samma kapitel som får till följd att de föreslagna 27 kap. 2 a och 3 a §§ omfattas av dessa bestämmelser i enlighet med nuvarande lydelser. Detta får betydelse för bl.a. Skatteverkets och Tullverkets tillämpning av sekretess- bestämmelserna i det aktuella kapitlet. Nedan görs bedömningar av om våra förslag kräver ändringar av 27 kap. 4, 5 eller 8 §§ OSL.
På motsvarande sätt innebär den föreslagna sekretessbestämmel- sen i 34 kap. 10 b § OSL avseende Kronofogdemyndighetens data- analyser och urval att vissa andra bestämmelser i 34 kap. OSL bör ses
1236
SOU 2023:100 |
Offentlighet och sekretessfrågor |
över. Nedan görs även en bedömning av om några ändringar behöver genomföras även avseende sekretessregler i detta kapitel.
Det ska göras ändringar av hänvisningar i 27 kap. 4 § OSL som avser mål hos domstol
I 27 kap. 4 § OSL anges att sekretessen enligt
Den aktuella paragrafen är tillämplig i skatteprocessen för dom- stolarnas del och innebär att ett rakt skaderekvisit då gäller. Det raka skaderekvisitet för uppgift i mål ska tillämpas på alla uppgifter som är av betydelse i målet. För att vara av betydelse i målet ska en uppgift hänföra sig till en fråga som är föremål för domstolens prövning. Att en inkomstbeskattning överklagas på någon punkt, t.ex. därför att ett yrkande i en inkomstdeklaration om avdrag inte har följts, med- för alltså inte att alla uppgifter i deklarationen omfattas av den offent- lighet som råder i skatteprocessen i domstol. Uppgifter, som inte på detta sätt har betydelse i målet och som har erhållits från en annan myndighet, där de är sekretessbelagda, behåller den sekretess som de har hos den andra myndigheten.103
Vi bedömer att det saknas anledning att låta 27 kap. 4 § OSL om- fatta de föreslagna bestämmelserna i 27 kap. 2 a och 3 a §§ OSL. Med stor sannolikhet kommer de uppgifter som behandlas vid myndig- heternas dataanalyser och urval och som omfattas av sekretess enligt de föreslagna bestämmelserna inte att finnas i ett ärende vid myn- digheterna, annat än t.ex. urvalsträffen som kan ha initierat ärendet. Om uppgifter som härrör från Skatteverkets eller Tullverkets data- analyser och urval ändå tas in i ett ärende, kommer uppgifterna att omfattas av den sekretess som gäller för ärendet, dvs. exempelvis skatte- sekretessen i 27 kap. 1 § första stycket OSL eller sekretessen vid Tull-
103Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s.
1237
Offentlighet och sekretessfrågor |
SOU 2023:100 |
verket enligt 27 kap. 3 § första stycket OSL. Om ärendet sedan över- lämnas till domstol efter överklagande kommer uppgifterna redan att omfattas av sekretessregeln i 27 kap. 4 § OSL till följd av att upp- giften i ett sådant fall omfattas av den sekretess som gäller i ärendet vid Skatteverket eller Tullverket. Om uppgifterna har betydelse i målet hos domstolen, kommer därmed ett rakt skaderekvisit att gälla vid domstolen – på samma sätt som för alla andra uppgifter som om- fattas av sekretess enligt 27 kap.
Mot denna bakgrund anser vi att bestämmelsen i 27 kap. 4 § OSL ska ändras så att det i stället anges att sekretessen enligt 1, 2 och 3 §§ gäller för de aktuella uppgifterna. På detta sätt kommer inte de nya föreslagna bestämmelserna i 27 kap. 2 a och 3 a §§ OSL att omfattas av ordalydelsen.
Någon ändring av hänvisningar i 27 kap. 5 § OSL som avser internationella avtal ska inte göras
I 27 kap. 5 § första stycket anges att sekretessen enligt
Paragrafen reglerar när skattesekretess gäller i ärenden om hand- räckning eller bistånd där Sverige biträder en annan stat eller mellan- folklig organisation till följd av ett internationellt avtal, samt tar sikte på sekretessbelagda uppgifter som en myndighet förfogar över på
1238
SOU 2023:100 |
Offentlighet och sekretessfrågor |
grund av ett internationellt avtal. Sekretessen enligt första stycket infördes genom 1980 års sekretesslag104 och grundade sig i att Sverige hade ingått avtal med de nordiska länderna och vissa andra stater, som innebar att Sverige hade åtagit sig att bl.a. driva in skatt åt de avtalsslutande staterna. Enligt dessa avtal skulle svenska sekretess- bestämmelser tillämpas på uppgifter som enligt ett avtal lämnas till Sverige.105 I dag förutsätter bestämmelsen att det finns ett avtal som godkänts av riksdagen. Ett exempel på en överenskommelse där Sverige biträder en annan stat är Europaråds- och
De uppgifter som behandlas vid Skatteverkets och Tullverkets dataanalyser och urval kommer i princip inte att avse uppgifter som Sverige fått för att hjälpa andra stater, eller som Sverige förfogar över på grund av ett sådant internationellt avtal som avses i 27 kap. 5 § OSL. Det kan dock tänkas att Skatteverket eller Tullverket kommer att använda uppgifter vid dataanalyser och urval som myndigheterna förfogar över till följd av internationella avtal, vilket även innefattar olika
För att det inte ska råda några oklarheter kring vilka sekretess- bestämmelser som gäller om uppgifter som används vid dataanalyser och urval bl.a. är sådana som myndigheterna förfogar över till följd av ett internationellt avtal, anser vi att bestämmelsen i 27 kap. 5 § OSL bör kvarstå oförändrad. Det kommer då inte heller att finnas några situationer där absolut sekretess inte råder. Det innebär följ-
104Sekretesslag (1980:100).
105Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 262.
106Se lag (1990:313) om Europaråds- och
107Prop. 1987/88:41, om sekretesskyddet för vissa myndighetsregister m.m., s. 15.
1239
Offentlighet och sekretessfrågor |
SOU 2023:100 |
aktligen att de föreslagna sekretessreglerna i 27 kap. 2 a och 3 a §§ OSL kommer att omfattas av 27 kap. 5 § OSL. Vi har heller inte funnit några skäl för motsatt ståndpunkt, dvs. att 27 kap. 5 § OSL inte bör omfatta föreslagna sekretessregler avseende dataanalyser och urval.
Det ska göras ändringar av hänvisningar i 27 kap. 8 § OSL som avser sekretessbrytande bestämmelser
I 27 kap. 8 § första stycket anges att sekretessen enligt
Denna paragraf innebär att uppgifter som annars omfattas av sekretess i vissa fall får lämnas till en konkursförvaltare i den en- skildes konkurs. Till skillnad från bestämmelserna i 27 kap. 4 och 5 §§ OSL innefattar 27 kap. 8 § alltså en sekretessbrytande bestämmelse.
Om uppgifter som behandlas vid myndigheternas dataanalyser och urval, och som omfattas av sekretess enligt de föreslagna bestämmel- serna, förekommer i ett ärende om revision eller ärende enligt lagen om Skatteverkets hantering av vissa borgenärsuppgifter kommer upp- gifterna att omfattas av den sekretess som gäller i dessa ärenden och inte av den särskilda sekretessen för uppgifter vid myndigheternas dataanalyser och urval. Mot denna bakgrund saknas det enligt vår mening skäl att låta sekretessbestämmelsen i 27 kap. 8 § OSL om- fatta de föreslagna bestämmelserna i 27 kap. 2 a och 3 a §§ OSL.
Vi anser följaktligen att 27 kap. 8 § OSL ska ändras så att det i första stycket i stället anges att sekretessen enligt 1, 2, 3 och 4 §§ inte hindrar att aktuella uppgifter lämnas ut under de förutsättningar som där anges. Vidare ska andra stycket ändras så att det i stället anges att sekretessen enligt 2, 3 och 4 §§ inte hindrar att vissa uppgifter lämnas ut under de förutsättningar som där anges.
1240
SOU 2023:100 |
Offentlighet och sekretessfrågor |
Det ska göras ändringar av hänvisningar i 34 kap. 4 § OSL som avser internationella avtal
I 34 kap. OSL finns bestämmelser om sekretess till skydd för enskild vid utsökning och indrivning, skuldsanering m.m. Enligt 34 kap. 4 § första stycket gäller sekretess i den utsträckning riksdagen har god- känt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i
Bestämmelsen infördes 1987 i samma paragraf i 1980 års sekre- tesslag som föreskrev sekretess avseende internationella avtal för uppgifter i Skatteverkets och Tullverkets verksamheter, vilket i dag regleras i 27 kap. 5 § andra stycket OSL.108 Motiven till denna be- stämmelse är alltså desamma som avseende motsvarande sekretess i verksamheter som bedrivs av Skatteverket och Tullverket. Vi anser därför, av samma skäl som vi anfört ovan avseende 27 kap. 5 § OSL, att bestämmelsen i 34 kap. 4 § även ska innefatta en hänvisning till den föreslagna sekretessregeln i 34 kap. 10 b §. Det kommer då inte att uppstå en situation i vilken det är oklart vilket sekretesskydd som gäller, utan sekretessen kommer vara absolut även i sådana situa- tioner som anges i 34 kap. 4 § OSL. Därtill kommer vissa i 34 kap. 4 § andra stycket angivna sekretessbrytande bestämmelser inte att vara tillämpliga på det sätt som där anges om förutsättningarna i första stycket är uppfyllda.
Vi anser följaktligen att 34 kap. 4 § bör ändras så att det i första stycket anges att sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellan- folklig organisation, hos en myndighet i verksamhet som avses i
108Se prop. 1987/88:41, om sekretesskyddet för vissa myndighetsregister m.m., s. 31.
1241
Offentlighet och sekretessfrågor |
SOU 2023:100 |
Någon ändring av hänvisningar i den sekretessbrytande bestämmelsen i 34 kap. 5 § OSL ska inte göras
I 34 kap. 5 § första stycket OSL anges att sekretessen enligt
Bestämmelsen avser Kronofogdemyndighetens verksamhet med bl.a. utsökning och indrivning samt verksamhet enligt lagen om när- ingsförbud och motsvarar den som finns i 27 kap. 8 § OSL beträff- ande Skatteverket och Tullverket. Bestämmelsen bryter alltså sekre- tessen avseende vissa uppgifter om en enskild i de fall uppgifterna lämnas till förvaltare i den enskildes konkurs.
Av samma skäl som anges ovan avseende bestämmelsen i 27 kap. 8 § OSL anser vi att den nya sekretessbestämmelsen i 34 kap. 10 b § OSL inte ska omfattas av den sekretessbrytande bestämmelsen i 34 kap. 5 § OSL. Bestämmelsen i 34 kap. 5 § OSL behöver därför inte ändras till följd av förslaget till en ny sekretessbestämmelse i 34 kap. 10 b § OSL.
15.4Sekretess till skydd för vissa allmänna intressen vid dataanalyser och urval
Vårt förslag: Sekretess ska gälla för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om upp- giften röjs och analyserna och urvalen rör Skatteverkets beskatt- nings- eller folkbokföringsverksamheter eller Tullverkets och Krono- fogdemyndighetens verksamheter som omfattas av de nya lagarna.
Sekretessen ska också gälla i Kronofogdemyndighetens verk- samhet enligt kronofogdedatalagen för sådana uppgifter som hän- för sig till dataanalyser och urval i syfte att motverka överskuld- sättning.
1242
SOU 2023:100 |
Offentlighet och sekretessfrågor |
Skälen för vårt förslag
Befintliga sekretessbestämmelser utgör inte ett tillräckligt skydd
I arbetet med dataanalyser och urval utformar myndigheterna olika analyser, tar fram riskfaktorer och utvecklar urvalsmodeller i syfte att få fram ett urval av bl.a. ärenden som det kan finnas anledning att kontrollera närmare på grund av identifierade risker för fel eller fel- aktiga uppgifter. Om allmänheten ges fullständig insyn i denna verk- samhet riskerar det att leda till att t.ex. de riskfaktorer, metoder eller urvalsmodeller som identifierats och används kan komma att utnytt- jas för att undvika ytterligare kontroll eller på ett sådant sätt att fel inte skulle fångas upp med hjälp av verktygen.109 Det riskerar att leda till att syftet med myndigheternas dataanalyser och urval, nämligen att förebygga, förhindra och upptäcka fel, går förlorat. För Krono- fogdemyndighetens del avser det också dataanalyser och urval för att motverka överskuldsättning. Mot denna bakgrund finns det enligt vår mening ett behov av att till viss del begränsa insynen i denna verksamhet.
Ioffentlighets- och sekretesslagen finns vissa sekretessbestäm- melser till skydd för allmänna intressen.110 I 17 kap. regleras sekre- tess till skydd främst för myndigheters verksamhet för inspektion, kontroll eller annan tillsyn. Enligt 17 kap. 1 § OSL gäller sekretess för uppgift om planläggning eller andra förberedelser för sådan in- spektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med granskningsverksamheten motver- kas om uppgiften röjs. Av skaderekvisitet följer att en uppgift som ska användas vid flera granskningstillfällen, t.ex. checklistor för revi- sion, inte får lämnas ut så länge uppgiften används i gransknings- verksamheten men att utlämnande ska ske, när uppgiften inte längre ska användas.111 Uppgifter som kan skyddas av sekretess är kontroll- uppgifter och liknande uppgifter som samlas in för en skatterevision. Andra uppgifter som kan omfattas är t.ex. uppgifter som rör de per- soner eller myndigheter som ska bli föremål för granskning, tiden för granskningen och granskningsplaner.112 Om en myndighet samlar in specifika uppgifter om en enskild person, t.ex. genom tredjemans-
109Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 80.
110Avdelning IV i OSL.
111Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 138.
112Lenberg m.fl., Offentlighets- och sekretesslagen – En kommentar (2 december 2022, Version 26, JUNO), kommentaren till 17 kap. 1 §.
1243
Offentlighet och sekretessfrågor |
SOU 2023:100 |
förelägganden eller beslut om revision hos tredje man, har det i kammarrättspraxis ansetts att myndigheten inte längre är i ett stadium av planläggning och förberedelse för inspektion, revision eller annan granskning beträffande den personen, utan att en pågående gransk- ning då kan anses ha påbörjats. I sådana fall är bestämmelsen i 17 kap. 1 § OSL inte tillämplig.113
De uppgifter om bl.a. analysmetoder, riskindikatorer och urvals- modeller som Skatteverket, Tullverket och Kronofogdemyndigheten innehar och kommer att inneha vid arbetet med dataanalyser och urval skulle kunna tänkas vara uppgifter om planläggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndighet ska göra som avses i 17 kap. 1 § OSL. Berörda myn- digheter utför själva sådan verksamhet i olika hänseenden och arbetet med dataanalyser och urval sker i syfte att bl.a. identifiera var det finns störst risk för fel, vilket sker före det att ett faktiskt ärende in- leds mot t.ex. ett specifikt skattesubjekt.114 Uppgifter i form av t.ex. riskindikatorer är också sådana uppgifter som, i likhet med check- listor för revision eller liknande, kan användas för flera gransknings- tillfällen. I kammarrättspraxis har sekretessbestämmelsen tillämpats så att den har ansetts omfatta riskprofiler som utvecklas och används löpande i Försäkringskassans verksamhet med kontroll eller gransk- ning av förmånsärenden samt utfallet av en riskprofil som visar på ett behov av att granska ett ärende. Profilerna och uppgifterna som hänför sig till arbetet med dem har ansetts utgöra sådana uppgifter om förberedelse för granskning som avses i 17 kap. 1 § OSL, och det har enligt Kammarrätten i Stockholm kunnat antas att syftet med granskningsverksamheten motverkas om uppgifterna röjs. Uppgif- terna har alltså bedömts omfattas av sekretess, så länge de används i verksamheten.115
Regeringen har i propositionen Utbetalningsmyndigheten uttalat att det genom 17 kap. 1 § OSL finns vissa möjligheter för myndig- heter som använder sig av riskbaserade urvalsmodeller i sin kontroll- verksamhet att sekretessbelägga uppgifter om sådana urvalsmodeller. Eftersom den bestämmelsen tar sikte på förberedande åtgärder som vidtas av en myndighet som ska utföra en revision, inspektion eller
113Kammarrätten i Stockholms beslut den 7 oktober 2010 i mål nr
114När en viss granskning för bl.a. kontroll av skatt eller avgift till staten har påbörjats kan upp- gifter som hänför sig till sådan verksamhet i stället bli aktuella att sekretessbelägga med stöd av 17 kap. 2 § OSL.
115Se Kammarrätten i Stockholms domar den 4 februari 2022 i mål nr
1244
SOU 2023:100 |
Offentlighet och sekretessfrågor |
granskning som främst kan leda till en åtgärd med direkt effekt för den granskade, har regeringen dock bedömt att den bestämmelsen inte är tillämplig på Utbetalningsmyndighetens verksamhet. Reger- ingen har därefter konstaterat att det mot denna bakgrund inte fanns någon sekretessbestämmelse som ger ett starkt skydd för uppgifter om metoder, modeller och riskfaktorer hänförliga till myndighet- ernas dataanalyser och urval.116 Det har därefter införts en bestäm- melse i 17 kap. 1 b § OSL som föreskriver att sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval för att förebygga, förhindra och upptäcka fel- aktiga utbetalningar, om det kan antas att det allmännas syfte med verksamheten motverkas om uppgiften röjs. Bestämmelsen träder i kraft den 1 januari 2024.
Regeringen har gjort en liknande bedömning i en proposition av- seende dataanalyser och urval i Skatteverkets folkbokföringsverksam- het. I denna proposition har regeringen bedömt att bestämmelsen i 17 kap. 1 § OSL inte utgör ett tillräckligt skydd för det utvecklade arbetet med dataanalyser och urval som regeringen i samma proposi- tion föreslog att Skatteverket skulle få bedriva inom folkbokförings- verksamheten.117 Det har därefter införts en sekretessbestämmelse i 17 kap. 1 a § OSL som gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att före- bygga, förhindra och upptäcka felaktiga uppgifter i folkbokförings- verksamheten.
Mot denna bakgrund står det enligt vår uppfattning inte helt klart att Skatteverket, Tullverket och Kronofogdemyndigheten vid varje tillfälle kommer att ha möjlighet att med stöd av 17 kap. 1 § OSL sekretessbelägga uppgifter om t.ex. metoder, modeller och riskfakto- rer som hänför sig till dataanalyser och urval på det sätt vi anser är nödvändigt. Samtliga dessa uppgifter skulle i vissa situationer möjligen inte kunna anses vara uppgifter om förberedelser för sådan inspek- tion, revision eller annan granskning som myndigheterna ska göra, t.ex. vid testning av en urvalsmodells funktionalitet. Detsamma gäller i de fall Kronofogdemyndigheten använder dataanalyser och urval i sitt arbete med att motverka överskuldsättning. Analyserna och ur- valen kommer inte heller alltid leda till att Skatteverket, Tullverket
116Prop. 2022/23:34, Utbetalningsmyndigheten, s.
117Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 51.
1245
Offentlighet och sekretessfrågor |
SOU 2023:100 |
eller Kronofogdemyndigheten genomför, eller ens planlägger, en kontroll mot en viss enskild.
Vi bedömer sammantaget att sekretessbestämmelsen i 17 kap. 1 § OSL inte utgör ett tillräckligt skydd för de uppgifter som behandlas när berörda myndigheter utför dataanalyser och urval. Vi har inte heller identifierat någon annan sekretessbestämmelse till skydd för myndigheternas analys- och urvalsverksamhet som skulle kunna vara tillämplig på de aktuella uppgifterna.
Nya regler om sekretess för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten medan befintlig sekretess i Skatteverkets folkbokföringsverksamhet, med vissa ändringar, kan behållas
Vi anser att det behöver finnas sekretessbestämmelser som innebär att myndigheterna i vissa fall kan sekretessbelägga uppgifter hänför- liga till myndigheternas arbete med dataanalyser och urval. Vid ut- formningen av sekretessbestämmelsen bör förebilden vara motsvarande bestämmelse som finns i 17 kap. 1 a § OSL samt den sekretessbestäm- melse i 17 kap. 1 b § OSL som träder i kraft den 1 januari 2024, vilket är avsett att bidra till en enhetlighet avseende myndigheters verk- samheter som är näraliggande varandra. Sekretess bör därför gälla för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattningsverksamhet samt i Tullverkets och Kronofogdemyndighetens verksamheter, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om upp- giften röjs. Sekretessen bör även gälla i Kronofogdemyndighetens verksamhet enligt kronofogdedatalagen för sådana uppgifter som hän- för sig till dataanalyser och urval i syfte att motverka överskuldsätt- ning. Bestämmelsen i 17 kap. 1 a § OSL avser redan i dag dataanaly- ser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten. Motsvarande sekretess bör behållas, men med vissa ändringar för att anpassa sekretessen till våra förslag avseende dataanalyser och urval i kapitel 14.
Rätten att ta del av allmänna handlingar får begränsas endast om det krävs med hänsyn till de intressen som räknas upp i 2 kap. 2 § TF. Några av dessa intressen är myndigheters verksamhet för in- spektion, kontroll eller annan tillsyn, intresset av att förbygga eller
1246
SOU 2023:100 |
Offentlighet och sekretessfrågor |
beivra brott eller det allmännas ekonomiska intresse. Vi anser att det finns grund för att sekretessbelägga uppgifter om metoder, modeller och riskfaktorer som hänför sig till myndigheternas dataanalyser och urval. Detta mot bakgrund av att sådana uppgifter behövs för myn- digheternas kontrollarbete inom respektive verksamhet samt för att motverka överskuldsättning inom Kronofogdemyndighetens verk- samhet. Det finns också en risk att uppgifterna utnyttjas av enskilda bl.a. i syfte att systematiskt möjliggöra fel i respektive verksamhet. Uppgifterna bör därför också kunna sekretessbeläggas med hänsyn till intresset att förebygga brott och det allmännas ekonomiska in- tresse.118
De uppgifter som kommer att omfattas av de nya sekretessbestäm- melserna hänförliga till Skatteverkets beskattningsverksamhet samt Tullverkets och Kronofogdemyndighetens verksamheter bör enligt vår mening vara desamma som avses i 17 kap. 1 a § OSL samt mot- svarande bestämmelse som regeringen föreslagit i propositionen Utbetalningsmyndigheten.119 Sekretessbestämmelserna bör alltså om- fatta uppgifter om metoder, modeller och riskfaktorer.
En närmare beskrivning av vilka uppgifter om metoder, modeller och riskfaktorer som kommer att vara aktuella att sekretessbelägga är svårt att ge, då det beror på myndigheternas användning av sådana. Exempelvis kan myndigheterna använda sig av metoder som inne- fattar jämförelser av olika ärenden, uppgifter eller företeelser för att identifiera riskfaktorer och lämpliga urval.120 Myndigheterna kommer vidare att kunna utveckla olika slags urvalsmodeller som kan bli aktu- ella att tillämpa i olika situationer och vid olika tidpunkter, vilket gör att det är svårt att förutse samtliga typer av urvalsmodeller som kommer att användas. Till exempel har Skatteverket inom beskattningsverksam- heten i dag omkring 1 000 olika modeller som används, och flera av dessa används dagligen för att hitta olika risker för fel i samband med ärendehanteringen. De modeller som används utvecklas utifrån risk- indikatorer och förändras kontinuerligt för att de ska bli så träffsäkra som möjligt.
När det gäller vad som utgör riskfaktorer är även detta något som kan vara olika beroende på för vilket ändamål myndigheten utför en
118Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 81 och prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 52.
119Prop. 2022/23:34, Utbetalningsmyndigheten, s.
120Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 53.
1247
Offentlighet och sekretessfrågor |
SOU 2023:100 |
viss dataanalys och urval. Olika riskfaktorer används beroende på om t.ex. Skatteverket ska granska yrkanden om avdrag för resor till och från arbetet eller ansökningar om godkännande för
När det gäller behovet av en sekretessbestämmelse, och styrkan i densamma, kan det inte enbart bestämmas med hänsyn till sekretess- intresset. Detta måste i varje sammanhang vägas mot intresset av in- syn i myndigheternas verksamhet.121 Sekretess bör enligt vår mening endast gälla för uppgifterna om det kan antas att det allmännas möj- ligheter att förebygga, förhindra och upptäcka fel motverkas om uppgiften röjs. Bestämmelsen föreslås alltså ha ett rakt skaderekvisit, vilket innebär en presumtion för offentlighet. Mot bakgrund av upp- gifternas karaktär kan det dock ofta antas att myndigheternas möj- ligheter att förebygga, förhindra och upptäcka fel eller motverka överskuldsättning kommer att motverkas om uppgifterna blir offent- liga. För det fall uppgifter om utveckling, testning eller utvärdering av en viss metod eller modell kan antas innebära att syftet med det allmännas arbete i dessa delar går förlorat skulle därmed även sådana uppgifter kunna sekretessbeläggas med stöd av de föreslagna sekre- tessbestämmelserna. Test- och träningsdata som används för att t.ex. träna upp en urvalsmodell innefattar ofta uppgifter om enskildas personliga eller ekonomiska förhållanden. Sådana uppgifter är av- sedda att kunna omfattas av sekretess enligt de bestämmelser vi före- slagit i avsnitt 15.3.1.
Vi anser att ett rakt skaderekvisit i detta sammanhang säkerställer en rimlig balans mellan behovet av sekretess och intresset av insyn i myndigheternas verksamhet med dataanalyser och urval. Samma skade-
121Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s.
1248
SOU 2023:100 |
Offentlighet och sekretessfrågor |
rekvisit har även valts i andra sekretessbestämmelser som avser att skydda allmänna intressen i liknande verksamheter.122 Vid raka skade- rekvisit är det avgörande om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen. Om uppgiften är så- dan att den genomsnittligt sett måste betraktas som harmlös, ska den alltså normalt anses falla utanför sekretessen. Skulle uppgiften i stäl- let vara av sådant slag att den lätt kan komma att missbrukas ska den i de flesta fall anses omfattas av sekretess.123 Sekretess kan därmed meddelas i den utsträckning det behövs, samtidigt som insynen i myndigheternas verksamhet inte inskränks mer än nödvändigt.124
I vissa fall har offentlighetsintresset ansetts väga tyngre på så sätt att det krävs en högre grad av skada för att uppgiften ska kunna sekre- tessbeläggas, t.ex. genom uttryck som ”avsevärd skada” eller ”all- varligt men” (s.k. kvalificerat skaderekvisit).125 En sådan bestämmelse finns t.ex. i 17 kap. 2 § OSL där det anges att sekretess gäller för uppgift som hänför sig till pågående granskning för kontroll av skatt eller avgift till staten eller kommun eller av bidrag, lån, kreditgaranti eller annan förmån, om det med hänsyn till syftet med kontrollen är av synnerlig vikt att uppgiften inte röjs för den som kontrollen avser. Vi har övervägt om offentlighetsintresset avseende myndigheternas dataanalyser och urval kan sägas väga så tungt att ett sådant kvalifi- cerat rakt skaderekvisit bör väljas i stället. Enligt vår mening riskerar dock en sådan bestämmelse att innebära att allmänheten ges insyn i verksamheten till den grad att det kan utnyttjas för att på olika sätt undgå myndigheternas kontroll på det sätt som vi anser är viktigt att motverka med en särskild sekretessbestämmelse. Vi har därför vid- hållit bedömningen att de föreslagna sekretessbestämmelserna bör innehålla ett vanligt rakt skaderekvisit och att det utgör en rimlig avvägning i detta fall. Insynsintresset tillgodoses även av att när myn- digheterna inte längre har ett behov av att använda vissa metoder, modeller eller riskfaktorer, så gör sig sekretessen inte längre gällande. Sekretessbestämmelsen hindrar alltså endast att uppgifterna lämnas ut så länge de används. Efter denna tidpunkt upphör sekretessen vilket innebär att uppgifterna ska lämnas ut på begäran.
122Se t.ex. 17 kap. 1 och 1 a §§ samt 18 kap. 13 § OSL.
123Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s.
124Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 54.
125Jfr 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 80 och 82.
1249
Offentlighet och sekretessfrågor |
SOU 2023:100 |
I fråga om sekretessens räckvidd kommer bestämmelsen i första hand att gälla hos Skatteverket, Tullverket och Kronofogdemyndig- heten.126 Bestämmelsen föreslås utformas så att den framöver kan utökas till att gälla även i andra verksamheter genom fler punkter.
Ändringar i offentlighets- och sekretesslagen
Vi föreslår alltså att det ska göras ändringar i offentlighets- och sekre- tesslagen som innebär att sekretess gäller för metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att före- bygga, förhindra och upptäcka fel eller felaktiga uppgifter i Skatte- verkets beskattningsverksamhet och folkbokföringsverksamhet samt Tullverkets och Kronofogdemyndighetens respektive verksamheter, om det kan antas att det allmännas syfte med sådana analyser och ur- val motverkas om uppgiften röjs. Sekretessen ska även gälla i Krono- fogdemyndighetens verksamhet enligt kronofogdedatalagen för så- dana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning.
När det gäller den sekretess som enligt 17 kap. 1 a § OSL gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upp- täcka felaktiga uppgifter i folkbokföringsverksamheten bör den sekre- tess som omfattas av bestämmelsen finnas kvar oförändrad i sak, men med vissa ändringar av vilka verksamheter paragrafen omfattar.
Den sekretess som vi föreslår ska gälla i ovan nämnda myndig- heters verksamheter bör enligt vår mening regleras i en gemensam bestämmelse i offentlighets- och sekretesslagen. Det ligger då närmast till hands att genomföra ändringar av befintlig sekretessreglering i 17 kap. 1 a § OSL som redan i dag rör sekretess vid dataanalyser och urval i Skatteverkets folkbokföringsverksamhet. Vi föreslår därför att 17 kap. 1 a § ska ändras så att den även omfattar verksamhet med dataanalyser och urval som sker i Skatteverkets beskattningsverksam- het samt i Tullverkets och Kronofogdemyndighetens verksamheter. Bestämmelsen bör hänvisa till de föreslagna lagarna för att närmare avgränsa vilka verksamheter som omfattas, dvs. 2 § beskattnings-
126Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 53.
1250
SOU 2023:100 |
Offentlighet och sekretessfrågor |
datalagen, 2 § folkbokföringsdatalagen, 2 § tulldatalagen och 2 § krono- fogdedatalagen.
Ett möjligt alternativ hade varit att i stället införa en generellt ut- formad bestämmelse som innebär att sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval oavsett i vilken verksamhet den förekommer. Bestämmel- sen hade då varit utformad på samma sätt som 17 kap. 1 § OSL om förberedelser för inspektion, revision eller annan granskning, vilket bidrar till en enhetlighet i lagstiftningen. En fördel med en sådan bestämmelse hade även varit att den hade kunnat tillämpas hos t.ex. Skatteverket såväl som Centrala studiestödsnämnden, Försäkrings- kassan eller Utbetalningsmyndigheten. Det hade då inte heller funnits något behov av att införa nya sekretessbestämmelser för varje myn- dighets verksamhet i de fall fler myndigheter skulle ges möjlighet att arbeta med dataanalyser och urval för kontrolländamål. Från och med den 1 januari 2024 kommer det som tidigare nämnts t.ex. finnas en bestämmelse i 17 kap. 1 b § OSL som anger att sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval för att förebygga, förhindra och upptäcka fel- aktiga utbetalningar, om det kan antas att det allmännas syfte med verksamheten motverkas om uppgiften röjs. Paragrafen är hänförlig till den nya Utbetalningsmyndigheten. Vi bedömer dock att det inte ligger inom ramen för vårt uppdrag att föreslå en generell sekretess- bestämmelse som även kommer att gälla hos andra myndigheter än Skatteverket, Tullverket och Kronofogdemyndigheten.
Ytterligare ett alternativ som vi har övervägt är att föreslå en generell utformning av sekretessbestämmelsen i offentlighets- och sekretesslagen utan att peka ut vissa myndigheters verksamheter och samtidigt i lag ange att sekretessen i bestämmelsen omfattar de verk- samheter som anges i förordning eller i bilaga till förordning. Även en sådan lagteknisk lösning är fördelaktig för det fall ytterligare myndigheters verksamheter bör omfattas av sekretessbestämmelsen. Då vårt förslag endast rör Skatteverket, Tullverket och Kronofogde- myndigheten anser vi dock att det av tydlighetsskäl är att föredra att reglera vilka verksamheter som omfattas av bestämmelsen direkt i lag.
De nya bestämmelserna avseende Skatteverkets beskattnings- verksamhet, Tullverket och Kronofogdemyndigheten bör alltså sam- manfattningsvis föras in i den bestämmelse som i dag reglerar sekre- tess vid dataanalyser och urval i folkbokföringsverksamheten, dvs.
1251
Offentlighet och sekretessfrågor |
SOU 2023:100 |
17 kap. 1 a § OSL. Vidare bör rubriken närmast 17 kap. 1 a § som en följd av det ändras så att den motsvarar innehållet i samtliga nu före- slagna efterföljande verksamheter.
15.5Ändrade sekretessregler med anledning av att databasregleringen upphävs
15.5.1Gällande rätt och bakgrund till den s.k. databassekretessen
Gällande regler och behovet av en översyn
Databassekretess m.m. hos Skatteverket, Tullverket och Kronofogdemyndigheten
I 27 kap. 1 § första stycket OSL anges att sekretess gäller i verksam- het som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för upp- gift om en enskilds personliga eller ekonomiska förhållanden.
Sekretess gäller vidare enligt 27 kap. 1 § andra stycket 1 OSL i verksamhet som avser förande av eller uttag ur beskattningsdata- basen enligt skattedatabaslagen för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen (härefter benämnd databassekretess). Sekretessen är absolut, vilket innebär att sekretess gäller oavsett om ett utlämnande av uppgifterna kan tänkas medföra en viss skada eller men för den enskilde.
Begreppet skatt definieras i 27 kap. 1 § tredje stycket OSL som bl.a. skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt.
Enligt 27 kap. 2 § första stycket OSL gäller sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden i vissa sär- skilda ärenden, t.ex. i särskilt ärende om revision eller annan kontroll i fråga om skatt samt annan verksamhet som avser tullkontroll och som inte omfattas av 1 §, ärende om kompensation för eller åter- betalning av skatt och ärende om anstånd med erläggande av skatt.
I 27 kap. 3 § första stycket OSL anges att sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att upp- giften kan röjas utan att den enskilde lider skada eller men. I andra stycket föreskrivs att motsvarande sekretess gäller i en myndighets
1252
SOU 2023:100 |
Offentlighet och sekretessfrågor |
verksamhet som avser förande av eller uttag ur tulldatabasen enligt tulldatabaslagen för uppgift som har tillförts databasen. Här före- skrivs alltså databassekretess för uppgifter som finns i tulldatabasen. Till skillnad från den absoluta sekretess som gäller i Skatteverkets beskattningsdatabas gäller ett omvänt skaderekvisit för uppgifter i tulldatabasen, vilket innebär en presumtion för sekretess.
I 27 kap. 6 § OSL föreskrivs vissa undantag från sekretess. Enligt bestämmelsen gäller sekretessen enligt 1 och 3 §§ inte beslut vari- genom skatt eller pensionsgrundande inkomst bestäms eller under- lag för bestämmande av skatt fastställs. Sekretessen gäller dock om beslutet meddelas i ärende om förhandsbesked i taxerings- eller skatte- fråga, beskattning av utländska experter, forskare eller andra nyckel- personer när beslutet har fattats av Forskarskattenämnden, trängsel- skatt eller prissättningsbesked vid internationella transaktioner.
Enligt 34 kap. 1 § första stycket OSL gäller sekretess hos Krono- fogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon när- stående till honom eller henne lider skada eller men.
I 34 kap. 2 § OSL anges att under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller ut- tag ur utsöknings- och indrivningsdatabasen enligt kronofogdedata- baslagen för uppgift om en enskilds personliga eller ekonomiska för- hållanden som har tillförts databasen. Denna databassekretess, som alltså gäller utsöknings- och indrivningsdatabasen vid Kronofogde- myndigheten, föreskriver likt vad som gäller för tulldatabasen ett om- vänt skaderekvisit.
Databassekretessen gäller i verksamhet som avser förande av eller uttag ur respektive databas enligt skattedatabaslagen, tulldatabas- lagen respektive kronofogdedatabaslagen. Uttryckssättet innebär att databassekretessen är tillämplig också hos myndigheter som har direktåtkomst till uppgifter i en databas så länge som uppgifterna inte har tagits ut ur databasen, dvs. när uppgifterna bara är tekniskt till- gängliga hos den mottagande myndigheten oavsett om de syns på dataskärmen eller inte. När en uppgift ur databasen dras ut på papper eller på annat sätt används i den mottagande myndighetens verksam- het upphör dock databassekretessen att vara tillämplig hos den mot-
1253
Offentlighet och sekretessfrågor |
SOU 2023:100 |
tagande myndigheten. Då blir i stället sekretessbestämmelserna som gäller i den mottagande myndighetens verksamhet tillämpliga.127
Bestämmelserna om databassekretess utgör vidare primära sekre- tessbestämmelser hos Skatteverket, Tullverket och Kronofogde- myndigheten samt hos andra myndigheter som har direktåtkomst till uppgifter i respektive databas.128
Andra relevanta bestämmelser i offentlighets- och sekretesslagen
I 7 kap. 3 § OSL föreskrivs att om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett en- skilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i denna lag.
I 11 kap. 4 § första stycket OSL anges att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekre- tessreglerad, blir sekretessbestämmelsen tillämplig även hos den mot- tagande myndigheten. Bestämmelsen ska enligt andra stycket inte till- lämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Bestämmelsen i 11 kap. 4 § OSL är tillämplig när en myndighet har direktåtkomst till uppgifter hos en annan myndighet. Direktåtkomst förutsätter ofta att den mottagande myndigheten tekniskt sett får tillgång till fler uppgifter hos den utlämnande myndigheten än de som i konkreta fall kommer att användas i vissa ärenden eller viss verk- samhet hos den mottagande myndigheten. Sammanställningar av upp- gifter ur upptagningar för automatiserad behandling, vilka i samband med direktåtkomst görs tekniskt tillgängliga för den mottagande myndigheten, utgör som huvudregel allmänna handlingar hos den myn- digheten. Därutöver tillkommer att färdiga elektroniska handlingar som i samband med direktåtkomst gjorts tekniskt tillgängliga för den mottagande myndigheten alltid utgör allmänna handlingar hos den
127Prop. 1985/86:155, med förslag till utsökningsregisterlag m.m., s. 27, prop. 2000/01:33, Behand- ling av personuppgifter inom skatt, tull och exekution, s. 184, prop. 2007/08:160, Utökat elektro- niskt informationsutbyte, s.
128Jfr prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 108.
1254
SOU 2023:100 |
Offentlighet och sekretessfrågor |
myndigheten. Bestämmelsen i 11 kap. 4 § OSL innebär att om en myn- dighet har elektronisk tillgång till en annan myndighets upptagning för automatiserad behandling och om uppgift i denna upptagning är sekretessbelagd hos den andra myndigheten, så överförs sekretessen till den mottagande myndigheten.129
Enligt 11 kap. 8 § OSL ska bl.a. sekretessbestämmelsen i 11 kap. 4 §, med undantag från vad som anges i 7 kap. 3 §, inte tillämpas på en uppgift när det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten. Bestäm- melsen innebär att om det finns en sekretessbestämmelse som är pri- märt tillämplig hos den mottagande myndigheten är det den bestäm- melsen som ska tillämpas i stället för den överförda sekretessen, och det oavsett om den primära sekretessen är starkare eller svagare än den sekundära sekretessen. Även uttryckliga undantag från den pri- mära sekretessbestämmelsens tillämpningsområde har företräde fram- för den överförda sekretessen. Den överförda sekretessen gäller inte heller för uppgift som tas i beslut hos den mottagande myndigheten.130
Bestämmelserna om databassekretess i 27 kap. 1 § andra stycket 1,
27 kap. 3 § andra stycket och 34 kap. 2 § OSL, vilka utgör primära sekretessbestämmelser hos såväl Skatteverket, Tullverket och Krono- fogdemyndigheten vilka innehar databaserna, som hos myndigheter som har direktåtkomst till de aktuella databaserna så länge uppgift- erna finns kvar i dessa, har företräde framför sekretess som överförs med stöd av bestämmelsen om överföring av sekretess i 11 kap. 4 § OSL.131
Behovet av en översyn
I avsnitt 9.3 finns en närmare redogörelse för den befintliga databas- regleringen som gäller för Skatteverket, Tullverket och Kronofogde- myndigheten. I det avsnittet gör vi bedömningen att det saknas skäl att i de nya lagarna, däribland beskattningsdatalagen, tulldatalagen och kronofogdedatalagen, införa bestämmelser om vilka uppgifter myndigheterna får behandla för att utföra sina uppgifter inom re- spektive lags materiella tillämpningsområde. Det innebär att regler-
129Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 164.
130Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 165.
131Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 165.
1255
Offentlighet och sekretessfrågor |
SOU 2023:100 |
ingen av beskattningsdatabasen, tulldatabasen och kronofogdedata- basen inte kommer att ha någon motsvarighet i de nya lagarna.
Våra bedömningar i dessa delar får konsekvenser för de bestäm- melser om databassekretess som regleras i 27 kap. 1 § andra stycket 1, 27 kap. 3 § andra stycket och 34 kap. 2 § OSL eftersom de avser för- ande av eller uttag ur beskattningsdatabasen, tulldatabasen respektive kronofogdedatabasen enligt de nu gällande registerförfattningarna. Den koppling som nu finns mellan bestämmelserna om databas- sekretess och registerförfattningarnas bestämmelser om bl.a. vilka uppgifter som får behandlas i respektive databas kommer nämligen inte att finnas kvar genom våra förslag till nya lagar.
Mot denna bakgrund krävs en översyn av den befintliga databas- sekretessen som i dag regleras i 27 kap. och 34 kap. OSL.
Sekretessregleringen när de tidigare registerlagarna gällde
Sekretess när de dåvarande kronofogdemyndigheterna fick terminalåtkomst till skatteregistret
Innan skattedatabaslagen, tulldatabaslagen och kronofogdedatabas- lagen trädde i kraft 2001 gällde bl.a. skatteregisterlagen (1980:343), utsökningsregisterlagen (1986:617) och tullregisterlagen (1990:137).
År 1982 fick de dåvarande kronofogdemyndigheterna möjlighet att ha s.k. terminalåtkomst till det centrala skatteregistret i fråga om vissa uppgifter. Terminalåtkomst är det tidigare begreppet för vad som i nyare registerförfattningar brukar benämnas som direktåtkomst.132 Möjligheten infördes bl.a. för att förenkla och förbättra kronofogde- myndigheternas rutiner vid efterforskning av gäldenärers tillgångar. Vidare uttalas i förarbetena att indrivningen av skatter och avgifter hörde mycket nära ihop med den direkta beskattningsverksamheten och det var naturligt att kronofogdemyndigheterna kunde få tillgång till uppgifterna i skatteregistren i den mån uppgifterna behövdes för indrivningsverksamheten.133 I samband med att terminalåtkomst till skatteregistren möjliggjordes infördes även en ny sekretessbestäm- melse i den då gällande 9 kap. 19 § andra stycket sekretesslagen (1980:100).134 Bestämmelsen utformades enligt följande.
132Se avsnitt 11.2.2 för en närmare redogörelse av vad elektroniskt utlämnande av uppgifter genom direktåtkomst innebär.
133Prop. 1981/82:160, om ändring i skatteregisterlagen (1980:343) m.m., s. 7.
134Bestämmelsen motsvaras i dag av 34 kap. 2 § första stycket OSL.
1256
SOU 2023:100 |
Offentlighet och sekretessfrågor |
Sekretess gäller hos kronofogdemyndighet för uppgift i det centrala skatteregistret om enskilds personliga eller ekonomiska förhållanden. Har uppgiften tillförts ett mål gäller dock första stycket.
Bestämmelsen i 9 kap. 19 § första stycket sekretesslagen reglerade sekretess inom exekutionsväsendet i mål eller ärende angående exeku- tiv verksamhet för uppgift om enskilds personliga eller ekonomiska förhållanden.
I förarbetena till sekretessbestämmelsen i 9 kap. 19 § andra stycket sekretesslagen uttalas bl.a. att om kronofogdemyndigheterna fick terminalåtkomst till skatteuppgifter skulle uppgifternas sekretes- skydd minska om någon ändring inte gjordes i sekretesslagen efter- som svagare sekretess gällde vid kronofogdemyndigheterna än inom skatteområdet. Vidare uttalas i förarbetena att den omständigheten att samma slag av uppgifter skulle kunna inhämtas via terminal inte i och för sig innebar att sekretesskyddet hos kronofogdemyndig- heten bör stärkas. Däremot kunde det enligt förarbetena finnas ett behov av att förhindra ett obehörigt utnyttjande av den lättillgäng- liga informationen via terminal. Det ansågs kunna lösas så att det sekretesskydd som uppgifterna hade i skatteregistret bibehölls så länge uppgifterna inte hade tillförts ett mål. I den mån uppgifterna endast fanns tillgängliga på bildskärm behölls alltså den i princip absoluta sekretessen som gällde på skatteområdet. Om uppgifterna däremot genom en aktanteckning eller på annat sätt hade tillförts ett mål an- sågs det sekretesskydd som fanns inom exekutionsväsendet gälla.135
Sekretess när bl.a. skattemyndigheterna och Tullverket fick terminalåtkomst till utsökningsregistret
När utsökningsregisterlagen infördes 1986 fick bl.a. dåvarande Riks- skatteverket, kronofogdemyndigheterna och Generaltullstyrelsen terminalåtkomst till uppgifter i utsökningsregistret.136
I samband med detta gjordes ändringar i den då gällande sekre- tesslagen som syftade till att för enhetlighetens skull ge reglerna om sekretess hos myndigheter som hade terminalåtkomst till det centrala skatteregistret samma redaktionella utformning som samtidigt före- slogs i fråga om sekretessen för vid terminalåtkomst till utsöknings-
135Prop. 1981/82:160, om ändring i skatteregisterlagen (1980:343) m.m., s.
136Prop. 1985/86:155, med förslag till utsökningsregisterlag m.m., s. 22.
1257
Offentlighet och sekretessfrågor |
SOU 2023:100 |
registret.137 Genom ändringar i dåvarande 9 kap. 1 § första stycket sekretesslagen föreskrevs följande, med ändringarna kursiverade.
Sekretess gäller i myndighets verksamhet, som avser bestämmande av skatt eller som avser taxering eller i övrigt fastställande av underlag för bestämmande av skatt, för uppgift om enskilds personliga eller ekono- miska förhållanden. Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur register som avses i skatteregisterlagen (1980:343) för uppgift som har tillförts sådant register. Uppgift hos tull- verket får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i mål hos domstol gäller sekretessen endast om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Har uppgifter erhållits från annan myndighet och är den sekretessbelagd där, gäller dock denna sekretess hos domstolen, om uppgiften saknar betydelse i målet.
Vidare ändrades den dåvarande bestämmelsen i 9 kap. 19 § andra stycket sekretesslagen. Tillsammans med första stycket fick bestäm- melsen följande lydelse, med ändringen kursiverad.
Sekretess gäller inom exekutionsväsendet i mål eller ärende angående exekutiv verksamhet för uppgift om enskilds personliga eller ekono- miska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider avsevärd skada eller betydande men om uppgiften röjs. Sekretessen gäller dock inte uppgift om förpliktelse som avses med den sökta verkställigheten och inte heller beslut i målet eller ärendet.
Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur utsökningsregistret för uppgift som har tillförts registret.138
Av förarbetena framgår att reglerna om skattesekretess i allmänhet gav ett bättre skydd än de regler som gällde inom exekutionsväsen- det för uppgift om enskildas personliga eller ekonomiska förhållanden. Även hos Tullverket var sekretesskyddet starkare än hos kronofogde- myndigheterna. Den omständigheten att uppgifterna i registret i något enstaka fall kunde komma till användning i ej sekretessbelagd verk- samhet medförde att det var oklart vilket sekretesskydd som gällde för uppgifterna så länge de fanns i
137Prop. 1985/86:155, med förslag till utsökningsregisterlag m.m., s. 8.
138Genom SFS 1995:1371 byttes ordet ”utsökningsregistret” ut mot ”ett utsökningsregister”, se prop. 1995/96:56, bet. 1995/96:SkU14, rskr. 1995/96:73.
139ADB stod för automatisk databehandling.
1258
SOU 2023:100 |
Offentlighet och sekretessfrågor |
gängliga. En ordning som innebar att uppgifterna så länge de fanns i registret behöll den sekretess som gällde hos den registerförande myn- digheten ansågs också vara bäst förenlig med den lösning som tidigare hade valts i fråga om kronofogdemyndigheternas terminalåtkomst till det centrala skatteregistret. Det infördes därför en bestämmelse som gav uppgifter i utsökningsregistret som var tillgängliga på terminal hos bl.a. generaltullstyrelsen och de lokala skattemyndigheterna samma sekretesskydd som gällde för dessa uppgifter i den exekutiva verksamheten. Lagtekniskt skulle detta uttryckas så att sekretessen för uppgifterna i utsökningsregistret gällde i myndighets verksamhet som avsåg förande av eller uttag ur registret. Detta uttryckssätt, som också användes i fråga om allmänt kriminalregister m.m. (dåvarande 7 kap. 17 § sekretesslagen), innebar att den sekretess som gällde hos den registerförande myndigheten blev tillämplig också hos terminal- anslutna myndigheter, så länge uppgifterna var kvar i registret. Gjordes ett utdrag ur registret eller användes uppgifter ur detta på annat sätt i den terminalanslutna myndighetens verksamhet blev sekretess- bestämmelserna för denna verksamhet i stället tillämpliga. Av redak- tionella skäl borde enligt regeringen samma uttryckssätt också an- vändas i fråga om sekretessen vid kronofogdemyndigheternas termi- nalåtkomst till det centrala skatteregistret.140
Ändringar av sekretessbestämmelserna med anledning av införandet av särskilt reglerade databaser
I samband med att skattedatabaslagen, tulldatabaslagen och krono- fogdedatabaslagen infördes gjordes ändringar i den hittills gällande sekretessen för förande av eller uttag ur skatteregistret och utsök- ningsregistret. Sekretess infördes även för uppgifter vid Tullverket.
Bestämmelsen i 9 kap. 1 § första stycket OSL fick följande lydelse, med ändringarna kursiverade.
Sekretess gäller i myndighets verksamhet, som avser bestämmande av skatt eller som avser taxering eller i övrigt fastställande av underlag för bestämmande av skatt, för uppgift om enskilds personliga eller ekono- miska förhållanden. Motsvarande sekretess gäller i myndighets verksam- het som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i skatteförvaltningens beskattnings- verksamhet och tulldatabasen enligt lagen (2001:185) om behandling av
140Prop. 1985/86:155, med förslag till utsökningsregisterlag m.m., s.
1259
Offentlighet och sekretessfrågor |
SOU 2023:100 |
uppgifter i Tullverkets verksamhet för uppgift som har tillförts databaserna samt hos kommun eller landsting för uppgift som har lämnats dit i ett ärende om förhandsbesked i skatte- eller taxeringsfråga. Uppgift hos Tullverket får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i mål hos dom- stol gäller sekretessen endast om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av överklagande hos domstol registreras hos annan myndig- het enligt 15 kap. 2 § första stycket 3 eller 4. Har uppgift i mål hos dom- stol erhållits från annan myndighet och är den sekretessbelagd där, gäller dock denna sekretess hos domstolen, om uppgiften saknar betydelse i målet.
När det gäller bestämmelsen i 9 kap. 19 § andra stycket sekretess- lagen ändrades denna till följande lydelse.
Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i kronofogdemyndigheternas verksamhet för uppgift som har tillförts databasen.
Samtidigt ändrades 9 kap. 19 § första stycket första meningen så att sekretessen inom exekutionsväsendet gällde i mål eller ärende angående utsökning och indrivning samt i verksamhet enligt lagen (1986:436) om näringsförbud, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte stod klart att uppgiften kunde röjas utan att den enskilde eller någon honom närstående lider skada eller men.141 Sekretessbestämmelsen kom därmed att innehålla ett omvänt skaderekvisit, dvs. presumtion för sekretess, i stället för det tidigare raka skaderekvisitet. Ändringen skärpte därmed även den sekretess som tidigare hade gällt för förande av eller uttag ur utsök- ningsregistret.
Avseende ändringen av 9 kap. 1 § sekretesslagen uttalades i för- arbetena att den föranleddes av införandet av lagen om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet och lagen om behandling av uppgifter i Tullverkets verksamhet. Vidare angavs att sekretess också skulle gälla för förande av eller uttag av uppgifter ur tulldatabasen. I samband härmed gavs dåvarande Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna direktåtkomst till tulldatabasen.142
141Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
142Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
1260
SOU 2023:100 |
Offentlighet och sekretessfrågor |
Det kan här nämnas att i samband med att den numera upphävda lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet infördes, gjordes ändringar av ordalydelsen i då gällande 9 kap. 1 § första sekretesslagen avseende bl.a. databas- sekretessen. Ändringarna gjordes så att det tydligt skulle framgå att sekretess med omvänt skaderekvisit gällde för uppgifter i tulldata- basen samt att motsvarande sekretess skulle gälla för de uppgifter som andra myndigheter än Tullverket hade tillgång till genom direkt- åtkomst till tulldatabasen.143
Databassekretessen efter införandet av offentlighets- och sekretesslagen
När den nu gällande offentlighets- och sekretesslagen trädde i kraft 2009, genom vilken sekretesslagen upphävdes, infördes bestämmel- serna om databassekretess i 27 kap. 1 § andra stycket 1144, 27 kap. 3 § andra stycket145 och 34 kap. 2 § första stycket OSL146.
De nuvarande bestämmelserna om databassekretessen har samma placeringar och innehåll som vid införandet av offentlighets- och sekretesslagen.
15.5.2Utvecklingen efter införandet av databassekretessen
Lagstiftarens senare uttalanden om databassekretessens räckvidd
Sedan införandet av databassekretessen har lagstiftaren gjort olika uttalanden i fråga om vad som omfattas av denna. Uttalandena rör framför allt Skatteverkets beskattningsverksamhet.
I samband med att Kronofogdemyndighetens offensiva borgenärs- uppgifter fördes över till Skatteverket, dvs. bl.a. uppgiften att ansöka om likvidation och ansöka om konkurs och bevaka det allmännas fordran i konkurs, gjordes vissa uttalanden i förarbetena om sekre- tess och dataskydd. De uppgifter som behövde finnas vid utförandet av de offensiva borgenärsåtgärderna fanns tidigare hos Kronofogde-
143Prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s.
144Motsvarar 9 kap. 1 § första stycket andra meningen sekretesslagen.
145Motsvarar 9 kap. 1 § första stycket femte meningen sekretesslagen.
146Motsvarar 9 kap. 19 § tredje stycket sekretesslagen.
1261
Offentlighet och sekretessfrågor |
SOU 2023:100 |
myndigheten, där de omfattades av sekretess enligt dåvarande 9 kap.
19§ sekretesslagen vilken omfattade Kronofogdemyndighetens verk- samhet med utsökning och indrivning. För uppgifterna gällde alltså sekretess med omvänt skaderekvisit. När Skatteverket tog över de offensiva borgenärsuppgifterna skulle motsvarande information i stäl- let finnas hos Skatteverket. En fråga som då uppkom var om uppgif- terna skulle omfattas av absolut sekretess eller sekretess med ett om- vänt skaderekvisit. Regeringen ansåg att sekretess med ett omvänt skaderekvisit fortsatt skulle gälla. Vidare anfördes att i ett speciellt hänseende var det av bl.a. såväl tekniska som systematiska skäl svårt att undvika en skärpning av sekretessen. Det gällde enligt regeringen de fall då uppgifter ur ärenden enligt lagen om Skatteverkets hanter- ing av vissa borgenärsuppgifter kunde komma att behandlas i be- skattningsdatabasen vari absolut sekretess gällde. Regeringen ansåg att insynsintresset vad gällde de uppgifter ur ärenden av det aktuella slaget som lades in i databasen var tillgodosett i tillräcklig mån genom att uppgifterna kunde begäras ut ur ärendet, där omvänt skaderekvisit skulle gälla. I den utsträckning som uppgifter i ärenden tillfördes beskattningsdatabasen skulle de alltså att vid behandlingen i denna komma att omfattas av absolut sekretess.147
När det ursprungliga systemet för stöd vid korttidsarbete infördes, för vilket Skatteverket var handläggande myndighet, uttalade reger- ingen att i det fall uppgifter i ärenden om stöd vid korttidsarbete behandlades i beskattningsdatabasen skulle 27 kap. 1 § andra stycket 1 OSL aktualiseras, dvs. databassekretessen. Regeringen bedömde, i lik- het med vad som uttalades avseende ärenden om vissa borgenärs- uppgifter, att insynsintresset vad gäller de uppgifter i ärenden om stöd vid korttidsarbete som lades in i databasen fick anses tillgodo- sett i tillräcklig mån genom att uppgifterna kunde begäras ut ur ären- det, där omvänt skaderekvisit skulle gälla.148
I samband med att det i 28 kap. 12 § OSL infördes ett undantag från sekretessen i den bestämmelsen avseende beslut om stöd i ärende enligt lagen (2013:948) om stöd vid korttidsarbete eller föreskrifter som har meddelats i anslutning till den lagen aktualiserades vissa frågor om databassekretessen i Skatteverkets beskattningsverksam- het. Enligt 28 kap. 12 § OSL gällde då sekretess med ett omvänt
147Prop. 2006/07:99, En fristående kronofogdemyndighet m.m., s.
148Prop. 2013/14:1, Förslag till statens budget för 2014, finansplan och skattefrågor, s. 380.
1262
SOU 2023:100 |
Offentlighet och sekretessfrågor |
skaderekvisit.149 Skatteverket hade i remissvar ansett att ändringen av 28 kap. 12 § OSL inte skulle få avsedd effekt för beslut om stöd vid korttidsarbete som fattades av Skatteverket. Vid dessa förhållan- den bedömde Skatteverket att det skulle uppkomma en regelkonkur- rens mellan sekretessen i 28 kap. 12 § och databassekretessen i 27 kap. 1 § andra stycket 1 OSL. Eftersom denna databassekretess var abso- lut hade den enligt Skatteverket företräde framför den svagare sekre- tessen i 28 kap. 12 § OSL (jfr 7 kap. 3 § OSL). Då det tillägg som föreslogs i 28 kap. 1 § OSL om undantag från sekretess för vissa be- slut inte gällde i förhållande till databassekretessen i 27 kap. 1 § andra stycket 1 OSL, menade Skatteverket att besluten inte skulle vara undan- tagna från sekretess hos Skatteverket. Skatteverket grundade sin be- dömning av databassekretessens räckvidd bl.a. på Högsta förvaltnings- domstolens uttalanden i avgörandet HFD 2020 ref. 36 (se nedan).150
Regeringen ansåg dock att det fanns stöd i tidigare förarbeten gällande stöd vid korttidsarbete och Skatteverkets hantering av vissa borgenärsuppgifter för att databassekretessen inte skulle tillämpas när en uppgift användes i en annan del av Skatteverkets verksamhet
–dvs. i verksamhet som avsåg ärendehantering och som omfattades av sekretessbestämmelser med skaderekvisit som avvek från den absoluta databassekretessen. Enligt regeringen kunde slutsatsen att de angivna förarbetsuttalandena saknar giltighet inte dras av avgör- andet i HFD 2020 ref. 36 då det rörde uppgifter på ett skattekonto och hade, såvitt framgick, inte samband med något särskilt ärende. Regeringens uppfattning var mot denna bakgrund att det inte fanns någon konkurrens mellan den föreslagna lydelsen av 28 kap. 12 § OSL och bestämmelsen om databassekretess i 27 kap. 1 § andra stycket 1 OSL, som kunde aktualiseras för det fall Skatteverket var handläg- gande myndighet för stödet. Någon ytterligare bestämmelse än den föreslagna lagändringen i 28 kap. OSL krävdes därför inte för att säker- ställa att beslut i ärenden om korttidsstöd inte omfattades av sekre- tess hos Skatteverket.151 Motsvarande bedömningar har gjorts av regeringen även i senare lagstiftningsärenden.152 Vad gäller exempel- vis uppgifter som behövs för handläggning av elstöd till företag får
149I dag gäller sekretess enligt 28 kap. 12 § OSL med ett rakt skaderekvisit, jfr prop. 2021/22:216, Förbättrade förutsättningar för den arbetsmarknadspolitiska verksamheten, s.
150Prop. 2020/21:168, Undantag från sekretess för beslut om stöd vid korttidsarbete, s. 14.
151Prop. 2020/21:168, Undantag från sekretess för beslut om stöd vid korttidsarbete, s.
152Se prop. 2021/22:77, Handläggande myndighet för ärenden om stöd vid korttidsarbete, s.
1263
Offentlighet och sekretessfrågor |
SOU 2023:100 |
dessa i dag behandlas i beskattningsdatabasen.153 Regeringen uttalade i en proposition att handläggning av ärenden om sådana elstöd om- fattas av sekretessreglerna i 30 kap. 23 § OSL. Vidare uttalade reger- ingen i detta sammanhang att databassekretessen i 27 kap. 1 § andra stycket 1 OSL omfattar uppgifter som Skatteverket lagrar i databasen, men som inte ingår i handläggningen av ett ärende, exempelvis upp- gifter om elförbrukning för företag som väljer att inte söka elstöd.154
Vidare har regeringen bedömt att vissa analyser som Skatteverket ska utföra i beskattningsdatabasen med hjälp av uppgifter som Skatte- verket får med stöd av rådets direktiv (EU) 2018/822 av den 25 maj 2018 om ändring av direktiv 2011/16/EU vad gäller obligatoriskt automatiskt utbyte av upplysningar i fråga om beskattning som rör rapporteringspliktiga gränsöverskridande arrangemang (DAC 6) och lagen (2020:434) om rapporteringspliktiga arrangemang omfattas av databassekretessen i 27 kap. 1 § andra stycket OSL när analysarbetet utförs i databasen.155
HFD 2020 ref. 36
I ett avgörande från Högsta förvaltningsdomstolen, HFD 2020 ref. 36, var frågan i vilken utsträckning uppgifter på ett skattekonto omfattades av sekretess. De bakomliggande omständigheterna var att en person hade begärt att hos Skatteverket få ta del av allmänna hand- lingar i form av utskrift från skattekontot avseende en viss angiven period för dels en fysisk, dels en juridisk person. Ett sådant utdrag kunde innehålla uppgifter om t.ex. debiterade skatter och avgifter liksom skatteinbetalningar och tillgodoförda belopp samt ränta.
HFD konstaterade att de uppgifter som Skatteverket hade sekre- tessbelagt var registrerade på skattekonton och avsåg enskilds per- sonliga eller ekonomiska förhållanden i den mening som avses i 27 kap. 1 § andra stycket 1 OSL. Enligt Högsta förvaltningsdom- stolen omfattades därför uppgifterna av databassekretess enligt den bestämmelsen. Vidare uttalade domstolen att eftersom samtliga upp- gifter som hade begärts ut omfattades av databassekretess fanns det
1532 kap. 3 § första stycket 13 SdbL.
154Prop. 2022/23:107, Vissa förfarandefrågor för elstöd till företag, s. 33.
155Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 171.
1264
SOU 2023:100 |
Offentlighet och sekretessfrågor |
inte någon anledning att pröva om någon av de begärda uppgifterna också omfattades av skattesekretess enligt 27 kap. 1 § första stycket.
15.5.3Ändringar av den sekretess som i dag avser förande av eller uttag ur databaser
Vårt förslag: De bestämmelser om sekretess i offentlighets- och sekretesslagen som i dag omfattar verksamhet som avser förande av eller uttag ur Skatteverkets beskattningsdatabas, Tullverkets tulldatabas och Kronofogdemyndighetens utsöknings- och indriv- ningsdatabas ska ändras så att sekretessen gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som respektive myndighet använder i viss verksamhet som avses i beskattnings- datalagen, tulldatalagen och kronofogdedatalagen.
Sekretessen ska avseende Kronofogdemyndigheten endast vara tillämplig i myndighetens verksamhet med utsökning och indriv- ning samt ansökan om och tillsyn över näringsförbud.
Sekretessen ska inte gälla om det finns en annan primär sekre- tessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket, Tullverket eller Kronofogdemyndigheten.
Skälen för vårt förslag
En sekretessreglering i förändring
Det kan konstateras att de nuvarande bestämmelserna om databas- sekretess ursprungligen infördes i samband med att andra myndig- heter fick möjlighet att ha direktåtkomst till det dåvarande skatte- registret, tullregistret och utsökningsregistret. Såvitt framgår av förarbetena har tanken inte varit att i någon högre grad ändra detta förhållande när sekretessbestämmelserna om förande av eller uttag ur beskattningsdatabasen, tulldatabasen respektive utsöknings- och indrivningsdatabasen infördes. Införandet av sekretessbestämmelserna har alltså till synes inte i första hand varit att tillskapa sekretessregler med ett visst skaderekvisit som gäller primärt hos de myndigheter som innehar respektive databas. Utformningen av bestämmelserna
1265
Offentlighet och sekretessfrågor |
SOU 2023:100 |
är dock sådan att sekretessen även gäller primärt hos Skatteverket, Tullverket och Kronofogdemyndigheten.
Begreppet förande av eller uttag ur ett visst register hade ursprung- ligen innebörden att den sekretess som gällde hos den registerförande myndigheten blev tillämplig också hos myndigheter som hade direkt- åtkomst till registret, så länge uppgifterna var kvar i registret. Gjordes ett utdrag ur registret eller användes uppgifter ur detta på annat sätt i den myndighets verksamhet som hade direktåtkomst till uppgif- terna blev sekretessbestämmelserna för denna verksamhet i stället tillämpliga.156 I dåvarande 9 kap. 1 § och 9 kap. 19 § OSL formulera- des detta bl.a. som att ”motsvarande” sekretess som gällde i beskatt- ningsverksamheten, Tullverkets verksamhet respektive utsöknings- verksamheten skulle gälla hos myndigheter som hade direktåtkomst till registren. Den huvudsakliga tanken med regleringen har alltså, såvitt vi kan bedöma, varit att de uppgifter i t.ex. skatteregistret som omfattades av absolut sekretess också skulle omfattas av absolut sekre- tess vid de myndigheter som hade direktåtkomst till uppgifterna så länge de fanns kvar i registret och inte hade plockats ut för att an- vändas i de mottagande myndigheternas verksamheter. Motsvarande gällde för tullregistret och utsökningsregistret. Systematiken synes alltså från början ha varit att alla de uppgifter som t.ex. Tullverket och Kronofogdemyndigheten hade tillgång till i skatteregistret redan omfattades av absolut sekretess.
I dag får det emellertid finnas fler uppgifter i beskattningsdata- basen än vad som fanns i skatteregistret.157 Vissa av de uppgifter som i dag finns i beskattningsdatabasen omfattas dock, när de förekom- mer i ärenden, av sekretess med skaderekvisit. Exempelvis omfattas uppgifter som behandlas vid handläggning enligt lagen om Skatte- verkets hantering av vissa borgenärsuppgifter av sekretess med ett omvänt skaderekvisit (27 kap. 2 § andra stycket OSL). Detta får möj- ligen till följd att den ursprungliga tanken avseende sekretess vid för- ande av och uttag ur register, dvs. att samma sekretess som gällde hos registerförande myndigheter också skulle gälla vid myndigheter som hade direktåtkomst till uppgifterna i registret, inte fullt ut kan anses gälla i fråga om databassekretessen som i dag regleras i 27 kap. och 34 kap. OSL. Detta gäller framför allt avseende Skatteverkets
156Prop. 1985/86:155, med förslag till utsökningsregisterlag m.m., s. 27.
157Jfr SOU 1999:105, Skatt – Tull – Exekution – Normer för behandling av personuppgifter, s.
1266
SOU 2023:100 |
Offentlighet och sekretessfrågor |
beskattningsdatabas som innehåller flera uppgifter som inte omfat- tas av absolut skattesekretess enligt 27 kap. 1 § OSL. Det kan här även nämnas att lagstiftaren verkar ha förutsatt att uppgifter som behandlas i syfte att handlägga ärenden också ska utgöra en del av de reglerade databaserna.158
Vi har inte kunnat identifiera att motsvarande gäller i lika hög grad för Tullverket eller Kronofogdemyndigheten eftersom de upp- gifter som omfattas av respektive bestämmelse om databassekretess också omfattas av sekretessen i 27 kap. 3 § första stycket respektive 34 kap. 1 § OSL.
Den möjliga förändring, eller förskjutning, av databassekretessen som vi här har uppmärksammat har i andra lagstiftningsärenden så- vitt framgår hanterats så att lagstiftaren konstaterat att databassekre- tessen inte ska tillämpas när en uppgift används i en annan del av Skatteverkets verksamhet – dvs. i verksamhet som avser ärende- handläggning och som omfattas av sekretessbestämmelser med skade- rekvisit som avviker från den absoluta databassekretessen.159 Det har även uttalats att Högsta förvaltningsdomstolens avgörande i HFD 2020 ref. 36 rörde uppgifter på ett skattekonto och hade, såvitt framgick, inte samband med något särskilt ärende. Regeringen har därför anfört att slutsatsen att tidigare förarbetsuttalanden saknar giltighet inte kan dras av detta avgörande.160
Mot bakgrund av lagstiftarens intentioner som kommer till ut- tryck i olika förarbeten får rättsläget enligt vår uppfattning anses vara sådant att det inte bör uppstå konkurrens mellan primära sekre- tessbestämmelser som gäller i myndigheternas verksamhet med ärende- handläggning, och därtill hörande undantag, och bestämmelserna om databassekretess. Uttalandena i förarbetena har gjorts i samband med ändringar eller tillförande av uppgifter till Skatteverket, men bör anses ha giltighet även i förhållande till den databassekretess som gäller i Tullverkets och Kronofogdemyndighetens verksamheter då databas- regleringen är konstruerad på samma sätt för berörda myndigheter. Det kan dock ifrågasättas om lagstiftarens intentioner tydligt kom- mer till uttryck genom den nuvarande regleringen i offentlighets- och sekretesslagen.
158Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
159Se t.ex. prop. 2020/21:168, Undantag från sekretess för beslut om stöd vid korttidsarbete, s.
160Prop. 2020/21:168, Undantag från sekretess för beslut om stöd vid korttidsarbete, s. 14.
1267
Offentlighet och sekretessfrågor |
SOU 2023:100 |
Ändrade sekretessbestämmelser i offentlighets- och sekretesslagen
Vår uppfattning är att motsvarande sekretess som i dag gäller vid förande av eller uttag ur beskattningsdatabasen, tulldatabasen och kronofogdedatabasen fortsatt ska gälla vid andra myndigheters direkt- åtkomst till sådana uppgifter som i dag behandlas i databaserna vid respektive myndighet. Vår avsikt är alltså inte att våra övriga förslag ska innebära någon saklig förändring med avseende på den sekretess som gäller vid sådan direktåtkomst. Vi avser inte heller att försvaga den primära sekretess som i dag gäller vid Skatteverket, Tullverket och Kronofogdemyndigheten genom bestämmelserna om databas- sekretess.
Våra förslag till beskattningsdatalag, tulldatalag och kronofogde- datalag kommer dock till skillnad från i dag inte att innefatta någon reglering av särskilda samlingar uppgifter som med hjälp av automa- tiserad behandling används gemensamt i verksamheterna, s.k. data- baser. Det innebär att den nuvarande sekretessen i 27 kap. 1 § andra stycket 1, 27 kap. 3 § andra stycket och 34 kap. 2 § första stycket OSL inte enbart kan ändras genom att byta ut hänvisningarna till skattedatabaslagen, tulldatabaslagen och kronofogdedatabaslagen mot hänvisningar till beskattningsdatalagen, tulldatalagen och kronofogde- datalagen. Bestämmelserna kan nämligen inte längre avse förande av eller uttag ur beskattningsdatabasen, tulldatabasen och kronofogde- databasen. Frågan är hur de nuvarande reglerna om databassekretess kan ändras utan att det medför några egentliga sakliga förändringar av bestämmelsernas innehåll och betydelse.
Inledningsvis kan nämnas att sekretessbestämmelsen i 11 kap. 4 § OSL om direktåtkomst är en bestämmelse om överföring av sekre- tess. Den bestämmelsen utgör alltså inte en primär sekretessbestäm- melse vid Skatteverket, Tullverket och Kronofogdemyndigheten. Dessutom går andra primära sekretessbestämmelser till skydd för samma intresse som är tillämpliga på uppgifterna hos de mottagande myndigheter som har direktåtkomst till uppgifter vid berörda myn- digheter före sekretessen som gäller enligt 11 kap. 4 § OSL.161 Be- stämmelsen är därmed inte tillräcklig för att uppnå ett adekvat och likvärdigt skydd för uppgifterna på det sätt som gäller i dag. Vi be- dömer därför att det särskilda sekretesskyddet som gäller för uppgif-
16111 kap. 8 § OSL.
1268
SOU 2023:100 |
Offentlighet och sekretessfrågor |
ter i beskattningsdatabasen, tulldatabasen och utsöknings- och indriv- ningsdatabasen bör finnas kvar.
Vi anser att de nuvarande sekretessbestämmelserna som reglerar databassekretessen ska ändras så att sekretess gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som respektive myn- dighet använder i viss verksamhet som avses i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen. Sekretessreglernas föremål ska i övrigt inte ändras, och inte heller dess styrka. Vidare ska sekre- tessen avseende Kronofogdemyndigheten endast vara tillämplig i verk- samhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud (se nedan).
Med uttryckssättet ”vid förande av eller uttag ur en automatiserad uppgiftssamling” avses ingen egentlig förändring av innebörd i för- hållande till förande av eller uttag ur beskattningsdatabasen, tulldata- basen eller utsöknings- och indrivningsdatabasen. Formuleringen innebär alltså att den sekretess som gäller hos berörda myndigheter blir tillämplig också hos myndigheter som har direktåtkomst till uppgifter som behandlas automatiserat hos Skatteverket, Tullverket och Kronofogdemyndigheten i uppgiftssamlingar som är gemensamt tillgängliga, så länge de anslutna myndigheterna inte tar ut uppgifter och använder dessa i sina egna verksamheter på något sätt. Då blir sekretessbestämmelserna för dessa verksamheter i stället tillämpliga. Vid direktåtkomst till uppgifter i Skatteverkets beskattningsverksam- het kommer alltså absolut sekretess att gälla, och till uppgifter i Tull- verkets verksamhet och Kronofogdemyndighetens verksamhet med utsökning och indrivning samt näringsförbud kommer sekretess med ett omvänt skaderekvisit att gälla. På samma sätt som gäller i dag kommer bestämmelserna även att gälla som primära sekretessbestäm- melser vid Skatteverket, Tullverket och Kronofogdemyndigheten, likväl som hos direktanslutna myndigheter.
Uttrycket ”förande av eller uttag ur” har visserligen vanligen an- vänts för förande av eller uttag ur olika regelrätta register, eller som för Skatteverket, Tullverket och Kronofogdemyndigheten, data- baser.162 Vi har därför övervägt om det är mindre lämpligt att använda detta uttryckssätt för att avgränsa sekretessen efter upphävandet av den särskilda databasregleringen i de nuvarande registerförfattning- arna. Vi anser dock att det fortsatt är ett adekvat och ändamålsenligt uttryckssätt för att det tydligt ska framgå vad som gäller i sekretess-
162Se t.ex. 18 kap. 10 §, 22 kap. 1 § första stycket 2 och 35 kap. 3 § första stycket OSL.
1269
Offentlighet och sekretessfrågor |
SOU 2023:100 |
hänseende när andra myndigheter har direktåtkomst till de berörda myndigheternas automatiserade uppgiftssamlingar. Begreppen ”för- ande av och uttag ur” korresponderar nämligen med varandra på så sätt att det är en viss myndighet som utför ”förandet” av uppgifterna som en annan myndighet kan ges tillgång till genom uttag av samma uppgifter.
Med ”automatiserad uppgiftssamling” avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer av- gränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av myndigheternas respek- tive verksamhet till vilken andra myndigheter kan ha direktåtkomst. Genom lydelsen en automatiserad uppgiftssamling som Skatteverket, Tullverket respektive Kronofogdemyndigheten använder i viss verk- samhet är avsikten att de ändrade sekretessbestämmelserna ska ha samma räckvidd som de nu gällande bestämmelserna om databas- sekretess. Sekretessen omfattar alltså inte automatiserade uppgifts- samlingar som har tagits fram av enskilda medarbetare och som normalt endast är åtkomliga för den enskilde medarbetaren och t.ex. systemadministratörer vid myndigheterna. Sekretessbestämmelserna omfattar i stället större strukturerade och systematiserade automati- serade uppgiftssamlingar vid myndigheterna, som det också kan bli aktuellt att ge andra myndigheter direktåtkomst till. De gäller där- med inte tillfälliga uppgiftssamlingar som endast finns tillgängliga för en medarbetare på dennes enskilda lagringsutrymme på en server eller i en dator, eller för en mindre arbetsgrupp i samband med att gruppen hanterar vissa uppgifter vid arbete med t.ex. ordbehandling för framtagande av dokument.163 Det är Skatteverket, Tullverket eller Kronofogdemyndigheten som myndigheter som ska ha tagit fram uppgiftssamlingarna för användning i respektive verksamhet.
Genom att sekretessreglerna föreslås innehålla uttryckssättet ”i verksamhet som avses i 2 § beskattningsdatalagen, 2 § tulldatalagen respektive 2 § kronofogdedatalagen” blir det tydligt att sekretessen gäller i samma verksamheter som i dag. Formuleringen innebär vidare att även uppgifter om juridiska personer och i förekommande fall uppgifter om avlidna personer (jfr RÅ 2007 ref. 16) kommer att om- fattas av sekretessbestämmelserna på samma sätt som gäller i dag.164
163Jfr prop. 2000/03:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
164Jfr 1 kap. 1 § andra stycket SdbL, 1 kap. 1 § andra stycket TDL och 1 kap. 1 § andra stycket KFMdbL.
1270
SOU 2023:100 |
Offentlighet och sekretessfrågor |
De aktuella hänvisningarna bedöms vara nödvändiga eftersom vi föreslår att beskattningsdatalagen, tulldatalagen och kronofogde- datalagen som utgångspunkt inte ska omfatta uppgifter om juridiska personer eller avlidna (se avsnitten 7.4.2 och 7.4.3).
Vidare kommer den ändrade lydelsen enligt vår uppfattning inte att påverka befintliga undantag från sekretess eller sekretessbrytande bestämmelser som föreskrivs i t.ex. 27 kap. 6 och 7 §§ OSL.
Nya undantag från sekretessen
Som ovan framgår har lagstiftaren i flera lagstiftningsärenden gett uttryck för att det inte uppstår konkurrens mellan databassekretessen enligt 27 kap. 1 § andra stycket 1 OSL och andra primära sekretess- bestämmelser som gäller vid handläggning av vissa ärenden i verk- samhet vid Skatteverket. Att databassekretessen i dag är tillämplig på ”förande av eller uttag ur beskattningsdatabasen” innebär vidare enligt regeringen att sekretessen omfattar uppgifter som Skatteverket lagrar i databasen, men som inte ingår i handläggningen av ett ärende, exempelvis uppgifter om elförbrukning för företag som väljer att inte söka elstöd. Databassekretessen ska dock inte tillämpas när en upp- gift används i en annan del av Skatteverkets verksamhet – dvs. i verk- samhet som avser ärendehantering och som omfattas av sekretess- bestämmelser med skaderekvisit som avviker från den absoluta databassekretessen.165 Uttalandena stämmer överens med vad som gäller avseende sekretess för uppgifter som andra myndigheter har tillgång till i t.ex. beskattningsdatabasen.
Vi anser att det bör införas nya undantag från de ändrade sekre- tessreglerna för Skatteverket, Tullverket och Kronofogdemyndig- heten. Undantagen ska formuleras så att sekretessen vid förande av eller uttag ur en automatiserad uppgiftssamling inte gäller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket, Tullverket eller Kronofogdemyndigheten. Dessa undantag kommer därmed att reglera vad som gäller vid be- rörda myndigheters egen hantering av aktuella uppgifter när de finns hos myndigheterna. Avsikten är att lagfästa och därigenom tydlig- göra vad som redan får anses gälla enligt lagstiftarens uttalanden i
165Prop. 2022/23:107, Vissa förfarandefrågor för elstöd till företag, s. 33.
1271
Offentlighet och sekretessfrågor |
SOU 2023:100 |
olika förarbeten (se avsnitt 15.5.2 ovan). Genom undantagen kommer det även att vara tydligt att eventuella undantag från den primära sekretessen i sekretessregler som ska tillämpas i verksamhet med ärendehandläggning kan tillämpas trots den aktuella sekretessen, så- som t.ex. undantaget i 28 kap. 12 § andra stycket OSL.
Hänvisningen till vissa bestämmelser om primär sekretess i 21 kap. OSL innebär att om t.ex. sekretessbestämmelsen i 21 kap. 1 § OSL är tillämplig i ett ärende, då gäller ändå sekretessen i tillämpliga fall enligt 27 kap. 1 § andra stycket 1, 27 kap. 3 § andra stycket eller 34 kap. 2 § första stycket OSL, vilka föreskriver starkare eller lika stark sekretess som de aktuella bestämmelserna i 21 kap. OSL. På detta sätt försvagas inte det skydd som redan kan finnas för sådana upp- gifter i myndigheternas ärendehandläggning.
Vi anser att undantagen ska införas avseende samtliga tre myndig- heter även om uttalandena i förarbetena har gjorts avseende Skatte- verkets beskattningsverksamhet. Vi har inte funnit att det föreligger någon saklig skillnad mellan den nu gällande regleringen av databas- sekretessen för de olika databaserna som föranleder att någon skill- nad görs myndigheterna emellan.
De föreslagna bestämmelserna om undantag bör införas i 27 kap. 1 § fjärde stycket, 27 kap. 3 § andra stycket och 34 kap. 2 § andra stycket OSL, dvs. i samband med andra redan befintliga undantag respektive i nära anslutning till bestämmelserna som undantagen gäller i förhållande till.
Särskilt om sekretessen vid Kronofogdemyndigheten
I dag gäller som nämnts sekretessen i 34 kap. 2 § första stycket OSL i verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt kronofogdedatabaslagen. Sekretessen är således inte tillämplig på uppgifter i t.ex. skuldsaneringsdatabasen eller konkurstillsynsdatabasen.
När det gäller Kronofogdemyndigheten blir det mot denna bak- grund viktigt att avgränsa den ändrade sekretessen till bl.a. myndig- hetens verksamhet med utsökning och indrivning för att inte åstad- komma några sakliga förändringar. Av den ändrade lydelsen av 34 kap. 2 § första stycket OSL ska det därför framgå att sekretessen gäller i verksamhet med utsökning och indrivning som omfattas av
1272
SOU 2023:100 |
Offentlighet och sekretessfrågor |
kronofogdedatalagen. Det avgörande för sekretessens räckvidd blir därmed vad som avses med utsökning och indrivning, på samma sätt som innehållet i utsöknings- och indrivningsdatabasen avgör räck- vidden i dag.
I förarbetena till den nu gällande kronofogdedatabaslagen angavs emellertid även att i utsöknings- och indrivningsdatabasen skulle be- handlas uppgifter avseende ansökan om och tillsyn över näringsförbud. Därmed skulle även dessa uppgifter komma att omfattas av sekre- tessen enligt den tidigare bestämmelsen i 9 kap. 19 § andra stycket sekretesslagen när de ingick i databasen. Enligt regeringens mening borde det råda överensstämmelse mellan vilken sekretess som gäller för uppgifter i databasen respektive för uppgifter i den verksamhet för vilken databasen förs.166 Detta borde innebära att databassekre- tessen motsvarar den sekretess som i dag omfattas av 34 kap. 1 § första stycket OSL vilken omfattar mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen om näringsförbud.
Med utsökning och indrivning ska i den ändrade sekretessregeln i 34 kap. 2 § OSL avses samma verksamhet som i dag omfattas av databassekretessen i utsöknings- och indrivningsdatabasen – vilken alltså i sig har en koppling till den sekretess som gäller enligt 34 kap. 1 § första stycket OSL. Vidare anser vi att sekretessen ska motsvara Kronofogdemyndighetens verksamhet med utsökning och indrivning såsom det anges i den föreslagna bestämmelsen i 2 § första stycket i kronofogdedatalagen. Det ska även anges att sekretessen gäller myn- dighetens verksamhet med ansökan om och tillsyn över närings- förbud för att det inte ska ske några förändringar av sekretessen i sak. Den föreslagna bestämmelsen i 2 § kronofogdedatalagen är i sin tur inte avsedd att omfatta någon annan verksamhet än vad som anges i 1 kap. 1 § KFMdbL i dag (se avsnitt 7.4.8).
I dag får uppgifter i utsöknings- och indrivningsdatabasen be- handlas för att tillhandahålla information som behövs i Kronofogde- myndighetens verksamhet för verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar m.m., avräkning vid återbetalning av skatter och avgifter, ansökan om och tillsyn över näringsförbud, förebyggande av överskuldsättning och information om skuldsanering och
166Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 192.
1273
Offentlighet och sekretessfrågor |
SOU 2023:100 |
tillsyn, kontroll, uppföljning och planering av verksamheten. Samt- liga uppgifter som behandlas inom ramen för dessa verksamheter kommer därmed att omfattas av den ändrade sekretessbestämmelsen. Det handlar om uppgifter om en fysisk persons identitet, bosättning och familjeförhållanden, en juridisk persons identitet, säte, firma- tecknare och andra företrädare, en enskilds ekonomiska förhållanden, näringsförbud, egendom som berörs i ett mål, yrkanden och grunder i ett mål eller ärende, beslut, betalning, redovisning och övriga åtgär- der i ett mål eller ärende, och Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål. Vidare innefattas uppgifter som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande.167 Också uppgifter som i dag räknas upp i 2 § förordningen (2001:590) om behandling av uppgifter i Krono- fogdemyndighetens verksamhet kommer fortsatt att omfattas av sekre- tess enligt den ändrade lydelsen eftersom lagstiftaren redan har be- dömt att uppgifterna har koppling till Kronofogdemyndighetens verksamhet med utsökning och indrivning.
I de fall andra myndigheter har direktåtkomst till Kronofogde- myndighetens automatiserade uppgiftssamlingar som innefattar så- dana uppgifter som nu har nämnts kommer de alltså fortsatt att omfattas av sekretess med ett omvänt skaderekvisit så länge uppgif- terna inte tas ut och används i den mottagande myndighetens verk- samhet. Uppgifterna kommer vidare, likt i dag, att omfattas av mot- svarande sekretess i Kronofogdemyndighetens egen verksamhet.
Ytterst kommer det att vara upp till rättstillämpningen att avgöra vad som hör till framför allt verksamhet med utsökning och indriv- ning i de fall det föreligger tveksamhet om detta. Om Kronofogde- myndigheten framöver får ytterligare uppgifter som inte tydligt hör till verksamheten med utsökning och indrivning, får lagstiftaren göra denna bedömning om så är fallet i respektive lagstiftningsärende där detta kan bli aktuellt.
167Jfr 2 kap. 5 § KFMdbL.
1274
SOU 2023:100 |
Offentlighet och sekretessfrågor |
Konsekvenser av ändrade sekretessregler
En fråga som uppkommer med anledning av våra förslag till ändrade sekretessregler är om sekretessens räckvidd som primära sekretess- bestämmelser i de aktuella verksamheterna vid Skatteverket, Tull- verket och Kronofogdemyndigheten blir vidare genom att bestäm- melserna inte längre kommer att ha en koppling till en reglering likt den nu gällande databasregleringen som räknar upp vilka uppgifter som får finnas i respektive databas.
Mot bakgrund av hur databasregleringen är utformad i dag, be- handlas den absoluta majoriteten av uppgifter i Skatteverkets beskatt- ningsverksamhet, Tullverkets verksamhet och Kronofogdemyndig- hetens verksamhet som här är aktuella i beskattningsdatabasen, tull- databasen respektive utsöknings- och indrivningsdatabasen. Det före- kommer dock att vissa uppgifter behandlas utanför databaserna. Till exempel har Skatteverket beskrivit den situationen då en mindre grupp tjänstemän arbetar med ett särskilt ärende avseende revision på ett sätt som innebär att uppgifterna inte bedöms vara gemensamt tillgängliga.168 En stor del av de uppgifter som då behandlas hämtas dock in från beskattningsdatabasen och behandlingen är ofta till- fällig. Vidare kan frågan ställas om t.ex. även uppgifter på enskilda tjänstemäns datorer och lagringsytor på dessa kommer att omfattas av databassekretessen på ett sätt som inte gäller i dag.
Enligt vår bedömning bör förslagen inte innebära någon större saklig skillnad i fråga om vilka uppgifter som kommer att omfattas av den aktuella sekretessen. Som nämnts behandlas redan den största delen av alla uppgifter vid myndigheterna i dag automatiserat inom myndigheternas databaser. Myndigheterna får vidare, liksom i dag, endast behandla uppgifter som är nödvändiga att behandla för att utföra sina författningsreglerade uppgifter. Utöver detta är lydelsen i fråga om att de automatiserade uppgiftssamlingarna ska användas av myndigheterna för de aktuella verksamheterna avsedd att förtyd- liga att sekretessen inte heller fortsättningsvis omfattar sådana upp- giftssamlingar som endast en eller ett fåtal tjänstemän har tillgång till. I fråga om uppgifter i t.ex. föredragningspromemorior, utkast till beslut eller liknande som finns på enskilda tjänstemäns datorer är dessa inte heller i regel att betrakta som allmänna handlingar enligt reglerna i 2 kap. TF. Uppgifter som enskilda medarbetare i övrigt
168Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 91.
1275
Offentlighet och sekretessfrågor |
SOU 2023:100 |
kan ha på sina lokala lagringsutrymmen i datorer och som utgör all- männa handlingar hör i regel till ärendehandläggningen vid myndig- heterna vilka alltså omfattas av den sekretess som gäller i det aktuella ärendet. Uppgifter som behandlas av en vidare krets av tjänstemän i t.ex. ett mappsystem i operativsystemet omfattas vidare redan i dag av databassekretessen då de är gemensamt tillgängliga, och så kom- mer fortfarande vara fallet enligt den föreslagna lydelsen.
Vårt förslag till undantag från den aktuella sekretessbestämmel- sen innebär också att sekretessen i 27 kap. 1 § andra stycket 1, 27 kap. 3 § andra stycket och 34 kap. 2 § första stycket inte ska tillämpas om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos respektive myndighet. Det innebär t.ex. att uppgifter som Skatteverket i dag behandlar i ett särskilt ärende om revision utanför beskattningsdatabasen kommer att omfattas av sekretess en- ligt vad som gäller för ett sådant ärende, dvs. enligt 27 kap. 2 § första stycket 1 OSL. Det föreslagna undantaget bör alltså innebära att inte fler uppgifter än nödvändigt kommer att omfattas av de ändrade sekretessbestämmelserna.
Sådana exempel som nu nämnts saknar betydelse för vilken sekre- tess som gäller vid andra myndigheters direktåtkomst till uppgifter vid Skatteverket, Tullverket och Kronofogdemyndigheten.
Mot denna bakgrund anser vi att de föreslagna ändringarna inte kommer att medföra någon väsentlig utvidgning av vilka uppgifter som omfattas av sekretess. Detta särskilt inte vid andra myndigheters tillgång till uppgifter hos de berörda myndigheterna genom direkt- åtkomst. Vidare kommer de uppgifter som i dag endast omfattas av databassekretess enligt vår uppfattning fortsatt omfattas av den aktu- ella sekretessen när uppgifterna behandlas i en automatiserad uppgifts- samling som någon av myndigheterna använder i sådan verksamhet som föreslås omfattas av sekretessbestämmelserna. Exempelvis inne- bär det för Skatteverkets del att vissa uppgifter som rör elstöd till företag i de fall företaget inte ansöker om stödet så att sekretessen som gäller vid ärendehandläggningen i 30 kap. 23 § OSL blir tillämp- lig kommer att omfattas av sådan sekretess trots den ändrade orda- lydelsen eftersom den omfattar samma verksamhet som i dag.169
169Jfr prop. 2022/23:107, Vissa förfarandefrågor för elstöd till företag, s. 33.
1276
16 Statens personadressregister
16.1Inledning
Skatteverkets verksamhet med det statliga personadressregistret, SPAR, är en särpräglad verksamhet som sammanfattningsvis syftar till att tillhandahålla information till myndigheter och enskilda. Den information som tillhandahålls är vissa folkbokföringsuppgifter, upp- gifter om personer som har tilldelats samordningsnummer, samt upp- gifter om inkomst och taxeringsvärde från beskattningsverksamheten. Informationen lämnas ut elektroniskt. Lagen (1998:527) om det stat- liga personadressregistret,
Liksom för övriga verksamheter omfattar dock vårt uppdrag av- seende Skatteverkets
I detta kapitel redogör vi för verksamheten med SPAR, Skatte- verkets ansvar för verksamheten, samt befintlig reglering av registret och personuppgiftsbehandling i det. Slutligen gör vi bedömningar av
1277
Statens personadressregister |
SOU 2023:100 |
i vilka avseende befintlig reglering behöver förändras och lämnar för- slag på en uppdaterad och mer ändamålsenlig reglering.
En redogörelse för den allmänna dataskyddsregleringen finns i avsnitten 3.2.5 och 3.2.6.
16.2
16.2.1Allmänt om SPAR
Ett offentligt register
SPAR är ett offentligt register som bl.a. omfattar uppgifter om alla personer som är folkbokförda i Sverige, både svenska och utländska medborgare. I registret finns även uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik.
Syftet med SPAR är att lämna ut uppgifter om personer som om- fattas av registret elektroniskt under förutsättning att mottagaren uppfyller vissa villkor. Grunden för utlämnande av uppgifter ur SPAR är offentlighetsprincipen. Uppgifterna i SPAR får behandlas (lämnas ut) för två olika ändamål. Dels kontrolländamål, dvs. att aktualisera, komplettera och kontrollera personuppgifter, dels urvalsändamål, dvs. att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet.
SPAR finansieras uteslutande via försäljningsintäkter som över tid motsvarar verksamhetens självkostnad. Bland SPAR:s kunder åter- finns de flesta stora banker, försäkringsbolag och flera av landets kredit- upplysningsföretag. Under 2022 lämnade SPAR ut cirka 106 miljoner adressposter via tjänsten personsökning, som används av närmare 3 000 olika företag och institutioner i Sverige. Under samma år läm- nade SPAR ut cirka 150 miljoner adressposter via aviseringstjänster som nyttjas av ungefär 600 företag för att hålla sina register upp- daterade.
1278
SOU 2023:100 |
Statens personadressregister |
SPAR och sekretess
SPAR innehåller i dag enbart uppgifter som hämtas från Skatte- verkets folkbokförings- och beskattningsverksamheter.
En grundläggande princip i offentlighets- och sekretesslagen (2009:400), OSL, är att sekretess inte enbart gäller mot enskilda utan också mellan myndigheter och mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Sekretess hindrar dock inte att en upp- gift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § OSL). För att sekretessbelagda upp- gifter ska kunna lämnas ut från olika självständiga verksamhetsgrenar inom en myndighet krävs alltså att det finns en sekretessbrytande bestämmelse i författning.
Som utgångspunkt gäller absolut sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden i Skatteverkets beskattningsverksamhet och för uppgifter som behandlas i beskatt- ningsdatabasen.1 För uppgift om en enskilds personliga förhållanden i Skatteverkets folkbokföringsverksamhet finns en presumtion för offentlighet.2 För vissa särskilt angivna uppgifter eller ärenden gäller dock absolut sekretess eller en presumtion för detsamma.3 I SPAR- förordningen finns en sekretessbrytande bestämmelse som möjlig- gör utlämnande av uppgifter från Skatteverkets beskattnings- och folkbokföringsverksamheter till
Bestämmelsen om folkbokföringssekretess gäller i första hand inom folkbokföringsverksamheten. För att sekretessen inte ska kunna kring- gås när uppgifterna behandlas i andra register är bestämmelsen till- lämplig även på annat befolkningsregister, t.ex. SPAR.5 Det innebär att när uppgifter från folkbokföringsverksamheten och beskattnings- verksamheten överförs till SPAR skyddas dessa av folkbokförings- sekretess. Sekretess gäller då för uppgifter om enskilds personliga förhållanden endast om det av särskild anledning kan antas att den
127 kap. 1 och 2 §§ OSL.
222 kap. 1 § första stycket OSL.
322 kap. 1 § andra stycket OSL och 22 kap. 1 a samt 2 §§ OSL.
44 §
5Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s.
1279
Statens personadressregister |
SOU 2023:100 |
enskilde eller någon närstående till denne lider men om uppgiften röjs.
16.2.2Historik
Ett skäl som motiverade införandet av datalagen (1973:289) var att olika aktörer hade inrättat kommersiella register över hela den svenska befolkningen för bl.a. personkontroll och urvalsdragningar.6 Även inom den offentliga sektorn fanns vid tidpunkten ett stort antal offent- liga befolkningsregister. Datainspektionen (numera Integritetsskydds- myndigheten, IMY) föreslog därför att ett centralt, statligt, ADB- baserat7 personregister skulle bildas i syfte att minimera behovet av omfattande befolkningsregister och därigenom reducera riskerna för otillbörliga integritetsintrång. Riksdagen beslutade 1976 om inrättan- det av Samordnat Person- och AdressRegister, och att privata befolk- ningsregister inte längre skulle få föras för bl.a. personkontroll och urvalsdragningar.
Ändamålet med SPAR skulle vara registeruppdatering, person- nummerkontroll, personnummersökning och urvalsdragningar. Den statliga myndigheten Datacentralen för administrativ databehandling, DAFA, tilldelades totalansvaret för SPAR, som togs i drift 1978.
1981 lagreglerades SPAR genom att bestämmelser om registret infördes i
När DAFA ombildades till bolag år 1986 inrättades myndigheten Statens person- och adressregisternämnd
6Avsnitt 16.2.2 är baserat på
7ADB är en förkortning för automatisk databehandling.
1280
SOU 2023:100 |
Statens personadressregister |
heterna (Datainspektionen och dåvarande Riksskatteverket) som från drift- och försäljningsorganisationen.
Aviseringsutredningen, som tillsattes 1992 med uppdrag att ut- reda frågan om den framtida aviseringen av folkbokföringsuppgifter, föreslog att ett nytt centralt aviseringsregister skulle inrättas inom då- varande Riksskatteverket och att detta register skulle överta SPARs funktioner.8 Ansvaret för ett register med den viktiga samhällsfunk- tionen att förse alla myndigheter med nödvändiga befolkningsuppgif- ter borde enligt utredningen ligga hos den myndighet inom vilken uppgifterna samlades in. Utredningens förslag mötte dock motstånd hos såväl några av utredningens egna experter som hos vissa remiss- instanser och regeringen tog inte ställning till frågan om det nya aviseringsregistret även skulle ta över SPAR:s funktioner.
Grunddatabasutredningen tillkallades våren 1996 med uppdrag att överväga hur vissa databasers tillgänglighet, service och kvalitet skulle kunna förbättras. Utredningen föreslog inrättandet av en ny myndighet; Nämnden för utveckling av samhällets grunddata. Den nya nämnden skulle bl.a. bli huvudman för SPAR och överta SPAR- nämndens funktioner.9 Grunddatabasutredningens förslag behand- lades i den s.k. förvaltningspolitiska propositionen10 där regeringen konstaterade att frågan om en ny myndighet för samhällets grund- data krävde ytterligare beredning. I propositionen uttalade regeringen dock att det borde vara ett offentligt åtagande att hålla ett register med befolkningsuppgifter av hög kvalitet för att tillgodose behovet av kontroll av personuppgifter. Sammanfattningsvis ansåg regeringen att SPAR fortsatt hade en viktig samhällsfunktion att fylla och att det skulle finnas kvar tills vidare.
För att se över SPAR och bl.a. förbereda ett byte av värdmyndighet för
8SOU 1994:44, Folkbokföringsuppgifterna i samhället.
9SOU 1997:146, Grunddata – i samhällets tjänst.
10Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst.
1281
Statens personadressregister |
SOU 2023:100 |
Skatteverkets folkbokföringsdatabas och att den särskilda databasen SPAR borde avvecklas. Det statliga åtagandet att tillhandahålla folk- bokföringsuppgifter för samhällets behov borde enligt utredningen fullgöras av Skatteverket, och
16.2.3Skatteverkets ansvar för SPAR
Skatteverket ansvarar för SPAR sedan 2009
Som framgår ovan har det över tid funnits olika förslag i fråga om hur det offentliga åtagandet att försörja myndigheter och enskilda med information ska utformas.
Av
När Skatteverket tog över ansvaret för SPAR tog myndigheten också fram ett nytt tekniskt system för registret. Drift och förvalt- ning av SPAR har dock upphandlats och sköts i dag av ett privat bolag som även bemannar SPAR:s kundtjänst.12 Utöver kundtjänst består den upphandlade driften av förvaltning av registret, utveck- ling och underhåll av de elektroniska tjänsterna, kundsupport samt verkställande av utlämnande efter beslut av Skatteverket. Skatteverket har dock beslutat att driva
11Se SOU 2005:61, Personuppgifter för samhällets behov.
12Bolaget är Tieto Sweden AB. Nuvarande avtal går dock ut sommaren 2024. Fram till att Skatte- verket övertog ansvaret för SPAR var det bolaget InfoData AB, tidigare statligt ägda DAFA AB, som i sin tur ursprungligen var en statlig myndighet, som driftade SPAR.
1282
SOU 2023:100 |
Statens personadressregister |
Skatteverkets tjänster i SPAR
Skatteverket erbjuder flera olika tjänster som innebär utlämnande av personuppgifter från SPAR.13
Tjänsten Urval kan erhållas för uttag vid ett tillfälle eller som prenumeration. Resultatet av tjänsten är en fil med namn och adress- uppgifter som kunden hämtar elektroniskt och får använda i upp till tre månader. Syftet med tjänsten är att ge aktörer på marknaden möj- lighet att från SPAR få namn och adressuppgifter att användas vid direktreklam, marknadsundersökning, opinionsbildning, samhälls- information, forskning eller liknande.
Tjänsten Urvalssimulering är kostnadsfri och ger en ungefärlig uppgift om vad ett visst urval resulterar i avseende antal personposter och kostnad.
Tjänsten Personsökning erbjuder åtkomst till SPAR för att aktua- lisera, komplettera och kontrollera personuppgifter. Tjänsten består av två delar. En del är möjligheten att slå upp enskild person genom att ange personnummer. Under förutsättning att personens identitet är styrkt eller sannolik kan en person även slås upp genom att ange samordningsnummer. Om personen finns i SPAR visas person- informationen, om inte visas ett felmeddelande. Den andra delen är möjligheten till sökning efter personer genom att ange namn och adress, alternativt födelsetidsintervall eller en kombination av födelse- tidsintervall, namn och adress. Alla personer i SPAR som matchar sökningen visas i en lista, alternativt visas ett felmeddelande om an- talet träffar är för stort. Listan visar personnummer, namn och adress. När sökning görs med namn och adress utförs sökningen även mot historiska uppgifter tre år bakåt i tiden.
Aviseringstjänsterna förser kunder med personuppgifter från SPAR för att aktualisera, komplettera och kontrollera personuppgifter i egna register. Detta sker genom att uppgifter ur SPAR aviseras via fil till kunden. Uppgifter som lämnas ut är i regel endast namn och adress. Myndigheter, banker och försäkringsbolag har tillgång till ytterligare några uppgifter. Beskattningsuppgifter för enskilda personer lämnas endast ut till polis- och tullmyndighet.
13Informationen i detta stycke framgår av
1283
Statens personadressregister |
SOU 2023:100 |
Tjänsten Bruttoavisering utgör en möjlighet till en särskild leve- ransmetod från SPAR som är riktad till de företag som hanterar per- sonuppgifter för en betydande del av befolkningen. Kunden erhåller genom tjänsten aktuella uppgifter för alla personposter i SPAR som har ändrats sedan ett angivet datum eller vid prenumeration sedan föregående avisering. En förutsättning för att få bruttoavisering är att registret omfattar minst cirka 2,5 miljoner personer (dvs. en bety- dande del av befolkningen). Den som får tillgång till bruttoavisering måste förbinda sig att genast gallra de uppgifter som rör personer som inte är mottagarens kunder eller medlemmar.
Tjänsten Personnummerersättning syftar till att ge kunden möjlig- het att kvalitetssäkra personuppgifter i sina befintliga register. Kunden lämnar in en fil som innehåller namn- och adressuppgifter till SPAR och tjänsten söker ut de personer som matchar de inlämnade upp- gifterna och kompletterar dem med personnummer. För varje inläm- nad uppgift anges om matchning kunnat göras. En träff kan vara unik eller ge flera alternativa personposter att välja mellan.
Tjänsten Utlämnande av Reklamspärr syftar till att ge aktörer på marknaden möjlighet att komplettera sina egna register med uppgift om vilka personer som i SPAR angivit att de inte vill ha direkt- adresserad reklam. För att denna uppgift ska kunna lämnas ut elek- troniskt måste respektive person ha gett sitt samtycke till det.
16.2.4
14Den statliga myndigheten Statens person- och adressregisternämnd kom under 1998 att byta namn till Statens personadressregisternämnd (även kallad
1284
SOU 2023:100 |
Statens personadressregister |
en ordförande och ytterligare fem ledamöter. Fyra av nämndens leda- möter ska vara riksdagsledamöter eller före detta riksdagsledamöter.15
16.3Nuvarande reglering av behandling av personuppgifter i SPAR
16.3.1Bakgrund
Fram till
Regeringen konstaterade i
Vad gällde utformningen av lagens bestämmelser ansåg reger- ingen att vissa skärpningar i förhållande till vad som tidigare gällde skulle införas gällande urvalsdragningar, bl.a. av integritetsskäl, och att lagen skulle anpassas genom hänvisningar till personuppgiftslagen. Däremot skulle samma ändamålsbestämmelser gälla som i datalagen.
Utlämnandet av uppgifter bedömdes vara en viktig fråga som en- ligt regeringen aktualiserade allmänna integritetsaspekter men också principerna i dataskyddsdirektivet. En effekt av detta var att det en- ligt regeringen behövde ses noggrannare på utlämnande av uppgifter i SPAR och för folkbokföringsuppgifterna i SPAR behövdes exem- pelvis vissa inskränkningar beträffande utlämnandet. Regeringen skulle
15
16Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för en- skilda personer med avseende på behandling av personuppgifter och om det fria flödet av så- dana uppgifter.
17Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 69 och 72.
18Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 74.
1285
Statens personadressregister |
SOU 2023:100 |
dock genom ett särskilt bemyndigande ges rätt att meddela före- skrifter om dessa inskränkningar i förordning.
Integritetsskäl motiverade även att sökningar i SPAR inte skulle vara helt fritt. Regeringen skulle även här ges ett särskilt bemyndig- ande att besluta dessa inskränkningar i förordning19 Sammanfatt- ningsvis ansåg regeringen att behandlingen av personuppgifter i SPAR i de former som framgick av förslaget till lagreglering var förenlig med dataskyddsdirektivet.20
Efter
Anpassning till dataskyddsförordningen
Inför att EU:s dataskyddsförordning skulle börja tillämpas gjordes en allmän översyn av samtliga författningar som omfattas av vårt uppdrag. Vad avser
Förändringar med anledning av ny reglering kring samordningsnummer
Samordningsnummer är i dag en av de uppgifter som får behandlas i SPAR. Tidigare var förutsättningen för behandlingen i registret att det inte rådde osäkerhet om de aktuella personernas identitet.
Systemet med samordningsnummer har dock nyligen förändrats och bestämmelser om samordningsnummer regleras sedan september 2023 i lagen (2022:1697) om samordningsnummer. Samordningsnum- mer kan numera tilldelas i tre nivåer beroende på vilken identitets-
19Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s.
20Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 73.
21Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s.
1286
SOU 2023:100 |
Statens personadressregister |
kontroll som föregått tilldelningen och uppgift om detta registreras i folkbokföringsdatabasen. Indelningen av samordningsnummer i tre nivåer innebär även att mottagare av uppgifter från folkbokförings- databasen får tydlig information om vilken kontroll som föregått tilldelningen. Informationen utgör en helhetsbedömning av om den enskildes identitet är styrkt, sannolik eller osäker. Den högsta nivån tilldelas den som har styrkt sin identitet vid personlig inställelse.
I samband med den nya lagens tillkomst uttalade regeringen att det var centralt att mottagare av uppgifter från SPAR får information om vilken kontroll som föregått tilldelningen och med vilket mått av säkerhet registrerade uppgifter stämmer överens med verkliga för- hållanden. Regeringen bedömde att samordningsnummer som tilldel- ats efter att den enskilde har styrkt sin identitet eller gjort sin iden- titet sannolik skulle få behandlas i SPAR, och att sannolik i praktiken kommer att motsvara de styrkta samordningsnummer som tidigare fick behandlas i SPAR. Regeringen föreslog att det i SPAR, utöver vad som dittills gällt, även skulle få anges uppgift om den enskildes identitet var styrkt eller sannolik i ärenden om tilldelning eller för- nyelse av samordningsnummer. Samordningsnummer med uppgift om osäker identitet skulle dock inte få behandlas i SPAR. Privata aktörer som tar emot uppgifter från SPAR kan alltså inte få uppgifter om en person som innehar ett sådant nummer.22
16.3.2Regleringen av SPAR
Allmänna bestämmelser
I 1 §
Enligt 2 § första stycket
22Prop. 2021/22:276, Stärkt system för samordningsnummer, s.
1287
Statens personadressregister |
SOU 2023:100 |
annat följer av
Registerändamål
I 3 §
Rätten att göra invändningar
Av 3 a § första stycket
Registerinnehåll
I 4 § första stycket
1288
SOU 2023:100 |
Statens personadressregister |
Av 5 §
Utlämnande av uppgifter
I 6 §
Enligt 7 § första stycket
Enligt 7 § andra stycket får regeringen meddela föreskrifter om ytterligare begränsningar när det gäller utlämnande av uppgifter i elektronisk form.
Sökbegrepp
Av 8 §
Allmänna bestämmelser
Av 1 §
I2 §
I 2 a §
i8 a § och 12 § första stycket i förordningen (dvs. bruttoavisering
1289
Statens personadressregister |
SOU 2023:100 |
och viss sökning för urvalsändamål) ska fattas av en särskild nämnd inom verket. Om det finns skäl för det, får Skatteverket bestämma att nämnden ska fatta beslut även i annat enskilt ärende enligt SPAR- lagen eller förordningen.
Av 3 §
Inhämtande av uppgifter
I 4 §
Utlämnande av uppgifter i elektronisk form
I
Exempelvis framgår av 5 § att uppgifter om adress och folkbok- föringsort avseende en person under 16 år endast får lämnas ut för kontrolländamål. Av 7 § framgår att uppgifter om svenskt medborgar- skap endast får lämnas ut till Centrala studiestödsnämnden, Bolags- verket, Polismyndigheten, Säkerhetspolisen och Tullverket, och i 8 a § regleras den särskilda form av utlämnande som kallas brutto- avisering.
Informationsskyldighet
Av 10 §
23Avgifternas storlek regleras dock av 5 § andra stycket avgiftsförordningen (1992:191). Enligt
38§ förordningen (2017:154) med instruktion för Skatteverket ska Skatteverket disponera intäkterna från avgifterna.
1290
SOU 2023:100 |
Statens personadressregister |
Sökbegrepp
I
Statistiska bearbetningar
Av 13 §
Misstanke om oriktig uppgift
1 14 §
Gallring
I
Bemyndigande för Skatteverket
I17 §
1291
Statens personadressregister |
SOU 2023:100 |
Skatteverkets föreskrifter
Skatteverket har meddelat föreskrifter (SKVFS 2011:6) om utläm- nande av uppgifter ur SPAR.24 I förskrifterna definieras olika begrepp, bl.a.
Vidare anges i föreskrifterna hur en ansökan om tillgång till SPAR ska göras och hur en begäran om direktreklamspärr går till.26 Även giltighetstid för vissa beslut om uttag regleras genom särskilda före- skrifter, liksom hur länge vissa uppgifter är giltiga och hur länge upp- gifter är tillgängliga för registrets kunder.27
Skatteverket har även föreskrivit om viss informationsskyldighet för den som erhållit namn- och adressuppgifter ur SPAR för direkt- reklam, samt de i huvudsak tekniska villkor som gäller för att få till- gång till
16.4Överväganden och förslag
16.4.1Verksamhetens särprägel
Vår bedömning: De generella överväganden och förslag som tidi- gare redogjorts för är endast i begränsad utsträckning tillämpliga vid översynen av
Skälen för vår bedömning
Iförarbetena till anpassningen av
24Ändrade genom SKVFS 2021:1.
251 §.
26
27
28
29Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 87.
1292
SOU 2023:100 |
Statens personadressregister |
självklarhet ankommer på just Skatteverket att vidta de åtgärder som uppdraget kräver, till skillnad från exempelvis beskattningsverksam- heten eller folkbokföringsverksamheten. I dag är Skatteverket an- svarigt för SPAR men under de drygt 45 år som registret funnits har olika aktörer haft ansvar för verksamheten. Uppdraget att tillhanda- hålla SPAR är vidare mycket avgränsat, och till skillnad från de övriga verksamheter som aktualiseras i vårt uppdrag finns det inte något inslag av kontrollverksamhet i det.
En avgörande skillnad mellan
Avseende registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyn- digheten har vi gjort ett flertal gemensamma överväganden och be- dömningar, samt lämnat förslag på bestämmelser som är i princip likalydande, se kapitel
16.4.2En ny lag och förordning
Vårt förslag:
1293
Statens personadressregister |
SOU 2023:100 |
Skälen för vårt förslag
Förändringsbehovet
Vi har dessutom identifierat vissa behov av materiella föränd- ringar avseende myndigheters rätt att ta del av uppgifter i SPAR (av- snitt 16.4.12). Vissa bestämmelser som i dag finns i lag bör enligt vår bedömning dessutom regleras på förordningsnivå (avsnitt 16.4.11), och en bestämmelse som i dag finns i förordning bör lämpligen finnas i lag (avsnitt 16.4.7). Enligt vår mening bör vidare den sekretess- brytande bestämmelsen i
Finns det skäl att skilja dataskyddreglering från materiell reglering?
En av våra utgångspunkter är att dataskyddsregleringen inte bör om- fatta materiell reglering (se avsnitt 5.2.6). Frågan är då om det finns skäl att skilja ut
Regeringen har exempelvis i lagstiftningsärendet om att ersätta lagen (2001:558) om vägtrafikregister med två nya lagar (en vägtrafikdata- lag och en lag om fordons registrering och användning) bedömt att krav på funktionalitet och effektivitet samt på skydd för enskildas
1294
SOU 2023:100 |
Statens personadressregister |
personliga integritet bättre tillgodoses genom att bestämmelser som avser behandling av personuppgifter skiljs från bestämmelser av mate- riell art.30 Under juni 2022 beslutades dessutom kommittédirektivet Ett säkrare och mer tillgängligt fastighetsregister.31 I direktiven an- ges att lagen (2000:224) om fastighetsregister reglerar förutsättning- arna för åtkomst till personuppgifter i fastighetsregistret i digital form, men att den också innehåller materiella bestämmelser om bl.a. registrets innehåll. I direktiven konstateras att lagen om fastighets- register i detta avseende skiljer sig från nyare lagstiftning där data- skyddsbestämmelserna har placerats i en särskild lag, skild från själva registerlagen. Utredningen bör därför enligt direktiven överväga mot- svarande regleringsmodell för fastighetsregistret.32
Om samma regleringsmodell som i de två exemplen ovan även kunde motiveras för
Som redan nämnts är verksamheten med SPAR avgränsad. Upp- gifterna förändras eller förädlas inte inom verksamheten, utan förs genom SPAR enbart vidare från en myndighet till enskilda eller en annan myndighet. Registret förs dessutom för endast två ändamål av likartad karaktär. Vi bedömer därför att de skäl som i andra verksam-
30Prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av fordon på vägtrafikområdet, s. 61.
31Dir. 2022:94.
32Dir. 2022:94, Ett säkrare och mer tillgängligt fastighetsregister, s. 8.
33Prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av fordon på vägtrafikområdet, s. 41.
34Se 2 kap. 3, 7, 11, 14 och 16 §§ vägtrafikdatalagen (2019:369) för de primära ändamålen. Se även 2 kap.
35Se 7 § lagen om fastighetsregister.
1295
Statens personadressregister |
SOU 2023:100 |
heter starkt kan tala för att skilja dataskyddsbestämmelser från be- stämmelser av materiell art inte gör sig gällande för
En ny lag och förordning
I avsnitt 6.2 har vi redogjort för vår bedömning att personuppgifts- behandlingen i
I samband med införandet av nya lagar om personuppgiftsbehand- ling på brottsdatalagens område för bl.a. Tullverket och Skatteverket hade regeringen ursprungligen föreslagit förändringar av de då gäll- ande lagarna. Lagrådet framhöll dock att om ändringarna skedde i de befintliga lagarna så skulle dessa komma att framstå som helt om- arbetade eftersom i princip alla paragrafer skulle komma att vara för- sedda med ett
Om de ändringar vi föreslår i avsnitten
36Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s.
1296
SOU 2023:100 |
Statens personadressregister |
behålls. Sammantaget bedömer vi att de förändringar som vi anser bör göras är så omfattande att de nuvarande författningarna bör upp- hävas och ersättas av en ny lag och en ny förordning.37
De nya författningarnas namn
När författningar upphävs och ersätts av nya kan det vara lämpligt att de nya författningarnas namn skiljer sig från de gamla.
Eftersom regleringen av SPAR inte enbart är av dataskyddskarak- tär förefaller det dock mindre lämpligt att den nya lagens namn ut- formas i likhet med namnen på övriga nya lagar vi föreslagit. Exem- pelvis skulle lagen om dataskydd i det statliga personadressregistret vara något missvisande.
Vi har övervägt om de nya författningarna kan ges namn som utgår från den förkortning som i dag anges för det statliga person- adressregistret, dvs. att den nya lagens namn skulle vara lagen om SPAR och den nya förordningens namn förordningen om SPAR. Det förefaller dock vara mycket ovanligt att beteckningen på en författ- ning innefattar en sådan förkortning. Det är inte heller lämpligt att byta namn på själva registret, eftersom begreppen statens person- adressregister och SPAR är väletablerade. Skatteverket har dessutom uppgett till utredningen att SPAR och dess logotyp är varumärkes- skyddat.
Mot bakgrund av att vi i huvudsak inte föreslår någon förändring av den materiella regleringen av SPAR bedömer vi att det lämpligaste är att de nya författningarna ges samma namn som de tidigare för- fattningarna. Den nya lagens namn bör därför vara lagen om det stat- liga personadressregistret och den nya förordningen namn bör vara för- ordningen om det statliga personadressregistret. De nya författningarna benämns nedan den nya
37Jfr även prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, s. 23.
1297
Statens personadressregister |
SOU 2023:100 |
16.4.3Vissa bestämmelser i
Vårt förslag: Följande bestämmelser i den nuvarande
–om förhållandet till annan reglering,
–om registerinnehåll,
–om var uppgifterna i SPAR hämtas från,
–om att enskilda ska hänvisas till SPAR,
–om regeringens rätt att meddela vissa föreskrifter, och
–om begränsning av rätten att göra invändningar.
Skälen för vårt förslag
Förhållandet till annan reglering
Som framgår av avsnitt 16.3.2 innehåller
För att det ska vara tydligt hur den nya
1298
SOU 2023:100 |
Statens personadressregister |
melse motsvarande den som gäller i dag, som tydliggör att data- skyddslagen och föreskrifter som har meddelats i anslutning till den lagen ska gälla vid behandling av personuppgifter, om inte annat följer av den nya lagen eller den nya förordningen. Bestämmelsen tydliggör att dataskyddslagen är subsidiär i förhållande till den nya
Registrets innehåll och var uppgifterna hämtas från
Regleringen av vilka uppgifter som SPAR får innehålla utgör en del av den materiella regleringen av registret. Bestämmelsen i 4 § SPAR- lagen om registrets innehåll begränsar det statliga åtagandet att till- handahålla personinformation för kontroll- och urvalsändamål till de uppgifter som anges i bestämmelsen. Det statliga åtagandet begrän- sas genom bestämmelsen till uppgifter om särskilda personkatego- rier och avseende vilka uppgifter om personerna som SPAR får innehålla. SPAR får endast innehålla vissa folkbokföringsuppgifter, uppgifter om personer som har tilldelats samordningsnummer, samt uppgifter om inkomst och taxeringsvärde. En förändring av vilka uppgifter SPAR får innehålla skulle därmed utgöra en förändring av vad SPAR är i sak. Överväganden om vilka uppgifter SPAR får inne- hålla, eller övriga frågor som förändrar det statliga åtagandet att till- handahålla uppgifter för kontroll- och urvalsändamål, faller utanför ramen för vårt uppdrag. Vi har dock övervägt om bestämmelser som reglerar vilka uppgifter SPAR får innehålla lämpligen bör regleras på förordningsnivå.
Utöver de uppgifter som enskilda lämnar till SPAR avseende att hans eller hennes uppgifter inte får lämnas ut i urval för reklam- ändamål samlas uppgifterna i SPAR inte in från de registrerade, vilket i dag framgår av 5 §
1299
Statens personadressregister |
SOU 2023:100 |
till
Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige enligt artikel 14.1 i dataskyddsförord- ningen förse den registrerade med viss information, bl.a. om ända- målen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen, de kategorier av person- uppgifter som behandlingen gäller, och i förekommande fall mottag- arna eller de kategorier av mottagare som ska ta del av personuppgif- terna. Av artikel 14.5 i dataskyddsförordningen följer dock att någon sådan information inte behöver ges om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom en medlemsstats natio- nella rätt som den registrerade omfattas av och som fastställer lämp- liga åtgärder för att skydda den registrerades berättigade intressen.
Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
Genom att bestämmelsen om vilka uppgifter SPAR får innehålla regleras i lag bör behandlingen kunna anses bli tydligare för de regi- strerade. En lagreglering innebär dessutom att en utvidgning av vilka uppgifter som SPAR får innehålla måste prövas av riksdagen. Att vilka uppgifter SPAR får innehålla, och även var de hämtas från, regle- ras i lag bör därför anses ha en stor betydelse för skyddet av den per- sonliga integriteten. Det bör även vara den normgivningsnivå som bäst överensstämmer med dataskyddsförordningens krav på att det ska finnas lämpliga åtgärder för att skydda den registrerades berätti- gade intressen, som framgår av artikel 14.5. Reglering av SPAR:s inne- håll i lag skulle också kunna anses krävas för att den rättsliga grunden för behandlingen av uppgifterna ska anses vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 i dataskyddsförordningen). Enligt vår bedömning finns det alltså inte skäl för att föreslå att regler- ingen av vilka uppgifter som SPAR får innehålla i fortsättningen ska finnas på förordningsnivå.
1300
SOU 2023:100 |
Statens personadressregister |
Vi föreslår att den nuvarande regleringen av vilka uppgifter SPAR får innehålla, samt var uppgifterna hämtas från, flyttas till den nya lagen utan annat än redaktionella ändringar.
Enskilda ska hänvisas till SPAR
Av 6 §
Som framgår av avsnitten 16.2.1 och 16.2.2 var riksdagens ur- sprungliga beslut om att inrätta SPAR motiverat av integritetsskäl. I syfte att undvika att ett flertal register över befolkningen fördes skulle det införas ett statligt register som tillgodosåg samhällets be- hov av personuppgifter.
I förarbetena till bestämmelsen i 6 §
Det förhöjda integritetsskydd som ett centralt förvaltat register möjliggör förutsätter i dag liksom tidigare att framför allt enskilda styrs mot registret när uppgifter begärs ut från en myndighet för kontroll- och urvalsändamål. Bestämmelsen i 6 §
38Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 77.
1301
Statens personadressregister |
SOU 2023:100 |
Regeringens rätt att meddela vissa föreskrifter
I 7 § andra stycket och 8 §
I avsnitt 16.4.11 nedan föreslår vi att de begränsningar regeringen av integritetsskäl meddelat med stöd av dessa bemyndiganden i flera fall bör överföras till den nya förordningen. Bestämmelserna i 7 § andra stycket och 8 §
Begränsning av rätten att göra invändningar
Rätten att göra invändningar mot personuppgiftsbehandling regleras i artikel 21 i dataskyddsförordningen. Den innebär att när en myndig- het behandlar av personuppgifter inom ska den registrerade ha rätt att när som helst, av skäl som hänför sig till hans eller hennes speci- fika situation, göra invändningar mot behandlingen. Den person- uppgiftsansvarige får då inte längre behandla personuppgifterna, om inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och fri- heter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Av artikel 21.2 framgår också att den registrerade ska ha rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne som sker för direkt marknadsföring.
39Prop. 1997/98: 136, Statlig förvaltning i medborgarnas tjänst, s.
1302
SOU 2023:100 |
Statens personadressregister |
Enligt artikel 21.3 ska personuppgifterna inte längre behandlas för direkt marknadsföring, om den registrerade invänder mot det.
Begränsningar i rätten att göra invändningar får enligt dataskydds- förordningen endast göras under de förutsättningar som anges i arti- kel 23, eller i vissa situationer med stöd av artikel 89.2 och 89.3.
Av 3 a § första stycket
Av 3 a § andra stycket
I avsnitt 7.8.1 har vi bedömt att övriga verksamheter som omfat- tas av vårt uppdrag utgör sådana viktiga allmänna intressen som gör att det finns skäl att begränsa rätten att göra invändningar enligt arti- kel 21.1 i dataskyddsförordningen. Den bedömningen gör sig även gällande avseende
Bestämmelserna i 3 a §
40Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 87.
41Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 87.
42Skatteverket har uppgett att cirka 403 000 personer har ”reklamspärr” i SPAR (september 2023) och att enskilda via en
1303
Statens personadressregister |
SOU 2023:100 |
mot behandling av personuppgifter för direkt marknadsföring enligt artikel 21.2 i dataskyddsförordningen, bör därför föras över till den nya lagen utan ändringar.
16.4.4Förtydligande av syftet med och ändamålen för SPAR
Vårt förslag: Den nya
Den nya
Skälen för vårt förslag
Lagens portalparagraf
En grundläggande förutsättning för att personuppgiftsbehandling ska vara tillåten enligt dataskyddsförordningen är att det finns en rätts- lig grund för behandlingen (artikel 6.1). Behandlingen är endast laglig om och i den utsträckning vissa villkor är uppfyllda, bl.a. om behand- lingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning (artikel 6.1 c och e) Den rättsliga grunden ska vidare vara fastställd i unionsrätten eller den nationella rätten avseende behandling som sker enligt artikel 6.1 c eller e, vilket framgår av artikel 6.3.
I förarbetena till
I1 §
43Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s.
1304
SOU 2023:100 |
Statens personadressregister |
därför den primära rättsliga grunden för förandet av registret. Ge- nom bestämmelsen, samt bestämmelsen som styr enskilda mot regist- ret när uppgifter begärs ut från en myndighet för kontroll- och ur- valsändamål, uppnås syftet med SPAR. Något skäl att inom ramen för vårt uppdrag föreslå en förändring av bestämmelsen i sak finns därför inte. Däremot kan den nuvarande bestämmelsen uppfattas som omodern och inte ändamålsenlig. Eftersom uppgifterna i SPAR end- ast får användas för vissa avgränsade ändamål bör dessa enligt vår mening anges i lagens portalparagraf. På så sätt tydliggörs både var- för registret förs och vad uppgifterna i SPAR får användas till. Vi föreslår därför att det i den nya lagens 1 § ska anges att registret ska föras för kontroll- och urvalsändamål.
Syftet med SPAR är att information ska lämnas ut elektroniskt, bl.a. för att undvika att privata digitala register över befolkningen upprättas. Mot bakgrund av att i princip all informationshantering i dag sker digitalt, särskilt när det är fråga om större informations- mängder, framstår det dock som överflödigt att som i dag ange att registret ska föras med hjälp av automatiserad behandling.
I dag anges i portalparagrafen att SPAR får användas av myndig- heter och enskilda. Det är dock uppgifterna i registret som får an- vändas av myndigheter och enskilda, inte registret som sådant. Som framgår av avsnitt 16.2.2 har ansvaret för SPAR och för att under vissa förutsättningar lämna ut information som finns i registret alltid vilat på en myndighet, vilken i dag är Skatteverket. Den nya lagens 1 § ska därför ange att SPAR får användas för att lämna ut uppgifter elektroniskt. Någon ändring i sak är som nämnts inte avsedd. Det rör sig i stället om att förtydliga hur SPAR får användas.
Lagens ändamålsbestämmelse
Vi har tidigare bedömt att det inte ligger inom ramen för vårt upp- drag att förändra den materiella regleringen av SPAR. Eftersom
Enligt den s.k. finalitetsprincipen som framgår av artikel 5.1 b i dataskyddsförordningen får personuppgifter behandlas för andra ända-
1305
Statens personadressregister |
SOU 2023:100 |
mål än de för vilka de samlats in, under förutsättning att de tillkom- mande ändamålen inte är oförenliga med insamlingsändamålet. Enligt artikel 5.1 b ska ytterligare behandling för bl.a. statistiska ändamål inte anses vara oförenlig med de ursprungliga ändamålen. Att vissa uppgifter som får behandlas i SPAR enligt nuvarande 13 § SPAR- förordningen, en bestämmelse vi i avsnitt 16.4.9 föreslår ska finnas även i den nya förordningen, också får behandlas för statistiska be- arbetningar bör enligt vår mening anses vara förenligt med finalitets- principen. Någon förändring av de befintliga ändamålsbestämmelserna för SPAR är därför inte motiverad av den anledningen. Skatteverket har dessutom uppgett att myndigheten i dag inte behandlar uppgifter för statistiska ändamål inom
Det som sägs ovan om förtydligande av den nya lagens portal- paragraf bör dock av tydlighetsskäl även framgå av ändamålsbestäm- melserna i den nya lagen. Vi föreslår därför att ändamålsbestäm- melserna i
16.4.5Lagens dubbla syften ska tydliggöras
Vårt förslag: Syftet med den nya lagen ska vara att ge den myn- dighet som regeringen utsett till ansvarig för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Skälen för vårt förslag
I flera moderna dataskyddsförfattningar anges det dubbla syftet med regleringen, dels att möjliggöra ändamålsenlig personuppgiftsbehand- ling inom ett visst område, dels att skydda människors integritet vid sådan behandling. I avsnitt 7.2 föreslår vi att en sådan bestämmelse ska finnas i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndig- heten. I det kapitlet anför vi att syftesbestämmelser visserligen saknar
1306
SOU 2023:100 |
Statens personadressregister |
eget materiellt innehåll, men ändå kan fylla en viktig funktion efter- som de ger vägledning angående hur de materiella bestämmelserna i en författning ska tolkas. Någon syftesbestämmelse finns inte i den nuvarande
Verksamheten med SPAR medför ett behov av en omfattande be- handling av personuppgifter, och uppgifter från beskattningsverksam- heten och folkbokföringsverksamheten sammanförs i registret. Det är därmed viktigt att den myndighet regeringen utser att ansvara för SPAR har de rättsliga förutsättningarna för att kunna utföra nödvän- dig personuppgiftsbehandling inom ramen för verksamheten. Sam- tidigt behöver det finnas ett skydd mot att de registrerades personliga integritet kränks vid sådan personuppgiftsbehandling. Av SPAR- lagens förarbeten framkommer att lagen syftar till att säkerställa en lämplig balans mellan behovet av att föra ett register med befolknings- uppgifter för att tillgodose behovet av kontroll av personuppgifter, och skyddet för den personliga integriteten genom att begränsa vilka uppgifter som får finnas i registret och för vilka ändamål de får be- handlas.44
Vi anser att det i den nya
16.4.6Ansvarig myndighet och personuppgiftsansvar
Vårt förslag: Den myndighet som regeringen utser att ansvara för SPAR ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt den nya SPAR- lagen och föreskrifter som har meddelats i anslutning till lagen.
Bestämmelsen om personuppgiftsansvar i
44Jfr prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s.
1307
Statens personadressregister |
SOU 2023:100 |
Skälen för vårt förslag
Personuppgiftsansvar bör regleras i lag
I avsnitt 7.6.1 har vi föreslagit att det i de nya datalagarna för Skatte- verkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska finnas en bestämmelse som pekar ut den myndighet som är personuppgiftsansvarig för behandling som sker enligt respektive lag. I avsnitt 17.4.2 har vi även föreslagit att en sådan bestämmelse ska finnas i den nya dataskyddsregleringen för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Begreppet personuppgiftsansvarig är centralt i EU:s dataskydds- förordning. Det är den personuppgiftsansvarige som bl.a. ansvarar för och ska visa att de grundläggande principerna för behandling efter- levs, vilket framgår av artikel 5.2 i förordningen. Syftet med en be- stämmelse om personuppgiftsansvar är att det ska vara tydligt vem som har ansvaret för den behandling av personuppgifter som en lag omfattar.45 Sådan reglering är möjlig enligt dataskyddsförordningen och gör det enkelt för den registrerade att identifiera vem som är personuppgiftsansvarig för viss behandling. Mot bakgrund av den stora betydelse personuppgiftsansvaret har i den allmänna dataskydds- regleringen anser att det vi att det bör finnas en bestämmelse som reglerar personuppgiftsansvar även i den nya
Den myndighet som regeringen utser att ansvara för SPAR ska vara personuppgiftsansvarig
Som vi påpekat i avsnitt 16.4.1 framgår det inte tydligt av
45Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 123.
1308
SOU 2023:100 |
Statens personadressregister |
Skatteverket ansvarar för det statliga personadressregistret (SPAR). Av förordningen (1998:1234) om det statliga personadressregistret framgår att Skatteverket också är personuppgiftsansvarigt för SPAR.46
2017 upphävdes dock 2007 års instruktion för Skatteverket och ersat- tes av förordningen (2017:154) med instruktion för Skatteverket. 2017 års instruktion för Skatteverket är gällande i dag och omfattar inte någon bestämmelse som slår fast att Skatteverket ansvarar för SPAR.
Att i oförändrat skick flytta bestämmelsen om personuppgifts- ansvar till den nya
imyndighetens instruktion. Att i den nya
Att Skatteverket ansvarar för SPAR bör dock även fortsättnings- vis regleras i
Vi har ovan gjort bedömningen att personuppgiftsansvaret bör framgå av en bestämmelse i den nya
46Förordning (2008:1309) om ändring i förordningen (2007:780) med instruktion för Skatte- verket.
1309
Statens personadressregister |
SOU 2023:100 |
16.4.7Misstanke om oriktig uppgift
Vårt förslag: I den nya lagen ska införas en bestämmelse som anger att vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR.
Skälen för vårt förslag
En generell anmälningsskyldighet
Genom SPAR tillhandahålls på ett enkelt sätt en stor mängd upp- gifter till ett flertal aktörer både inom den privata och den offentliga sektorn. För att uppnå syftet med SPAR måste uppgifterna i regist- ret hålla en hög kvalitet.
Som redan nämnts får i huvudsak uppgifter som hämtas från Skatte- verkets folkbokföringsdatabas behandlas i SPAR. Skatteverket har ett ansvar för att de uppgifter som behandlas i folkbokföringsdata- basen är riktiga.47 Av 32 c § första stycket folkbokföringslagen fram- går att en myndighet ska underrätta Skatteverket om det kan antas att en uppgift i folkbokföringen om en person som är eller har varit folk- bokförd är oriktig eller ofullständig. Underrättelseskyldigheten om- fattar samtliga myndigheter med undantag för Skatteverkets brotts- bekämpande verksamhet, och i fråga om uppgifter som omfattas av sekretess enligt 24 kap. 8 § OSL, den s.k. statistiksekretessen.48 Genom underrättelseskyldigheten har alltså även övriga myndig- heter ett visst ansvar för folkbokföringsuppgifternas riktighet. Såvitt avser uppgifter om någon som har tilldelats ett samordningsnummer finns motsvarande bestämmelser om uppgiftsskyldighet i 4 kap. 1 § lagen om samordningsnummer.
Även i regleringen av SPAR finns det en bestämmelse som kan bidra till att oriktiga uppgifter uppmärksammas. Av 14 §
472 § förordningen med instruktion för Skatteverket.
4832 c § tredje stycket folkbokföringslagen.
499 § förordningen om det statliga person- och adressregistret.
1310
SOU 2023:100 |
Statens personadressregister |
Bestämmelsen innebär att det föreligger en anmälningsskyldighet för alla personer som i tjänsten tar del av uppgifter som är hämtade från SPAR vid misstanke om att en uppgift är oriktig. Anmälnings- skyldigheten gäller alla uppgifter från SPAR och inträder genast, dvs. så snart det uppstår misstanke om att en uppgift som är hämtad från SPAR är oriktig. Tröskeln för att skyldigheten att göra en anmälan är dessutom låg, det räcker att det finns en misstanke.
Inom den privata sektorn kan anställda ha skyldighet gentemot arbetsgivaren att inte avslöja uppgifter han eller hon tar del av i tjäns- ten. Bestämmelserna i offentlighet- och sekretesslagen är tillämpliga i offentlig verksamhet.50 Det innebär att en person som är anställd inom offentlig verksamhet kan ha tystnadsplikt avseende uppgifter som han eller hon tar del av i tjänsten. Enligt 10 kap. 28 § OSL hind- rar dock inte sekretess att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Anmälnings- skyldigheten i 14 §
Det är främst mottagarna som har ett behov av att uppgifterna i SPAR håller en hög kvalitet. Trots att uppgiftsskyldigheten kan fram- stå som betungande, särskilt för personer inom den privata sektorn, framstår det därför som rimligt att kräva att mottagarna av uppgif- terna har en skyldighet att anmäla eventuell misstanke om att en upp- gift som hämtats från SPAR är oriktig. Anmälningsskyldigheten innebär vidare inte någon skyldighet att genomföra någon ytterligare utredning eller redovisa de förhållanden som misstanken grundar sig på. Vi anser därför att det inte finns skäl att förändra bestämmelsen i sak.
Anmälningsskyldigheten bör regleras i lag
En underrättelseskyldighet för vissa myndigheter avseende oriktiga eller ofullständiga folkbokföringsuppgifter reglerades tidigare i den numera upphävda 2 § folkbokföringsförordningen (1991:749). När underrättelseskyldigheten inom folkbokföringen under 2021 utvid- gades till att omfatta i det närmaste samtliga myndigheter infördes bestämmelsen i stället i folkbokföringslagen. Eftersom anmälnings- skyldigheten i
502 kap. 1 § OSL.
1311
Statens personadressregister |
SOU 2023:100 |
anställda i offentlig verksamhet utan även personer i den privata sektorn bör den anses vara mer omfattande än underrättelseskyldig- heten som följer av 32 c § första stycket folkbokföringslagen. Vi be- dömer därför att anmälningsskyldigheten enligt 14 §
Vi föreslår därmed att det i den nya
16.4.8Längsta tid för behandling
Vårt förslag: Uppgifter ska inte få behandlas i SPAR under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Hur länge uppgifter ska få behandlas i SPAR för kontroll- och urvalsändamål ska framgå av bestämmelser i den nya
Skälen för vårt förslag
En generell bestämmelse om längsta tid för behandling
En av de grundläggande principerna för behandling av personupp- gifter enligt EU:s dataskyddsförordning är principen om lagrings- minimering. Den framgår av artikel 5.1 e som anger att personupp- gifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ända- mål för vilka personuppgifterna behandlas. Principen om lagrings- minimering innebär att personuppgifter ska tas bort eller avidentifi- eras på ett sådant sätt att alla identifieringsmöjligheter försvinner så snart personuppgifterna inte längre behövs med hänsyn till det ända- mål för vilket de behandlas. Om uppgiften behandlas för flera olika
1312
SOU 2023:100 |
Statens personadressregister |
ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen ställer krav på den personuppgiftsansvarige att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet.
Av artikel 5.1 e i dataskyddsförordningen framgår även att person- uppgifter får lagras under längre perioder i den mån som person- uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ända- mål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och fri- heter. Principen om lagringsminimering hindrar alltså inte att upp- gifter behandlas för arkivändamål under vissa förutsättningar.
Idag finns det inte någon bestämmelse i
isyfte att skapa tydlighet för tillämpare och registrerade.
De överväganden och bedömningar som framgår av de nyss nämnda avsnitten är enligt vår mening giltiga även för
Tidsfrister för behandlingen
Av artikel 6.3 i dataskyddsförordningen framgår att den rättsliga grunden för behandling av personuppgifter kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i för-
1313
Statens personadressregister |
SOU 2023:100 |
ordningen, bl.a. om lagringstid. Det är också vanligt förekommande att det finns bestämmelser om gallring av personuppgifter i data- skyddsreglering. Gallring är dock ett förfarande som främst aktuali- seras inom det arkivrättsliga regelverket, där utgångspunkten är att allmänna handlingar ska bevaras. Syftet med att införa bestämmelser om gallring i dataskyddsförfattningar har dock framför allt varit att skydda den enskildes personliga integritet.
I avsnitt 12.2 har vi redogjort för förhållandet mellan den det data- skyddsrättsliga regelverket och det arkivrättsliga regelverket. I av- snitt 12.4.2 har vi även bedömt att det bör göras en tydlig åtskillnad mellan arkivrättsliga bestämmelser å ena sidan och dataskyddsbestäm- melser å andra sidan. Vi har därför föreslagit att gallring inte ska regleras i de nya dataskyddsförfattningarna för Skatteverkets beskatt- nings- och folkbokföringsverksamheter, Tullverket och Kronofogde- myndigheten. Vi har även föreslagit att det i den nya regleringen inte ska finnas uttalade tidsfrister som anger den längsta tid som upp- gifter får behandlas för olika ändamål.
Liksom i de nu gällande registerförfattningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten finns det i dag bestämmelser som reglerar när uppgifter i SPAR ska gallras. Bestämmelserna finns i
Till skillnad från övriga verksamheter är gallringsbestämmelserna för
51Riksarkivet har även meddelat föreskrifter om gallring i
5210 § första stycket förordningen om det statliga person- och adressregistret.
1314
SOU 2023:100 |
Statens personadressregister |
drag och de frister som i dag framgår av
Ska uppgifterna få behandlas för något ändamål efter tidsfristernas utgång?
Uppgifterna i SPAR finns i allmänna handlingar, och utgångspunk- ten är att allmänna handlingar ska bevaras, se avsnitt 12.2.1. Att all- männa handlingar får gallras framgår av 10 § första stycket (1990:782) arkivlagen. Av 14 § arkivförordningen (1991:446) framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallrings- föreskrifter finns i lag eller förordning. Av 10 § tredje stycket arkiv- lagen framgår också att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser framför det arkivrättsliga regelverket. Vi har i avsnitt 12.4.4 föreslagit att gallring inom Skatteverkets beskatt- nings- och folkbokföringsverksamheter, Tullverket och Kronofogde- myndigheten ska ske i enlighet med föreskrifter eller beslut av Riks- arkivet.
SPAR förs enbart i syfte att försörja myndigheter och enskilda med information från folkbokförings- och beskattningsverksamheten. Samtliga uppgifter i registret hämtas ur befintliga allmänna handlingar från dessa verksamheter. Uppgifterna i registret borde därmed inte behövas för att tillgodose allmänhetens rätt till insyn och de övriga ändamålen för bevarande enligt 3 § tredje stycket arkivlagen, när de inte längre får behandlas för kontroll- och urvalsändamål. Vår bedöm- ning är att det inte finns skäl till fortsatt behandling för arkivändamål efter det att behandlingen för kontroll- och urvalsändamål har upp- hört. Vi har därför övervägt om bestämmelser om tidsfrister i den nya
1315
Statens personadressregister |
SOU 2023:100 |
I avsnitt 12.4.5 har vi dock gjort bedömningen att bestämmelser i dataskyddsreglering som motsvarar gallringsbestämmelser huvud- sakligen bör vara motiverade vid särskilt integritetskänslig behandling. Uppgifterna i SPAR är dock i huvudsak inte av integritetskänslig natur.
Det kan vidare inte uteslutas att det även inom
Vår bedömning är att regleringen av den längsta tid uppgifter får behandlas i SPAR blir mer flexibel och ändamålsenlig om gallring av uppgifter i SPAR sker i enlighet med föreskrifter eller beslut av Riks- arkivet, i likhet med vad vi föreslår för övriga verksamheter. Det inne- bär att uppgifterna i SPAR, efter respektive tidsfrists utgång, inte ska få behandlas för kontroll- och urvalsändamål. Bestämmelserna i den nya förordningen bör därför ange den längsta tid uppgifter får be- handlas i SPAR för kontroll- och urvalsändamål.
1316
SOU 2023:100 |
Statens personadressregister |
16.4.9Flera bestämmelser i
Vårt förslag: Följande bestämmelser i
–om förordningens förhållande till lagen,
–om i vilka fall beslut ska fattas av
–om att användningen av SPAR får vara avgiftsbelagd,
–om begränsningar av utlämnande av vissa uppgifter i förhåll- ande till enskilda,
–om bruttoavisering,
–om informationsskyldighet i vissa fall,
–om sökbegrepp,
–om statistiska bearbetningar och
–bemyndigandet för Skatteverket att meddela vissa föreskrifter.
Någon motsvarighet till den sekretessbrytande bestämmelse som i dag finns i
Skälen för vårt förslag
Flera bestämmelser bör föras över till den nya förordningen
Flera av
1317
Statens personadressregister |
SOU 2023:100 |
liga bestämmelserna i
Av 1 §
I2 a §
Av 3 §
I
Av 10 §
I
533 § avgiftsförordningen (1992:191).
1318
SOU 2023:100 |
Statens personadressregister |
skäl. De begränsar ytterligare det statliga åtagandet att tillhandahålla personuppgifter, och bör föras över till den nya förordningen med endast redaktionella ändringar.
Av 13 §
I 17 §
Sekretessbrytande bestämmelser bör hållas samlade
Av 4 §
1319
Statens personadressregister |
SOU 2023:100 |
16.4.10 Skatteverket får anlita ett personuppgiftsbiträde
Vår bedömning: Någon motsvarighet till bestämmelsen i SPAR- förordningen om att Skatteverket får anlita en servicebyrå för driften av SPAR bör inte tas in i de nya författningarna.
Skälen för vår bedömning
Vår utgångspunkt
Av artikel 6.3 i EU:s dataskyddsförordning framgår att den rättsliga grunden för personuppgiftsbehandling kan innehålla särskilda be- stämmelser för att anpassa tillämpningen av bestämmelserna i för- ordningen. Av skäl 8 till dataskyddsförordningen framgår vidare att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan med- lemsstaterna, i den utsträckning det är nödvändigt för samstämmig- heten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i natio- nell rätt.
I kapitel 5 redogör vi för våra utgångspunkter i arbetet med att ta fram en ändamålsenlig och modern dataskyddsreglering. En av dessa utgångspunkter är att enbart det som behöver regleras särskilt ska regleras i de nya författningarna. Om en viss bestämmelse hade gällt enligt överordnade normer, även utan motsvarande bestämmelse i kompletterande lagstiftning, anser vi att det bör finnas starka skäl för att införa motsvarande bestämmelse också i den kompletterade dataskyddsregleringen. Sådana skäl kan vara att det finns ett behov av tydlighet i frågor som är centrala i den allmänna dataskyddsregler- ingen, exempelvis i fråga om den längsta tid personuppgifter får be- handlas, eller förutsättningarna för vidarebehandling av redan in- samlade uppgifter.
Att en servicebyrå får anlitas behöver inte regleras särskilt
Som framgår av avsnitt 16.2.3 sköts drift och förvaltning av SPAR i dag av en privat aktör. I 2 §
1320
SOU 2023:100 |
Statens personadressregister |
av SPAR. Bestämmelsen har sitt ursprung i den förordning som kompletterade datalagens bestämmelser om SPAR.54 I förarbetena till
Det faktiska tillhandahållandet av SPAR bör vidare vara en offentlig förvaltningsuppgift.57 Driften och förvaltningen av SPAR, dvs. den del av verksamheten som sköts av en privat aktör, innefattar inte myndighetsutövning. Statliga myndigheter har med stöd av 12 kap. 4 § regeringsformen möjlighet att överlämna förvaltningsuppgifter som inte innefattar myndighetsutövning åt kommuner, andra juri- diska personer och enskilda individer. Det bör därmed inte finnas något hinder mot att Skatteverket anlitar en privat aktör för till- handahållandet av SPAR även utan en bestämmelse i
Skatteverket får anlita ett personuppgiftsbiträde
Den privata aktör som i dag tillhandahåller informationen i SPAR för Skatteverkets räkning är enligt dataskyddsförordningen ett s.k. personuppgiftsbiträde. Enligt artikel 4.8 i dataskyddsförordningen är ett personuppgiftsbiträde en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personupp- gifter för den personuppgiftsansvariges räkning. Det finns två grund-
541 § andra stycket förordningen om det statliga person- och adressregistret.
55Prop. 1980/81:62, om ändring i datalagen (1973:289), s. 9 och 15. Se även SOU 2005:61, Personuppgifter för samhällets behov, s. 35 varav framgår att DAFA ombildades från myndighet till bolag 1986 (DAFA Data AB). DAFA Data AB skulle på statens uppdrag sköta den tek- niska driften och marknadsföringen av SPAR. DAFA Data AB ägdes fram till år 1993 av staten, då bolaget såldes till den
56Prop. 1980/81:62, om ändring i datalagen (1973:289), s. 25.
57Jfr SOU 2008:118, Styra och ställa – förslag till en effektivare statsförvaltning, s. 29.
1321
Statens personadressregister |
SOU 2023:100 |
läggande villkor för att kvalificeras som personuppgiftsbiträde. Dels ska det röra sig om en separat enhet i relation till den personuppgifts- ansvarige, dels ska personuppgifter behandlas för den personuppgifts- ansvariges räkning.58 När Skatteverket eller en annan myndighet an- litar ett personuppgiftsbiträde kräver dataskyddsförordningen att biträdet ska kunna ge tillräckliga garantier för att behandlingen upp- fyller kraven i dataskyddsförordningen och säkerställer att de regi- strerades rättigheter skyddas. Personuppgiftsbiträdet får inte behandla uppgifterna på annat sätt än i enlighet med den personuppgifts- ansvariges instruktioner. All behandling av personuppgifter av ett personuppgiftsbiträde måste dessutom styras av ett avtal eller annan juridisk handling som ska vara bindande.59
Vi har övervägt om det bör finnas en upplysningsbestämmelse i den nya förordningen som tydliggör att Skatteverket, eller den myn- dighet som regeringen utsett att ansvara för SPAR, får anlita ett per- sonuppgiftsbiträde för tillhandahållandet av uppgifter i SPAR. På så sätt skulle det inte råda några tvivel om att Skatteverket, eller den myndighet som eventuellt övertar ansvaret för SPAR i framtiden, även fortsättningsvis kan förlägga driften av SPAR till en privat aktör. Vi anser dock att det saknas behov av att tydliggöra detta som kan moti- vera en sådan bestämmelse i enlighet med artikel 6.3 eller skäl 8 till dataskyddsförordningen. I den nya förordningen ska det därför inte införas någon upplysningsbestämmelse om att Skatteverket får anlita ett personuppgiftsbiträde.
16.4.11Alla begränsningar av utlämnandet från SPAR ska regleras i den nya förordningen
Vårt förslag: Samtliga begränsningar av utlämnandet från SPAR ska regleras i den nya förordningen.
58Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 07/2020 angående begreppen personupp- giftsansvarig och personuppgiftsbiträde i GDPR, Version 2.0, s. 4.
59Se artiklarna
1322
SOU 2023:100 |
Statens personadressregister |
Skälen för vårt förslag
Som framgår av avsnitt 16.2.2 reglerades SPAR tidigare genom be- stämmelser i datalagen som kompletterades av bestämmelser i 1981 års
Samma systematik finns kvar även i dag. Av 7 § första stycket
Regeringens bedömning att enbart utlämnande av inkomst- och fastighetstaxeringsuppgifter skulle begränsas i lag motiverades inte närmare i
De uppgifter som är aktuella är summan av fastställd förvärvs- inkomst och inkomst av kapital, dock lägst noll kronor, ägare av små- husenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun, samt taxeringsvärde för småhusenhet. Skatteverkets beslut varigenom bl.a. skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs är inte skyddade av skattesekretessen, vilket framgår av 27 kap. 6 § OSL. Både privat- personer och företag kan vidare hos Lantmäteriet kostnadsfritt be- ställa utdrag med standardinformation ur fastighetsregistret, där bl.a.
60Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 74. Begränsningen i fråga reglerades innan dess i 7 a § förordningen om det statliga person- och adressregistret.
1323
Statens personadressregister |
SOU 2023:100 |
vem som är lagfaren ägare av en fastighet och taxeringsuppgifter framgår.61
Mot bakgrund av uppgifternas karaktär, dvs. att de i vart fall del- vis kan vara offentliga i andra sammanhang, bedömer vi att det sak- nas skäl som talar för utlämnandet av uppgifterna från SPAR av in- tegritetsskäl bör regleras i lag. Vi föreslår därför att 7 § första stycket
16.4.12Myndigheters tillgång till uppgifter från SPAR ska anpassas till myndigheters tillgång till uppgifter från Navet
Vårt förslag: Uppgifter om adress och folkbokföringsort för en person under 16 år ska få lämnas ut till enskilda endast för kon- trolländamål.
Nuvarande begränsningar av vilka myndigheter som får ta del av uppgifter om svenskt medborgarskap och födelsehemort ska inte ha någon motsvarighet i den nya förordningen.
Skälen för vårt förslag
Navet
Uppgifter som registreras vid folkbokföring och vid tilldelning av samordningsnummer ska ge olika samhällsfunktioner ett korrekt underlag för beslut och åtgärder.62 Av 2 kap. 8 § FdbL framgår sam- manfattningsvis att en myndighet, om det inte är olämpligt ur integ- ritetssynpunkt, får ha direktåtkomst till samtliga uppgifter i folk- bokföringsdatabasen om myndigheten behöver uppgifterna för att fullgöra sitt uppdrag och får behandla dem.63 I bestämmelsen görs dock undantag från myndigheters rätt att ta del av uppgifter genom direktåtkomst för uppgifter som avses i 2 kap. 3 § andra stycket FdbL,
61Se Lantmäteriets webbsida Beställ information ur fastighetsregistret, tillgänglig
62Jfr 2 § förordningen med instruktion för Skatteverket.
63Direktåtkomst innebär att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (HFD 2015 ref. 61).
1324
SOU 2023:100 |
Statens personadressregister |
dvs. uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folk- bokföringskungörelsen (1967:495).64
Skatteverkets system för distribution av uppgifter från folkbok- föringsverksamheten till myndigheter kallas Navet. Navet är ett s.k. aviseringsregister som ingår som ett delsystem i folkbokföringsdata- basen. I likhet med SPAR är Navet ett register som förs i syfte att lämna ut personuppgifter i elektronisk form.65 Större delen av utläm- nandet av uppgifter från folkbokföringsdatabasen sker alltså genom utskick (avisering) som inte utgör direktåtkomst.66 Förutsatt att den mottagande parten har rätt att ta del av uppgifterna, avgör mottag- aren vilka uppgifter som hämtas och på vilket sätt från Navet.67 I Navet kan alla offentliga aktörer hämta folkbokföringsuppgifter digitalt och uppgifterna är alltid aktuella eftersom ändringar i folk- bokföringsdatabasen syns direkt. Från och med den 1 januari 2017 har Navet varit avgiftsfritt för statliga myndigheter.68
Eftersom uppgifter som registreras i folkbokföringsdatabasen som utgångspunkt är offentliga har även enskilda rätt att ta del av uppgif- terna under förutsättning att någon sekretessbestämmelse inte är tillämplig. Enskilda har dock som utgångspunkt inte tillgång till Navet. Som framgår av avsnitt 16.4.3 ska enskilda dessutom hänvisas till SPAR om begäran sker för kontroll- eller urvalsändamål.
Begränsningar av utlämnandet från SPAR i förhållande till Navet
Uppgifterna i SPAR är med några undantag hämtade från Skatte- verkets folkbokföringsdatabas. Möjligheten för offentliga aktörer att hämta folkbokföringsuppgifter från SPAR är dock mer begränsad än om uppgifterna skulle hämtas direkt från Navet.
Av 5 §
64Bestämmelsen kom till i samband med att ansvaret för folkbokföringsverksamheten 1991 överfördes till Skatteverket och har karaktär av en övergångsbestämmelse, se prop.1990/91:53, om lag om folkbokföringsregister, m.m., s. 41.
65Skatteverkets promemoria Folkbokföring och SPAR – några registerfrågor, dnr 131 798320- 12/113, Bilaga 1, s. 32.
66Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
67Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 87.
68Skatteverkets webbsida Navet – hämta uppgifter om folkbokföring, tillgänglig: https://www.skatteverket.se/offentligaaktorer/informationsutbyte/navethamtauppgifter omfolkbokforing.4.18e1b10334ebe8bc80001754.html?q=Navet [hämtad
1325
Statens personadressregister |
SOU 2023:100 |
kontrolländamål. I bestämmelsen görs ingen skillnad på om det är en myndighet eller en enskild som är mottagare av uppgiften. Av
6§
7§
Såväl uppgifter om adress och folkbokföringsort för personer under 16 år, som uppgifter om födelsehemort och svenskt medborgar- skap, är uppgifter som alla myndigheter kan ta del av direkt via Navet under de förutsättningar som i dag framgår av dataskyddsregleringen för folkbokföringsverksamheten.70 Som vi nyss konstaterat innebär det ett krav på att myndigheten behöver uppgifterna för att fullgöra sitt uppdrag och får behandla dem, och det inte är olämpligt ur in- tegritetssynpunkt.
En myndighet kan dock inte lagligen samla in eller på annat sätt behandla personuppgifter utan att det finns en rättslig grund för be- handlingen i EU:s dataskyddsförordnings mening. Typfallet för när det är nödvändigt för myndigheter att behandla personuppgifter är när det görs som ett led i att utföra en uppgift av allmänt intresse som framgår av lag eller förordning, eller i vissa fall av regerings- beslut.71 Det kan även finnas ytterligare begränsningar, ofta i register- författning eller dataskyddsreglering, av vilka uppgifter en myndig- het får behandla i syfte att utföra sina uppgifter. Ett elektroniskt utlämnande som bedöms vara olämpligt ur integritetssynpunkt bör dessutom inte anses vara förenligt med dataskyddsförordningens be- stämmelser (se avsnitt 11.7.5). I praktiken förefaller alltså regleringen av offentliga aktörers möjlighet att få uppgifter elektroniskt direkt från Skatteverkets folkbokföringsverksamhet (Navet) motsvara vad som redan gäller enligt överordnade alternativt sektorsspecifika nor- mer. Begränsningarna av myndigheters rättsliga möjlighet att behandla uppgifter gäller därmed även om myndigheten skulle ha möjlighet att hämta samma uppgifter från SPAR.
69Födelsehemorten anger till skillnad från födelseort inte var en person är född, utan var han eller hon var bosatt vid födseln. Detta uttrycks i förarbetena som den församling i vilken per- sonens moder var folkbokförd när personen föddes, se prop. 1990/91:53, om lag om folkbok- föringsregister, m.m., s. 40.
702 kap. 3 §
71Prop. 2017/18:105, Ny dataskyddslag, s.
1326
SOU 2023:100 |
Statens personadressregister |
Myndigheters tillgång till uppgifter från SPAR ska anpassas till myndigheters tillgång till uppgifter från Navet
Som framgår av avsnitt 16.2.2 har det i olika sammanhang ifrågasatts om det är ändamålsenligt att fullgöra det statliga åtagandet att till- handahålla grunduppgifter om enskilda genom två olika system. Någon samordning av informationsförsörjningen har dock inte genomförts och myndigheter har i dag möjlighet att ta del av folkbokförings- uppgifter antingen via SPAR eller Navet. Uppdelningen i två olika informationsförsörjningssystem, där enskilda tydligt är hänvisade till SPAR, skulle kunna anses tyda på att regeringens avsikt varit att myndigheter främst ska använda sig av Navet. Myndigheters tillgång till personuppgifter från folkbokföringsverksamheten skedde tidigare via det som kallades aviseringsregistret. Aviseringsregistret fick an- vändas av en myndighet för bl.a. aktualisering, komplettering och kontroll av uppgifter i personregister som myndigheten är register- ansvarig för, och komplettering och kontroll av personuppgifter i övrigt, se 2 § andra stycket i den numera upphävda lagen (1995:743) om aviseringsregister. Att myndigheter skulle ges tillgång till upp- gifter även via SPAR har i förarbetena bl.a. motiverats med att avi- seringsregistret inte var fullt utbyggt.72 Något rättsligt hinder mot att offentliga aktörer använder sig av SPAR finns dock inte i dag. Det finns alltså inte någon bestämmelse i författning om att myn- digheter ska hänvisas till Navet, motsvarande 6 § i
Navet och SPAR erbjuder dessutom olika sorters tjänster till olika kostnad. Det är därför inte otänkbart att myndigheter som länge använt SPAR har anpassat sina tekniska system eller arbetssätt efter de informationsmodeller som SPAR erbjuder.73 Att myndigheter gjort investeringar för att anpassa verksamheterna till SPAR har dessutom tidigare anförts som ett av skälen till att även myndigheter ska få hämta uppgifter från SPAR.74
Mot bakgrund av att det saknas rättsliga hinder mot att myndig- heter använder SPAR i stället för Navet, samt då den allmänna data- skyddsregleringen och sektorspecifika dataskyddsbestämmelser gäller
72Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 71.
73Jämför avsnitt 16.2.3 och Skatteverkets webbsida Navets tjänster, tillgänglig: https://www.skatteverket.se/offentligaaktorer/informationsutbyte/navethamtauppgifter omfolkbokforing/navetstjanster.4.18e1b10334ebe8bc8000946.html [hämtad
74Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 71.
1327
Statens personadressregister |
SOU 2023:100 |
oavsett var uppgifterna hämtas från, förefaller det lämpligt att myn- digheter ges en valfrihet avseende vilken informationskälla de ska an- vända. Vi anser därför att det mest ändamålensliga är att myndigheters möjlighet att ta del av folkbokföringsuppgifter via SPAR anpassas till möjligheten att ta del av samma uppgifter från Navet. Ändamåls- begränsningen avseende uppgifter om adress och folkbokföringsort för personer under 16 år bör därför enbart gälla för enskilda, och upp- gifter om svenskt medborgarskap och födelsehemort ska kunna läm- nas från SPAR till samtliga myndigheter.
Mot bakgrund av att de uppgifter som finns i SPAR även finns i Navet medför en sådan förändring inte en utökning av den möjliga personuppgiftsbehandlingen hos de mottagande myndigheterna. En sådan förändring kan däremot förväntas medföra en viss möjlighet till effektivisering hos myndigheter som i dag använder både SPAR och Navet för att hämta uppgifter från folkbokföringsverksamheten. I sammanhanget kan dock åter påpekas att användning av Navet är gratis för statliga myndigheter, vilket inte gäller för SPAR. Att myn- digheter som i dag får sitt informationsbehov tillgodosett kostnads- fritt via Navet skulle välja att i stället börja betala för informationen via SPAR förefaller mindre sannolikt. För övriga myndigheter kan möjligheten att välja informationsförsörjningssystem, beroende på det behov av information som föreligger, eventuellt medföra en möj- lighet till vissa besparingar.
En utökning av det statliga åtagandet?
Det skulle kunna ifrågasättas om vårt förslag inte innebär en sådan förändring av det statliga åtagandet att tillhandahålla befolknings- uppgifter som vi tidigare konstaterat ligger utanför vårt uppdrag. För- ändringen medför nämligen att behandling (genom utlämnande) av vissa uppgifter inom
1328
SOU 2023:100 |
Statens personadressregister |
utom ses som ett sammanhållet åtagande, trots att uppgifter från folk- bokföringsverksamheten kan hämtas både från SPAR och från Navet.
Eftersom det statliga åtagandet inte utökas eller förändras i sak genom den föreslagna förändringen bedömer vi att förslaget ryms inom vårt uppdrag. Regleringen blir genom den föreslagna ändringen i stället mer flexibel och ger myndigheter möjlighet att välja det informations- försörjningssystem (avseende samma uppgifter) som de föredrar och som framstår som mest ändamålsenligt utifrån behovet av uppgif- terna och eventuella ekonomiska aspekter.
Vi föreslår därför att det ska införas en ändamålsbegränsning som motsvarar nuvarande 5 §
En översyn av begränsningar av enskildas tillgång till uppgifter bör göras i ett annat sammanhang
Vad gäller enskilda finns det mer omfattande begränsningar av vilka uppgifter som kan hämtas från SPAR än för myndigheter. Då en- skilda inte på samma sätt som myndigheter har elektronisk tillgång till folkbokföringsuppgifter via Navet gör sig dock inte de överväg- anden som vi redogjort för ovan gällande. De befintliga begränsning- arna av enskildas tillgång till uppgifter utgör i stället de faktiska grän- serna för det statliga åtagandet att tillhandahålla uppgifter.
Bestämmelsen om att adress och folkbokföringsort för personer under 16 år inte får lämnas ut för urvalsändamål korresponderar ex- empelvis väl med barns bristande s.k. rättshandlingsförmåga.75 Enligt rådande praxis strider det dessutom mot god marknadsföringssed att skicka direktreklam till barn under 16 år utan samtycke från barnets förmyndare, och sådan direktadresserad reklam är normalt även att anse som otillbörlig enligt marknadsföringslagen (2008:486).76
Utöver de begränsningar som nyss redogjorts för (dvs. svenskt medborgarskap, födelsehemort och vissa uppgifter om barn under
75Se 9 kap. föräldrabalken.
76Se punkt 28 i tillkännagivande (2022:658) enligt marknadsföringslagen (2008:486) och Patent- och marknadsöverdomstolens dom den 21 juni 2017 i mål PMT
1329
Statens personadressregister |
SOU 2023:100 |
16 år) finns dock ytterligare begränsningar av enskildas möjligheter att ta del av uppgifter via SPAR där det finns skäl att ifrågasätta om bestämmelserna är ändamålsenliga.
Enligt 8 §
Regeringen har tidigare uttalat att det inte finns något principiellt hinder mot att enskilda kan få tillgång till uppgifterna om det anses tillräckligt motiverat för den verksamhet som företaget bedriver.78 Någon rättslig begränsning avseende vilken typ av verksamhet som måste bedrivas, eller vilket behov av uppgifterna som måste föreligga finns dock inte i
Vår bedömning är att bestämmelsens ursprungliga syfte till viss del måste sägas ha urvattnats genom att allt fler aktörer lagts till i 8 §
77Regeringskansliets rättsdatabaser, SFS 1998:1234, tillgänglig: https://rkrattsbaser.gov.se/sfsr?bet=1998:1234 [hämtad
78Prop. 2005/06:112, Viktigare än någonsin! Radio och TV i allmänhetens tjänst
1330
SOU 2023:100 |
Statens personadressregister |
som gäller i förhållande till enskilda bör förändras, i syfte att göra regleringen av SPAR mer ändamålsenlig och flexibel.
Då enskilda inte har samma tillgång till folkbokföringsuppgifter som myndigheter skulle en sådan förändring innebära en saklig för- ändring av det statliga åtagandet att tillhandahålla uppgifter till en- skilda. Eftersom sådana frågor ligger utanför vårt uppdrag föreslår vi inte några sakliga förändringar av 8 §
16.4.13 Skyddet för den personliga integriteten
Vår bedömning: Förslagen om en ny
Skälen för vår bedömning
Språkliga, strukturella och redaktionella ändringar
Regleringen och begränsningarna av det statliga åtagandet att genom SPAR tillhandahålla personuppgifter för kontroll- och urvalsändamål har ofta utformats utifrån integritetshänsyn. Våra förslag om en ny lag och en ny förordning för
I de fall de ändringar som föreslås enbart är redaktionella eller språkliga bör skyddet för den personliga integriteten inte påverkas av förlaget.
Vad avser förslaget om att samtliga begränsningar av utlämnandet av SPAR ska regleras på förordningsnivå skulle det i och för sig kunna argumenteras att integritetsskyddet för uppgifter som är hämtade från beskattningsverksamheten försvagas. Bestämmelsen förändras dock inte i sak. Motivet till den föreslagna förflyttningen är att skapa
1331
Statens personadressregister |
SOU 2023:100 |
en tydlighet och överskådlighet över begränsningarna av det statliga åtagandet att tillhandahålla uppgifter. Uppgifterna kan dessutom i vart fall delvis vara offentliga i andra sammanhang. Att begränsningen av utlämnandet i fortsättningen kommer att regleras på förordningsnivå bör därför inte anses vara av en så stor betydelse för integritetsskyd- det att förändringen framstår som oproportionerlig och därmed oför- enlig med skyddet för den personliga integriteten.
Förslagen om redaktionella och strukturella ändringar bör därför vara förenliga med skyddet för den personliga integriteten.
Längsta tid för behandling
Dagens gallringsbestämmelser innebär att uppgifter i SPAR ska gallras efter särskilda tidsfrister som anges i förordning. Vi har föreslagit att regleringen i stället ska avse hur länge personuppgifter får behandlas för ändamålen med SPAR, dvs. kontroll- och urvalsändamål. Den föreslagna förändringen anpassar regleringen till övrig dataskydds- reglering som vi föreslår. Att uppgifter inte längre ska gallras i enlig- het med bestämmelser i författning innebär att uppgifterna i fort- sättningen endast får gallras med stöd av föreskrifter eller beslut av Riksarkivet. Den förändring av reglerna som föreslås medför inte att uppgifterna får behandlas längre för kontroll- och urvalsändamål jämfört med i dag.
Mot bakgrund av att uppgifterna i SPAR i dag inte får behandlas för något annat ändamål än kontroll- och urvalsändamål innebär det att behandlingen av uppgifterna, enligt principen om lagringsmini- mering som framgår av artikel 5.1 e i dataskyddsförordningen, måste upphöra när respektive tidsfrist gått ut. För att uppgifterna ska kunna gallras krävs dock att Riksarkivet fattar beslut eller meddelar före- skrifter om gallring. Av 3 § arkivlagen framgår att myndigheternas arkiv som huvudregel ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.
Att uppgifter som får behandlas i SPAR i fortsättningen endast får gallras med stöd av Riksarkivet bör därmed inte medföra att upp- gifterna kommer att behandlas under längre tid än i dag. Däremot kan materiella förändringar av SPAR komma att innebära att uppgifterna
1332
SOU 2023:100 |
Statens personadressregister |
i SPAR behandlas under en längre tid. Förslaget syftar dock till att göra regleringen mer ändamålsenlig och flexibel i detta avseende och är enligt vår bedömning proportionerligt i förhållande till den målsätt- ningen. Mot bakgrund av att uppgifterna inte kommer behandlas under en längre tid än i dag innan en eventuell förändring av den materiella regleringen av SPAR införs är vår bedömning är att det även är förenligt med skyddet för den personliga integriteten.
Utlämnande till myndigheter
Vi har föreslagit att fler uppgifter än i dag ska få lämnas ut från SPAR till myndigheter. Det innebär att myndigheter ges en möjlighet att hämta samma information som de i dag kan ta del av via Navet även från SPAR. Syftet med en sådan förändring är att myndigheter ska ha möjlighet att välja den informationskanal som är lämpligast för de behov som finns i den aktuella verksamheten, och inte vara hän- visade till att använda två olika system för informationsförsörjning. På så sätt kan myndigheter ges möjlighet att göra effektiviseringar och även hushålla bättre med sina ekonomiska resurser. Utökningen av uppgifter som ska få lämnas till SPAR kan komma att innebära en viss utökning av behandling av uppgifter inom den verksamheten. Den eventuella ökningen kommer dock sannolikt motsvaras av en minskning av behandling genom utlämnande från inom Navet. Någon egentlig förändring av den totala behandlingen genom utlämnande av uppgifter från Skatteverkets folkbokföringsverksamhet borde det därför inte röra sig om.
Att uppgifter som tidigare enbart kunnat hämtas in från Navet nu även ska kunna hämtas från SPAR bör mot den bakgrunden vara proportionerligt i förhållande till målsättningen att myndigheter ska kunna effektivisera sin verksamhet och bättre hushålla med sina eko- nomiska resurser. Vårt förslag innebär dessutom inte en utökad möj- lighet för de mottagande myndigheterna att behandla personuppgifter som de i dag saknar en rättslig grund för att behandla. Vår bedöm- ning är därför att förslaget att utöka myndigheters möjlighet att samla in uppgifter från SPAR är förenligt med skyddet för den personliga integriteten.
1333
Statens personadressregister |
SOU 2023:100 |
Övriga förslag
Vi har föreslagit att lagens syfte och ändamålsbestämmelser ska tydlig- göras och att principen om lagringsminimering ska framgå av lag. Motivet till förslagen om dessa bestämmelser är att regleringen av SPAR ska bli tydligare och utformas på ett mer enhetligt sätt i för- hållande till annan dataskyddsreglering. Förslagen innebär inte en förändring av omfattningen av behandling av personuppgifter inom SPAR och bör inte påverka skyddet för den personliga integriteten på ett negativt sätt.
1334
17Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
17.1Inledning
Liksom för övriga verksamheter omfattar vårt uppdrag avseende Skatteverkets äktenskapsregister- och bouppteckningsverksamheter att föreslå ändamålsenliga regler som är anpassade efter dagens behov. Reglerna bör vara flexibla och anpassade efter såväl den tekniska ut- vecklingen som den
I det här kapitlet redogör vi för olika aspekter av de frågor som aktualiseras av vårt uppdrag i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Vi gör en översiktlig beskrivning av den materiella regleringen av verksamheterna, Skatteverkets uppgifter och nuvarande bestämmelser om personuppgiftsbehandling. Vi redogör även för våra bedömningar av i vilka avseenden nuvarande reglering behöver anpassas till dagens förhållanden i enlighet med vårt upp- drag, samt lämnar förslag på ny reglering.
I avsnitt 3.2.5 och 3.2.6 lämnas en redogörelse över den allmänna dataskyddsregleringen.
1335
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
17.2Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
17.2.1Övergripande om verksamheterna
Utöver de uppgifter som är hänförliga till Skatteverkets verksamheter med beskattning och folkbokföring, har myndigheten flera uppgifter av mer avgränsad karaktär som utförs i annan verksamhet. Exempel på sådan verksamhet är äktenskapsregistret och registreringsärenden enligt 16 kap. äktenskapsbalken samt registrering av bouppteckningar och handläggning av ärenden enligt 16 kap. ärvdabalken.1
Skatteverket tog över ansvaret för registrering av bouppteckningar från tingsrätterna 2001. Inledningsvis hanterades uppgifter från bo- uppteckningsverksamheten i beskattningsdatabasen, eftersom det togs ut arvsskatt och den debiteringen skedde i skattekontosystemet. Sedan arvs- och gåvoskatten slopades 2004 har Skatteverkets uppgift varit att bevaka att bouppteckningar blir förrättade, upprättade, in- givna och registrerade.2 Bouppteckningsverksamheten omfattar sedan 2015 även uppgiften att utfärda arvsintyg som i materiellt hänseende regleras på unionsrättslig nivå.3
Skatteverket övertog ansvaret för äktenskapsregistret från Statis- tiska centralbyrån 2011, och tog då samtidigt över tingsrätternas upp- gift att handlägga ärenden enligt 16 kap. äktenskapsbalken, dvs. att registrera bl.a. äktenskapsförord, anmälningar om bodelning under äktenskap samt sedan 2019 lagvalsavtal.4
Några specifika sekretessbestämmelser som gäller för uppgifter i äktenskapsregistret eller i bouppteckningsverksamheten finns inte. Dessa uppgifter är därför ofta offentliga. Sekretessregler som ändå kan bli aktuella för dessa uppgifter är de som är gemensamma för alla myndigheter, se avsnitt 3.3.2.
Behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter regleras i lagen (2015:898) om be- handling av personuppgifter i Skatteverkets äktenskapsregister- och bo-
14 och 5 §§ förordningen (2017:154) med instruktion för Skatteverket.
2Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
3Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
4Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
1336
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
uppteckningsverksamheter,
17.2.2Bouppteckningsverksamheten
Bouppteckningar
Bestämmelserna om bouppteckningar finns i 20 kap. ärvdabalken. När en person som har sin hemvist i Sverige avlider ska en boupp- teckning som huvudregel förrättas, upprättas och lämnas in till Skatte- verket.5 Bouppteckningen ska innehålla uppgifter om bl.a. den av- lidna, arvingar och eventuella testamentstagare, tillgångar och skulder samt om eventuellt testamente eller äktenskapsförord.6 Av boupp- teckningen ska det också framgå vem som är bouppgivare och vilka som har varit förrättningsmän.7 När en bouppteckning blir registre- rad innebär det bl.a. att den har uppfyllt vissa formella krav. En in- registrerad bouppteckning fungerar i praktiken som en legitimations- handling för dödsboet och fyller också ett syfte för bl.a. dödsboets borgenärer, som ges förutsättningar att bedöma situationen i boet.8
Dödsboanmälan
I 20 kap. ärvdabalken finns också bestämmelser om s.k. dödsbo- anmälan, som i vissa fall kan ersätta en bouppteckning. Om den av- lidnas tillgångar inte räcker till mer än begravningskostnader och andra utgifter med anledning av dödsfallet kan en dödsboanmälan göras i stället för en bouppteckning.9 Det är enbart kommunernas socialnämnder som får göra en dödsboanmälan och som ska pröva om det finns förutsättningar för att göra en sådan anmälan. Social-
5Om en bouppteckning ska förrättas och lämnas in till Skatteverket för registrering beror på om Skatteverket är behörig myndighet och om svensk lag ska tillämpas på arvet. Detta bestäms av EU:s arvsförordning, se avsnittet om europeiskt arvsintyg nedan.
620 kap.
7En bouppgivares roll vid bouppteckningsförrättningen är att på heder och samvete lämna uppgifter om dödsboet. Bouppgivaren ska lämna uppgifter bl.a. om den avlidnas tillgångar och skulder, testamenten, äktenskapsförord och släktförhållanden, 20 kap. 6 § ärvdabalken. En bo- uppteckning ska förrättas av två kunniga och trovärdiga gode män s.k. förrättningsmän, 20 kap.
2§ första stycket samt 20 kap. 6 § ärvdabalken.
8Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
920 kap. 1 § andra stycket och 8 a § första stycket ärvdabalken.
1337
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
nämnden ska i anmälan anteckna den avlidnas namn, personnummer, adress och dödsdag, samt under vissa förhållanden även dödsbodeläga- res namn och adress. Socialnämnden ska lämna in dödsboanmälan till Skatteverket för förvaring.10
Europeiskt arvsintyg
Genom inrättandet av EU:s arvsförordning, skapades ett gemensamt regelverk inom EU på arvsrättens område.11 Arvsförordningen är direkt tillämplig i Sverige och när den började tillämpas ersatte förord- ningen den svenska internationella privaträtten inom arvsrättens om- råde. I arvsförordningen regleras bl.a. vilket lands domstolar och andra myndigheter som får besluta i frågor om arv med internationell an- knytning och vilket lands lag som ska tillämpas på arvet. Förord- ningen innehåller även bestämmelser om s.k. europeiskt arvsintyg som möjliggör för arvingar, testamentstagare, testamentsexekutorer och boutredningsmän att styrka sin ställning eller sina rättigheter i andra medlemsstater.12
Lagen (2015:417) om arv i internationella situationer tillkom för att tillämpningen av förordningen skulle fungera i praktiken.13 Av 2 kap. 7 § i den lagen framgår att Skatteverket är behörig myndighet att utfärda europeiska arvsintyg i Sverige. De närmare bestämmel- serna om europeiska arvsintyg finns dock i förordningen.
Skatteverkets uppgifter i bouppteckningsverksamheten
Bouppteckningar
När det finns en bouppteckningsskyldighet har Skatteverket i upp- gift att se till att en bouppteckning förrättas och ges in. Skatteverket har inkommit med en hemställan till regeringen om att vidta åtgärder för att ändra bestämmelserna i ärvdabalken så att bouppteckningar
1020 kap. 8 a § första stycket ärvdabalken.
11Europaparlamentets och rådets förordning (EU) nr 650/2012 av den 4 juli 2012 om behörig- het, tillämplig lag, erkännande och verkställighet av domar samt godkännande och verkställig- het av officiella handlingar i samband med arv och om inrättandet av ett europeiskt arvsintyg, se prop. 2014/15:105, Arv i internationella situationer, s. 1.
12Prop. 2014/15;105, Arv i internationella situationer, s. 41.
13Prop. 2014/15:105, Arv i internationella situationer, s. 1 och 24.
1338
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
kan ges in elektroniskt till Skatteverket. Hemställan bereds för när- varande inom Regeringskansliet.14
När en bouppteckning kommer in ska Skatteverket kontrollera att den innehåller samtliga uppgifter som ska antecknas och att det framgår att förrättningen gått till på det sätt som anges i 20 kap. ärvda- balken.
När en bouppteckningsskyldighet föreligger och någon boupp- teckning inte har kommit in i rätt tid får Skatteverket förelägga den eller dem som är ansvariga för att en bouppteckning förrättas att vid vite lämna in en bouppteckning inom en viss tid. Om en uppgift sak- nas i en bouppteckning ska Skatteverket ge ingivaren en möjlighet att komplettera bouppteckningen. Skatteverket kan förelägga den eller de som företräder dödsboet att inom en viss tid komplettera en ofull- ständig bouppteckning.15 Om Skatteverket bedömer att alla obliga- toriska uppgifter är antecknade, och att bouppteckningen förrättats i enlighet med bestämmelserna i 20 kap. ärvdabalken, registrerar Skatte- verket bouppteckningen och förser den med bevis om registrering.
Efter registrering bevaras en bestyrkt kopia av handlingarna hos Skatteverket. Om det inte framgår att bouppteckningsförrättningen gått till på det sätt som anges i 20 kap. ärvdabalken får Skatteverket inte registrera bouppteckningen, utan fattar då besluta om att inte registrera den. Skyldigheten att förrätta och lämna in en bouppteck- ning till Skatteverket kvarstår dock även efter ett sådant beslut.16
Utöver att registrera bouppteckningar ska Skatteverket i vissa situ- ationer kungöra om arv enligt lag eller testamente, förelägga arvingar eller testamentstagare att göra sin rätt gällande samt ta emot anmäl- ningar om att ta arv i anspråk.17 I vissa fall när Skatteverket har be- slutat om kungörelse ska Skatteverket underrätta Kammarkollegiet.18
I förordningen (2001:423) om vissa frågor rörande Skatteverkets handläggning enligt 20 kap. ärvdabalken finns ytterligare bestäm- melser om Skatteverkets underrättelseskyldighet i vissa fall. Exem- pelvis ska Skatteverket underrätta överförmyndare om någon som är
14Dnr Ju2023/01440. Se även Skatteverkets promemoria,
1520 kap. 9 § ärvdabalken.
1620 kap. 9 § tredje stycket ärvdabalken. Se även Skatteverkets rättsliga vägledning, När ska en bouppteckning förrättas? 2023.
Tillgänglig: https://www4.skatteverket.se/rattsligvagledning/edition/2023.3/340668.html [hämtad
1716 kap.
186 kap. 2 § förordningen (2021:403) om Allmänna arvsfonden.
1339
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
underårig eller har förvaltare har del i ett dödsbo.19 I förordningen finns även bestämmelser om att Skatteverket beslutar om och betalar ut ersättning till den som har förordnats till att föranstalta om bo- uppteckning.20
Dödsboanmälan
Skatteverket tar emot och förvarar dödsboanmälningar, och lämnar ut kopior av dessa om någon begär det. Skatteverket ska dock inte granska innehållet i en dödsboanmälan och till skillnad från vad som gäller för bouppteckningar fattar inte Skatteverket något beslut om registrering.21
Europeiskt arvsintyg
Skatteverket utfärdar arvsintyg efter ansökan från en behörig sök- ande. En ansökan ska innehålla en rad uppgifter bland annat uppgif- ter om arvingar och testamentstagare. Om Skatteverket bedömer att myndigheten kan intyga de omständigheter som sökanden vill ha be- styrkta, ska Skatteverket utfärda arvsintyget genom att fylla i ett för EU gemensamt formulär.22
17.2.3Äktenskapsregisterverksamheten
Äktenskapsregistret
I 16 kap. 1 § äktenskapsbalken anges att Skatteverket ska föra ett äktenskapsregister för inskrivning av de uppgifter som ska registreras enligt äktenskapsbalken, eller som ska tas in i registret enligt andra be- stämmelser. Det rör sig bl.a. om äktenskapsförord, gåva mellan makar, anmälan om bodelning under äktenskap och bodelningshandling.23
192 § förordningen om vissa frågor rörande Skatteverkets handläggning enligt 20 kap. ärvda- balken.
206 § förordningen om vissa frågor rörande Skatteverkets handläggning enligt 20 kap. ärvda- balken.
2120 kap. 8 a § ärvdabalken.
22Se arvsförordningens kapitel VI, artiklarna
237 kap. 3 §, 8 kap. 1 §, 9 kap. 1 § och 13 kap. 6 § äktenskapsbalken.
1340
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
I förordningen (1987:1022) om äktenskapsregistret finns bestäm- melser om vilka uppgifter tingsrätter, hovrätter och Högsta domstolen ska sända in till registret och bestämmelser om förfarandet. Det rör sig om bl.a. domar varigenom en vigsel har förklarats ogiltig eller domstolen har dömt till äktenskapsskillnad och vissa beslut som av- ser ett utländskt avgörande om upplösning av ett äktenskap.24
Skatteverkets registrering medför vissa rättsverkningar och kan vara nödvändig för att en handling ska vara giltig eller gällande mot borgenärer. Syftet är framför allt att ge tredje man insyn i sådana rätts- handlingar mellan makar som typiskt sett kan innebära risker för ford- ringsägare.25 Förutom av privatpersoner används äktenskapsregistret av domstolar, sociala myndigheter, banker, fastighetsmäklare och försäkringsbolag med flera.26
Skatteverkets uppgifter i äktenskapsregisterverksamheten
Av 16 kap. 2 § äktenskapsbalken framgår bl.a. att ansökan om en registrering i äktenskapsregistret görs hos Skatteverket, samt vad som ska bifogas en sådan ansökan. När en maka eller make vill registrera exempelvis ett äktenskapsförord ska hon eller han skicka in hand- lingen i original till Skatteverket tillsammans med en ansökan om registrering. I förordningen (2011:976) om Skatteverkets handlägg- ning av vissa registreringsärenden finns bestämmelser om Skatte- verkets handläggning av en ansökan om registrering enligt 16 kap. 2 § äktenskapsbalken. Där framgår att en avgift ska tas ut, samt att en handling efter registrering ska förses med ett bevis därom och åter- lämnas till ingivaren.27 Av förordningen framgår även att registret ska vara ordnat så att de uppgifter som antecknats i registret lätt kan återfinnas.28
När en ansökan om registrering kommer in ska Skatteverket pröva om de formella förutsättningarna för registrering föreligger. Kontrol-
24
25Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
26Skatteverket, Äktenskapsregistret.
Tillgänglig: https://www.skatteverket.se/privat/folkbokforing/aktenskapochpartnerskap/akten skapsregiakten.4.8639d413207905e9480002095.html [hämtad
27
287 § förordningen om äktenskapsregistret.
1341
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
len är begränsad till vissa enklare formföreskrifter, t.ex. att form- kraven för äktenskapsförord är uppfyllda.29
Om handlingen uppfyller de formella kraven för registrering ska Skatteverket besluta att registrera handlingen och förse den med bevis om registrering. Beviset består av den stämpel och underskrift av handläggare m.m. som sätts på originalhandlingen. Skatteverket kan även besluta om att avslå en ansökan om registrering i vissa fall, bl.a. om handlingen inte uppfyller de formella kraven för registrering.30
Skatteverket ska enligt 16 kap. 3 § äktenskapsbalken kungöra gåvor mellan makar, anmälan om bodelning under pågående äktenskap och bodelningshandlingar.
17.3Nuvarande reglering av behandling av personuppgifter
17.3.1Bakgrund
Behovet av en särskild lag
Som nämnts ovan reglerades behandling av personuppgifter i boupp- teckningsverksamheten inledningsvis tillsammans med behandling av personuppgifter i Skatteverkets beskattningsverksamhet. I för- arbetena till
Vid tidpunkten för lagens tillkomst hade Skatteverket uttalat sin avsikt att integrera arbetet med europeiska arvsintyg i bouppteck- ningsverksamheten, eftersom den då nya arbetsuppgiften hade många
29Prop. 2010/11:119, Domstolarnas handläggning av ärenden, s. 55 och 57.
30Exempelvis framgår av 7 kap. 3 § äktenskapsbalken att ett äktenskapsförord ska upprättas skriftligen och det ska vara daterat och undertecknat av makarna eller av de blivande makarna personligen.
31Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
1342
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
beröringspunkter med handläggningen av bouppteckningar.32 Reger- ingen uttalade i förarbetena att Skatteverkets uppgifter som behörig myndighet för utfärdande av europeiska arvsintyg var hänförliga till bouppteckningsverksamheten.33
Bestämmelser om behandling av personuppgifter i äktenskaps- registret fanns fram till
Regeringen konstaterade att både bouppteckningsverksamheten och äktenskapsregisterverksamheten avsåg behandling av uppgifter i enlighet med bestämmelser i familjerättslig lagstiftning. Verksam- heterna ansågs av regeringen vara så pass besläktade med varandra att det var lämpligt att reglera den automatiska behandlingen i verksam- heterna i en gemensam lag.34
Regeringens bedömning i vissa centrala frågor
Tillämpningsområde
Enligt regeringen skulle lagens bestämmelser om personuppgifts- ansvar, tillåtna ändamål, behandling av känsliga personuppgifter, sök- begrepp och utlämnande av personuppgifter på medium för automa- tiserad behandling gälla även vid behandling av uppgifter om avlidna personer. Motiveringen var att det framför allt i boupptecknings-
32Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
33Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
34Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
1343
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
verksamheten behandlades en stor mängd uppgifter om avlidna per- soner, och de angivna bestämmelserna skulle därför gälla även vid behandling av uppgifter om avlidna.35
Ändamål och innehåll
Regeringen uttalade att vilka uppgifter som behövde behandlas i Skatteverkets verksamhet, och på vilket sätt, i mycket hög grad styr- des av bestämmelserna i andra författningar, främst äktenskaps- balken, ärvdabalken och arvsförordningen. Regeringen konstaterade att det följde direkt av bestämmelser i äktenskapsbalken och ärvda- balken att Skatteverket skulle föra äktenskapsregistret samt registrera och förvara kopior av bouppteckningar. Lagen skulle därför inte ha till syfte att reglera innehållet och ändamålet med äktenskapsregistret och registret över bouppteckningar, utan förslaget syftade till att när- mare reglera den automatiska behandlingen. Mot den bakgrunden be- dömde regeringen att det inte var lämpligt eller behövligt att i lagen reglera vilka uppgifter som fick behandlas eller att i detalj ange för vilka ändamål och arbetsuppgifter uppgifter fick behandlas.36 Genom att det i lagen angavs att uppgifter fick behandlas om det behövdes i Skatteverkets äktenskapsregister- och bouppteckningsverksamhet skulle all den behandling som var nödvändig i verksamheten täckas in.37
Känsliga personuppgifter och sökbegränsningar
Regeringen bedömde att det i vissa fall kunde vara nödvändigt att behandla känsliga personuppgifter i de verksamheter som lagen skulle omfatta. En del av de handlingar som Skatteverket registrerade kon- staterades kunna innehålla känsliga uppgifter rörande t.ex. etnicitet och hälsa. Skatteverket skulle därför tillåtas behandla känsliga upp- gifter i inkomna handlingar. Vidare bedömde regeringen att det kunde uppstå situationer när Skatteverket behövde beröra känsliga person-
35Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
36Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
37Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
1344
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
uppgifter i upprättade handlingar, t.ex. i ett beslut om registrering. Om det var nödvändigt för ärendets handläggning skulle därför käns- liga personuppgifter få behandlas även i en handling som upprättades i ett ärende.
För att förhindra integritetskänsliga sammanställningar var det dock enligt regeringen mycket viktigt att införa begränsningar kring vilka uppgifter som skulle få användas som sökbegrepp. Regeringen ansåg att känsliga personuppgifter inte skulle få användas som sök- begrepp utan endast sådana registreringsuppgifter som angavs i 5 kap.
2§ offentlighets- och sekretesslagen (2009:400), OSL.38 Vid sökning efter handlingar skulle dock även namn och person- eller samord- ningsnummer få användas som sökbegrepp.39
Elektroniskt utlämnande
Regeringen konstaterade att personuppgifter som förekommer i verk- samheterna normalt var offentliga, och att ett syfte med registre- ringen var att tillhandahålla information både till andra myndigheter och privata aktörer. Utlämnande på medium för automatiserad be- handling40 möjliggjorde enligt regeringen en hantering som skulle vara effektiv både för Skatteverket och för mottagarna. Regeringen påpekade dock även att den föreslagna regleringen inte innebar någon rätt för mottagarna att få ut uppgifter elektroniskt, utan Skatteverket behövde avgöra om ett utlämnande på medium för automatiserad behandling var lämpligt. Lämplighetsprövningen skulle enligt reger- ingen komma att bli särskilt viktig när utlämnandet skulle ske till enskild. Det var dock enligt regeringens mening inte lämpligt eller behövligt att närmare ange villkor för när uppgifter skulle få lämnas ut på medium för automatiserad behandling.41
38Av 5 kap. 2 § första stycket OSL framgår att en handling som kommer in till eller upprättas i en myndighet ska den registreras och av registret ska framgå datum då handlingen kom in eller upprättades, diarienummer eller annan beteckning handlingen fått vid registreringen, i före- kommande fall uppgifter om handlingens avsändare eller mottagare, och i korthet vad hand- lingen rör.
39Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
40Begreppet medium för automatiserad behandling avser exempelvis
41Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
1345
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
Anpassningar till EU:s dataskyddsförordning
I samband med den översyn som skedde inför att EU:s dataskydds- förordning42 skulle börja tillämpas genomfördes vissa generella för- ändringar av lagen. Referenser till personuppgiftslagen, (1998:204), PUL, ersattes av referenser till dataskyddsförordningen och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning, dataskyddslagen. Vissa bestämmelser anpassades dessutom till dataskyddsförordningen och i övrigt genomfördes några redak- tionella ändringar.43
17.3.2Lagen och förordningen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Av 1 § framgår att lagens syfte är att ge Skatteverket möjlighet att be- handla personuppgifter på ett ändamålsenligt sätt i äktenskapsregister- och bouppteckningsverksamheterna och att skydda människor mot att deras personliga integritet kränks vid en sådan behandling.
Av 2 § framgår lagens tillämpningsområde, dvs. den ska tillämpas vid behandling av personuppgifter i äktenskapsregister- och boupp- teckningsverksamheterna, om behandlingen är helt eller delvis auto- matiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Av bestäm- melsen framgår även att flera av lagens bestämmelser även gäller vid behandling av uppgifter om avlidna.
I 4 § anges att lagen kompletterar dataskyddsförordningen och att dataskyddslagen gäller om inte annat följer av lagen.
Att Skatteverket är personuppgiftsansvarigt för behandlingen som myndigheten utför framgår av 5 §.
42Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
43Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s.
1346
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
Lagens ändamålsbestämmelser finns i 6 §, där både primära och sekundära ändamål samt en bestämmelse som motsvarar finalitets- principen ryms.44 Det primära ändamålet är att personuppgifter får behandlas om det behövs i Skatteverkets äktenskapsregister- och bo- uppteckningsverksamheter. Det sekundära ändamålet är att person- uppgifter som behandlas enligt första stycket också får behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överens- stämmelse med lag eller förordning. Av samma bestämmelse framgår att sådana uppgifter även får behandlas för andra ändamål, under för- utsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Behandling av känsliga personuppgifter är enligt 7 § tillåten i en handling som har lämnats i ett ärende, samt i en handling som har upp- rättats i ett ärende, om uppgifterna är nödvändiga för ärendets hand- läggning.
Enligt 8 § får endast uppgifter som avses i 5 kap. 2 § OSL användas som sökbegrepp vid sökning. Vid sökning efter handlingar får dess- utom namn och person- eller samordningsnummer användas som sök- begrepp. Känsliga personuppgifter får dock inte användas som sök- begrepp.
Personuppgifter får lämnas ut på medium för automatiserad be- handling om det inte är olämpligt, vilket framgår av lagens 9 §.
I 10 § anges att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller vid behandling som är tillåten enligt lagen eller föreskrifter som meddelats i anslutning till den.
Av 11 § framgår att regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § RF meddela föreskrifter om avgifter för utlämnande.
44Av lagens förarbeten framgår visserligen att syftet med bestämmelserna inte var att skapa en uppdelning mellan primära och sekundära ändamål, se prop. 2015/16:28, Vissa frågor om be- handling av personuppgifter och regleringen av
1347
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
Förordningen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
I förordningen finns kompletterande bestämmelser om sådan be- handling av personuppgifter som omfattas av lagen (1 §).
Av förordningens bestämmelser framgår att Skatteverket får med- dela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling (2 §), be- sluta om avgifter för utlämnande av uppgifter (3 §) och meddela de ytterligare föreskrifter som behövs för verkställighet av lagen (5 §). Vidare framgår att Riksarkivet, efter att ha inhämtat synpunkter från Skatteverket, får meddela föreskrifter om vilka uppgifter och hand- lingar som ska gallras (4 §).
17.4Överväganden och förslag
17.4.1En ny lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Vårt förslag: Lagen om behandling av personuppgifter i Skatte- verkets äktenskapsregister- och bouppteckningsverksamheter ska upphävas och ersättas av en ny lag, lagen om dataskydd i Skatte- verkets äktenskapsregister- och bouppteckningsverksamheter.
Skälen för vårt förslag
Behovet av ändringar
Registerförfattningarna för Skatteverkets beskattnings- och folkbok- föringsverksamheter, Tullverket och Kronofogdemyndigheten inför- des 2001. Som vi redogjort för i bl.a. avsnitt 8.4.1 och avsnitt 9.4.1 var de rättsliga och tekniska förhållanden som rådde när de författ- ningarna infördes i många avseenden väsentligt annorlunda jämfört med de förhållanden som råder i dag.
1348
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
alltså en ganska ny och modern lag. Det skulle därför kunna argumen- teras att lagen redan är så väl anpassad till rådande rättsliga och tek- niska förutsättningar för automatiserad personuppgiftsbehandling att några ändringar inte behöver göras i den.
I avsnitt 5.2.7 gör vi dock bedömningen att nya sektorsspecifika dataskyddslagar som kompletterar den allmänna dataskyddsregleringen bör utformas på ett så enhetligt sätt som möjligt. Skälet till detta är bl.a. att det inte bör uppstå osäkerhet om bestämmelsernas betydelse vid en jämförelse mellan olika myndigheters dataskyddsreglering. I kapitel 10 och 11 har vi föreslagit vissa generella bestämmelser som
vibedömer bör införas i dataskyddsregleringen för samtliga övriga verksamheter, förutom Skatteverkets verksamhet med det statliga personadressregistret, SPAR. Det gäller frågor om behandling av käns- liga personuppgifter, sökbegränsningar och elektroniskt utlämnande av personuppgifter. Våra bedömningar i dessa avseenden är tillämpliga även i Skatteverkets äktenskapsregister- och bouppteckningsverksam- heter. I de nyss nämnda avseendena skiljer sig dock bestämmelserna
iden nuvarande
I kapitel 7 och 12 föreslår vi även att bestämmelser om längsta tid för behandling ska införas i de nya dataskyddslagarna för samtliga övriga verksamheter, och att bestämmelser om tillgången till person- uppgifter ska införas i samtliga lagar förutom den nya
Utformningen av
ide nya datalagarna för Skatteverkets beskattnings- och folkbokför- ingsverksamheter, Tullverket och Kronofogdemyndigheten ska ut- formas.
I enlighet med vår målsättning om en enhetligt utformad data- skyddsreglering anser vi sammanfattningsvis att vissa bestämmelser
iden nuvarande
iSkatteverkets äktenskapsregister- och bouppteckningsverksamheter.
1349
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
En ny lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Anpassningen av dataskyddsregleringen för Skatteverkets äktenskaps- register- och bouppteckningsverksamheter till den struktur vi före- slår för övriga verksamheter kommer att innebära ändringar i ÄrBu- lagen av både innehållsmässig, strukturell och redaktionell karaktär. Frågan är då om anpassningen bör genomföras genom en ändrings- lag eller genom att
I samband med införandet av nya lagar om personuppgiftsbehand- ling på brottsdatalagens område för bl.a. Tullverket och Skatteverket hade regeringen ursprungligen föreslagit förändringar av de då gäll- ande lagarna. Lagrådet framhöll dock att om ändringarna skedde i de befintliga lagarna så skulle dessa komma att framstå som helt om- arbetade eftersom i princip alla paragrafer skulle komma att vara för- sedda med ett
Om de ändringar vi föreslår i
Sammantaget bedömer vi att de förändringar som vi anser bör göras är så omfattande att den nuvarande
45Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s.
1350
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
regleringen blir därmed framför allt mer lik de övriga nya dataskydds- lagar vi föreslår. Att personuppgiftsbehandlingen även fortsättnings- vis bör regleras i lag följer av de bedömningar vi redogör för i av- snitt 6.2.
17.4.2Vissa bestämmelser kan flyttas till den nya lagen med endast redaktionella ändringar
Vårt förslag: Nuvarande bestämmelser om lagens syfte, mate- riella tillämpningsområde, förhållandet till annan reglering, person- uppgiftsansvar och begränsningen av rätten att göra invändningar ska motsvaras av bestämmelser i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksam- heter, med endast vissa redaktionella ändringar.
Skälen för vårt förslag
Som framgår av avsnitt 17.3.2 innehåller
1351
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
Även bestämmelsen om
Däremot anser vi att upplysningsbestämmelsen i 11 §
17.4.3Uppgifter om avlidna ska inte omfattas av lagens tillämpningsområde
Vår bedömning: Lagen om dataskydd i Skatteverkets äktenskaps- register- och bouppteckningsverksamheter bör inte gälla vid be- handling av uppgifter om avlidna.
Skälen för vår bedömning
I dag gäller flera av bestämmelserna i
46Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
47Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
1352
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
lämnande av personuppgifter på medium för automatiserad behand- ling.48
EU:s dataskyddsförordning gäller inte för uppgifter om avlidna men medlemsstaterna får enligt förordningen fastställa bestämmel- ser för behandling av sådana uppgifter.49 Något hinder mot att kom- pletterande dataskyddsreglering i tillämpliga delar även tillämpas vid behandling av uppgifter om avlidna personer finns därmed inte.
I avsnitt 7.4.3 föreslår vi att de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket, och Kronofogdemyndigheten inte ska vara tillämpliga vid behandling av uppgifter om avlidna. Frågan är då om det finns skäl att för Skatte- verkets äktenskapsregister- och bouppteckningsverksamheter göra en annan bedömning.
Särskilt i bouppteckningsverksamheten behandlas av naturliga skäl en stor mängd uppgifter om avlidna. Av motiven till
I andra sammanhang finns exempel på att kompletterande data- skyddsreglering även tillämpas vid behandling av uppgifter om av- lidna. Vid behandling av sådana uppgifter hos Försäkringskassan och Pensionsmyndigheten har det huvudsakliga argumentet för att låta dataskyddsbestämmelser omfatta uppgifter om avlidna personer varit just den stora mängden uppgifter som behandlas.51 Vid behandling av uppgifter hos Rättsmedicinalverket har dock regeringen bedömt att dataskyddsregleringen ska gälla vid behandling av uppgifter om avlidna när det rör sig om uppgifter som är särskilt känsliga, t.ex. upp- gifter om personer som utsatts för grov brottslighet eller uppgifter om allvarlig fysisk eller psykisk sjukdom, och där det för efterlev- ande kan vara betydelsefullt att sådana uppgifter skyddas.52
Regeringen har alltså tidigare å ena sidan ansett att redan omfatt- ningen av behandlingen motiverat att dataskyddsregler ska tillämpas vid behandling av uppgifter om avlidna, och å andra sidan uttryckt att hänsyn till uppgifternas karaktär och respekten för efterlevande
482 §
49Skäl 27 till dataskyddsförordningen.
50Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
51Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 45.
52Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 32.
1353
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
motiverar en sådan reglering. Behovet av att låta sektorsspecifika för- fattningar om myndigheters personuppgiftsbehandling vara tillämp- liga vid behandling av uppgifter om avlidna kan självfallet variera mellan olika typer av verksamheter. Mot bakgrund av den allmänna dataskyddsregleringen anser vi dock att det framför allt bör vara upp- gifternas karaktär och respekten för de efterlevande som ska vara av- görande vid bedömningen. Den avgörande frågan blir då om uppgif- terna typiskt sett är känsliga trots att den registrerade är avliden, och vilken hänsyn efterlevande bör visas genom lagstiftningen.
Eftersom uppgifter av särskilt känslig karaktär typiskt sett inte behandlas vare sig i äktenskapsregisterverksamheten eller i boupp- teckningsverksamheten saknas det enligt vår mening skäl för att ut- vidga den kompletterande dataskyddsregleringens tillämpningsområde till att även omfatta uppgifter om avlidna. Den nya lagen om data- skydd i Skatteverkets äktenskapsregister- och bouppteckningsverk- samheter bör därför inte i någon del vara tillämplig vid behandling av uppgifter om avlidna.
17.4.4Ändamålsbestämmelserna ska utformas
i överensstämmelse med övrig dataskyddsreglering
Vårt förslag: I den nya lagen om dataskydd vid Skatteverkets äkten- skapsregister- och bouppteckningsverksamheter ska det finnas en primär ändamålsbestämmelse, en sekundär ändamålsbestämmelse och en bestämmelse som motsvarar finalitetsprincipen.
Skälen för vårt förslag
Syftet med en uppdelning i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels behandlas i myndighetens egen verksamhet, dels behandlas för att lämnas ut till andra. Primära ändamål är beteckningen på de ändamål som aktualiseras i den egna verksamheten. Sekundära ändamål är sådana ändamål som redan in- samlade uppgifter också får behandlas för, typiskt sett genom utläm- nande av uppgifter till andra myndigheter. Den s.k. finalitetsprincipen framgår av artikel 5.1 b i EU:s dataskyddsförordning och innebär att uppgifter efter insamling inte får behandlas på ett sätt som är ofören-
1354
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
ligt med de ändamål för vilka uppgifterna samlades in. I avsnitt 8.4.3–
8.4.5har vi redogjort för vår bedömning att de nya datalagarna för Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten bör innehålla en brett for- mulerad ändamålsbestämmelse, en brett formulerad sekundär ända- målsbestämmelse och en bestämmelse som motsvarar finalitets- principen. De föreslagna ändamålsbestämmelsernas utformning har stora likheter med befintlig reglering i 6 §
I samband med de nuvarande ändamålsbestämmelsernas tillkomst bedömde regeringen visserligen att en indelning i primära och sekun- dära ändamål inte var lämplig, med hänvisning till att syftet med den registrering som skulle ske bland annat var att tillhandahålla infor- mation. Regeringen konstaterade dock att det i lag eller förordning ibland fanns bestämmelser om att en myndighet skulle eller fick lämna ut uppgifter. För att undvika osäkerhet kring hur sådant utlämnande förhöll sig till den föreslagna lagen borde det enligt regeringen anges i lagen att uppgifter fick behandlas för att fullgöra ett uppgifts- lämnande som skedde i överensstämmelse med lag eller förordning. Det borde enligt regeringens mening även införas en uttrycklig hän- visning till den s.k. finalitetsprincipen, för att förtydliga att person- uppgifter fick behandlas för andra ändamål än de ursprungliga, för- utsatt att dessa ändamål inte var oförenliga med de ursprungliga ändamålen. Regeringen framhöll dock i sammanhanget att bestäm- melserna inte kunde inskränka en myndighets skyldighet att lämna ut personuppgifter med stöd av 2 kap. tryckfrihetsförordningen.53
Regeringen har i flera senare lagstiftningsärenden uttalat att en så- dan brett formulerad bestämmelse om vidarebehandling för upp- giftslämnande som vi föreslår i avsnitt 8.4.4 och som i dag finns i 6 § andra stycket
53Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
54Se bl.a. prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s data- skyddsförordning, s.
1355
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
bestämmelser som påbjuder eller tillåter utlämnande.55 Det nyss sagda är giltigt även för Skatteverkets äktenskapsregister- och bouppteck- ningsverksamheter. Som framgår av avsnitt 17.2.2 och 17.2.3 omfat- tar Skatteverkets uppgifter i verksamheterna dessutom inte enbart att tillhandahålla information till andra, utan även att kontrollera att vissa materiella bestämmelser följs, meddela förelägganden samt att fatta beslut, exempelvis om ersättning i vissa fall. Även i förarbetena till den nuvarande ändamålsbestämmelsen konstaterade regeringen att Skatteverket behandlar personuppgifter i ett flertal olika situa- tioner som enligt vår mening inte kan klassas som uppgiftslämnande eller direkt hänförliga till förandet av register. Regeringen angav exempelvis att Skatteverket upprättar olika typer av skriftliga beslut, överväganden, yttranden m.m. och hanterar överklaganden.56 Skatte- verkets uppgifter i äktenskapsregister- och bouppteckningsverksam- heterna är alltså fler än att enbart föra register och lämna ut uppgifter från registren. Det finns därför skäl att ompröva regeringens tidigare ställningstagande att en uppdelning av primära och sekundära ända- mål inte är lämplig i Skatteverkets äktenskapsregister- och boupp- teckningsverksamheter.
Vi bedömer att den nya lagen bör innehålla en indelning i primära och sekundära ändamål i syfte att skapa ökad tydlighet och större en- hetlighet med den nya dataskyddsreglering vi föreslår i övrigt. Mot den bakgrunden föreslår vi att det i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter ska införas en primär ändamålsbestämmelse, en sekundär ändamåls- bestämmelse och en bestämmelse som motsvarar finalitetsprincipen. Bestämmelserna ska utformas i enhetlighet med motsvarande bestäm- melser i de nya datalagarna för Skatteverkets beskattnings- och folk- bokföringsverksamheter, Tullverket och Kronofogdemyndigheten.
55Se bl.a. prop. 2014/15 :148, Domstolsdatalag, s. 41 och prop. 2017/18 :95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 57.
56Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
1356
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
17.4.5Känsliga personuppgifter
Vårt förslag: Skatteverket ska få behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga person- uppgifter), om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Skälen för vårt förslag
Behandling av känsliga personuppgifter är som utgångspunkt förbjuden
Med känsliga personuppgifter avses i EU:s dataskyddsförordning personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.57 I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskydds- förordningen definieras uppgifter om hälsa. I dag får Skatteverket enbart behandla sådana uppgifter i äktenskapsregister- och boupp- teckningsverksamheterna i en handling som har lämnats i ett ärende, samt i en handling som har upprättats i ett ärende, om uppgifterna är nödvändiga för ärendets handläggning.58
I samband med
57Artikel 9.1 i dataskyddsförordningen.
587 §
59Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
1357
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
ter som kunde tillämpas i de aktuella verksamheterna.60 Den generella dataskyddsregleringen vid den tidpunkten innebar därmed att det behövde finnas uttryckliga bestämmelser som tillät behandling av känsliga personuppgifter för att möjliggöra nödvändig behandling.
Enligt artikel 9.1 i dataskyddsförordningen är det också i dag för- bjudet att behandla s.k. känsliga personuppgifter. Förbudet är dock förenat med vissa undantag. Behandling av känsliga personuppgifter är exempelvis tillåten om den är nödvändig av hänsyn till ett viktigt allmänt intresse, vilket framgår av artikel 9.2 g. Regeringen har i detta sammanhang ansett att verksamhet som innefattar myndighetsutöv- ning utgör ett viktigt allmänt intresse.61 Inom myndigheters verk- samhet kan alltså det undantaget tillämpas.
Av 3 kap. 3 § dataskyddslagen, som kompletterar dataskyddsför- ordningen i detta avseende, framgår att en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen får behandla känsliga person- uppgifter om uppgifterna har lämnats till myndigheten och behand- lingen krävs enligt lag, om behandlingen är nödvändig för handlägg- ningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otill- börligt intrång i den registrerades personliga integritet.
Behandling av känsliga personuppgifter ska vara tillåtet om det är nödvändigt med hänsyn till ändamålet med behandlingen
I avsnitt 10.6 och 10.7 har vi redogjort för våra bedömningar avse- ende nuvarande begränsningar av möjligheten att behandla känsliga personuppgifter inom Skatteverkets beskattnings- och folkbokför- ingsverksamheter, Tullverket och Kronofogdemyndigheten. Bedöm- ningen som redovisas där är sammanfattningsvis att det till följd av den allmänna dataskyddsregleringen, dvs. EU:s dataskyddsförord- ning och dataskyddslagen, finns utrymme för en mindre detaljerad reglering av behandling av känsliga uppgifter än tidigare. Vi har även bedömt att en stor del av myndigheternas behandling av känsliga per- sonuppgifter kan ske med stöd av den allmänna dataskyddsregler- ingen. Vi har därför övervägt om det över huvud taget finns behov av kompletterande reglering i detta avseende.
6013 § PUL.
61Prop. 2017/18:105, Ny dataskyddslag, s. 83.
1358
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
Vår sammantagna bedömning är dock att dataskyddslagens bestäm- melser inte säkerställer att det finns det rättsliga stöd som krävs för nödvändig behandling i den löpande faktiska verksamheten som sker i myndigheternas verksamhet. Skatteverkets beskattnings- och folk- bokföringsverksamheter, Tullverket och Kronofogdemyndigheten föreslås därför få ett uttryckligt stöd för att behandla känsliga person- uppgifter i de nya datalagarna. Sådan behandling ska dock endast få ske under förutsättning att det är nödvändigt med hänsyn till ända- målet med behandlingen.
På grund av verksamheternas karaktär är Skatteverkets behov av att behandla känsliga personuppgifter i äktenskapsregister- och bo- uppteckningsverksamheterna delvis annorlunda än i övriga verksam- heter som omfattas av vårt uppdrag. Samma behov av att behandla känsliga personuppgifter som förelåg vid tidpunkten för
Trots att det inte är nödvändigt att behandla känsliga person- uppgifter i särskilt hög utsträckning i äktenskapsregister- och boupp- teckningsverksamheterna anser vi att det inte finns skäl för att i detta sammanhang göra en annan bedömning än den som framkommer av avsnitt 10.6 och 10.7. Av samma skäl som förs fram där förslår vi därför att det i den nya dataskyddslagen för äktenskapsregister- och bouppteckningsverksamheterna ska införas en bestämmelse som ger Skatteverket stöd för att behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Begreppet nödvändigt innebär inte ett krav på att behandlings- åtgärden ska vara oundgänglig.62 Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter Skatteverket har att utföra inom äktenskapsregister- och bouppteckningsverksamheterna. Bestämmel- sen ersätter varken artikel 6, dvs. kravet på att det ska finnas en rättslig grund för behandlingen, eller artikel 9.2 g i dataskyddsförord- ningen. I kravet på nödvändighet ligger dock att känsliga person- uppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter.
62Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194.
1359
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
17.4.6Sökbegränsningar
Vårt förslag: Det ska som huvudregel vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet ska inte omfatta sökningar i en viss handling eller i ett visst ärende.
Skälen för vårt förslag
Dataskydd och sökbegränsningar
Sökning är en form av behandling i EU:s dataskyddsförordnings mening i de fall en sökning innefattar personuppgifter.63 Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och ett sökförbud kan vara ett viktigt och ändamålsenligt sätt att begränsa dessa risker.64 En vanligt förekommande skyddsåtgärd är sökbegränsningar, vilka även förekommer i dataskyddsregleringen för Skatteverkets äktenskaps- register- och bouppteckningsverksamheter. Enligt 8 §
Liknande sökbegränsningar som i 8 §
63Artikel 4.2 i dataskyddsförordningen.
64Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 48.
1360
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
ett led i utförandet av sina uppgifter. Vi har bl.a. därför föreslagit att det inte ska finnas någon motsvarighet till de nuvarande sökbegräns- ningarna i de nya datalagarna. Däremot har vi föreslagit att det ska införas bestämmelser om sökförbud för känsliga personuppgifter.
Den i avsnitt 10.9.1 föreslagna bestämmelsen är utformad efter det sökförbud som gäller enligt 3 kap. 3 § andra stycket dataskydds- lagen. En sådan typ av sökbegränsning innebär att det som utgångs- punkt är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. En sökbegränsning som utgår från syftet med en sökning omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller syste- matisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.65
Om syftet med sökningen inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen.66 Bestämmelsen hindrar där- med inte sökningar som görs för att utöva tillsyn, ta fram verksam- hetsstatistik, för registervård eller för att söka fram ett namn. Genom en sådan bestämmelse är det dock som huvudregel inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av uppgifter om t.ex. etniskt ursprung.67 En sådan utformning innebär alltså inte större möjligheter att använda känsliga personuppgifter som sökbegrepp vid sådana sökningar som de tidigare sökförbuden varit avsedda att hindra, såsom kartläggning av personer på grundval av känsliga personuppgifter.68 Den underlättar dock för myndighet- erna att kunna behandla personuppgifter på ett för verksamheterna ändamålsenligt sätt.
Behovet av en uppdaterad reglering
För att åstadkomma en mer enhetlig och ändamålsenlig reglering anser vi att det finns skäl att se över och uppdatera den nuvarande regleringen av sökbegränsningar även för Skatteverkets äktenskaps- register- och bouppteckningsverksamheter. I förarbetena motivera- des den nuvarande bestämmelsen med att äktenskapsregistret och
65Jfr prop. 2017/18:105, Ny dataskyddslag, s. 195.
66Jfr prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 178.
67Se t.ex. prop. 2017/18:105, Ny dataskyddslag, s. 91.
68Jfr prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 38.
1361
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
registret över bouppteckningar innehöll stora mängder uppgifter om personliga förhållanden. I syfte att förhindra integritetskänsliga sam- manställningar ansåg regeringen att det var mycket viktigt att det skulle gälla begränsningar kring vilka uppgifter som fick användas som sökbegrepp.69 I dag måste dock dataskyddsförordningens krav på bl.a. rättslig grund för behandling, uppgiftsminimering och tek- niska och organisatoriska säkerhetsåtgärder anses utgöra ett skydd mot obefogade sökningar (se avsnitt 3.2.5). Behovet av sådan begrän- sande reglering som nuvarande bestämmelser innebär har alltså minskat efter att dataskyddsförordningen började tillämpas. Som vi konstaterat i avsnitt 10.9.1 kan det dessutom finnas situationer där det framstår som motiverat och nödvändigt att en myndighet an- vänder känsliga personuppgifter i syfte att utföra sina uppgifter. Så- dan sökning bör vara tillåten. I det sammanhanget har vi dessutom konstaterat att dataskyddsförordningen inte innehåller något krav på att det i nationell rätt ska föreskrivas förbud mot att använda käns- liga personuppgifter vid sökning. Om behandlingen grundar sig på artikel 9.2 g, dvs. den är nödvändig av hänsyn till ett viktigt allmänt intresse, krävs dock att den nationella rätten innehåller bestämmel- ser om lämpliga och särskilda åtgärder för att säkerställa den regi- strerades grundläggande rättigheter och intressen.
Dagens reglering av sökbegrepp bör sammanfattningsvis inte oför- ändrad föras över till den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Däremot finns det skäl att, liksom för Skatteverkets beskattnings- och folkbokför- ingsverksamheter, Tullverket och Kronofogdemyndigheten, överväga en sökbegränsning avseende känsliga personuppgifter. Rättsliga be- gränsningar av hur känsliga personuppgifter får behandlas, t.ex. i fråga om sökningar efter uppgifter, fyller nämligen en viktig funk- tion och stärker skyddet för enskildas personliga integritet. Reger- ingen har tidigare bedömt att de nu gällande bestämmelserna om sök- begrepp i
69Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
70Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s.
1362
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
Det ska som huvudregel vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter
Som vi konstaterat ovan behandlas känsliga personuppgifter i för- hållandevis liten utsträckning inom Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Behovet av att använda sådana typer av personuppgifter vid sökningar bör mot den bakgrunden vara be- gränsat och endast hänföra sig till situationer då uppgifterna utgör relevanta omständigheter vid fullgörande av en uppgift som Skatte- verket har att utföra. I avsnitt 10.9.1 har vi bedömt att en sådan sök- ning exempelvis kan vara aktuell vid sökning efter ett tidigare beslut. Trots det begränsade behovet av att inom Skatteverkets äktenskaps- register- och bouppteckningsverksamheter använda känsliga person- uppgifter vid sökning anser vi att regleringen bör utformas på samma sätt i detta sammanhang som i övriga verksamheter.
För Skatteverkets beskattningsverksamhet, Tullverket och Krono- fogdemyndigheten har de föreslagna sökbegränsningarna förenats med vissa undantag som är motiverade av de behov som finns i verk- samheterna. Skatteverket har uppgett att några sådana behov inte föreligger i äktenskapsregister- och bouppteckningsverksamheterna. I detta sammanhang bör sökförbudet därför inte bör ha något sådant verksamhetsspecifikt undantag.
Vi föreslår alltså att det ska föras in en bestämmelse i den nya lagen om dataskydd i Skatteverkets äktenskapsregister och boupp- teckningsverksamheter som anger att det är förbjudet att utföra sök- ningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Av samma skäl som förts fram i avsnitt 10.9.1 bör det dock även för Skatteverkets äktenskapsregister- och bouppteck- ningsverksamheter finnas ett undantag som innebär att sökförbudet inte omfattar sökningar i en viss handling eller i ett visst ärende. Den enskilde medarbetaren vid Skatteverket kan därmed göra sökningar på känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
Dagens sökbegränsningar innebär att Skatteverket inom äkten- skapsregister- och bouppteckningsverksamheterna inte uttryckligen har möjlighet att utföra sökningar som innefattar uppgifter om olika lagöverträdelser, om en sådan uppgift inte ingår i de uppgifter som registreras enligt 5 kap. 2 § OSL. Även uppgifter om lagöverträdel- ser kan vara integritetskänsliga. Behovet av att behandla uppgifter om lagöverträdelser inom verksamheterna borde dock vara begränsat,
1363
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
och i likhet med behovet av att behandla känsliga personuppgifter uppstå först om de handlingar som ska registreras innehåller sådana uppgifter. Frågan om sökning efter lagöverträdelser berördes dock inte särskilt i förarbetena till de nu gällande bestämmelserna.71
Av artikel 10 i dataskyddsförordningen framgår att det inte finns några hinder mot att en myndighet behandlar personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott. Enligt vår bedömning finns det därför inte skäl för att även sådana uppgifter ska omfattas av det föreslagna sökförbudet.
Offentlighetsprincipen
I avsnitt 10.9.1 redogör vi för förhållandet mellan absoluta sökför- bud och tryckfrihetsförordningens, TF, bestämmelser som avser offentlighetsprincipen. Offentlighetsprincipen omfattar uppgifter som ännu inte har sammanställts men som kan sammanställas med hjälp av tillgänglig teknik och rutinbetonade åtgärder, t.ex. en sökning (2 kap. 6 § andra stycket TF), s.k. potentiella handlingar. En poten- tiell handling anses enligt den s.k. begränsningsregeln i 2 kap. 7 § TF inte förvarad hos en myndighet om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig.
Syftet med begränsningsregeln i 2 kap. 7 § TF är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sam- manställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är förhindrad att ta fram i sin egen verksamhet.72 Att en handling inte anses förvarad hos en myndighet, t.ex. på grund av att kraven i begränsningsregeln är uppfylld, innebär att den inte är en allmän handling (2 kap. 4 § TF). Det innebär i sin tur att handlingen inte omfattas av allmänhetens rätt att ta del av densamma enligt offentlighetsprincipen (2 kap. 1 § TF). Sammanfattningsvis kan ett författningsreglerat förbud att ut- föra vissa sökningar till följd av begränsningsregeln få betydelse för i vilken omfattning potentiella handlingar, såsom t.ex. sammanställ- ningar som görs genom sökningar grundade på känsliga person- uppgifter, utgör allmänna handlingar vid en myndighet.
71Jfr prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
72Prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 23.
1364
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
Vårt förslag innebär att det kommer att bli möjligt för Skatte- verket att under vissa förutsättningar göra sammanställningar av käns- liga personuppgifter. I avsnitt 10.9.1 bedömer vi att det inte är helt klart hur de föreslagna sökförbuden skulle anses förhålla sig till be- gränsningsregeln i rättstillämpningen och att myndigheter i varje enskilt fall har att bedöma om den sammanställning av uppgifter som efterfrågas utgör en allmän handling hos myndigheten. Om sam- manställningen utgör en allmän handling ska den lämnas ut, såvida inte uppgifterna i den omfattas av sekretess. Detta gäller även om det är fråga om känsliga personuppgifter som har sammanställts genom sökning.73 I samma kapitel redogör vi även för vissa sekretessbestäm- melser som gäller oavsett var uppgifterna förekommer och konsta- terar att någon förändring av befintlig sekretessreglering inte är på- kallad.
Uppgifter som behandlas inom äktenskaps- och boupptecknings- verksamheterna är som utgångspunkt offentliga. Syftet med den regi- streringen m.m. som Skatteverket ska utföra inom verksamheterna är också till stor del att uppgifterna ska kunna lämnas ut, vilket sker i stor utsträckning. Redan i dag finns det alltså stora möjligheter för enskilda att begära ut uppgifter och på egen hand göra sammanställ- ningar av informationen utifrån de parametrar som den enskilde är intresserad av. I den mån uppgifter är sekretessbelagda med stöd av någon av de bestämmelser om sekretess som gäller oavsett i vilket sammanhang uppgifterna behandlas lämnas de dock inte ut. Det nyss sagda kommer även gälla fortsättningsvis. Enligt vår mening finns det därför inte heller något behov av nya sekretessbestämmelser för äktenskapsregister- och bouppteckningsverksamheten.
17.4.7Tillgången till personuppgifter ska begränsas
Vårt förslag: I den nya lagen ska det finnas bestämmelser som anger att tillgången till personuppgifter ska begränsas till vad var och en behöver för att utföra sina arbetsuppgifter, och att åt- komsten till personuppgifter regelbundet ska kontrolleras och följas upp.
73Prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskydds- förordning, s. 27.
1365
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
Skälen för vårt förslag
Enligt artikel 24 i EU:s dataskyddsförordning ska den personupp- giftsansvariga myndigheten vidta lämpliga tekniska och organisator- iska åtgärder för att säkerställa, och kunna visa, att behandlingen ut- förs i enlighet med dataskyddsförordningen. Dessa åtgärder ska ses över och uppdateras vid behov. Det innebär bl.a. att myndigheten löpande ska vidta de åtgärder som behövs för att säkerställa att prin- cipen om uppgiftsminimering i artikel 5.1 c efterlevs.
I artikel 25 tydliggörs bl.a. att
I avsnitt 7.7 gör vi bedömningen att en begränsning av tillgången till personuppgifter är en viktig åtgärd för att säkerställa de registre- rades grundläggande rättigheter och intressen. Vi föreslår därför att det ska finnas bestämmelser i de nya datalagarna för Skatteverkets be- skattnings- och folkbokföringsverksamheter, Tullverket och Krono- fogdemyndigheten som anger att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. En sådan bestämmelse anger en av de centrala prin- ciper som vi anser bör uttryckas i en modern dataskyddslag. Vi be- dömer därför att det även i den nya dataskyddslagen för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter finns skäl för att införa en bestämmelse med motsvarande innebörd.
Av de skäl som framgår av avsnitt 7.7 föreslår vi därför att en bestämmelse förs in i den nya lagen om dataskydd i Skatteverkets äktenskapsregister och bouppteckningsverksamheter som anger att tillgången till personuppgifter ska begränsas till vad var och en be- höver för att utföra sina arbetsuppgifter. För att det ska vara tydligt att det är en bestämmelse som ställer vissa krav på Skatteverket som
1366
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
personuppgiftsansvarig ska bestämmelsen kompletteras av en bestäm- melse som omfattar en skyldighet att regelbundet kontrollera och följa upp åtkomsten.
Bestämmelserna tydliggör ytterligare vad som redan gäller enligt dataskyddsförordningen, dvs. att myndigheten har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säker- ställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbets- uppgifter. Innebörden av bestämmelsen är att det ska finnas ett be- rättigat behov av åtkomst till personuppgifter. Den som är anställd inom Skatteverket äktenskapsregister- och bouppteckningsverksam- heter ska inte ges obegränsad tillgång till alla personuppgifter som behandlas inom verksamheterna. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Att Skatteverket ska kontrollera och följa upp åtkomsten till per- sonuppgifter regelbundet innebär att myndigheten ska kunna upp- täcka och åtgärda obehörig åtkomst. Kontroller ska genomföras syste- matiskt och återkommande och inte bara när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har före- kommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Detta är av särskild betydelse vid behandling av känsliga personuppgifter. Det är dock upp till Skatteverket att närmare bestämma formerna för kontrollen. Någon närmare reglering av hur den löpande kon- trollen eller åtkomsten ska utformas är alltså inte nödvändig, vilket
viutvecklar i avsnitt 7.7. Däremot bör lagen kompletteras i detta av- seende av vissa bestämmelser i den nya förordningen, se avsnitt 17.4.10.
17.4.8Elektroniskt utlämnande
Vårt förslag: Personuppgifter ska få lämnas ut elektroniskt om det inte är olämpligt.
Av tydlighetsskäl ska det finnas en bestämmelse som upplyser om att regeringen eller den myndighet regeringen bestämmer har möjlighet att meddela föreskrifter om begränsningar av möjlig- heten att lämna ut personuppgifter elektroniskt.
1367
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
Skälen för vårt förslag
Elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt
Idag får Skatteverket inom äktenskapsregister- och boupptecknings- verksamheterna lämna ut personuppgifter på s.k. medium för auto- matiserad behandling om det inte är olämpligt, vilket framgår av 9 §
Utlämnande på medium för automatiserad behandling särskiljs alltid från s.k. direktåtkomst. Med direktåtkomst avses att en mot- tagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av informationen (HFD 2015 ref. 61). Uppgiftslämnande genom direktåtkomst har under en lång tid ansetts utgöra en särskilt integritetskänslig form av utlämnande, vilket vi utvecklar närmare i 11.2.2 och därför inte återger här. Mot bakgrund av de särskilda integritetsrisker som direktåtkomst har för- knippats med har sådan informationsöverföring ansetts behöva regle- ras särskilt för att vara tillåten.
I avsnitt
74Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av
1368
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
vad avser integritetsrisker inte längre är så stora, samt att ett utläm- nande genom direktåtkomst i dag kan medföra ett högre integritets- skydd än vid andra former av elektroniskt utlämnande. Vi har därför föreslagit att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt, och att någon rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande inte ska finnas i de nya dataskyddslagarna för de ovan nämnda verksamheterna.
Vi har inte funnit något skäl att avseende elektroniskt utlämnande från äktenskapsregister- och bouppteckningsverksamheterna göra en annan bedömning än den som framgår av avsnitt
Jämfört med dagens reglering föreslår vi alltså att möjligheten att lämna ut uppgifter genom direktåtkomst ska finnas, och inte kring- gärdas av ytterligare begränsningar än olämplighetrekvisitet.
I avsnitt 11.7.5 redogör vi för vad en sådan bestämmelse innebär samt den prövning som ska föregå valet av utlämnandeform. En cen- tral aspekt av bestämmelsen är att den inte ska förstås medföra en rätt för mottagaren eller en skyldighet för Skatteverket att över huvud taget lämna ut uppgifter elektroniskt, och ännu mindre genom ett särskilt tekniskt förfarande. I stället ansvarar Skatteverket för att överväga vilken teknisk lösning som i det enskilda fallet uppfyller dataskyddsförordningens krav. I normalfallet bör dock annat elek- troniskt utlämnande än direktåtkomst anses lämpligt när mottagaren är en annan myndighet. När direktåtkomst övervägs är dock större restriktivitet påkallad. När utlämnande genom direktåtkomst över- vägs bör prövningen omfatta vilka särskilda integritetsrisker ett så- dant elektroniskt utlämnande kan innebära. Övervägandena inför upprättande av en direktåtkomst kan dessutom komma att kräva en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen, och att samråd hålls med Integritetsskyddsmyndigheten, IMY, enligt artikel 36 i dataskyddsförordningen.
1369
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
En upplysningsbestämmelse
I 11.7.5 har vi konstaterat att det inte går att utesluta att det kan uppstå ett behov av att meddela föreskrifter som begränsar myndig- heternas möjligheter att lämna ut personuppgifter elektroniskt. En konsekvens av vårt förslag är dock att direktåtkomst eller andra for- mer av elektroniskt utlämnande endast bör regleras i författning om sådan åtkomst behöver begränsas. Sådana bestämmelser kan med- delas i förordning med stöd av regeringens restkompetens enligt 8 kap. 7 § RF. Det finns därmed utrymme för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter som be- gränsar myndigheternas möjlighet att själva avgöra när det är lämp- ligt eller olämpligt att lämna ut personuppgifter elektroniskt. En så- dan bestämmelse bör även införas i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
17.4.9Längsta tid för behandling
Vårt förslag: I den nya lagen ska införas en bestämmelse som reglerar längsta tid för behandling.
Av tydlighetsskäl ska det finnas en bestämmelse som upplyser om att regeringen eller den myndighet regeringen bestämmer har möjlighet att meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Skälen för vårt förslag
Personuppgifter ska inte få behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen
Iden nuvarande
1370
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
avsnitt
Enligt artikel 5.1 e i EU:s dataskyddsförordning får personupp- gifter inte förvaras i en form som möjliggör identifiering av den regi- strerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (principen om lagringsmini- mering). Personuppgifter får alltså inte behandlas om det inte längre finns ett behov av det. Principen om lagringminimering är en av de grundläggande principerna för behandling enligt dataskyddsförord- ningen. I enlighet med den s.k. ansvarsprincipen i artikel 5.2 måste Skatteverket som personuppgiftsansvarig myndighet kunna visa att de grundläggande principerna för behandling efterlevs.
I avsnitt 12.4.3 föreslår vi att de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Krono- fogdemyndigheten inte ska innehålla bestämmelser om gallring, utan enbart bestämmelser som reglerar längsta tid för behandling. Dessa bestämmelser motsvarar principen om lagringsminimering i data- skyddsförordningen. Den principen bör också komma till uttryck i den nya dataskyddslagen för äktenskapsregister- och boupptecknings- verksamheterna, och utgöra en huvudregel för personuppgiftsbehand- lingen där. Vi föreslår därför att en bestämmelse om att person- uppgifter inte ska få behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen ska införas i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteck- ningsverksamheter.
Syftet med bestämmelsen är att tydliggöra den grundläggande principen om att endast personuppgifter som behöver behandlas ska behandlas. Bestämmelsen innebär alltså ingen inskränkning i förhåll- ande till vad som i dag redan gäller enligt den allmänna dataskydds- regleringen. Däremot blir det tydligt att Skatteverket som person- uppgiftsansvarig myndighet kontinuerligt måste bedöma och motivera behovet av fortsatt behandling utifrån de ändamål som personuppgif- terna behandlas för. När det inte längre finns något behov av att be- handla personuppgifter ska de tas bort eller avidentifieras på ett så- dant sätt att alla identifieringsmöjligheter försvinner. Om en uppgift behandlas för flera olika ändamål får den dock fortsätta behandlas för de ändamål där behovet fortfarande kvarstår. Skatteverket måste
75Se även Riksarkivets föreskrifter om gallring i äktenskapsregister- och boupptecknings- verksamheterna hos Skatteverket,
1371
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
även kunna visa att principen om lagringsminimering efterlevs, ex- empelvis inför sitt dataskyddsombud eller IMY.
I avsnitt 12.4.4 bedömer vi även att avgränsningen till den tid som behövs med hänsyn till ändamålet med behandlingen innebär att det inte finns något hinder mot att handlingar arkiveras och gallras enligt arkivlagens bestämmelser, och att det saknas behov av en upplys- ningsbestämmelse om att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om gallring. Det finns inte skäl att i frågan om behovet av en sådan upplysningsbestämmelse göra en annan bedömning för Skatteverkets äktenskapsregister- och boupp- teckningsverksamheter.
En upplysningsbestämmelse
Som framgår av avsnitt 17.2.2 och 17.2.3 omfattar Skatteverkets äktenskapsregister och bouppteckningsverksamheter fler uppgifter än enbart registerföring. I avsnitt 12.4.5 har vi bedömt att det kan uppkomma situationer där den längsta tiden för behandling för ett visst ändamål kan behöva preciseras ytterligare. En sådan precisering av när behandling för ett särskilt ändamål senast ska upphöra bör främst ses främst en särskilt integritetshöjande åtgärd. Det kan aktu- aliseras om behandling av särskilt känsliga uppgifter motiveras av ny materiell reglering, eller som ett resultat av den tekniska utvecklingen. Även om en yttersta tidsfrist för behandling främst är en integritets- höjande åtgärd kan det inte uteslutas att också effektivitetsskäl talar för att införa ett formaliserat stöd för hur länge behandling för ett visst ändamål är behövlig. En sådan bestämmelse kan alltså också moti- veras av en önskan att undvika att det på myndighetsnivå läggs alltför stora resurser på kontinuerliga överväganden om en viss fortsatt be- handling för ett särskilt ändamål är tillåten. Regeringen eller den myn- dighet som regeringen bestämmer kan då med stöd av 8 kap. 7 § RF meddela föreskrifter om mer preciserade tidsfrister för behandlingen i vissa fall. I avsnitt 12.4.5 har vi bedömt att det nyss sagda av tydlig- hetsskäl bör framgå av lag, vilket även gör sig gällande i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Vi föreslår därför att en upplysningsbestämmelse tas in i den nya lagen om att regeringen eller den myndighet som regeringen bestämmer kan med- dela föreskrifter om att personuppgifter får behandlas under viss tid.
Denna yttersta tidsgräns som regeringen eller den myndighet
1372
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
regeringen bestämmer kan meddela föreskrifter om bör normalt inte utgöra bestämmelser om gallring, om det inte särskilt föreskrivs. Det är i stället fråga om hur länge en viss kategori av uppgifter får be- handlas för ändamålet med behandlingen, och den arkivrättsliga frågan om samma uppgifter ska gallras eller bevaras bör normalt lösas inom det arkivrättsliga regelverket.
I avsnitt 12.4.5 föreslår vi dessutom att bestämmelsen om längsta tid för behandling i de nya datalagarna för Skatteverkets beskatt- nings- och folkbokföringsverksamheter, Tullverket och Kronofogde- myndigheten i förordning ska kompletteras med ett bemyndigande för myndigheterna att meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid. Se avsnitt 17.4.10 avseende mot- svarande bestämmelse i Skatteverkets äktenskapsregister- och bo- uppteckningsverksamheter.
17.4.10 En ny förordning
Vårt förslag: Den nya lagen ska kompletteras av en ny förord- ning, förordningen om dataskydd i Skatteverkets äktenskaps- register- och bouppteckningsverksamheter.
Den nya förordningen ska innehålla
–en upplysningsbestämmelse om förordningens funktion, om att ord och har samma betydelse som i lagen, samt om med vilket stöd förordningen är meddelad,
–bestämmelser om att Skatteverket ska ha rutiner för kontroll av behörigheter för åtkomst till personuppgifter, kontroll av åtkomst till personuppgifter samt för kontroll av att elektro- niskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt,
–en bestämmelse med bemyndigande för Skatteverket att med- dela föreskrifter om att personuppgifter längst får behandlas under en viss tid,
–en bestämmelse om att Skatteverket får besluta om avgifter för utlämnande, samt
–en bestämmelse med bemyndigande för Skatteverket att med- dela de övriga föreskrifter som behövs för verkställighet av lagen.
1373
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
Skälen för vårt förslag
En ny förordning
Vi bedömer att den föreslagna nya lagen, som har ett nytt namn och som föreslås utfärdas under 2025, behöver kompletteras med bestäm- melser i förordning. Av samma skäl som anges i avsnitt 17.4.1 bör den nuvarande förordningen upphävas och ersättas av en ny förord- ning. Förordningens namn bör ansluta till den nya lagens namn och bör därför vara förordning om dataskydd i Skatteverkets äktenskaps- register- och bouppteckningsverksamheter.
En upplysningsbestämmelse
1 §
Begränsningar av möjligheten att lämna ut personuppgifter på medium för automatiserad behandling
I dag bemyndigas Skatteverket att föreskriva om begränsningar av möjligheterna att lämna ut personuppgifter på medium för auto- matiserad behandling i 2 §
viföreslagit att uppgifter ska få lämnas ut elektroniskt om det inte är olämpligt. Det görs i den föreslagna bestämmelsen ingen skillnad mellan olika former av elektroniskt utlämnande. Något behov av att
iden nya förordningen om dataskydd i Skatteverkets äktenskaps- register- och bouppteckningsverksamheter bemyndiga Skatteverket att meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling finns därför inte. Bestämmelsen ska därför inte ha någon motsvarighet i den nya förordningen.
1374
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
Krav på vissa rutiner
Vi har föreslagit att det i de nya förordningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Krono- fogdemyndigheten ska införas bestämmelser som anger att myndig- heterna är skyldiga att ha vissa rutiner för kontroll av behörighet för åtkomst till personuppgifter, samt kontroll av att elektroniskt ut- lämnande av personuppgifter kan ske på ett från integritetssynpunkt godtagbart sätt, se avsnitt 7.7 och avsnitt 11.7.6. Av samma skäl som förs fram i de nämnda avsnitten bör sådana bestämmelser införas även i den nya förordningen om dataskydd i Skatteverkets äkten- skapsregister- och bouppteckningsverksamheter.
Avgifter
I avsnitt 17.4.2 har vi bedömt att det saknas skäl att införa en upp- lysningsbestämmelse i den nya lagen om att regeringen eller den myndighet regeringen bestämmer ska kunna meddela föreskrifter om avgifter för utlämnande. Frågan är då om den bestämmelse som finns i 3 §
Skatteverket har uppgett att det finns ett behov av att fortsatt kunna ta ut avgifter, exempelvis vid utlämnande till aktörer som pre- numererar på uppgifter som registreras i äktenskapsregistret eller i bouppteckningsverksamheten. En myndighet får bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen.76 Någon- stans måste det därför finnas en bestämmelse med motsvarande inne- börd som i 3 §
Vi har övervägt om bestämmelsen kan flyttas till en annan lag eller förordning, exempelvis förordningen om äktenskapsregistret och förordningen om vissa frågor rörande Skatteverkets handlägg- ning enligt 20 kap. ärvdabalken. Bestämmelserna i de båda förordning- arna är dock av en sådan karaktär att bemyndigandet att bestämma avgifter för utlämnande framstår som främmande i sammanhanget. I den föreslagna nya lagen om dataskydd regleras dessutom elektro- niskt utlämnande, vilket ger en koppling till avgiftsbemyndigandet
763 § avgiftsförordningen (1992:191).
1375
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
som saknas i de ovan nämnda förordningarna. Vår bedömning är där- för att bemyndigandet, trots att det inte med självklarhet hör hemma i ett dataskyddssammanhang, bör införas i en bestämmelse den nya förordningen.
Bemyndigande för Riksarkivet
I avsnitt 12.2.1 och 12.2.2 har vi redogjort för det arkivrättsliga regel- verket och Riksarkivets uppgifter. Av 14 § arkivförordningen fram- går exempelvis att statliga myndigheter får gallra allmänna hand- lingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. I dag finns i 4 §
Bemyndiganden för Skatteverket
I avsnitt 12.4.5 har vi föreslagit att bestämmelsen om längsta tid för behandling i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndig- heten ska kompletteras av ett bemyndigande i förordning för myn- digheterna att meddela föreskrifter om att uppgifter längst får be- handlas under en viss tid. Skälen till detta framgår av det nämnda avsnittet samt avsnitt 1.4.9. Ett sådant bemyndigande bör även finnas i den nya förordningen om dataskydd i Skatteverkets äktenskaps- register- och bouppteckningsverksamheter.
5 §
1376
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
vändarvillkor (som rör behandling av personuppgifter) för att nyttja en
17.4.11 Skyddet för den personliga integriteten
Vår bedömning: Förslagen om en ny lag och en ny förordning om dataskydd i Skatteverkets äktenskapsregister- och boupp- teckningsverksamheter är förenliga med skyddet för den person- liga integriteten.
Skälen för vår bedömning
Redaktionella och strukturella förändringar
Iavsnitten ovan har vi föreslagit att
1377
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
Känsliga personuppgifter
Vårt förslag om reglering av känsliga personuppgifter innebär att Skatteverket får utökade möjligheter att behandla sådana uppgifter i äktenskapsregister- och bouppteckningsverksamheterna jämfört med i dag.
Det är enligt vår bedömning nödvändigt att Skatteverket ges möj- lighet att behandla känsliga personuppgifter i de situationer som den allmänna dataskyddsregleringen föreskriver och i syfte att utföra sina författningsreglerade uppgifter på ett effektivt och ändamåls- enligt sätt. Att behandling av känsliga personuppgifter ska vara tillåtet om det är nödvändigt med hänsyn till ändamålet med behandlingen innebär att den rättsliga grunden för behandling av känsliga person- uppgifter måste sökas någon annanstans än i den föreslagna nya be- stämmelsen.77
Som framgår av avsnitt 17.2.2, 17.2.3 och 17.3.1 regleras Skatte- verkets uppgifter i äktenskapsregister- och bouppteckningsverk- samheterna i olika nationella eller unionsrättsliga bestämmelser. Det innebär att Skatteverket enbart kommer få behandla känsliga person- uppgifter om det är nödvändigt för att utföra sina arbetsuppgifter som följer av unionsrätten eller nationell rätt. Bestämmelsen påverkar vidare inte Skatteverkets skyldighet att se till att de grundläggande principerna för behandling enligt artikel 5 i dataskyddsförordningen är uppfyllda, bl.a. avseende uppgiftminimering.
En reglering som ger ett tydligt rättsligt stöd för Skatteverkets behandling av känsliga personuppgifter under de nyss nämnda förut- sättningarna bör, vid en avvägning mellan Skatteverkets behov av att utföra de arbetsuppgifter som bl.a. riksdag och regering har bestämt eller som framgår av unionsrätten, och skyddet för den personliga integriteten, inte anses vara oproportionerlig.
Den nya dataskyddsregleringen för Skatteverkets äktenskaps- register- och bouppteckningsverksamheter föreslås dessutom inne- hålla skyddsbestämmelser som begränsar behandlingen. Förutom be- gränsningar och krav på rutiner i fråga om enskilda medarbetares tillgång till personuppgifter och vid elektroniskt utlämnande (se av- snitt 17.4.7 och 17.4.10) kommer bestämmelser om sökbegränsningar (se avsnitt 17.4.6) och längsta tid för behandling (se avsnitt 17.4.9) att gälla. Den föreslagna förändringen bör därför enligt vår bedöm-
77Jfr prop. 2017/18:105, Ny dataskyddslag, s. 91.
1378
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
ning inte medföra att det finns ett otillräckligt integritetsskydd för enskilda registrerade. Den omständigheten att Skatteverket nu före- slås ges utökade rättsliga möjligheter att behandla känsliga person- uppgifter bör därför vara förenligt med skyddet för den personliga integriteten.
Sökbegränsningar
De nu gällande sökbegränsningarna i
Vi bedömer dock att de sökningar som kommer att vara tillåtna inte kommer att medföra några väsentlig ökade integritetsrisker i för- hållande till de risker som även de nuvarande sökbegränsningarna avser att förhindra. Skatteverkets behov av att behandla känsliga per- sonuppgifter och uppgifter om lagöverträdelser inom äktenskaps- register- och bouppteckningsverksamheterna är som redan nämnts begränsat. Att Skatteverket ges möjlighet att utföra sökningar som inbegriper känsliga personuppgifter och uppgifter om bl.a. lagöver- trädelser bör inte förändra detta behov. Liksom nuvarande sök- begränsningar är den föreslagna begränsningen dessutom avsedd att förhindra sammanställningar av integritetskänsliga sökresultat, vilka skulle möjliggöra kartläggning av personer på grundval av t.ex. etni- citet eller politiska åsikter.80 Något undantag från sökbegränsningen,
78Jfr prop. 2017/18:105, Ny dataskyddslag, s. 56.
79Jfr lagrådsremiss, En modern dataskyddsreglering på socialförsäkringsområdet, s. 69.
80Jfr prop. 2017/18:105, Ny dataskyddslag, s. 89.
1379
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
avseende vissa uppgifter eller för vissa ändamål, är dessutom inte föreslaget.
Vid en avvägning mellan å ena sidan Skatteverkets behov av att på ett effektivt och rättssäkert sätt kunna fullgöra sina uppgifter inom äktenskapsregister- och bouppteckningsverksamheterna, och å andra sidan de integritetsrisker som vidare sökmöjligheter kan innebära, bedömer vi att det är rimligt att Skatteverket tillåts att utföra sök- ningar på känsliga uppgifter i enskilda handlingar och ärenden, eller om syftet är ett annat än att identifiera ett urval av personer. Vi be- dömer att bestämmelsens utformning står i proportion till det efter- strävade syftet, dvs. att Skatteverkets ska kunna fullgöra sina författ- ningsreglerade uppgifter på ett effektivt och rättssäkert sätt.
Övriga skyddsåtgärder som föreslås i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter exempelvis avseende tillgång till personuppgifter, och när känsliga personuppgifter får behandlas, kommer att behöva iakttas vid sök- ningar. I offentlighets- och sekretesslagen finns dessutom sekretess- reglering som kan komma att tillämpas på uppgifterna. Det kommer därmed att finnas bestämmelser om lämpliga och särskilda åtgärder i den nationella rätten (artikel 9.2 g i dataskyddsförordningen). I fråga om uppgifter om lagöverträdelser bör möjligheten att utföra sökningar kunna anses vara proportionerlig även utan särskilda begränsningar.
Även de krav som framgår av den allmänna dataskyddsregleringen kommer att behöva iakttas. Det innebär att det som vid all person- uppgiftsbehandling kommer behöva finnas en tillämplig rättslig grund för att utföra sökningen och de grundläggande principerna för be- handling av personuppgifter kommer behöva iakttas.
Vi bedömer sammantaget att den föreslagna bestämmelsen om sökbegränsning i lagen om dataskydd i Skatteverkets äktenskaps- register- och bouppteckningsverksamheter är utformad på ett sätt som innebär att regleringen av Skatteverkets behandling av person- uppgifter vid sökning är proportionerlig. Bestämmelsen bör därmed anses vara förenlig med skyddet för den personliga integriteten.
Elektroniskt utlämnande
Den nu gällande regleringen av Skatteverkets möjligheter att lämna ut uppgifter elektroniskt inom äktenskapsregister- och bouppteck- ningsverksamheterna är mer begränsande än den vi föreslår. I dag får
1380
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
Skatteverket lämna ut uppgifter elektroniskt på medium för automa- tiserad behandling om det inte är olämpligt. Vi har dock föreslagit att uppgifter ska få lämnas ut elektroniskt om det inte är olämpligt utan någon begränsning till sådan överföring som sker på medium för automatiserad behandling. Det innebär att Skatteverket kommer att ha rättslig möjlighet att lämna ut uppgifter även genom direkt- åtkomst.
Vi föreslår dock inte att någon ny uppgiftsskyldighet ska införas. Att uppgifter ska få lämnas ut även genom direktåtkomst om det inte är olämpligt avser alltså sådant uppgiftslämnande redan förekommer, ofta i elektronisk form.
Bestämmelser som begränsar myndigheters möjlighet lämna ut information genom direktåtkomst är motiverade av integritetsskäl. I avsnitt 11.7 har vi dock sammanfattningsvis bedömt att den rätts- liga och tekniska utvecklingen har medfört att det inte längre är moti- verat med sådana begränsningar inom de övriga verksamheter som vår översyn omfattar. Vi gör i det kapitlet i stället bedömningen att det inte längre finns någon stor skillnad mellan utlämnande genom direktåtkomst och moderna former av utlämnande på medium för automatiserad behandling vad avser risken för integritetsintrång.81 I stället kan att utlämnande genom direktåtkomst komma att inne- bära ett starkare integritetsskydd, under förutsättning att upprätt- andet av åtkomsten är väl förberedd, frågor som rör sekretesskydd och dataskydd på båda sidor är lösta, behövliga säkerhetsåtgärder är vidtagna och eventuell överskottsinformation begränsats.82 Att dessa åtgärder vidtas innan en direktåtkomst kan upprättas följer i dag pri- märt av dataskyddsförordningens krav på uppgiftsminimering, krav på säkerhetsåtgärder och krav på inbyggt dataskydd och dataskydd som standard.83 När det övervägs på vilket sätt information ska över- föras måste det enligt dataskyddsförordningen, som vid all annan personuppgiftsbehandling, göras ett flertal avvägningar mellan de intressen som talar för en viss teknisk lösning, och de integritetsskäl som talar emot, vilket vi utvecklar i avsnitt 11.7. Den tekniska lös- ning som den personuppgiftsansvariga myndigheten väljer ska kunna utformas så att principerna för dataskydd genomförs i den aktuella behandlingen. I den mån principerna för dataskydd inte bedöms kunna
81Prop. 2021/22:177, Sammanhållen vård och omsorgsdokumentation, s. 79.
82Jfr SOU 2015:39, Myndighetsdatalag, s. 151.
83Artiklarna 5.1 b, 32 och 25 i dataskyddsförordningen.
1381
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
SOU 2023:100 |
genomföras vid en särskild form av informationsöverföring måste en annan form väljas. För att direktåtkomst ska anses vara en lämplig form av överföring krävs följaktligen ett omfattande förberedelse- arbete. Även kravet på att göra en konsekvensbedömning inför en övervägd behandling som kan medföra en hög risk för fysiska perso- ners rättigheter och friheter, där även samråd med IMY kan krävas, medför att integritetsriskerna vid ett utlämnande genom direkt- åtkomst bör anses vara avsevärt mindre i dag än tidigare.84
I den nya förordningen om dataskydd i Skatteverkets äktenskaps- registerbouppteckningsverksamheter har vi dessutom förslagit en bestämmelse med innebörden att Skatteverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elek- troniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt. Bestämmelsen tydliggör myndighetens an- svar för att elektroniskt utlämnande sker i enlighet med dataskydds- förordningens bestämmelser.
I avsnitt 11.7.4 har vi även bedömt att lagstiftning som möjliggör elektroniskt utlämnande genom direktåtkomst dels är förenligt med kravet på att den rättsliga grunden ska vara proportionell mot det legitima mål som eftersträvas som framgår av artikel 6.3 i EU:s data- skyddsförordningen, dels är förenlig med skyddet mot betydande intrång i den personliga integriteten som framgår av 2 kap. 6 § andra stycket RF. I det nyss nämnda sammanhanget har vi i dessutom gjort bedömningen att det är av stor vikt att myndigheterna ges möjlighet att utnyttja den form av informationsöverföring som ger det bästa integritetsskyddet och de största effektivitetsvinsterna i det enskilda fallet.
En rättslig möjlighet att för Skatteverket att medge direktåtkomst medför vidare inget krav på att sådan åtkomst eller tillgång måste medges. Det går därför inte att med säkerhet säga om, och i sådant fall när och i vilken omfattning, ett utökat uppgiftslämnande genom direktåtkomst från Skatteverkets äktenskapsregister- och bouppteck- ningsverksamheter faktiskt kommer att genomföras. Mot bakgrund av de stora krav som ställs på myndigheter på båda sidor vid upprät- tandet av ett system för direktåtkomst, och som följer av data- skyddsförordningen, förefaller det nämligen troligt att uppgiftsläm- nande i första hand kommer ske genom andra former av elektronisk informationsöverföring.
84Artiklarna 35 och 36 i dataskyddsförordningen.
1382
SOU 2023:100 |
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter |
Även om de överväganden som redogörs för i kapitel 11 inte sär- skilt avser Skatteverkets äktenskapsregister- och boupptecknings- verksamheter bedömer vi att de är giltiga även för den verksamheten. Vår sammantagna bedömning är alltså att förslaget om att elektro- niskt utlämnande ska får ske om det inte är olämpligt är förenligt med skyddet för den personliga integriteten.
Övriga förslag
I den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter har vi föreslagit att det ska införas vissa bestämmelser som inte har någon motsvarighet i dagens regler- ing. Det rör bestämmelserna om tillgång till personuppgifter och längsta tid för behandling. Syftet med bestämmelserna är att stärka skyddet för den personliga integriteten. Förlaget i dessa delar bör därför vara förenligt med skyddet för den personliga integriteten.
1383
18Ikraftträdande- och övergångsbestämmelser
Vårt förslag: De nya författningarna och övriga författnings- förslag ska träda i kraft den 1 januari 2026.
Samtidigt som de nya författningarna träder i kraft ska de nu- varande registerförfattningarna upphävas.
Den upphävda lagen om behandling av uppgifter i Krono- fogdemyndighetens verksamhet ska dock fortfarande gälla för en begäran om rättelse som har kommit in till Kronofogdemyndig- heten före ikraftträdandet.
Vidare ska äldre bestämmelser i kreditupplysningslagen, offent- lighets- och sekretesslagen, förordningen om betalningsföreläg- gande och handräckning samt förordningen om europeiskt betal- ningsföreläggande fortfarande gälla såvitt avser uppgifter som har blockerats av Kronofogdemyndigheten med stöd av lagen om be- handling av uppgifter i Kronofogdemyndighetens verksamhet.
Vår bedömning: Det finns inget behov av särskilda övergångs- bestämmelser i övrigt.
Skälen för vårt förslag och vår bedömning
Ikraftträdande
Den nya regleringen bör träda i kraft så snart som möjligt för att förslagen i största möjliga utsträckning ska kunna leda till effektivare kontrollverksamhet vid Skatteverket, Tullverket och Kronofogde- myndigheten. Innan ikraftträdandet behövs dock sedvanlig tid för remissbehandling och beredning inom Regeringskansliet. Författnings- förslagen är sammantaget omfattande. Vi bedömer även att Skatte-
1385
Ikraftträdande- och övergångsbestämmelser |
SOU 2023:100 |
verket, Tullverket och Kronofogdemyndigheten samt andra berörda myndigheter såsom Riksarkivet kommer att behöva viss tid att för- bereda sig. Myndigheterna kommer bl.a. att behöva göra en översyn av befintliga rutiner och införa nya. Vidare kommer nya gallrings- regler att behöva införas i myndighetsspecifika föreskrifter från Riks- arkivet. Mot denna bakgrund bedömer vi att regleringen bör träda i kraft som tidigast den 1 januari 2026. Det gäller samtliga förslag till nya författningar och de förslag till ändringar av redan befintliga för- fattningar som läggs fram i betänkandet.
Vid samma tidpunkt ska nuvarande lagar och förordningar som reglerar behandling av uppgifter vid Skatteverket, Tullverket och Kronofogdemyndigheten upphöra att gälla.
Övergångsbestämmelser angående enskildas begäran om rättelse m.m. enligt kronofogdedatabaslagen
Som huvudregel gäller enligt allmänna förvaltningsrättsliga principer att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker ska tillämpas. Det gäller i fråga om både förfarandet och prövningen i sak samt även om ett överklagat beslut har fattats före ikraftträdandet. Principen är emellertid inte utan undantag, se t.ex. 2 kap. 10 § regeringsformen. Det kan också följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd (jfr bl.a. RÅ 1988 ref. 132, RÅ 1996 ref. 57 och HFD 2021 ref. 12).
Särskilda bestämmelser om begäran om rättelse m.m. och över- klagande av sådana beslut finns i dag i 3 kap. 3 a och 4 §§ lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL). Vi bedömer att det är lämpligt att redan inledda ärenden om rättelse m.m. handläggs enligt den lagen till dess att beslut i ett sådant ärende har vunnit laga kraft. Detta särskilt mot bakgrund av att vi i den nya kronofogde- datalagen, i förhållande till kronofogdedatabaslagen, föreslår vissa materiella ändringar av bestämmelsen om rättelse m.m. vid Krono- fogdemyndigheten (se avsnitt 7.8.3). Det finns därför ett behov av en övergångsbestämmelse i den nya kronofogdedatalagen som tyd- liggör att kronofogdedatabaslagen fortfarande gäller för en begäran om rättelse som har kommit in till Kronofogdemyndigheten före den 1 januari 2026.
1386
SOU 2023:100 |
Ikraftträdande- och övergångsbestämmelser |
Övergångsbestämmelser med anledning av en ny rättelsebestämmelse i 18 § kronofogdedatalagen
I dag föreskrivs i 8 § fjärde stycket kreditupplysningslagen (1973:1173) att en uppgift som har inhämtats från Kronofogdemyndigheten ska gallras när den har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § KFMdbL.
Vårt förslag om att 18 § kronofogdedatalagen ska ersätta 3 kap. 3 a § KFMdbL (se avsnitt 7.8.3) medför att hänvisningen i 8 § kredit- upplysningslagen till den nuvarande bestämmelsen i 3 kap. 3 a § KFMdbL föreslås ändras till den nya bestämmelsen i kronofogde- datalagen. Ändringen i kreditupplysningslagen föreslås träda i kraft den 1 januari 2026.
Vi föreslår ovan att den upphävda kronofogdedatabaslagen fort- farande ska gälla för en begäran om rättelse som har kommit in till Kronofogdemyndigheten före den 1 januari 2026. För att uppgifter som har blockerats av Kronofogdemyndigheten enligt 3 kap. 3 a § KFMdbL under en övergångsperiod inte ska falla utanför bestäm- melsen om gallring i 8 § fjärde stycket kreditupplysningslagen anser
viatt det ska införas en särskild övergångsbestämmelse i kredit- upplysningslagen. Bestämmelsen ska enligt vår mening utformas så att för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § kronofogdedatabaslagen gäller äldre bestämmel- ser i kreditupplysningslagen.
Vidare finns i 34 kap. 3 § offentlighets- och sekretesslagen (2009:400), OSL, en bestämmelse om att uppgift i mål, ärende eller verksamhet som avses i 1 och 2 §§ samma lag och som Kronofogde- myndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § KFMdbL omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vi föreslår att hänvisningen till kronofogdedata- baslagen i 34 kap. 3 § OSL ska ändras till 18 § kronofogdedatalagen. Ändringen föreslås träda i kraft den 1 januari 2026. Av motsvarande skäl som vi för fram ovan i fråga om kreditupplysningslagen gör vi bedömningen att det bör införas en övergångsbestämmelse också i förhållande till ändringarna i offentlighets- och sekretesslagen. En så- dan bestämmelse ska utformas så att uppgifter som har blockerats med stöd av 3 kap. 3 a § KFMdbL efter ikraftträdandet av den änd- rade sekretessregeln i 34 kap. 3 § OSL fortfarande kommer att om- fattas av sekretess enligt den tidigare lydelsen av 34 kap. 3 § OSL.
1387
Ikraftträdande- och övergångsbestämmelser |
SOU 2023:100 |
Utöver detta anges i 17 § förordningen (1991:1339) om betal- ningsföreläggande och handräckning att om en uppgift i ett mål om betalningsföreläggande eller handräckning har lämnats ut till ett kredit- upplysningsföretag, ska Kronofogdemyndigheten genast underrätta kreditupplysningsföretaget om uppgiften blockeras med stöd av 3 kap. 3 a § KFMdbL. Motsvarande bestämmelse finns i 15 § förordningen (2008:892) om europeiskt betalningsföreläggande. Vi föreslår att hän- visningarna till kronofogdedatabaslagen i dessa förordningar ska bytas ut till 18 § kronofogdedatalagen och att ändringarna ska börja gälla den 1 januari 2026. Av motsvarande skäl som vi för fram ovan be- dömer vi att det bör införas övergångsbestämmelser även i förhållande till ändringarna i aktuella förordningar. Innebörden av också dessa övergångsbestämmelser ska vara att äldre bestämmelser gäller för upp- gifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § KFMdbL.
Det behövs inga övergångsbestämmelser i fråga om gallring
Vi föreslår i avsnitt 12.4 att samtliga bestämmelser om gallring, undan- tag från gallring och bevarande som finns i nuvarande registerförfatt- ningar ska upphävas och inte ersättas av nya bestämmelser med mot- svarande innebörd. Huvudprincipen enligt arkivlagen (1990:782) är att allmänna handlingar ska bevaras. Gallring får dock ske enligt före- skrifter eller beslut som meddelas av Riksarkivet med stöd av arkiv- förordningen (1991:446). Vårt förslag innebär att det kommer att vara dessa föreskrifter eller beslut som ska tillämpas i gallringsfrågor. En konsekvens av vårt förslag är alltså att det i många fall helt kommer att saknas tillämpliga bestämmelser i författning som tillåter gallring. I de fall Riksarkivets nuvarande föreskrifter som tillåter gallring förut- sätter och utgår från dagens registerlagar, exempelvis särreglering för uppgifter i och utanför olika databaser, kommer de inte heller att kunna tillämpas. En aspekt av digitaliseringen är dessutom att antalet allmänna handlingar ökar. Det är exempelvis enklare för enskilda att kontakta myndigheterna digitalt och lämna in även omfattande mate- rial via
1388
SOU 2023:100 |
Ikraftträdande- och övergångsbestämmelser |
informationsförvaltning innebär också att helt nya typer av hand- lingar tillkommer.
För att syftena med myndigheternas arkiv ska värnas krävs det följ- aktligen en ny värdering av vilken information som ska bevaras, och bestämmelser som tillåter att handlingar som saknar bevarandevärde gallras. Till skillnad från Riksarkivets generella gallringsföreskrifter är det dock myndigheterna själva som initierar myndighetsspecifika föreskrifter om gallring. Myndigheterna utreder och framställer om gallring till Riksarkivet som sedan bedömer och beslutar. Vårt för- slag kommer följaktligen ställa stora krav på myndigheterna att utreda vilka behov av föreskrifter som tillåter gallring som finns i respektive verksamhet. Det krävs en ny värdering av samtliga informationsslag som myndigheterna hanterar inom de nya lagarnas tillämpnings- områden, och inte bara avseende personuppgifter. Mot bakgrund av de stora förändringar som digitaliseringen innebär för arkivsektorn kan det antas att den omställning som vi föreslår kommer att väcka flera komplexa frågor som måste ges tillräcklig tid att utredas.
En fråga som då uppkommer är om de nya reglerna enbart bör gälla för uppgifter som genereras framöver eller om de ska gälla för all information som myndigheterna förfogar över från och med ikraft- trädandet av de nya författningarna. När dagens gallringsbestämmelser beslutades valde regeringen att införa särskilda övergångsbestämmel- ser om gallring. Dessa innebar att äldre bestämmelser om gallring skulle gälla för uppgifter och handlingar som hade tillförts ett register före de då nya lagarnas ikraftträdande. Några särskilda motiv till den ordningen presenterades inte.
Att ha olika system för gallring och bevarande måste antas vara både komplicerat och kräva onödigt stora resurser. Till skillnad från den bedömning som gjordes vid millennieskiftet är vår utgångs- punkt därför att det i dag inte är motiverat att föreslå några särskilda övergångsbestämmelser för skiftet från gallring till längsta tid för be- handling. När bestämmelserna om längsta tid för behandling börjar tillämpas ska behandling av uppgifter som inte längre är nödvändiga för ändamålet med behandlingen i kärnverksamheten upphöra. Som
viredogjort för i avsnitt 12.4.4 innebär det att uppgifterna kan fort- sätta behandlas för arkivändamål.
Om nya föreskrifter som tillåter gallring inte är beslutade vid tid- punkten för de nya lagarnas ikraftträdande kan uppgifter i allmänna handlingar komma att bevaras under en något längre tid än vad som
1389
Ikraftträdande- och övergångsbestämmelser |
SOU 2023:100 |
egentligen är motiverat utifrån bevarandeändamålen i arkivlagen. För- delarna med att inte ha parallella system för gallring och bevarande överväger enligt vår mening den risken. Vi har inte heller funnit att det av integritetsskäl eller rättssäkerhetsskäl finns grund för att låta äldre bestämmelser gälla för uppgifter som myndigheterna redan för- fogar över. De nya bestämmelserna om längsta tid för behandling ska därför gälla direkt och även omfatta de handlingar som myndig- heterna redan behandlar vid ikraftträdandet. Enligt vår mening sak- nas det därmed skäl att meddela särskilda övergångsbestämmelser avseende de nu gällande bestämmelserna om gallring.
Det saknas i övrigt behov av övergångsbestämmelser
Utöver våra förslag till övergångsbestämmelser har vi inte funnit att det finns något behov av övergångsbestämmelser. Vi föreslår därför inte några ytterligare övergångsbestämmelser.
1390
19 Konsekvenser
19.1Inledning
I 14 § kommittéförordningen (1998:1474) anges att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen inne- bär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller regioner, ska kommittén föreslå en finansiering.
Av 15 § kommittéförordningen framgår att om förslagen i ett be- tänkande har betydelse för den kommunala självstyrelsen, ska kon- sekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyg- gande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställd- heten mellan kvinnor och män eller för möjligheterna att nå de integ- rationspolitiska målen.
Om ett betänkande innehåller förslag till nya eller ändrade regler ska, enligt 15 a § kommittéförordningen, förslagens kostnadsmäs- siga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konse- kvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
Enligt 16 § kommittéförordningen anger regeringen närmare i utredningsuppdraget vilka konsekvensbeskrivningar som ska finnas i ett betänkande.
Enligt utredningsdirektiven ska vi analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten. Vidare ska vi redovisa hur moderna registerförfattningar som innebär en mer ända-
1391
Konsekvenser |
SOU 2023:100 |
målsenlig reglering och förbättrade förutsättningar för en effektiv kontrollverksamhet kan påverka myndigheternas verksamheter. Om förslagen kan förväntas leda till kostnadsökningar för det offentliga ska vi föreslå hur dessa ska finansieras.
Vi har efterfrågat underlag från berörda myndigheter för att på ett adekvat sätt kunna analysera eventuella konsekvenser av våra för- slag och för att närmare beräkna eventuella kostnader eller intäkter. Vi redogör i vissa delar för det underlag som vi har fått in och redo- visar utifrån detta och i övrigt tillgängligt underlag vår bedömning av förslagens ekonomiska och andra konsekvenser.
19.2Allmänna konsekvenser
En mer flexibel, modern och ändamålsenlig dataskyddsreglering
En kompletterande reglering som både innebär ett adekvat integritetsskydd och en möjlighet till ökad effektivitet
Syftet med våra förslag är att ge Skatteverket, Tullverket och Krono- fogdemyndigheten möjligheter att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras person- liga integritet kränks vid sådan behandling. Våra förslag syftar alltså till att åstadkomma en ändamålsenlig kompletterande dataskydds- reglering som ger enskilda ett adekvat integritetsskydd. Regleringen ska dock också ge Skatteverket, Tullverket och Kronofogdemyndig- heten förutsättningar att utföra sina samhällsviktiga uppgifter så som de kommer till uttryck i den materiella verksamhetsregleringen. EU:s dataskyddsförordning1 ska tillämpas av myndigheterna som vore det en svensk författning. De berörda myndigheterna har redan genom dataskyddsförordningens bestämmelser långtgående skyldig- heter i fråga om att säkerställa ett adekvat integritetsskydd. Förslagen är utformade utifrån att den sektorsspecifika dataskyddsregleringen ska komplettera dataskyddsförordningen, men inte utgöra en dubbel- reglering eller försvåra digitala arbetssätt utöver vad som krävs för att åstadkomma ett adekvat integritetsskydd.
1Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
1392
SOU 2023:100 |
Konsekvenser |
Den kompletterande dataskyddsregleringen ska enligt våra för- slag vara ändamålsenlig, tydlig och enhetligt utformad, och endast omfatta sådana bestämmelser som är motiverade i syfte att åstad- komma ett adekvat integritetsskydd. Det som redan framgår av lag och förordning, av dataskyddsförordningen eller av unionsrätten i övrigt behöver därför som utgångspunkt inte regleras ytterligare i den kompletterande dataskyddsregleringen.
Myndigheterna kommer därigenom få möjlighet att i högre ut- sträckning koncentrera sina överväganden i fråga om tillåtligheten av personuppgiftsbehandling till vad som är motiverat med hänsyn den materiella verksamhetsregleringen och dataskyddsförordningens be- stämmelser, i stället för en omodern regleringsmodell som utgår från väsentligen andra tekniska och rättsliga förutsättningar för informa- tionshantering än dagens. Tydlighet och enhetlighet kommer att bidra till att tillämpningen blir både enklare och effektivare. Det kommer även innebära att enskilda ges större möjligheter att förstå lagstift- ningen och därmed enklare kan tillvarata sina rättigheter. En ökad enhetlighet, lägre detaljeringsgrad och mindre dubbelreglering kommer att underlätta myndigheternas samverkan med varandra och andra aktörer.
Dagens bestämmelser riskerar att försämra myndigheternas funk- tionalitet i en helt digitaliserad informationshanteringsmiljö. Våra förslag ska i stället möjliggöra användningen av nya tekniska lösningar för informationshantering och inte låsa myndigheterna till teknik som redan är eller riskerar att snabbt bli utdaterad. Den kompletterande dataskyddsregleringen ska alltså vara teknikneutral, vilket innebär en förflyttning från dagens lagstiftning. Med den teknikneutrala och ändamålsenliga reglering vi föreslår ges myndigheterna möjlighet att hålla jämna steg med samhällets utveckling i övrigt. Den komplette- rande dataskyddsregleringen kommer därmed inte att hindra myn- digheterna från att utföra sina uppgifter på ett ändamålsenligt och effektivt sätt, vilket dagens reglering i viss utsträckning gör. Förslagen innebär därmed att statens resurser kommer att kunna användas mer effektivt genom att omotiverade hinder för myndigheterna att ut- nyttja den moderna teknikens fördelar tas bort. En konsekvens av detta blir att ärendehantering, service till enskilda och informations- utbyte kan ske på ett mer ändamålsenligt, säkert och effektivt sätt än i dag.
1393
Konsekvenser |
SOU 2023:100 |
Förslaget om att dataskyddsbestämmelser enbart ska gälla för personuppgifter innebär en anpassning till den allmänna dataskydds- regleringen som kan komma att förenkla myndigheternas arbete. Att bestämmelser till skydd för den personliga integriteten inte längre kommer att behöva tillämpas på uppgifter om juridiska personer eller andra uppgifter som inte utgör personuppgifter innebär att myndig- heterna ges bättre möjligheter att samverka och utbyta information inom det unionsgemensamma samarbetet. Även om personuppgifter och andra uppgifter i många fall kommer att behandlas på ett likartat sätt kan den föreslagna förändringen komma att medföra effektivi- tetsvinster och en utökad möjlighet för myndigheterna att utföra sina respektive uppgifter.
De föreslagna breda ändamålsbestämmelserna innebär att myndig- heterna kommer att kunna utgå från de behov av personuppgifts- behandling som följer av den processuella och materiella verksam- hetsregleringen. Det blir alltså enklare för myndigheterna att utföra sina respektive verksamheter i enlighet med lagstiftningen.
Tydliggörande av det rättsliga stödet medför en effektivare och mer kontrollerad och säker utveckling av dataanalyser och urval för kontrolländamål. Den nya regleringen ger en tydlighet om att ny teknik får och kan användas för dataanalyser och urval i kontroll- verksamheten. Med ny teknik kan mer avancerade och omfattande urval göras när det bedöms vara proportionerligt. Med bättre möjlig- heter för ändamålsenlig hantering av uppgifter ökar förutsättning- arna att använda resurser på ett bättre sätt och åtgärder kan i högre grad riktas mot de aktörer där risken för fel är störst. När myndig- heternas urval med stöd av den nya regleringen blir mer träffsäker förväntas det även leda till besparingar genom att myndigheterna i mindre utsträckning lägger resurser på utredningar som inte leder till något. I förlängningen kan även omprövningsförfaranden och olika domstolsförfaranden komma att effektiviseras genom de föreslagna förändringarna. Genom de föreslagna bestämmelserna ges myndig- heterna bättre möjligheter att koncentrera verksamheten på att åt- gärda de fel som orsakar störst problem för samhället. Därigenom kan förslagen också förväntas minska den brottslighet som har ett samband med fel i berörda verksamheter. Förslagen kan därmed även ha en påverkan på brott, exempelvis en brottsförebyggande effekt (se vidare avsnitt 19.5 nedan).
1394
SOU 2023:100 |
Konsekvenser |
Förslaget om att databasregleringen ska upphöra ger myndighet- erna bättre möjligheter att behandla de uppgifter som behövs i be- rörda verksamheter, bl.a. för att förebygga, förhindra och upptäcka fel, och utföra sin verksamhet i övrigt. Förslaget om att regleringen av särskilda databaser ska upphöra innebär också att samma data- skyddsregler ska gälla för all personuppgiftsbehandling inom författ- ningarnas materiella tillämpningsområde, vilket ger ett utökat integ- ritetsskydd vid viss behandling av uppgifter som sker utanför den rena ärendehandläggningen.
Förslagen om att myndigheterna ska få behandla känsliga person- uppgifter om det är nödvändigt för ändamålet med behandlingen och de föreslagna sökbegränsningarna ger myndigheterna bättre möjlig- heter att behandla de uppgifter som behövs i berörda verksamheter, bl.a. för att förebygga, förhindra och upptäcka fel, och utföra sin verksamhet i övrigt.
Förslaget om att elektroniskt utlämnande ska få ske om det inte är olämpligt ger myndigheterna bättre möjligheter att genom ny teknik åstadkomma ett säkert, ändamålsenligt och effektivt informa- tionsutbyte både med andra myndigheter och med enskilda. Myn- digheterna ges därmed rättsliga möjligheter att utveckla sin digitala service till företag och fysiska personer. Ett resultat av det kan komma att bli att det blir enklare för enskilda att komma i kontakt med myndigheterna, att skaffa eller lämna relevant information och utföra övriga ärenden vid myndigheterna. En sådan utveckling kan möjliggöra besparingar både inom myndigheterna och inom den pri- vata sfären. Att myndigheterna i vissa fall inte längre kommer att vara hänvisade till att kommunicera med enskilda via vanlig post kommer att innebära besparingar avseende material och porto. Det kommer också att vara enklare för myndigheterna att bedöma om mottagaren har tagit del av de uppgifter som lämnats ut, eftersom elektroniska tjänster för informationsöverföring kan förenas med ett läskvitto. För- slaget ger sammanfattningsvis myndigheterna bättre förutsättningar att ge medborgare och företag god service digitalt. Även informations- utbyte med aktörer i den offentliga sektorn kan komma att effekti- viseras. Myndigheterna ska kunna utgå från att en annan myndighet som samverkas med följer de regler och uppfyller de krav som gäller för den verksamheten. Om personuppgifter får lämnas ut till en annan myndighet saknas det därför skäl att från integritetsskydds- synpunkt begränsa i vilken utsträckning eller på vilket sätt det kan
1395
Konsekvenser |
SOU 2023:100 |
ske i elektronisk form. Det kommer alltså att stå myndigheterna fritt att utifrån den allmänna dataskyddsregleringen samt de processuella och materiella regelverk som styr deras verksamheter avgöra på vilket sätt personuppgifter lämpligen bör utbytas.
Förslaget om att bestämmelser om myndigheternas uppgiftsläm- nande flyttas till nya förordningar och utformas på ett teknikneutralt sätt kommer innebära att bestämmelserna blir mer överskådliga och enhetliga. Bestämmelser kommer inte som i dag innebära hinder mot att myndigheterna nyttjar den form av överföring som är bäst läm- pad utifrån informationsutbytets karaktär och syfte och utifrån de integritetsaspekter som aktualiseras. Vidare kommer myndigheterna att ha möjlighet att utarbeta nya tekniker för informationsöverför- ing som kan bidra till högre effektivitet och starkare integritetsskydd än dagens, utan att vara begränsade av bestämmelsernas utformning vad avser utlämnandet av uppgifter i sak.
Förslaget om att gallringsbestämmelser av arkivrättslig karaktär inte ska finnas i den kompletterande dataskyddsregleringen kommer att ge myndigheterna en bättre möjlighet att vårda sina arkiv. Fler uppgifter än i dag kan komma att bevaras i arkiven. Det kommer att innebära att rätten att ta del av allmänna handlingar, behovet av in- formation för rättskipningen och förvaltningen och forskningens behov kan bli tillgodosedda i högre grad än i dag.
Om regleringen inte kommer till stånd
Att myndigheterna kan utföra sina uppgifter på ett effektivt sätt med bibehållet integritetsskydd, bl.a. genom att dra nytta av den moderna tekniken, är ett viktigt allmänt intresse. Om förslagen inte genom- förs kommer detta viktiga allmänna intresse inte tillgodoses. De posi- tiva förväntade konsekvenser som redogjorts för ovan kommer då i vissa fall inte vara möjliga att uppnå, och i andra fall försvåras avse- värt. Myndigheterna kommer i stället fortsatt vara tvungna att följa svårtolkade och omoderna bestämmelser som utgår från att digital informationshantering är ett komplement till pappershantering.
I dag utför myndigheterna sina respektive uppgifter och bedriver sina verksamheter genom digital informationshantering. Eftersom nu gällande bestämmelser är utformade utifrån väsentligt andra tek- niska och rättsliga förutsättningar för personuppgiftsbehandling än
1396
SOU 2023:100 |
Konsekvenser |
de rådande bidrar de i flera fall inte med någon självklarhet till ett adekvat integritetsskydd. Ett exempel är bestämmelserna om gallring för uppgifter i databaser. Bestämmelserna är införda av integritets- skäl men har blivit omoderna eftersom digital hantering numer är utgångspunkten för all verksamhet, uppgifter behandlas digitalt redan när de kommer in till myndigheterna och pappershantering har i flera fall upphört. I flera fall har Riksarkivet därför meddelat föreskrifter om undantag från gallringsbestämmelserna, för att myndigheterna ska kunna utföra sina uppgifter och vårda sina arkiv. Undantagen är omfattande vilket även medfört att regleringen blivit svåröverskådlig.
Om förslagen inte genomförs innebär det en risk för att myndig- heterna behöver iaktta bestämmelser som inte längre bidrar till ett adekvat integritetsskydd och som är svårtolkade utifrån de förutsätt- ningar för informationshantering som föreligger i dag. Det kan också leda till att åtgärder som hade inneburit ett högre integritetsskydd inte vidtas. Om förslagen inte genomförs kan det också medföra att myndigheterna i framtiden kommer vara förhindrade att organisera sin verksamhet på ett sådant sätt som tillgodoser berättigade krav på en god hushållning med offentliga resurser. Myndigheterna kommer
istället att hindras från att effektivisera sin verksamhet. I det fall nu- varande kompletterande dataskyddsreglering behålls riskerar den att i framtiden ytterligare försämra myndigheternas funktionalitet i en helt digitaliserad informationshanteringsmiljö. Detta kan leda till att allmänhetens förtroende för myndigheterna försvagas genom att myndigheterna framstår som byråkratiska och omoderna, eller inte kan erbjuda god service till medborgare och företag.
Digitaliseringen av myndigheternas verksamhet och samhället i övrigt, exempelvis utvecklandet av olika
imyndigheternas verksamheter kan ligga till grund för felaktiga ut- betalningar från välfärdssystemet och i övrigt påverka beslut hos andra myndigheter som grundar sig på felaktiga uppgifter som lämnats ut från myndigheterna. Om förslagen inte genomförs, och myndig-
1397
Konsekvenser |
SOU 2023:100 |
heterna inte ges utökade möjligheter att förebygga, förhindra och upptäcka fel i sina verksamheter kan spridningen av sådan felaktig information i berörda verksamheter inte motverkas på ett effektivt sätt. Om de utmaningar som nuvarande reglering medför kvarstår, och förmågan att förebygga, förhindra och upptäcka fel inte förbättras, kan myndigheterna komma att framstå som oförmögna att komma till rätta med fel i verksamheterna. Det innebär en stor risk för att allmänhetens förtroende för myndigheter i allmänhet försämras. Även allmänhetens vilja att göra rätt i förhållande till bestämmelser om bl.a. skatter och avgifter kan komma att försvagas om felaktig- heter tillåts pågå utan att myndigheterna har någon möjlighet att på ett effektivt sätt förebygga, förhindra och upptäcka dessa.
19.3Konsekvenser för den personliga integriteten
Vår bedömning: Förslagen medför ett visst intrång i enskildas personliga integritet. Integritetsintrånget är motiverat och pro- portionerligt.
Skälen för vår bedömning
Utgångspunkter för bedömningen av förslagens påverkan på den personliga integriteten
Vi ska enligt våra direktiv särskilt analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten. Som vi har konstaterat i avsnitt 3.1 finns det ingen entydig definition av be- greppet personlig integritet. Regeringen har i andra sammanhang ut- tryckt att kränkningar av den personliga integriteten möjligen kan sägas utgöra intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där oönskade intrång bör kunna avvisas.2 I samband med att bestämmelsen i 2 kap. 6 § andra stycket regeringsformen, RF, infördes i sin nuvarande lydelse har regeringen även uttryckt att det är en rimlig utgångspunkt för behovet av ett utökat skydd för
2Prop. 2005/06:173, Översyn av personuppgiftslagen, s. 15 och prop. 2009/10:80, En reformerad grundlag, s. 175.
1398
SOU 2023:100 |
Konsekvenser |
den personliga integriteten att utgå från den enskildes intresse av att skydda information om sina personliga förhållanden.3
Bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter finns i EU:s dataskyddsförordning.4 Utöver detta finns det ytterligare reglering som syftar till att skydda enskildas personliga integritet i regeringsformen och i olika inter- nationella rättsakter (se avsnitten
Behandling av personuppgifter berör också rätten till respekt för privatlivet enligt artikel 8.1 i Europakonventionen. Enligt denna arti- kel har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till före- byggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter (artikel 8.2). Europa- konventionen gäller som svensk lag, se lagen (1994:1219) om den euro- peiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Enligt 2 kap. 19 § RF får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakonventionen.
I artiklarna 3, 7 och 8 i EU:s rättighetsstadga slås det fast att var och en har rätt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel 52.3 i stad- gan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma inne- börd och räckvidd som enligt konventionen, men att bestämmelsen inte hindrar unionsrätten från att tillförsäkra ett mer långtgående skydd. Varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stad- gan. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av
3Prop. 2009/10:80, En reformerad grundlag, s. 175.
4Se avsnitt 3.2.5 för en närmare redogörelse av regleringen i dataskyddsförordningen.
1399
Konsekvenser |
SOU 2023:100 |
allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1).
Vi har i avsnitt 6.2 bedömt att i vart fall delar av Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av person- uppgifter innebär ett betydande intrång i den personliga integriteten. Behandlingen omfattas därför av regeringsformens skydd mot så- dana intrång. Vi har också bedömt att kriterierna för när skyddet får begränsas är uppfyllda. I detta ligger också att begränsningen svarar mot sådana intressen som räknas upp i artikel 8.2 i Europakonven- tionen (landets ekonomiska välstånd och förebyggande av oordning eller brott).
Våra överväganden
Skatteverket, Tullverket och Kronofogdemyndigheten har redan i dag möjligheter att behandla personuppgifter inom ramen för sina verksamheter i enlighet med sektorspecifika registerförfattningar och det övriga dataskyddsrättsliga regelverket. Förslagen i detta betänk- ande innebär inte att myndigheterna ges utökade eller nya materiella uppgifter. Våra förslag medför dock en viss utvidgning av myndig- heternas möjligheter att behandla personuppgifter. En utvidgad per- sonuppgiftsbehandling innebär ett intrång i enskildas personliga integ- ritet. Mot integritetsintrånget ska myndigheternas behov av att kunna bedriva en effektiv och ändamålsenlig verksamhet ställas. Myndig- heterna måste ges tillräckliga möjligheter att behandla personuppgifter och använda digitala verktyg vid sådan behandling för att utföra sina uppgifter, fatta materiellt korrekta beslut och upprätthålla en effek- tiv kontrollverksamhet för att förebygga, förhindra och upptäcka fel- aktigheter och fusk. Det är också viktigt att myndigheterna ges möj- ligheter att utveckla välfungerande system för informationshantering samt
De krav på skydd för enskildas personliga integritet som finns kommer att tillgodoses genom flera olika skyddsåtgärder som före- slås regleras i lag och förordning. Den föreslagna regleringen i beskatt-
1400
SOU 2023:100 |
Konsekvenser |
ningsdatalagen, folkbokföringsdatalagen, tulldatalagen och krono- fogdedatalagen innehåller förutom ändamålsbestämmelser, som ställer upp ramarna för tillåten behandling, en reglering av behandling av känsliga personuppgifter, sökbegränsningar, särskilda bestämmelser om vilka uppgifter som får behandlas vid dataanalyser och urval och dokumentationskrav vid sådan behandling, bestämmelser om tillgång till personuppgifter, under vilka förutsättningar personuppgifter får lämnas ut elektroniskt och bestämmelser om längsta tid för behand- ling av personuppgifter. I de tillhörande förordningarna föreslås sär- skilda bestämmelser om rutiner för tillgång till personuppgifter och särskilda rutiner vid dataanalyser och urval samt elektroniskt utläm- nande av personuppgifter. En liknande reglering föreslås även gälla enligt den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter med tillhörande förordning, med undantag för den särskilda regleringen om dataanalyser och urval.
Utöver den dataskyddsrättsliga regleringen till skydd för integri- teten föreslår vi också nya sekretessbestämmelser till skydd för uppgif- ter om enskilda i vissa sammanställningar i Skatteverkets folkbokför- ingsverksamhet samt för uppgifter till skydd för enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval. Dessutom ställer dataskyddsförordningen krav på bl.a. lämpliga tekniska och organisatoriska åtgärder för att säkerställa en tillräckligt hög säkerhets- nivå. Den föreslagna regleringen tillsammans med det dataskydds- rättsliga regelverket i övrigt och befintlig och ny sekretessreglering utgör enligt vår bedömning ett tillfredsställande skydd för den per- sonliga integriteten.
Även med de skyddsåtgärder vi föreslår kommer berörda myndig- heters personuppgiftsbehandling dock att medföra ett integritets- intrång. Vid en avvägning mellan det allmänintresse som finns i fråga om att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina uppgifter på ett ändamålsenligt sätt och intresset av att upprätthålla skyddet för den personliga integriteten anser vi att intrånget är motiverat och proportionerligt.
I flera av de tidigare avsnitten utvecklar vi på ett mer detaljerat sätt våra bedömningar av effekterna på den personliga integriteten i an- slutning till respektive förslag. Dessa upprepas därför inte här. Vi hän- visar i stället till de avsnitt som särskilt berör våra analyser av konse- kvenser för den personliga integriteten enligt följande.
1401
Konsekvenser |
SOU 2023:100 |
–Avsnitt 8.4.9 för de föreslagna ändamålsbestämmelserna.
–Avsnitten 10.7 och 10.8 för en reglering som innebär en utvidg- ning av myndigheternas möjligheter att behandla känsliga person- uppgifter och uppgifter om lagöverträdelser.
–Avsnitt 10.9.5 för förändrade bestämmelser om sökbegränsningar.
–Avsnitten
–Avsnitt 12.4.9 för bestämmelser om längsta tid som person- uppgifter får behandlas i stället för gallringsbestämmelser.
–Avsnitt 13.9 för nya bestämmelser om uppgiftslämnande från myndigheterna.
–Avsnitten 14.10.2 och 14.10.3 för utvidgade sekretessbrytande bestämmelser för Kronofogdemyndigheten och Skatteverket.
–Avsnitt 14.12 för utökade möjligheter att göra dataanalyser och urval i myndigheternas verksamheter.
–Avsnitt 16.4.13 för en ny reglering av det statliga personadress- registret.
–Avsnitt 17.4.11 för en ny dataskyddsreglering för Skatteverkets äktenskapsregister- och bouppteckningsregisterverksamheter.
Resonemang av våra förslags påverkan på den personliga integriteten finns även i mindre utsträckning i vissa ytterligare avsnitt även om de inte särskilt har angetts ovan.
19.4Ekonomiska konsekvenser för det allmänna
Vår bedömning: Förslagen bedöms inte leda till några sådana kostnadsökningar som avses i kommittéförordningen.
1402
SOU 2023:100 |
Konsekvenser |
Skälen för vår bedömning
Inledning
Våra förslag innebär inte att Skatteverket, Tullverket eller Krono- fogdemyndigheten får några egentliga nya eller ändrade uppgifter att utföra enligt myndigheternas materiella verksamhetsreglering. För- slagen är i stället tänkta att förenkla för lagstiftaren och berörda myn- digheter som ska tillämpa regleringen vid sidan av det allmänna data- skyddsrättsliga regelverket. Detta genom att göra den sektorspecifika nationella regleringen om dataskydd tydligare, mer enhetlig och i högre grad anpassad till dataskyddsförordningen. På detta sätt för- väntas myndigheternas effektivitet att öka genom att de ges bättre för- utsättningar att utföra sina uppgifter med elektroniska hjälpmedel.
Våra generella förslag innebär inte några krav på att Skatteverket, Tullverket och Kronofogdemyndigheten ska införa eller utveckla nya
Vårt förslag om att myndigheter även ska kunna få motsvarande uppgifter som finns i det statliga personadressregistret (SPAR), som de i dag kan få från folkbokföringsverksamheten via Navet, genom SPAR, kommer att kräva systemutveckling. Enligt preliminära beräk- ningar från Skatteverket kommer utveckling av en urvalstjänst riktad enbart till myndigheter innebära kostnader om cirka 500 000 kro- nor. SPAR finansieras dock uteslutande via försäljningsintäkter som över tid motsvarar verksamhetens självkostnad. Kostnaden för ut- vecklingen av urvalstjänsten bör därmed över tid finansieras av för- säljningsintäkterna.
Utbildningsinsatser
Ny lagstiftning kan medföra ett behov av utbildning. Enligt prelimi- nära beräkningar från Tullverket kan ändringar av befintlig grund- utbildning i dataskydd innebära kostnader om cirka 545 000 kronor. De föreslagna lagarna kommer, i likhet med i dag, att komplettera den allmänna dataskyddsregleringen i EU:s dataskyddsförordning
1403
Konsekvenser |
SOU 2023:100 |
och lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning, dataskyddslagen. Det kan noteras att utbildnings- insatser är nödvändiga redan i dag till följd av den gällande data- skyddsregleringen. Våra förslag innebär alltså endast en viss ökning av planerade utbildningsinsatser. Vi bedömer därför att behovet av utbildning till följd av våra förslag inte kommer att vara så stort i förhållande till i dag. Det rör sig därmed i dessa delar om begränsade kostnader för myndigheterna som bör rymmas inom befintliga eko- nomiska ramar.
Krav på rutiner och dokumentation
Våra förslag innebär att myndigheterna ansvarar för att ta fram vissa rutiner. Vi föreslår också att det ska införas ett särskilt dokumenta- tionskrav vid dataanalyser och urval. Skatteverket har till utredningen uppgett att förslaget om dokumentation vid dataanalyser och urval föranleder behov av systemstöd vilket uppskattas kosta cirka 2 mil- joner kronor. Tullverket uppskattar att förslagens krav på särskilda rutiner och dokumentation samt nödvändiga uppdateringar av be- fintliga rutiner och andra styrande och stödjande dokument preli- minärt innebär kostnader om cirka 500 000 kronor. Utöver detta upp- skattar Tullverket att uppdateringar av myndighetens register över personuppgiftsbehandlingar kommer att kosta cirka 1,7 miljoner kro- nor. Kronofogdemyndigheten uppskattar att kostnader för att införa nya rutiner och dokumentation, nödvändiga informationsinsatser och uppdateringar av befintliga rutiner och myndighetens register över personuppgiftsbehandlingar tillkommer med cirka 760 000 kronor.
Våra förslag förväntas på sikt innebära en effektivare verksamhet och minskade kostnader hos berörda myndigheter. Att ta fram nya myndighetsföreskrifter och styrande dokument samt genomföra in- formationsinsatser som kan komma att krävas till följd av en ny och ändrad reglering får enligt vår bedömning anses ingå i myndigheter- nas ordinarie uppgifter. Detsamma bör gälla i fråga om myndigheter- nas behov av att uppdatera befintliga register över behandling som förs i enlighet med dataskyddsförordningen. Mot denna bakgrund bedömer vi att även de nu nämnda kostnaderna bör täckas av myn- digheternas befintliga anslag.
1404
SOU 2023:100 |
Konsekvenser |
Regler om gallring ersätts av bestämmelser om längsta tid för behandling av personuppgifter
Vi föreslår att nuvarande bestämmelser om gallring i arkivrättslig mening som finns i registerlagarna ska ersättas av regler om längsta tid för behandling av personuppgifter. Den föreslagna regleringen ställer högre krav på Skatteverket, Tullverket och Kronofogdemyndig- heten eftersom de löpande kommer att behöva göra prövningar av om det är motiverat att personuppgifter behandlas. Den förändrade regler- ingen ställer inte några direkta krav på att berörda myndigheter i stäl- let måste göra framställningar om gallringsföreskrifter eller beslut till Riksarkivet. Enligt arkivlagen (1990:782) gäller dock att myndig- heternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgo- doser rätten att ta del av allmänna handlingar, behovet av informa- tion för rättskipningen och förvaltningen och forskningens behov (3 § tredje stycket).
För att myndigheterna ska kunna uppfylla arkivlagens krav kom- mer de behöva göra framställningar om gallringsföreskrifter eller beslut till Riksarkivet, eftersom alla allmänna handlingar annars ska bevaras. Riksarkivet har till utredningen uppgett att förslagen initialt kommer att innebära en ökad arbetsinsats både för Riksarkivet och berörda myndigheter när gallringsregler i stället behöver införas i myndighetsspecifika föreskrifter
Skatteverket uppskattar att kostnaderna till följd av våra förslag i fråga om gallring kommer uppgå till cirka 3,5 miljoner kronor. En- ligt preliminära beräkningar från Tullverket kommer kostnaderna att uppgå till cirka 2,4 miljoner kronor. Dessutom har Tullverket till ut- redningen uppgett att lagändringarna i dessa delar kommer att med- föra ett behov av tekniska anpassningar i
1405
Konsekvenser |
SOU 2023:100 |
Vi gör bedömningen att våra förslag i dessa delar kommer att leda till indirekta kostnader för Riksarkivet, Skatteverket, Tullverket och Kronofogdemyndigheten fram till dess att nya myndighetsspecifika föreskrifter eller beslut om gallring finns på plats. Som nämnts ovan är det inte fråga om kostnader som är en direkt konsekvens av våra förslag eftersom de följer av den redan befintliga arkivrättsliga regler- ingen. Det är också kostnader som kommer att uppstå under en kort- are period. Myndigheterna behöver även i dag göra framställningar till Riksarkivet, men då avseende behovet av undantag från de lag- reglerade gallringsfristerna. Vi bedömer att de kostnadsmässiga kon- sekvenserna för berörda myndigheter i denna del får anses ingå i myn- digheternas ordinarie uppgifter. Detsamma gäller framtagandet av eventuella nya myndighetsföreskrifter. Vidare gör vi bedömningen att de kostnader som kan uppstå till följd av att överväganden behö- ver göras om hur lång tid personuppgifter får behandlas, samt even- tuella ändringar i befintliga
Dataanalyser och urval
Förslagen om utökade möjligheter för Skatteverket, Tullverket och Kronofogdemyndigheten att göra dataanalyser och urval syftar till att myndigheterna ska ges bättre möjligheter att koncentrera utför- andet av sina respektive verksamheter på att identifiera och åtgärda de fel som orsakar störst problem för samhället. Genom förslagen för- väntas myndigheterna kunna koncentrera sina resurser till de områ- den där risken för fel och fusk är som störst. Det kan i ett längre per- spektiv innebära minskade kostnader för myndigheterna genom att färre onödiga kontroller behöver göras. Om myndigheterna ges för- utsättningar att öka träffsäkerheten vid urval förväntas det i förläng- ningen leda till en ökad uppbörd och indrivning av fordringar till staten.
Våra förslag till tydligare och utökade möjligheter för Skatteverket att inom beskattningsverksamheten göra dataanalyser och urval för- väntas leda till positiva effekter på uppbörd genom att myndighetens möjligheter att förebygga och motverka skatteundandragande och
1406
SOU 2023:100 |
Konsekvenser |
ekonomisk brottslighet blir bättre. Detsamma förväntas för Tull- verket. Möjligheter att göra mer träffsäkra urval för kontroll kan för Tullverket också förväntas leda till att myndighetens förmåga att förhindra restriktionsvaror från att föras in eller ut ur EU eller landet i strid med gällande regler ökar.
Såvitt avser folkbokföringsverksamheten förväntas förslagen på sikt leda till en högre grad av korrekta uppgifter i folkbokföringen. Kvalitetsbrister i folkbokföringen kan få stora spridningseffekter och bl.a. bidra till felaktiga utbetalningar från välfärdssystemen. Försla- gen väntas leda till att kvaliteten på uppgifterna stärks och att förut- sättningarna för att olika samhällsfunktioner ska få ett korrekt under- lag för beslut och åtgärder därmed ökar.
Utökade möjligheter att göra dataanalyser och urval inom Krono- fogdemyndighetens verksamhet kan förväntas leda till effektivitets- vinster inom arbetet med verkställighet, vilket i sin tur kan leda till att fler borgenärer får betalt och att gäldenärers skulder minskar. Verktygen ökar också Kronofogdemyndighetens möjligheter att kunna arbeta mer preciserat i fråga om att motverka överskuldsättning i samhället. Vidare bedöms Kronofogdemyndigheten ges bättre förut- sättningar att bidra i det myndighetsgemensamma arbetet mot orga- niserad brottslighet.
Förslagen bedöms dock inte i sig medföra några mätbara offentlig- finansiella effekter eller samhällsekonomiska konsekvenser.
Nya sekretessbestämmelser
Våra förslag till nya sekretessbestämmelser i Skatteverkets folkbok- föringsverksamhet och som avser Skatteverkets, Tullverkets och Kronofogdemyndighetens arbete med dataanalyser och urval kan komma att medföra att myndigheterna behöver ta ställning till och fatta fler beslut om utlämnande av allmänna handlingar. Om myn- digheterna fattar fler beslut kan det i sin tur leda till fler avslagsbeslut som kan överklagas till domstol. I vilken omfattning detta kommer att öka beror till viss del bl.a. på i vilken utsträckning myndigheterna behandlar aktuella uppgifter för att göra dataanalyser och urval. Vi gör sammantaget bedömningen att detta inte kommer att vara aktu- ellt i någon större utsträckning som kan leda till några mätbara kost- nader. Förslagen bör därför inte påverka myndigheterna eller dom-
1407
Konsekvenser |
SOU 2023:100 |
stolar i någon utsträckning som inte är möjlig att hantera inom befintliga ekonomiska ramar.
Det statliga personadressregistret
Våra förslag som rör SPAR innebär att nuvarande begränsningar av utlämnande av uppgifter om svenskt medborgarskap och födelse- hemort till offentliga aktörer från SPAR i förhållande till Navet tas bort. Detsamma gäller nuvarande begränsningar om att utlämnande av uppgifter om adress och folkbokföringsort för en person under 16 år endast får lämnas ut för kontrolländamål. Att få uppgifter från Navet är avgiftsfritt för statliga myndigheter. Sådana uppgifter som myndigheter enligt våra förslag kommer att kunna ta del av via SPAR kan myndigheterna i dag redan ta del av gratis via Navet under de för- utsättningar som framgår av den nuvarande dataskyddsregleringen för folkbokföringsverksamheten. Vi har tidigare bedömt att det före- faller mindre sannolikt att myndigheter som i dag får sitt informa- tionsbehov tillgodosett kostnadsfritt via Navet skulle välja att i stället börja betala för informationen via SPAR när de nuvarande begräns- ningarna i SPAR tas bort (se avsnitt 16.4.12).
Mot denna bakgrund kan det ifrågasättas om det finns offentlig- finansiella skäl till att behålla de nuvarande begränsningarna i SPAR för myndigheter i syfte att styra myndigheter till att använda Navet i stället för SPAR. Detta eftersom det motsatta innebär en ekono- misk belastning för det offentliga. Det är dock inte otänkbart att myn- digheter som under lång tid har använt SPAR för att tillgodose sitt informationsbehov har anpassat sina
5Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 71.
1408
SOU 2023:100 |
Konsekvenser |
Sammantagen bedömning
Sammantaget är det vår bedömning att förslagen kommer att med- föra vissa kostnader initialt, främst till följd av förändrade regler om gallring och nya regler om längsta tid för behandling samt på grund av att det krävs vissa utbildningsinsatser och framtagande av styr- ande dokument hos berörda myndigheter. Dessa kostnader bedömer
viinte vara större än att de kan täckas av myndigheternas ordinarie anslag. På längre sikt gör vi dessutom bedömningen att våra förslag bör medföra besparingar för berörda myndigheter och ökade stats- intäkter till följd av att verksamheterna vid ärendehanteringen och med kontroll kan bedrivas mer effektivt.
Slutligen bedömer vi att våra förslag inte har några ekonomiska konsekvenser för andra statliga myndigheter, kommuner, regioner, företag eller andra. Förslagen kommer därför enligt vår bedömning inte att medföra några övriga kostnadsmässiga eller andra ekono- miska konsekvenser.
19.5Övriga konsekvenser enligt kommittéförordningen
Vår bedömning: Förslagen förväntas inte få några konsekvenser för regioner eller kommuner. De kommer inte heller att påverka den kommunala självstyrelsen. Några direkta konsekvenser för- väntas inte heller uppstå för sysselsättningen och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, kon- kurrensförmåga eller villkor i övrigt i förhållande till större före- tags, för jämställdheten mellan kvinnor och män, för miljön eller för möjligheterna att nå de integrationspolitiska målen.
Förslagen förväntas ha viss betydelse för brottsligheten och det brottsförebyggande arbetet och indirekt för offentlig service samt företags konkurrensförmåga.
Förslagen är förenliga med
1409
Konsekvenser |
SOU 2023:100 |
Skälen för vår bedömning
Vi bedömer att förslagen inte kommer att få några konsekvenser för regioner eller kommuner och att de inte heller kommer påverka det kommunala självstyret.
Syftet med våra förslag i de delar som rör dataanalyser och urval är framför allt att åstadkomma en reglering som förhindrar felaktig- heter och fusk inom Skatteverkets, Tullverkets och Kronofogde- myndighetens verksamheter. Förslagen ger myndigheterna möjlig- heter att bedriva en mer effektiv kontrollverksamhet. Om fel kan identifieras i ett tidigt skede kan det leda till att berörda myndigheter ges bättre möjligheter att motverka och upptäcka framför allt eko- nomisk brottslighet men även annan typ av brottslighet i framför allt Tullverkets verksamhet (se vidare avsnitt 14.12). Sammantaget be- dömer vi att våra förslag kan förväntas minska den brottslighet inom välfärdssystemet som kan förekomma i berörda myndigheters verk- samheter och bidra till att det brottsförebyggande arbetet inom dessa områden förstärks. De kan också bidra till att myndigheterna ges bättre förutsättningar för en mer effektiv samverkan med andra brotts- bekämpande verksamheter och myndigheter. I övrigt bedömer vi att de nya lagar vi föreslår inte kan antas få några negativa effekter på myndigheternas möjligheter att motverka och upptäcka brottlighet.
Vi bedömer att förslagen inte påverkar sysselsättningen eller offent- lig service i olika delar av landet på det sätt som anges i kommitté- förordningen. Genom våra förslag kommer det dock inte att finnas någon särskild reglering av på vilket sätt uppgifter får lämnas ut till bl.a. enskilda, såsom dagens reglering av utlämnande av uppgifter på medium för automatiserad behandling eller genom direktåtkomst. Vi föreslår i stället att personuppgifter ska få lämnas ut elektroniskt om det inte är olämpligt. Det kan leda till att myndigheterna gene- rellt ges utökade möjligheter att kunna ge bättre service till enskilda vid utlämnande av uppgifter med hjälp av elektronisk kommunika- tion. Det är dock svårt att på ett mer konkret sätt bedöma effekterna av förslagen i dessa delar.
Inte heller små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag bör påverkas direkt av förslagen. Däremot kan förslagen om utökade möjligheter att göra dataanalyser och urval inom Skatteverkets beskattnings- verksamhet och Tullverkets verksamhet komma att leda till att fler
1410
SOU 2023:100 |
Konsekvenser |
åtgärder kan vidtas mot oseriösa företag som t.ex. undandrar skatt, tull eller avgifter från det allmänna. Det bör då indirekt kunna leda till att konkurrensen mellan företag generellt blir mer rättvis. För Kronofogdemyndighetens del kan förslagen innebära utökade möj- ligheter att effektivisera arbetet inom verksamheten med verkstäl- lighet. Det kan leda till att fler enskilda borgenärer, såsom företag, får betalt. En annan positiv effekt för företag är att eftersom myn- digheterna ges möjligheter att göra mer träffsäkra urval för kontroll, kan seriösa företag gynnas genom att dessa inte behöver utsättas för kontroller i lika hög utsträckning.
Förslagen förväntas inte få några konsekvenser för jämställdheten mellan kvinnor och män, integrationen eller miljön. Enligt vår be- dömning kommer förslagen, utöver vad som har angetts i detta kapitel, inte att få några andra konsekvenser som anges i
Vi har i utformningen av förslagen tagit hänsyn till regerings- formen, Europakonventionen, de åtaganden som följer av Sveriges anslutning till Europeiska unionen och Sveriges övriga internatio- nella åtaganden. Vi bedömer att förslagen är förenliga med dessa. Mer utförliga bedömningar av förslagens förenlighet med sådan reglering finns genomgående i betänkandet i de avsnitt där det bedömts nöd- vändigt och relevant (se bl.a. avsnitten 6.2, 8.4.9 och 14.12).
1411
20 Författningskommentar
20.1 Förslaget till beskattningsdatalag
Genom förslaget upphävs lagen (2001:181) om behandling av upp- gifter i Skatteverkets beskattningsverksamhet (skattedatabaslagen), och ersätts av en ny lag om dataskydd i Skatteverkets beskattnings- verksamhet och övrig verksamhet som omfattas av skattedatabas- lagens tillämpningsområde, beskattningsdatalagen.
Innehållet i beskattningsdatalagen motsvarar i vissa delar inne- hållet i skattedatabaslagen. I förhållande till skattedatabaslagen har beskattningsdatalagen i högre grad anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning. Det innebär att nya paragrafer har till- kommit och att andra inte har någon motsvarighet i lagen. Den nya lagen har renodlats så att den enbart omfattar personuppgiftsbehand- ling, och inte behandling av uppgifter om juridiska personer eller av- lidna. I den nya lagen finns inte några bestämmelser som reglerar Skatteverkets personuppgiftsbehandling inom en gemensamt tillgäng- lig databas, eller bestämmelser om gallring. Den nya lagen innehåller inte heller någon särreglering av uppgiftslämnande genom direkt- åtkomst.
I övrigt är lagen inte längre kapitelindelad. Med hänsyn till detta har några nya rubriker tillkommit och vissa andra har utgått. I beskatt- ningsdatalagen finns också nya bestämmelser om Skatteverkets data- analyser och urval och den längsta tid som personuppgifter får be- handlas.
1413
Författningskommentar |
SOU 2023:100 |
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen, som inte har någon motsvarighet i skattedatabaslagen, anges det övergripande syftet med lagen. Övervägandena finns i av- snitt 7.2.
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. att dels ge Skatteverket möjlighet att inom den verksamhet som omfattas av lagens tillämpningsområde enligt 2 § behandla personuppgifter på ett ända- målsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet.
Lagen gäller även vid behandling av personuppgifter i Skatteverkets verk- samhet enligt
1.lagen (1991:1047) om sjuklön,
2.lagen (2007:324) om Skatteverkets hantering av vissa borgenärs- uppgifter,
3.lagen (2013:948) om stöd vid korttidsarbete,
4.lagen (2020:548) om omställningsstöd, och
5.lagen (2023:230) om förfarande för elstöd till företag.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitten
Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar nuvarande 1 kap. 1 § första stycket skattedatabaslagen.
I artikel 4.1 och 4.2. i EU:s dataskyddsförordning finns definitio- ner av begreppen personuppgifter och behandling. Av definitionen av begreppet personuppgifter samt skäl 14 och 27 till dataskyddsförord- ningen följer att behandling av uppgifter som rör avlidna eller juri- diska personer inte omfattas av lagens bestämmelser.
1414
SOU 2023:100 |
Författningskommentar |
Lagen är tillämplig vid behandling av personuppgifter i Skatte- verkets beskattningsverksamhet. Vad som avses med Skatteverkets beskattningsverksamhet framgår av 3 §.
I andra stycket punkt
Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksam- heten omfattas av lagen genom 2 och 3 §§. Däremot omfattar lagens tillämpningsområde inte behandling av personuppgifter vid t.ex. löpande administration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer.
Lagens materiella tillämpningsområde, dvs. att lagen enligt första stycket ska tillämpas vid behandling av personuppgifter i Skatte- verkets beskattningsverksamhet samt enligt andra stycket i de verk- samheter som där anges, är inte avsett att skilja sig från det tillämp- ningsområde som anges i 1 kap. 1 § första stycket skattedatabaslagen.
I paragrafens tredje stycke, som i sak delvis motsvarar 1 kap. 1 § första stycket skattedatabaslagen, begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast då behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt som den bestämmelsen. En definition av begreppet register finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen innebär att be- handling som inte omfattas av lagens tillämpningsområde t.ex. är minnesanteckningar som enbart förs på papper.
3 § Skatteverkets verksamhet enligt 2 § första stycket avser
1.fastställande av underlag för samt bestämmande, redovisning, betal- ning och återbetalning av skatter och avgifter,
2.bestämmande av pensionsgrundande inkomst,
3.fastighetstaxering,
4.revision och annan analys eller kontroll,
5.tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
6.fullgörande av förpliktelser som följer av internationella åtaganden,
och
7.annan liknande uppgift som Skatteverket ska utföra.
1415
Författningskommentar |
SOU 2023:100 |
Av paragrafen, som inte har någon motsvarighet i skattedatabaslagen, framgår vad som avses med begreppet beskattningsverksamhet i 2 § första stycket. Övervägandena finns i avsnitt 7.4.5.
Enligt punkt 1 avses med beskattningsverksamhet fastställande av underlag för samt bestämmande, redovisning, betalning och åter- betalning av skatter och avgifter. Detta knyter tydligt an till sådan verksamhet som är ett led i beskattningsförfarandet. Begreppet betal- ning av skatt omfattar även ärenden om ackord.
Av punkterna 2 och 3 följer att bestämmande av pensionsgrund- ande inkomst och fastighetstaxering omfattas av begreppet beskatt- ningsverksamhet även om Skatteverkets uppgifter i dessa delar inte alltid utgör ett led i beskattningsförfarandet.
I punkt 4 anges att revision och annan analys eller kontroll ingår i begreppet beskattningsverksamhet, vilket utgör verksamhet som ofta ligger till grund för bl.a. myndighetens bestämmande av skatter och avgifter.
Enligt punkt 5 avses med beskattningsverksamhet i lagen även till- syn samt lämplighets- och tillståndsprövning och annan liknande pröv- ning. Med sådan verksamhet avses t.ex. Skatteverkets uppgifter med viss tillsyn enligt alkohollagen (2010:1622) eller Skatteverkets ansvar för att fatta beslut om godkännande av upplagshavare, registrerad varu- mottagare, tillfälligt registrerad varumottagare, registrerad avsändare eller skatteupplag enligt lagen (2022:155) om tobaksskatt. Det om- fattar även vissa uppgifter som Skatteverket ska utföra enligt skatte- förfarandelagen (2011:1244), t.ex. i fråga om att pröva och godkänna den som uppger sig bedriva eller ha för avsikt att bedriva närings- verksamhet i Sverige för
Punkt 6 innebär att Skatteverkets fullgörande av förpliktelser som följer av internationella åtaganden omfattas av begreppet beskatt- ningsverksamhet. Med sådan verksamhet avses Skatteverkets skyldig- heter enligt bl.a.
Slutligen framgår av punkt 7 att även annan liknande uppgift som Skatteverket ska utföra är en del av Skatteverkets beskattningsverksam- het och därmed omfattas av lagen. Med annan liknande uppgift åsyftas andra uppgifter som är näraliggande Skatteverkets beskattnings- verksamhet enligt övriga punkter. Det kan t.ex. avse uppgifter såsom
1416
SOU 2023:100 |
Författningskommentar |
handläggning av andra frågor om ansvar för någon annans skatter och avgifter, handläggning enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarande- lagen eller hantering av underrättelser från arbetsgivare om anställ- ning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige. Punkten omfattar också uppgifter med koppling till beskattningsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515).
4 § Bestämmelserna i denna lag gäller inte vid Skatteverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
I paragrafen, som inte har någon motsvarighet i skattedatabaslagen, föreskrivs ett undantag från lagens tillämpningsområde i fråga om behandling av personuppgifter som Skatteverket utför i Europeiska unionens gemensamma informationssystem. Övervägandena finns i avsnitt 7.4.4.
Med EU:s gemensamma informationssystem avses system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Med behandling av upp- gifter i sådana
Undantaget avser alltså inte behandling av uppgifter som enbart utförs i Skatteverkets egna interna system som inte är förvaltade och utformade av
1417
Författningskommentar |
SOU 2023:100 |
lig reglering. Undantaget är alltså inte nödvändigtvis knutet till per- sonuppgiftsansvaret. Det väsentliga för lagens tillämplighet är om uppgifterna behandlas i de
För behandling av personuppgifter som inte omfattas av lagen kommer i första hand EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det
Förhållandet till annan reglering
5 § Denna lag innehåller bestämmelser som kompletterar Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförord- ning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen anges lagens förhållande till annan reglering. Överväg- andena finns i avsnitt 7.5.1.
Första stycket, som motsvarar 1 kap. 2 § skattedatabaslagen, upp- lyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 105).
Andra stycket, som motsvarar 1 kap. 3 § skattedatabaslagen, tyd- liggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskydds- lagen (jfr prop. 2017/18:95 s. 106).
1418
SOU 2023:100 |
Författningskommentar |
Personuppgiftsansvar
6 § Skatteverket är personuppgiftsansvarig för den behandling av person- uppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak motsvarar 1 kap. 6 § skattedatabaslagen, regle- ras att Skatteverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har med- delats i anslutning till lagen (jfr prop. 2000/01:33 s. 199). Överväg- andena finns i avsnitt 7.6.1.
En definition av begreppet personuppgiftsansvarig finns i arti- kel 4.7 i dataskyddsförordningen. Att Skatteverket är personuppgifts- ansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grund- läggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den personuppgifts- ansvarige ska också t.ex. tillhandahålla information om person- uppgiftsbehandlingen (artiklarna
Ändamål
7 § Skatteverket får behandla personuppgifter om det är nödvändigt för
1.att utföra verksamhet enligt 2 §, eller
2.att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
I paragrafen anges för vilka primära ändamål Skatteverket får be- handla personuppgifter enligt lagen. Övervägandena finns i avsnit- ten 8.4.3 och 14.8.
Av första stycket framgår att en förutsättning för att Skatteverket ska få behandla personuppgifter är att det är nödvändigt för att ut- föra viss verksamhet som myndigheten ansvarar för. Kravet på nöd-
1419
Författningskommentar |
SOU 2023:100 |
vändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig.
Enligt första punkten, som delvis motsvarar 1 kap. 4 § skattedata- baslagen, får Skatteverket behandla personuppgifter om det är nöd- vändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 § (jfr bl.a. prop. 2000/01:33 s.197 och 198 samt prop. 2022/ 23:107 s. 48). Till skillnad från 1 kap. 4 § skattedatabaslagen anges inte några detaljerade ändamål. Ändamålet omfattar samtliga de ända- mål som anges i de nuvarande bestämmelserna om detta i skattedata- baslagen. Som exempel på sådan behandling kan nämnas att fastställa underlag för samt bestämmande, redovisning, betalning och återbetal- ning av skatter och avgifter, bestämmande av pensionsgrundande inkomst, fastighetstaxering och revision och annan analys- eller kon- trollverksamhet. Även behandling som är nödvändig för exempelvis tillsyn, kontroll, uppföljning och planering av verksamheten och för utveckling av nya digitala arbetssätt såsom testning av befintlig eller ny
Av andra punkten, som inte har någon motsvarighet i skattedata- baslagen, framgår att Skatteverket får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att före- bygga, förhindra och upptäcka fel i verksamhet enligt 2 §. Ändamålet omfattar alltså Skatteverkets dataanalyser och urval i kontrollverksam- het. Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller sub- jekt där det finns störst risk för fel och som därför behöver kontrol- leras särskilt. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid Skatteverkets dataanalyser och urval. Det innebär att personuppgiftsbehandling i form av t.ex. inhämtning av uppgifter och fortsatt behandling av sådana uppgifter kommer att rymmas i bestämmelsen. Ändamålet omfattar också exempelvis upp- följning, utveckling och testning av analys- och urvalsmodeller.
Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för felaktigheter redan innan det finns ett ärende. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som be- ror på avsiktligt fusk eller misstag.
1420
SOU 2023:100 |
Författningskommentar |
I andra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen.
8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller för- ordning.
Paragrafen, som motsvarar 1 kap. 5 § 3 skattedatabaslagen, är en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla per- sonuppgifter för ändamål utöver de som anges i den primära ända- målsbestämmelsen i 7 §, (jfr prop. 2017/18:95 s. 107). Övervägandena finns i avsnitt 8.4.4.
9 § Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Paragrafen, som motsvarar 1 kap. 5 § 4 skattedatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i dataskyddsförord- ningen (jfr prop. 2017/18:95 s. 107). Övervägandena finns i av- snitt 8.4.5.
Känsliga personuppgifter
10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen, som delvis motsvarar 1 kap. 7 § skattedatabaslagen, regle- rar möjligheten till behandling av känsliga personuppgifter (jfr prop. 2017/18:95 s. 107). Till skillnad från 1 kap. 7 § skattedatabas- lagen omfattar bestämmelsen inte behandling av uppgifter om lag- överträdelser. Bestämmelsen är inte heller avgränsad till om uppgif- terna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den innehåller inte heller något krav på att tillåtligheten av behandling av sådana uppgifter annars särskilt ska anges i lagen. Övervägandena finns i avsnitt 10.7.
1421
Författningskommentar |
SOU 2023:100 |
Bestämmelsen innebär ett undantag från förbudet mot behand- ling av känsliga personuppgifter som finns i artikel 9.1 i dataskydds- förordningen. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga person- uppgifter för ett viktigt allmänt intresse, vilken annars gäller där sek- torspecifik reglering saknas (prop. 2017/18:105 s. 91). Bestämmelsen ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförord- ningen.
De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskydds- förordningen definieras uppgifter om hälsa.
Skatteverket får enligt bestämmelsen behandla känsliga person- uppgifter om det är nödvändigt med hänsyn till ändamålet med behand- lingen. Begreppet nödvändigt innebär inte ett krav på att behand- lingsåtgärden ska vara oundgänglig (jfr prop. 2017/18:105 s. 194). Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter myndigheten har att utföra. I kravet på nödvändighet ligger även att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anony- misera uppgifterna eller att i stället behandla andra typer av uppgifter.
Sökbegränsningar
11 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en upp- gift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Paragrafen, som delvis motsvarar 2 kap. 10 § skattedatabaslagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr
1422
SOU 2023:100 |
Författningskommentar |
prop. 2000/01:33 s. 203). Till skillnad från 2 kap. 10 § skattedatabas- lagen utgår bestämmelsen från syftet med en sökning. Bestämmelsen är inte heller begränsad till sökning i en viss databas och omfattar inte uppgifter om lagöverträdelser. Den innehåller vidare vissa undantag hänförliga till behovet av att kunna göra vissa sökningar som inte har någon motsvarighet i dag. Övervägandena finns i avsnitten 10.9.1 och 10.9.2.
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 10 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Skatteverket inte får utföra sökningar i syfte att få fram ett urval av personer som t.ex. har en viss politisk åsikt eller sexuell läggning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga person- uppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att personer kart- läggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om reli- giös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av lagen. Genom detta undantag är det möjligt för Skatteverket att ta fram ett urval baserat på uppgifter om t.ex. avgifter till trossamfund eller åberopande av sjukdom som grund för ett yrkande om skatte- avdrag för kostnader till följd av resor med egen bil. Uppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförordning. Förutsätt- ningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är att sökningen är nödvändig för att utföra en uppgift i myndighetens verksamhet som omfattas av lagens tillämpningsområde. Begreppet nödvändigt i förevarande paragraf har samma innebörd som enligt bestämmelsen om känsliga personuppgifter, se kommen- taren till 10 §.
1423
Författningskommentar |
SOU 2023:100 |
Förbudet omfattar inte heller sökningar som sker i en viss hand- ling eller i ett visst ärende. Den enskilde medarbetaren vid Skatte- verket kan alltså göra sökningar på t.ex. känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 7 § första stycket 2 får föl- jande personuppgifter behandlas:
1.uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2.uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande om det sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
Paragrafen, som inte har någon motsvarighet i skattedatabaslagen, innehåller en begränsning av vilka personuppgifter som får behand- las för att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel. Övervägandena finns i avsnitt 14.9.2.
Första stycket tydliggör att Skatteverket inte får behandla uppgifter som det inte finns stöd för att behandla till följd av myndighetens uppdrag. Regleringen möjliggör dock insamling och vidarebehand- ling av personuppgifter för att göra aktuella dataanalyser och urval. Vilka uppgifter som är relevanta att behandla för dataanalyser och ur- val följer av den materiella verksamhetsregleringen. Skatteverket be- höver alltid säkerställa att behandlingen är förenlig med dataskydds- förordningen.
Enligt första punkten får Skatteverket behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av verksam- het enligt 2 §. Med uppgifter som Skatteverket förfogar över avses sådana uppgifter som myndigheten redan har tillgång till som en följd av sin verksamhet, t.ex. i fråga om handläggning av ärenden. Uppgif- terna kan exempelvis ha samlats in från enskilda som har ett ärende hos myndigheten eller så kan uppgifter ha överlämnats från andra myndigheter.
Med uppgifter som Skatteverket samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Insam-
1424
SOU 2023:100 |
Författningskommentar |
lingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser urval i syfte att förebygga, förhindra och upptäcka fel. Det rör sig med andra ord om uppgifter som myndigheten ännu inte har samlat in och den därför inte heller förfogar över till följd av t.ex. handläggning av ärenden. Det kan exempelvis vara uppgifter som hämtas in från öppna källor hos andra myndigheter vilka i förekommande fall innehåller personuppgifter.
Enligt andra punkten får Skatteverket behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen om- fattar uppgifter som t.ex. en annan myndighet eller självständig verk- samhetsgren inom Skatteverket lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av Skatteverket, uppgifter som lämnas till Skatteverket med stöd av den s.k. general- klausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) eller uppgifter som i övrigt lämnas till myndigheten med stöd av be- stämmelser i lag eller förordning. Det kan röra sig om både sekretess- belagda uppgifter och uppgifter som är offentliga hos den överläm- nande myndigheten.
I de fall en bestämmelse om uppgiftsskyldighet innebär att upp- gifterna endast får lämnas ut om det behövs i ett ärende hos Skatte- verket kommer uppgifterna inte att kunna hämtas in i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kom- mer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i dataskyddsförordningen kunna behandlas även för att göra dataanalyser och urval.
I andra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 7 § första stycket 2. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kon- troll i efterhand.
1425
Författningskommentar |
SOU 2023:100 |
Paragrafen, som inte har någon motsvarighet i skattedatabaslagen, innehåller krav på dokumentation och är en särskild skyddsåtgärd vid behandling av personuppgifter för att göra dataanalyser och ur- val. Övervägandena finns i avsnitt 14.11.3.
Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet doku- menteras. Det innebär att Skatteverket ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyd- det. I denna bedömning ska Skatteverket ta hänsyn till omständig- heter såsom bl.a. uppgifternas art, omfattning och syftet med analy- serna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat.
I de fall Skatteverket är skyldigt att göra en konsekvensbedöm- ning enligt artikel 35 i dataskyddsförordningen och myndigheten där- för redan har dokumenterat avvägningen mellan det avsedda resul- tatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndig- heten även uppfyllt det aktuella dokumentationskravet.
Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och dataskyddsförordningen.
Enligt andra stycket ska de metoder och sökbegrepp som används för att ta fram urval dokumenteras. Med metoder för att ta fram ur- val menas t.ex. urvalsmodeller som Skatteverket tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel i den verksamhet som omfattas av lagens tillämpningsområde. Dokumen- tationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informations- mängd och hitta de poster eller uppgiftskonstellationer där begrep- pet förekommer. Sökbegrepp kan också användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer användas som under- lag för en viss dataanalys, eller sökningar som görs bland urvals- träffar för att prioritera vilka av dessa som bör kontrolleras närmare.
Av tredje stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumen-
1426
SOU 2023:100 |
Författningskommentar |
tationen ska det gå att följa upp att behandlingen endast avser upp- gifter som får behandlas vid dataanalyser och urval samt att uppgif- terna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheterna måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av upp- gifter som behandlas och uppgifternas art.
Det är upp till Skatteverket att bedöma i vilken form dokumen- tationen som bestämmelsen ställer krav på ska ske. Det avgörande är att det i efterhand går att kontrollera den gjorda proportionalitets- bedömningen samt vilka metoder och sökbegrepp som har använts för att ta fram urval.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en be- höver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regel- bundet.
I paragrafen, som inte har någon motsvarighet i skattedatabaslagen, finns en bestämmelse om den interna tillgången till personuppgifter i Skatteverkets verksamhet. Övervägandena finns i avsnitt 7.7.
Första stycket innebär att Skatteverket ska begränsa tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgif- ter (jfr artikel 32 i dataskyddsförordningen).
Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid Skatte- verket ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar så- väl tillsvidareanställd personal som t.ex. personer med en tidsbegrän- sad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
1427
Författningskommentar |
SOU 2023:100 |
Enligt andra stycket ska Skatteverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Skatteverket att närmare bestämma formerna för kontrollen.
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar
av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som inte har någon motsvarighet i skattedatabaslagen, reglerar förutsättningarna för elektroniskt utlämnande av person- uppgifter. Övervägandena finns i avsnitt 11.7.5.
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utläm- nande genom direktåtkomst, varmed avses att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61), som annat elek- troniskt utlämnande, varmed avses bl.a. utlämnande genom
Bedömningen av om utlämnandet är olämpligt ska ske med be- aktande av eventuella bestämmelser om sekretess, vad syftet med ut- lämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utläm- nande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad och bedöm- ningen bör innefatta en noggrann prövning av vilka särskilda integ- ritetsrisker ett sådant elektroniskt utlämnande kan innebära.
Iandra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut person- uppgifter elektroniskt.
1428
SOU 2023:100 |
Författningskommentar |
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Paragrafen, som inte som inte har någon motsvarighet i skattedatabas- lagen, innehåller en huvudregel om längsta tid för behandling av person- uppgifter vid Skatteverket. Övervägandena finns i avsnitten 12.4.3 och 12.4.5.
Bestämmelsen i första stycket innebär en skyldighet för Skatteverket att upphöra med behandlingen av personuppgifter så snart person- uppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller av- identifieras på ett sådant sätt att alla identifieringsmöjligheter för- svinner. Bestämmelsen ställer krav på Skatteverket att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndig- het. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behand- ling kvarstår för dessa. Bestämmelsen motsvarar principen om lagrings- minimering, artikel 5.1 e i dataskyddsförordningen, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkiv- lagens (1990:782) bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkiv- ändamål av allmänt intresse.
Iandra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som föl- jer av den generella bestämmelsen i första stycket om att person- uppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
Begränsning av information m.m. till den registrerade
17 § Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett
1429
Författningskommentar |
SOU 2023:100 |
viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Paragrafen motsvarar i stort bestämmelsen i 3 kap. 2 a § skattedata- baslagen vilken infördes med anledning av artikel 25 i rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EG (direktivet om administrativt samarbete) (jfr prop. 2012/13:4 s. 89 och 90 samt prop. 2017/18:95 s. 107 och 108). Vissa ändringar har gjorts i fråga om vilka artiklar i dataskyddsförordningen som i vissa fall inte behöver tillämpas med anledning av att artikel 25 i direktivet om administrativt samarbete har ändrats sedan bestämmelsen ur- sprungligen infördes. Övervägandena finns i avsnitt 7.8.2.
Bestämmelsen anger under vilka förutsättningar tillämpningen av artiklarna 13, 14.1 och 15 i dataskyddsförordningen kan begränsas. Sådana begränsningar får göras om de är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unio- nen eller en stat som ingår i unionen.
Utöver de ändrade hänvisningarna till dataskyddsförordningen innebär bestämmelsen inte några förändringar i sak i förhållande till 3 kap. 2 a § skattedatabaslagen.
Begränsning av rätten att göra invändningar
18 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invänd- ningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen, som motsvarar 3 kap. 3 § skattedatabaslagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 108). Övervägandena finns i avsnitt 7.8.1.
20.2 Förslaget till folkbokföringsdatalag
Genom förslaget upphävs lagen (2001:182) om behandling av person- uppgifter i Skatteverkets folkbokföringsverksamhet (folkbokförings- databaslagen), och ersätts av en ny lag om dataskydd i Skatteverkets
1430
SOU 2023:100 |
Författningskommentar |
folkbokföringsverksamhet som omfattas av folkbokföringsdatabas- lagens tillämpningsområde, folkbokföringsdatalagen.
Innehållet i folkbokföringsdatalagen motsvarar i vissa delar inne- hållet i folkbokföringsdatabaslagen. I förhållande till folkbokförings- databaslagen har folkbokföringsdatalagen i högre grad anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den
27april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförord- ning), i lagen benämnd EU:s dataskyddsförordning. Det innebär att nya paragrafer har tillkommit och att andra inte har någon motsvar- ighet i lagen. Den nya lagen har renodlats så att den enbart omfattar personuppgiftsbehandling, och inte behandling av uppgifter om av- lidna. I den nya lagen finns inte några bestämmelser som reglerar Skatteverkets personuppgiftsbehandling inom en gemensamt tillgäng- lig databas. Den nya lagen innehåller inte heller någon särreglering av uppgiftslämnande genom direktåtkomst.
I övrigt är lagen inte längre kapitelindelad. Med hänsyn till detta har några nya rubriker tillkommit och vissa andra har utgått. I folk- bokföringsdatalagen finns också nya bestämmelser om Skatteverkets dataanalyser och urval och den längsta tid som personuppgifter får behandlas.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen, som inte har någon motsvarighet i folkbokföringsdata- baslagen, anges det övergripande syftet med lagen. Övervägandena finns i avsnitt 7.2.
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. att dels ge Skatteverket möjlighet att inom folkbokföringsverksamheten behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda männi- skor mot att deras personliga integritet kränks vid sådan behandling.
1431
Författningskommentar |
SOU 2023:100 |
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitten
Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar nuvarande 1 kap. 1 § första stycket folkbokföringsdatabaslagen.
I artikel 4.1 och 4.2. i EU:s dataskyddsförordning finns defini- tioner av begreppen personuppgifter och behandling. Av definitionen av begreppet personuppgifter samt skäl 14 och 27 till dataskydds- förordningen följer att behandling av uppgifter som rör avlidna eller juridiska personer inte omfattas av lagens bestämmelser.
Lagen är tillämplig vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Vad som avses med Skatteverkets folkbok- föringsverksamhet framgår av 3 §. Lagens materiella tillämpnings- område, dvs. att lagen ska tillämpas vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, är inte avsett att skilja sig från det tillämpningsområde som anges i 1 kap. 1 § första stycket folk- bokföringsdatabaslagen, med undantag för behandling av person- uppgifter i passmyndigheternas verksamhet som rör identitetskontrol- ler enligt lagen (2022:1697) om samordningsnummer.
Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas av lagen genom 2 och 3 §§. Däremot omfattar lagens tillämp- ningsområde inte behandling av personuppgifter vid t.ex. löpande administration och liknande, såsom hantering av uppgifter om per- sonal, arbetssökande, uppdragstagare eller leverantörer.
I paragrafens andra stycke, som i sak delvis motsvarar 1 kap. 1 § första stycket folkbokföringsdatabaslagen, begränsas tillämpnings- området till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast då behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt som den bestämmelsen. En definition av begreppet regis-
1432
SOU 2023:100 |
Författningskommentar |
ter finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen inne- bär att behandling som inte omfattas av lagens tillämpningsområde t.ex. är minnesanteckningar som enbart förs på papper.
3 § Skatteverkets verksamhet enligt 2 § första stycket avser
1.folkbokföring,
2.samordningsnummer,
3.samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,
4.framställning av personbevis och andra registerutdrag,
5.aktualisering, komplettering och kontroll av personuppgifter,
6.uttag av urval av personuppgifter, och
7.annan liknande uppgift som Skatteverket ska utföra.
Av paragrafen, som inte har någon motsvarighet i folkbokförings- databaslagen, framgår vad som avses med begreppet folkbokförings- verksamhet i 2 § första stycket. Övervägandena finns i avsnitt 7.4.6.
Enligt punkterna 1 och 2 avses med folkbokföringsverksamhet folkbokföring och samordningsnummer. Begreppet folkbokföring har samma innebörd som i folkbokföringslagen (1991:481). Med sam- ordningsnummer avses detsamma som i 1 kap. 1 § första stycket lagen (2022:1697) om samordningsnummer.
Av punkt 3 framgår att med folkbokföringsverksamhet avses sam- ordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter. Med detta avses Skatteverkets uppgifter att fullgöra vissa kvalitetskontroller när uppgifter ska registreras och att göra kontroller och analyser av rik- tigheten av registrerade uppgifter.
Enligt punkt 4 avses med folkbokföringsverksamhet också fram- ställning av personbevis och andra registerutdrag.
Med folkbokföringsverksamhet avses också enligt punkterna 5 och 6 aktualisering, komplettering och kontroll av personuppgifter samt uttag av urval av personuppgifter. Lagen omfattar alltså bl.a. Skatteverkets verksamhet i fråga om att uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga för- hållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Den omfattar också myndighetens uppgift att förse andra med uppgifter från folkbokföringsverksamheten.
Slutligen framgår av punkt 7 att även annan liknande uppgift som Skatteverket ska utföra är en del av folkbokföringsverksamheten och därmed omfattas av lagen. Med annan liknande uppgift åsyftas andra
1433
Författningskommentar |
SOU 2023:100 |
uppgifter som är näraliggande övriga punkter. Det kan avse ärenden som Skatteverket handlägger inom ramen för folkbokföringsverksam- heten vilka har sin materiella grund i annan lagstiftning än folk- bokföringslagen. Det handlar exempelvis om bestämmelser i lagen (2016:1013) om personnamn avseende myndighetens prövning av frågor rörande personnamn och i äktenskapsbalken i fråga om myn- dighetens prövning av äktenskapshinder. Punkten omfattar också upp- gifter med koppling till folkbokföringsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighets- förordningen (2007:515).
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016
om skydd för fysiska personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s data- skyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförord- ning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen anges lagens förhållande till annan reglering. Överväg- andena finns i avsnitt 7.5.1.
Första stycket, som motsvarar 1 kap. 2 § folkbokföringsdatabas- lagen, upplyser om att lagens bestämmelser kompletterar den regler- ing som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 108).
Andra stycket, som motsvarar 1 kap. 3 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, tydlig- gör lagens förhållande till lagen (2018:218) med kompletterande be- stämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen (jfr prop. 2017/18:95 s. 109).
1434
SOU 2023:100 |
Författningskommentar |
Personuppgiftsansvar
5 § Skatteverket är personuppgiftsansvarig för den behandling av person- uppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak delvis motsvarar 1 kap. 5 § folkbokförings- databaslagen, regleras att Skatteverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen (jfr prop. 2000/01:33 s. 206). Övervägandena finns i avsnitt 7.6.1 och 7.6.2.
En definition av begreppet personuppgiftsansvarig finns i arti- kel 4.7 i dataskyddsförordningen. Att Skatteverket är personuppgifts- ansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den person- uppgiftsansvarige ska också t.ex. tillhandahålla information om per- sonuppgiftsbehandlingen (artiklarna
Ändamål
6 § Skatteverket får behandla personuppgifter om det är nödvändigt för
1.att utföra verksamhet enligt 2 §, eller
2.att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
I paragrafen anges för vilka primära ändamål Skatteverket får be- handla personuppgifter enligt lagen. Övervägandena finns i avsnit- ten 8.4.3 och 14.8.
Av första stycket framgår att en förutsättning för att Skatteverket ska få behandla personuppgifter är att det är nödvändigt för att ut- föra viss verksamhet som myndigheten ansvarar för. Kravet på nöd-
1435
Författningskommentar |
SOU 2023:100 |
vändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig.
Enligt första punkten, som delvis motsvarar 1 kap. 4 § fösta stycket folkbokföringsdatabaslagen, får Skatteverket behandla personuppgif- ter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 § (jfr prop. 2000/01:33 s. 205 och 206). Till skillnad från 1 kap. 4 § folkbokföringsdatabaslagen anges inte några detaljerade ändamål. Ändamålet omfattar samtliga de ändamål som anges i de nuvarande bestämmelserna om detta i folkbokföringsdata- baslagen. Som exempel på sådan behandling kan nämnas att utföra samordnad behandling, kontroll och analys av identifieringsuppgif- ter för fysiska personer och av andra folkbokföringsuppgifter, hand- läggning av folkbokföringsärenden och aktualisering, komplettering och kontroll av personuppgifter. Även behandling som är nödvändig för exempelvis tillsyn, kontroll, uppföljning och planering av verk- samheten och för utveckling av nya digitala arbetssätt såsom test- ning av befintlig eller ny
Av andra punkten, som delvis motsvarar 1 kap. 4 a § folkbokför- ingsdatabaslagen, framgår att Skatteverket får behandla personuppgif- ter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet enligt 2 § (jfr prop. 2022/23:41 s. 59 och 60). Ändamålet omfattar alltså Skatte- verkets dataanalyser och urval i kontrollverksamhet. Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns störst risk för fel och som därför behöver kontrolleras särskilt. Ända- målet omfattar all den personuppgiftsbehandling som kan vara nöd- vändig vid Skatteverkets dataanalyser och urval. Det innebär att per- sonuppgiftsbehandling i form av t.ex. inhämtning av uppgifter och fortsatt behandling av sådana uppgifter kommer att rymmas i bestäm- melsen. Ändamålet omfattar också exempelvis uppföljning, utveck- ling och testning av analys- och urvalsmodeller.
Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för felaktigheter redan innan det finns ett ärende. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande
1436
SOU 2023:100 |
Författningskommentar |
till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller misstag.
I andra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller för- ordning.
Paragrafen, som motsvarar 1 kap. 4 § andra stycket första meningen folkbokföringsdatabaslagen, är en s.k. sekundär ändamålsbestäm- melse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 6 §, (jfr prop. 2017/18:95 s. 109). Övervägandena finns i avsnitt 8.4.4.
8 § Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Paragrafen, som motsvarar 1 kap. 4 § andra stycket andra meningen folkbokföringsdatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i dataskyddsförordningen (jfr prop. 2017/18:95 s. 109). Övervägandena finns i avsnitt 8.4.5.
Känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen, som delvis motsvarar 1 kap. 6 § folkbokföringsdatabas- lagen, reglerar möjligheten till behandling av känsliga personuppgif- ter (prop. 2017/18:95 s. 109 och 110). Till skillnad från 1 kap. 7 § lagen om behandling av personuppgifter i Skatteverkets folkbokför- ingsverksamhet omfattar bestämmelsen inte behandling av uppgifter om lagöverträdelser. Bestämmelsen är inte heller avgränsad till om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det. Den innehåller inte heller något krav på att tillåt-
1437
Författningskommentar |
SOU 2023:100 |
ligheten av behandling av sådana uppgifter annars särskilt ska anges i lagen. Övervägandena finns i avsnitt 10.7.
Bestämmelsen innebär ett undantag från förbudet mot behand- ling av känsliga personuppgifter som finns i artikel 9.1 i dataskydds- förordningen. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga person- uppgifter för ett viktigt allmänt intresse, vilken annars gäller där sektorspecifik reglering saknas (prop. 2017/18:105 s. 91). Bestäm- melsen ersätter dock varken artikel 6 eller artikel 9.2 g i dataskydds- förordningen.
De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskydds- förordningen definieras uppgifter om hälsa.
Skatteverket får enligt bestämmelsen behandla känsliga person- uppgifter om det är nödvändigt med hänsyn till ändamålet med be- handlingen. Begreppet nödvändigt innebär inte ett krav på att behand- lingsåtgärden ska vara oundgänglig (jfr prop. 2017/18:105 s. 194). Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter myndigheten har att utföra. I kravet på nödvändighet ligger även att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anony- misera uppgifterna eller att i stället behandla andra typer av uppgifter.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende.
Paragrafen, som delvis motsvarar 2 kap. 11 § folkbokföringsdatabas- lagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2000/01:33 s. 208). Till skillnad från 2 kap. 11 § lagen om
1438
SOU 2023:100 |
Författningskommentar |
behandling av personuppgifter i Skatteverkets folkbokföringsverksam- het utgår bestämmelsen från syftet med en sökning. Bestämmelsen är inte heller begränsad till sökning i en viss databas och omfattar inte uppgifter om lagöverträdelser. Övervägandena finns i avsnitten 10.9.1 och 10.9.2.
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 9 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Skatteverket inte får utföra sökningar i syfte att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös åskådning eller sexuell läggning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på käns- liga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillå- ten, även om känsliga personuppgifter används vid sökningen. Be- stämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att per- soner kartläggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar som sker i en viss handling eller i ett visst ärende. Undantaget innebär att den enskilde medarbetaren vid Skatteverket kan göra sökningar på t.ex. känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
11 § Det är förbjudet att som sökbegrepp använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registre- rade har samband med inom folkbokföringen om sambandet är grundat på adoption.
Paragrafen, som delvis motsvarar 2 kap. 10 § folkbokföringsdatabas- lagen, reglerar vilka sökbegrepp som är förbjudet att använda inom Skatteverkets folkbokföringsverksamhet (jfr prop. 2000/01:33 s. 208). Övervägandena finns i avsnitt 10.9.3.
Bestämmelsen innebär att det under alla förhållanden är förbjudet att använda uppgifter om vissa relationssamband som är grundat på
1439
Författningskommentar |
SOU 2023:100 |
adoption som sökbegrepp. Paragrafen kompletterar därmed sökför- budet i 10 § och är till skillnad från den senare bestämmelsen ut- formad som ett absolut sökförbud då den inte utgår från syftet med en sökning. Till följd av systematiken i den nya lagen är bestämmel- sen generellt utformad i förhållande till 2 kap. 10 § lagen om behand- ling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Det innebär att den är tillämplig vid varje slags sökning som utförs, dvs. den är inte begränsad till sökning i en viss databas.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 6 § första stycket 2 får föl- jande personuppgifter behandlas:
1.uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2.uppgifter som lämnas till Skatteverket för att fullgöra uppgiftsläm- nande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
Paragrafen, som inte har någon motsvarighet i folkbokföringsdata- baslagen, innehåller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, för- hindra och upptäcka fel. Övervägandena finns i avsnitt 14.9.2.
Första stycket tydliggör att Skatteverket inte får behandla uppgif- ter som det inte finns stöd för att behandla till följd av myndighetens uppdrag. Regleringen möjliggör dock insamling och vidarebehand- ling av personuppgifter för att göra aktuella dataanalyser och urval. Vilka uppgifter som är relevanta att behandla för dataanalyser och urval följer av den materiella verksamhetsregleringen. Skatteverket behöver alltid säkerställa att behandlingen är förenlig med dataskydds- förordningen.
Enligt första punkten får Skatteverket behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av verksam- het enligt 2 §. Med uppgifter som Skatteverket förfogar över avses så- dana uppgifter som myndigheten redan har tillgång till som en följd av sin verksamhet, t.ex. i fråga om handläggning av ärenden. Uppgif- terna kan exempelvis ha samlats in från enskilda som har ett ärende
1440
SOU 2023:100 |
Författningskommentar |
hos myndigheten eller så kan uppgifter ha överlämnats från andra myndigheter.
Med uppgifter som Skatteverket samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Insam- lingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser urval i syfte att förebygga, förhindra och upptäcka fel. Det rör sig med andra ord om uppgifter som myndigheten ännu inte har samlat in och den därför inte heller förfogar över till följd av t.ex. handläggning av ärenden. Det kan exempelvis vara uppgifter som hämtas in från öppna källor hos andra myndigheter vilka i före- kommande fall innehåller personuppgifter.
Enligt andra punkten får Skatteverket behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen om- fattar uppgifter som t.ex. en annan myndighet eller självständig verk- samhetsgren inom Skatteverket lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av Skatteverket, uppgifter som lämnas till Skatteverket med stöd av den s.k. general- klausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) eller uppgifter som i övrigt lämnas till myndigheten med stöd av be- stämmelser i lag eller förordning. Det kan röra sig om både sekretess- belagda uppgifter och uppgifter som är offentliga hos den överläm- nande myndigheten.
I de fall en bestämmelse om uppgiftsskyldighet innebär att upp- gifterna endast får lämnas ut om det behövs i ett ärende hos Skatte- verket kommer uppgifterna inte att kunna hämtas in i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kom- mer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i dataskyddsförordningen kunna behandlas även för att göra dataanalyser och urval.
I andra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 6 § första stycket 2. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
1441
Författningskommentar |
SOU 2023:100 |
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kon- troll i efterhand.
Paragrafen, som delvis motsvarar 2 a kap. 5 § folkbokföringsdatabas- lagen, innehåller krav på dokumentation och är en särskild skydds- åtgärd vid behandling av personuppgifter för att göra dataanalyser och urval (jfr prop. 2022/23:41 s. 61). Övervägandena finns i av- snitt 14.11.3.
Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumen- teras. Det innebär att Skatteverket ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning ska Skatteverket ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förvän- tas leda till för resultat.
I de fall Skatteverket är skyldigt att göra en konsekvensbedöm- ning enligt artikel 35 i dataskyddsförordningen och myndigheten där- för redan har dokumenterat avvägningen mellan det avsedda resul- tatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndig- heten även uppfyllt det aktuella dokumentationskravet.
Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och dataskyddsförordningen.
Enligt andra stycket ska de metoder och sökbegrepp som används för att ta fram urval dokumenteras. Med metoder för att ta fram ur- val menas t.ex. urvalsmodeller som Skatteverket tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel i den verk- samhet som omfattas av lagens tillämpningsområde. Dokumenta- tionen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informations- mängd och hitta de poster eller uppgiftskonstellationer där begreppet förekommer. Sökbegrepp kan också användas för att välja bort infor- mation. Utöver detta kan det handla om sökningar som görs för att
1442
SOU 2023:100 |
Författningskommentar |
sortera fram den information som kommer användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare.
Av tredje stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumen- tationen ska det gå att följa upp att behandlingen endast avser upp- gifter som får behandlas vid dataanalyser och urval samt att uppgif- terna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheterna måste redovisa exakt vilka uppgifter som be- handlas. Det är tillräckligt att det framgår vilka kategorier av uppgif- ter som behandlas och uppgifternas art.
Det är upp till Skatteverket att bedöma i vilken form dokumen- tationen som bestämmelsen ställer krav på ska ske. Det avgörande är att det i efterhand går att kontrollera den gjorda proportionalitets- bedömningen samt vilka metoder och sökbegrepp som har använts för att ta fram urval.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en be- höver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regel- bundet.
I paragrafen, som inte har någon motsvarighet i folkbokföringsdata- baslagen, finns en bestämmelse om den interna tillgången till person- uppgifter i Skatteverkets verksamhet. Övervägandena finns i avsnitt 7.7.
Första stycket innebär att Skatteverket ska begränsa tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behö- ver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i dataskyddsförordningen).
Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid Skatte- verket ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar så- väl tillsvidareanställd personal som t.ex. personer med en tidsbegrän-
1443
Författningskommentar |
SOU 2023:100 |
sad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Enligt andra stycket ska Skatteverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Skatteverket att bestämma de närmare formerna för kontrollen.
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar
av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som inte har någon motsvarighet i folkbokföringsdata- baslagen, reglerar förutsättningarna för elektroniskt utlämnande av personuppgifter. Övervägandena finns i avsnitt 11.7.5.
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst, varmed avses att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61), som annat elektroniskt utlämnande, varmed avses bl.a. utlämnande genom
Bedömningen av om utlämnandet är olämpligt ska ske med beak- tande av eventuella bestämmelser om sekretess, vad syftet med utläm- nandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad och bedömningen bör innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära.
1444
SOU 2023:100 |
Författningskommentar |
Iandra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut person- uppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att person- uppgifter längst får behandlas under viss tid.
Paragrafen, som inte som inte har någon motsvarighet i folkbokför- ingsdatabaslagen, innehåller en huvudregel om längsta tid för be- handling av personuppgifter vid Skatteverket. Övervägandena finns i avsnitten 12.4.3 och 12.4.5.
Bestämmelsen i första stycket innebär en skyldighet för Skatte- verket att upphöra med behandlingen av personuppgifter så snart per- sonuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Skatteverket att kunna moti- vera fortsatt behandling av personuppgifter, t.ex. inför en tillsyns- myndighet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen motsvarar principen om lagringsminimering, artikel 5.1 e i dataskyddsförordningen, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkiv- lagens (1990:782) bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkiv- ändamål av allmänt intresse.
Iandra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som föl- jer av den generella bestämmelsen i första stycket om att person- uppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
1445
Författningskommentar |
SOU 2023:100 |
Begränsning av rätten att göra invändningar
17 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invänd- ningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen, som motsvarar 3 kap. 1 § folkbokföringsdatabaslagen, innebär ett undantag från den rätt för registrerade att göra invänd- ningar mot behandlingen av personuppgifter som regleras i arti- kel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 110). Övervägandena finns i avsnitt 7.8.1.
20.3 Förslaget till tulldatalag
Genom förslaget upphävs lagen (2001:185) om behandling av upp- gifter i Tullverkets verksamhet (tulldatabaslagen), och ersätts av en ny lag om dataskydd i Tullverkets verksamhet som omfattas av tull- databaslagens tillämpningsområde, tulldatalagen.
Innehållet i tulldatalagen motsvarar i vissa delar innehållet i tull- databaslagen. I förhållande till tulldatabaslagen har tulldatalagen i högre grad anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning. Det innebär att nya paragrafer har tillkommit och att andra inte har någon motsvarighet i lagen. Den nya lagen har renodlats så att den enbart omfattar personuppgiftsbehandling, och inte behandling av uppgifter om juridiska personer. I den nya lagen finns inte några be- stämmelser som reglerar Tullverkets personuppgiftsbehandling inom en gemensamt tillgänglig databas, eller bestämmelser om gallring. Den nya lagen innehåller inte heller någon särreglering av uppgiftslämnande genom direktåtkomst.
I övrigt är lagen inte längre kapitelindelad. Med hänsyn till detta har några nya rubriker tillkommit och vissa andra har utgått. I tull- datalagen finns också nya bestämmelser om Tullverkets dataanalyser och urval och den längsta tid som personuppgifter får behandlas.
1446
SOU 2023:100 |
Författningskommentar |
Lagens syfte
1 § Syftet med denna lag är att ge Tullverket möjlighet att behandla per- sonuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen, som inte har någon motsvarighet i tulldatabaslagen, anges det övergripande syftet med lagen. Övervägandena finns i avsnitt 7.2.
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. att dels ge Tullverket möjlighet att inom den verksamhet som omfattas av lagens tillämpningsområde enligt 2 § behandla personuppgifter på ett ända- målsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Tullverkets verk- samhet
1.med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter,
2.med övervakning, revision och annan analys eller kontroll,
3.i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande,
4.med fullgörande av förpliktelser som följer av internationella åtagan- den, och
5.med annan liknande uppgift som Tullverket ska utföra.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitten
Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar nuvarande 1 kap. 1 § första stycket tulldatabaslagen.
I artikel 4.1 och 4.2. i EU:s dataskyddsförordning finns definitio- ner av begreppen personuppgifter och behandling. Av definitionen av begreppet personuppgifter samt skäl 14 och 27 till dataskydds- förordningen följer att behandling av uppgifter som rör avlidna eller juridiska personer inte omfattas av lagens bestämmelser.
Lagen är tillämplig vid behandling av personuppgifter i vissa delar av Tullverkets verksamhet. Lagens materiella tillämpningsområde, dvs. att lagen ska tillämpas vid behandling av personuppgifter i Tull-
1447
Författningskommentar |
SOU 2023:100 |
verkets verksamhet, är inte avsett att skilja sig från det tillämpnings- område som anges i 1 kap. 1 § första stycket tulldatabaslagen.
Enligt punkt 1 ska lagen tillämpas vid behandling av person- uppgifter i Tullverkets verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter. Lagen omfat- tar alltså myndighetens utförande av sådana uppgifter som är ett led i Tullverkets fiskala verksamhet.
Av punkt 2 framgår att lagen ska tillämpas i Tullverkets verksam- het med övervakning, revision och annan analys eller kontroll. Det utgör en stor och mycket nödvändig del av Tullverkets verksamhet och utfallet av sådana åtgärder ligger ofta till grund för bl.a. myndig- hetens bestämmande av tull, skatt och avgifter.
I punkt 3 anges att lagen omfattar Tullverkets verksamhet i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande. Av be- stämmelsen följer att lagen omfattar Tullverkets uppgifter som följer av de särskilda import- eller exportbestämmelser, dvs. restriktioner, som finns för vissa varor och som främst härrör från
Punkt 4 innebär att Tullverkets behandling av personuppgifter vid fullgörande av förpliktelser som följer av internationella åtaganden omfattas av lagen. Med sådan verksamhet avses Tullverkets skyldig- heter enligt bl.a.
Slutligen framgår av punkt 5 att även annan liknande uppgift som Tullverket ska utföra omfattas av lagen. Med annan liknande uppgift åsyftas andra uppgifter som är näraliggande Tullverkets verksamhet enligt övriga punkter. Det kan t.ex. avse myndighetens uppgifter att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer och förebyggande informationsinsatser och service som förklarar hur tullproceduren går till. Punkten omfattar också uppgifter med koppling till Tullverkets verksamhet på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndig- hetsförordningen (2007:515).
Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas av lagen genom 2 §. Däremot omfattar lagens tillämpnings- område inte behandling av personuppgifter vid t.ex. löpande admi-
1448
SOU 2023:100 |
Författningskommentar |
nistration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer.
I paragrafens andra stycke, som i sak delvis motsvarar 1 kap. 1 § första stycket tulldatabaslagen, begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast då behandlingen är helt eller delvis auto- matiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt som den be- stämmelsen. En definition av begreppet register finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen innebär att behandling som inte omfattas av lagens tillämpningsområde t.ex. är minnesanteck- ningar som enbart förs på papper.
3 § Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brotts- datalagens område.
Bestämmelserna i denna lag gäller inte heller vid Tullverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
I paragrafen föreskrivs att lagen inte gäller vid behandling av person- uppgifter som omfattas av lagen (2018:1694) om Tullverkets behand- ling av personuppgifter inom brottsdatalagens område. Vidare före- skrivs ett undantag från lagens tillämpningsområde i fråga om behand- ling av personuppgifter som Tullverket utför i Europeiska unionens gemensamma informationssystem. Övervägandena finns i avsnitten 7.4.4 och 7.4.7.
Första stycket motsvarar i sak 1 kap. 1 § tredje stycket tulldatabas- lagen (jfr prop. 2017/18:269 s. 385). Av bestämmelsen följer att lagen inte gäller vid behandling av personuppgifter som Tullverket utför inom den brottsbekämpande verksamheten.
I paragrafens andra stycke, som inte har någon motsvarighet i tull- databaslagen, utesluts behandling av personuppgifter i Europeiska unionens gemensamma informationssystem från lagens tillämpnings- område. Med EU:s gemensamma informationssystem avses system som används gemensamt av medlemsstaterna inom EU för insam- ling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Med behandling av uppgifter i sådana
1449
Författningskommentar |
SOU 2023:100 |
myndigheten eller andra medlemsstaters myndigheter lämnar eller har lämnat över till informationssystemen och som sedan finns i dessa.
Undantaget avser alltså inte behandling av uppgifter som enbart utförs i Tullverkets egna interna system som inte är förvaltade och utformade av
För behandling av personuppgifter som inte omfattas av lagen kommer i första hand EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförord-
1450
SOU 2023:100 |
Författningskommentar |
ning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen anges lagens förhållande till annan reglering. Överväg- andena finns i avsnitt 7.5.1.
Första stycket, som motsvarar 1 kap. 2 § tulldatabaslagen, upplyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 117).
Andra stycket, som motsvarar 1 kap. 3 § tulldatabaslagen, tydlig- gör lagens förhållande till lagen (2018:218) med kompletterande be- stämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen (jfr prop. 2017/18:95 s. 117).
Personuppgiftsansvar
5 § Tullverket är personuppgiftsansvarig för den behandling av person- uppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak motsvarar 1 kap. 6 § tulldatabaslagen, regleras att Tullverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen (jfr prop. 2000/01:33 s. 221). Övervägandena finns i avsnitt 7.6.1.
En definition av begreppet personuppgiftsansvarig finns i arti- kel 4.7 i dataskyddsförordningen. Att Tullverket är personuppgifts- ansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den per- sonuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna
1451
Författningskommentar |
SOU 2023:100 |
Ändamål
6 § Tullverket får behandla personuppgifter om det är nödvändigt för
1.att utföra verksamhet enligt 2 §, eller
2.att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
I paragrafen anges för vilka primära ändamål Tullverket får behandla personuppgifter enligt lagen. Övervägandena finns i avsnitten 8.4.3 och 14.8.
Av första stycket framgår att en förutsättning för att Tullverket ska få behandla personuppgifter är att det är nödvändigt för att ut- föra viss verksamhet som myndigheten ansvarar för. Kravet på nöd- vändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig.
Enligt första punkten, som delvis motsvarar 1 kap. 4 § tulldatabas- lagen, får Tullverket behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 § (jfr prop. 2000/01:33 s. 220 och 221). Till skillnad från 1 kap. 4 § tulldatabaslagen anges inte några detaljerade ändamål. Ändamålet om- fattar samtliga de ändamål som anges i de nuvarande bestämmelserna om detta i tulldatabaslagen. Som exempel på sådan behandling kan nämnas bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter och övervakning, revision och annan analys- eller kontrollverksamhet. Även behandling som är nödvändig för exempelvis tillsyn, kontroll, uppföljning och planering av verksam- heten och för utveckling av nya digitala arbetssätt såsom testning av befintlig eller ny
Av andra punkten, som inte har någon motsvarighet i tulldatabas- lagen, framgår att Tullverket får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet enligt 2 §. Ändamålet om- fattar alltså Tullverkets dataanalyser och urval i kontrollverksamhet. Arbetet med dataanalyser och urval kan t.ex. avse att analysera av- vikelser, mönster och samband för att identifiera ärenden eller sub- jekt där det finns störst risk för fel och som därför behöver kontrol- leras särskilt. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid Tullverkets dataanalyser och urval. Det
1452
SOU 2023:100 |
Författningskommentar |
innebär att personuppgiftsbehandling i form av t.ex. inhämtning av uppgifter och fortsatt behandling av sådana uppgifter kommer att rymmas i bestämmelsen. Ändamålet omfattar också exempelvis upp- följning, utveckling och testning av analys- och urvalsmodeller.
Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för fel- aktigheter redan innan det finns ett ärende. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som be- ror på avsiktligt fusk eller misstag.
I andra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller för- ordning.
Paragrafen, som motsvarar 1 kap. 5 § 3 tulldatabaslagen, är en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla person- uppgifter för ändamål utöver de som anges i den primära ändamåls- bestämmelsen i 6 § (jfr prop. 2017/18:95 s. 118). Övervägandena finns i avsnitt 8.4.4.
8 § Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Paragrafen, som motsvarar 1 kap. 5 § 4 tulldatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i dataskyddsförordningen (jfr prop. 2017/18:95 s. 118). Övervägandena finns i avsnitt 8.4.5.
Känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
1453
Författningskommentar |
SOU 2023:100 |
Paragrafen, som delvis motsvarar 1 kap. 7 § tulldatabaslagen, reglerar möjligheten till behandling av känsliga personuppgifter (prop. 2017/ 18:95 s. 118 och 119). Till skillnad från 1 kap. 7 § tulldatabaslagen omfattar bestämmelsen inte behandling av uppgifter om lagöverträ- delser. Bestämmelsen är inte heller avgränsad till om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den innehåller inte heller något krav på att tillåtligheten av behand- ling av sådana uppgifter annars särskilt ska anges i lagen. Överväg- andena finns i avsnitt 10.7.
Bestämmelsen innebär ett undantag från förbudet mot behand- ling av känsliga personuppgifter som finns i artikel 9.1 i dataskydds- förordningen. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga person- uppgifter för ett viktigt allmänt intresse, vilken annars gäller där sek- torspecifik reglering saknas (prop. 2017/18:105 s. 91). Bestämmelsen ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförord- ningen.
De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskydds- förordningen definieras uppgifter om hälsa.
Tullverket får enligt bestämmelsen behandla känsliga personuppgif- ter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgär- den ska vara oundgänglig (jfr prop. 2017/18:105 s. 194). Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter myn- digheten har att utföra. I kravet på nödvändighet ligger även att käns- liga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera upp- gifterna eller att i stället behandla andra typer av uppgifter.
1454
SOU 2023:100 |
Författningskommentar |
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sök- ningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Paragrafen, som delvis motsvarar 2 kap. 9 § tulldatabaslagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2000/ 01:33 s. 223 och 224). Till skillnad från 2 kap. 9 § tulldatabaslagen utgår bestämmelsen från syftet med en sökning. Bestämmelsen är inte heller begränsad till sökning i en viss databas och omfattar inte uppgifter om lagöverträdelser. Den innehåller vidare vissa undantag hänförliga till behovet av att kunna göra vissa sökningar som inte har någon motsvarighet i dag. Övervägandena finns i avsnitten 10.9.1 och 10.9.2.
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 9 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Tullverket inte får utföra sökningar i syfte att få fram ett urval av personer grundat på t.ex. biometriska uppgifter för att entydigt iden- tifiera en fysisk person. Sökbegränsningen omfattar alla tekniska åt- gärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgif- ter är den tillåten, även om känsliga personuppgifter används vid sök- ningen. Bestämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/ 23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som inne- bär att personer kartläggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, med-
1455
Författningskommentar |
SOU 2023:100 |
lemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av lagen. Genom detta undantag är det möjligt för Tullverket att ta fram ett urval baserat på uppgifter om t.ex. varor i form av läkemedel, som kan ge viss infor- mation om enskildas hälsa. Uppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförordning. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är att sökningen är nödvändig för att utföra en uppgift i myndighetens verksamhet som omfattas av lagens tillämpningsområde. Begreppet nödvändigt i förevarande paragraf har samma innebörd som enligt bestämmelsen om känsliga personuppgifter, se kommentaren till 9 §.
Förbudet omfattar inte heller sökningar som sker i en viss hand- ling eller i ett visst ärende. Den enskilde medarbetaren vid Tullverket kan alltså göra sökningar på t.ex. känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
Särskilda bestämmelser om dataanalyser och urval
11 § För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas:
1.uppgifter som Tullverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2.uppgifter som lämnas till Tullverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, inne- håller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel. Övervägandena finns i avsnitt 14.9.2.
Första stycket tydliggör att Tullverket inte får behandla uppgifter som det inte finns stöd för att behandla till följd av myndighetens uppdrag. Regleringen möjliggör dock insamling och vidarebehand- ling av personuppgifter för att göra aktuella dataanalyser och urval. Vilka uppgifter som är relevanta att behandla för dataanalyser och urval följer av den materiella verksamhetsregleringen. Tullverket be-
1456
SOU 2023:100 |
Författningskommentar |
höver alltid säkerställa att behandlingen är förenlig med dataskydds- förordningen.
Enligt första punkten får Tullverket behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §. Med uppgifter som Tullverket förfogar över avses sådana uppgifter som myndigheten redan har tillgång till som en följd av sin verksamhet, t.ex. i fråga om handläggning av ärenden. Uppgifterna kan exempelvis ha samlats in från enskilda som har ett ärende hos myndigheten eller så kan uppgifter ha överlämnats från andra myn- digheter.
Med uppgifter som Tullverket samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Insam- lingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser urval i syfte att förebygga, förhindra och upptäcka fel. Det rör sig med andra ord om uppgifter som myndigheten ännu inte har samlat in och den därför inte heller förfogar över till följd av t.ex. handläggning av ärenden. Det kan exempelvis vara uppgifter som hämtas in från öppna källor hos andra myndigheter vilka i före- kommande fall innehåller personuppgifter.
Enligt andra punkten får Tullverket behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen omfat- tar uppgifter som t.ex. en annan myndighet lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av Tullverket, uppgifter som lämnas till Tullverket med stöd av den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) eller uppgifter som i övrigt lämnas till myndigheten med stöd av bestämmelser i lag eller förordning. Det kan röra sig om både sekretessbelagda uppgifter och uppgifter som är offentliga hos den överlämnande myndigheten.
I de fall en bestämmelse om uppgiftsskyldighet innebär att upp- gifterna endast får lämnas ut om det behövs i ett ärende hos Tull- verket kommer uppgifterna inte att kunna hämtas in i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kom- mer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i dataskyddsförordningen kunna behandlas även för att göra dataanalyser och urval.
1457
Författningskommentar |
SOU 2023:100 |
I andra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 6 § första stycket 2. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter.
12 § När personuppgifter behandlas för att göra dataanalyser och urval ska Tullverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, inne- håller krav på dokumentation och är en särskild skyddsåtgärd vid behandling av personuppgifter för att göra dataanalyser och urval. Övervägandena finns i avsnitt 14.11.3.
Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet doku- menteras. Det innebär att Tullverket ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyd- det. I denna bedömning ska Tullverket ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förvän- tas leda till för resultat.
I de fall Tullverket är skyldigt att göra en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen och myndigheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten även uppfyllt det aktuella dokumentationskravet.
Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och dataskyddsförordningen.
Enligt andra stycket ska de metoder och sökbegrepp som används för att ta fram urval dokumenteras. Med metoder för att ta fram ur- val menas t.ex. urvalsmodeller som Tullverket tar fram, utvecklar
1458
SOU 2023:100 |
Författningskommentar |
och tillämpar för att förebygga, förhindra och upptäcka fel i den verk- samhet som omfattas av lagens tillämpningsområde. Dokumenta- tionen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informations- mängd och hitta de poster eller uppgiftskonstellationer där begrep- pet förekommer. Sökbegrepp kan också användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer användas som under- lag för en viss dataanalys, eller sökningar som görs bland urvalsträf- far för att prioritera vilka av dessa som bör kontrolleras närmare.
Av tredje stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumen- tationen ska det gå att följa upp att behandlingen endast avser upp- gifter som får behandlas vid dataanalyser och urval samt att upp- gifterna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheterna måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art.
Det är upp till Tullverket att bedöma i vilken form dokumenta- tionen som bestämmelsen ställer krav på ska ske. Det avgörande är att det i efterhand går att kontrollera den gjorda proportionalitets- bedömningen samt vilka metoder och sökbegrepp som har använts för att ta fram urval.
Tillgång till personuppgifter
13 § Tillgången till personuppgifter ska begränsas till vad var och en be- höver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regel- bundet.
I paragrafen, som inte har någon motsvarighet i tulldatabaslagen, finns en bestämmelse om den interna tillgången till personuppgifter i Tull- verkets verksamhet. Övervägandena finns i avsnitt 7.7.
Första stycket innebär att Tullverket ska begränsa tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säker-
1459
Författningskommentar |
SOU 2023:100 |
ställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbets- uppgifter (jfr artikel 32 i dataskyddsförordningen).
Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid Tull- verket ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar så- väl tillsvidareanställd personal som t.ex. personer med en tidsbegrän- sad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Enligt andra stycket ska Tullverket kontrollera och följa upp åt- komsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Tullverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Tullverket att bestämma de närmare formerna för kontrollen.
Elektroniskt utlämnande av personuppgifter
14 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar
av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, regle- rar förutsättningarna för elektroniskt utlämnande av personuppgif- ter. Övervägandena finns i avsnitt 11.7.5.
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utläm- nande genom direktåtkomst, varmed avses att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61), som annat elektroniskt utlämnande, varmed avses bl.a. utlämnande genom
1460
SOU 2023:100 |
Författningskommentar |
Bedömningen av om utlämnandet är olämpligt ska ske med beak- tande av eventuella bestämmelser om sekretess, vad syftet med utläm- nandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad och bedömningen bör innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära.
Iandra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut person- uppgifter elektroniskt.
Längsta tid för behandling
15 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att person- uppgifter längst får behandlas under viss tid.
Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, inne- håller en huvudregel om längsta tid för behandling av personuppgif- ter vid Tullverket. Övervägandena finns i avsnitten 12.4.3 och 12.4.5.
Bestämmelsen i första stycket innebär en skyldighet för Tullverket att upphöra med behandlingen av personuppgifter så snart person- uppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter för- svinner. Bestämmelsen ställer krav på Tullverket att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndig- het. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av be- handling kvarstår för dessa. Bestämmelsen motsvarar principen om lagringsminimering, artikel 5.1 e i dataskyddsförordningen, och ut- gör inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens (1990:782) bestämmelser. När uppgifter inte längre behövs
1461
Författningskommentar |
SOU 2023:100 |
för ändamål i verksamheten kan de alltså fortsatt behandlas för arkiv- ändamål av allmänt intresse.
Iandra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som följer av den generella bestämmelsen i första stycket om att personuppgif- ter inte får behandlas under längre tid än vad som behövs med hän- syn till ändamålet.
Begränsning av rätten att göra invändningar
16 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invänd- ningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen, som motsvarar 3 kap. 1 § tulldatalagen, innebär ett undan- tag från den rätt för registrerade att göra invändningar mot behand- lingen av personuppgifter som regleras i artikel 21.1 i EU:s data- skyddsförordning (jfr prop. 2017/18:95 s. 119). Övervägandena finns i avsnitt 7.8.1.
20.4 Förslaget till kronofogdedatalag
Genom förslaget upphävs lagen (2001:184) om behandling av upp- gifter i Kronofogdemyndighetens verksamhet (kronofogdedatabas- lagen), och ersätts av en ny lag om dataskydd i Kronofogdemyndig- hetens verksamhet som omfattas av kronofogdedatabaslagens tillämpningsområde, kronofogdedatalagen.
Innehållet i kronofogdedatalagen motsvarar i vissa delar inne- hållet i kronofogdedatabaslagen. I förhållande till kronofogdedata- baslagen har kronofogdedatalagen i högre grad anpassats till Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning. Det innebär att nya para- grafer har tillkommit och att andra inte har någon motsvarighet i
1462
SOU 2023:100 |
Författningskommentar |
lagen. Den nya lagen har renodlats så att den enbart omfattar per- sonuppgiftsbehandling, och som utgångspunkt inte behandling av uppgifter om juridiska personer eller avlidna, med ett undantag avse- ende juridiska personer. I den nya lagen finns inte några bestämmel- ser som reglerar Kronofogdemyndighetens personuppgiftsbehand- ling inom gemensamt tillgängliga databaser, eller bestämmelser om gallring. Den nya lagen innehåller inte heller någon särreglering av uppgiftslämnande genom direktåtkomst.
I övrigt är lagen inte längre kapitelindelad. Med hänsyn till detta har några nya rubriker tillkommit och vissa andra har utgått. I krono- fogdedatalagen finns också nya bestämmelser om Kronofogdemyndig- hetens dataanalyser och urval och den längsta tid som personuppgifter får behandlas.
Lagens syfte
1 § Syftet med denna lag är att ge Kronofogdemyndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda män- niskor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen, som inte har någon motsvarighet i kronofogdedatabas- lagen, anges det övergripande syftet med lagen. Övervägandena finns i avsnitt 7.2.
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. att dels ge Kronofogdemyndigheten möjlighet att inom den verksamhet som omfattas av lagens tillämpningsområde enligt 2 § behandla person- uppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Kronofogde- myndighetens verksamhet med
1.utsökning och indrivning,
2.skuldsanering och
3.betalningsföreläggande och handräckning,
4.europeiskt betalningsföreläggande,
5.ansökan om och tillsyn över näringsförbud,
6.tillsyn i konkurs och över rekonstruktörer,
7.att motverka överskuldsättning,
1463
Författningskommentar |
SOU 2023:100 |
8.analys eller kontroll,
9.fullgörande av förpliktelser som följer av internationella åtaganden,
och
10.annan liknande uppgift som Kronofogdemyndigheten ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad
eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelserna i 18 § första stycket 2 och andra stycket och 19 § gäller
även vid behandling av uppgifter om juridiska personer.
I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitten
Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar nuvarande 1 kap. 1 § första stycket kronofogdedatabaslagen.
I artikel 4.1 och 4.2. i EU:s dataskyddsförordning finns defini- tioner av begreppen personuppgifter och behandling. Av definitionen av begreppet personuppgifter samt skäl 14 och 27 till dataskydds- förordningen följer att behandling av uppgifter som rör avlidna eller juridiska personer som utgångspunkt inte omfattas av lagens bestäm- melser.
Lagen är tillämplig vid behandling av personuppgifter i Krono- fogdemyndighetens verksamhet. Lagens materiella tillämpningsområ- de, dvs. att lagen ska tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet, är inte avsett att skilja sig från det tillämpningsområde som anges i 1 kap. 1 § första stycket krono- fogdedatabaslagen.
Enligt punkt 1 ska lagen tillämpas vid behandling av personuppgif- ter i Kronofogdemyndighetens verksamhet med utsökning och in- drivning. Med utsökning och indrivning avses bl.a. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt ut- sökningsbalken eller annan författning, indrivning av statliga ford- ringar m.m. och avräkning vid återbetalning av skatter och avgifter. Till denna verksamhet kan också hänföras t.ex. myndighetens upp- gift att lämna underrättelser till målsäganden i brottmål, anmäla miss- tanke om brott och att fullgöra sina uppgifter enligt bötesverkstäl- lighetslagen (1979:189) med tillhörande förordning.
Av punkt 2 framgår att lagen ska tillämpas vid behandling av per- sonuppgifter i Kronofogdemyndighetens verksamhet med skuld- sanering och
1464
SOU 2023:100 |
Författningskommentar |
I punkterna 3 och 4 anges att lagen omfattar Kronofogdemyndig- hetens verksamhet med betalningsföreläggande och handräckning och europeiskt betalningsföreläggande. Dessa punkter omfattar t.ex. personuppgiftsbehandling vid handläggning av mål om betalnings- föreläggande, handräckning eller europeiskt betalningsföreläggande, tillhandahållande av utslag i mål om betalningsföreläggande och hand- räckning samt verkställighetsförklaring i mål om europeiskt betal- ningsföreläggande.
Enligt punkt 5 omfattas ansökan om och tillsyn över näringsförbud av lagen. Med detta avses Kronofogdemyndighetens personuppgifts- behandling vid utförandet av sina uppgifter enligt lagen (2014:836) om näringsförbud.
Av punkt 6 framgår att Kronofogdemyndighetens behandling av personuppgifter vid utförandet av sina uppgifter avseende tillsyn i kon- kurs och över rekonstruktörer omfattas av lagen. Med sådan verksam- het avses t.ex. myndighetens handläggning av konkurstillsynsären- den, ärenden om tillsyn över rekonstruktörer enligt lagen (2022:964) om företagsrekonstruktion och mål enligt lönegarantilagen (1992:497).
Vidare omfattas enligt punkt 7 myndighetens verksamhet med att motverka överskuldsättning. Bestämmelsen gör det tydligt att person- uppgiftsbehandling vid sådan verksamhet, vilken kan anses utgöra en kompletterande och integrerad del av myndighetens verksamhet med utsökning och indrivning (verkställighet), betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande (summarisk process), skuldsanering och konkurstillsyn, omfattas av lagen.
Av punkt 8 framgår att myndighetens behandling av personupp- gifter i verksamhet med analys och kontroll omfattas av lagen. Exem- pelvis ingår personuppgiftsbehandling vid sådan analysverksamhet som myndigheten utför i syfte att identifiera nya skuldfällor eller tendenser kring skulder och skuldutveckling och de kontroller myn- digheten vidtar inom ramen för utförandet av sina uppgifter, bl.a. för att säkerställa att beslut fattas på korrekta grunder samt för att före- bygga och motverka ekonomisk brottslighet.
Punkt 9 innebär att Kronofogdemyndighetens behandling av per- sonuppgifter vid fullgörande av förpliktelser som följer av interna- tionella åtaganden omfattas av lagen. Med sådan verksamhet avses t.ex. sådana åtaganden som följer av Sveriges medlemskap i EU och som regleras i lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, men också sådana som
1465
Författningskommentar |
SOU 2023:100 |
följer av exempelvis det nordiska handräckningsavtalet och Europa- råds- och
Slutligen framgår av punkt 10 att även annan liknande uppgift som Kronofogdemyndigheten ska utföra omfattas av lagen. Med annan liknande uppgift åsyftas andra uppgifter som är näraliggande Krono- fogdemyndighetens verksamhet enligt övriga punkter. Det kan t.ex. avse uppgifter såsom att förebygga och motverka ekonomisk brotts- lighet (jfr 4 § första stycket förordningen (2016:1333) med instruk- tion för Kronofogdemyndigheten). Punkten omfattar också uppgif- ter med koppling till Kronofogdemyndighetens verksamhet på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndig- hetsförordningen (2007:515).
Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas av lagen genom 2 §. Däremot omfattar lagens tillämpnings- område inte behandling av personuppgifter vid t.ex. löpande admini- stration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer.
I paragrafens andra stycke, som i sak delvis motsvarar 1 kap. 1 § första stycket kronofogdedatabaslagen, begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast då behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt som den bestämmelsen. En definition av begreppet register finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen innebär att be- handling som inte omfattas av lagens tillämpningsområde t.ex. är minnesanteckningar som enbart förs på papper.
Enligt tredje stycket gäller bestämmelserna i 18 § första stycket 2 och andra stycket samt 19 § även vid behandling av uppgifter om juridiska personer. Dessa bestämmelser avser rättelse m.m. och över- klagande av sådana beslut om rättelse som särskilt gäller i Krono- fogdemyndighetens verksamhet.
3 § Bestämmelserna i denna lag gäller inte vid behandling av person- uppgifter i insolvensregistret över skuldsaneringar och
1466
SOU 2023:100 |
Författningskommentar |
Bestämmelserna i denna lag gäller inte heller vid Kronofogdemyndig- hetens behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
I paragrafen föreskrivs att lagen inte gäller vid behandling av person- uppgifter i insolvensregistret över skuldsaneringar och
Av första stycket följer att lagen inte gäller vid behandling av per- sonuppgifter i insolvensregistret över skuldsaneringar och
I paragrafens andra stycke, som inte har någon motsvarighet i krono- fogdedatabaslagen, utesluts behandling av personuppgifter i Europeiska unionens gemensamma informationssystem från lagens tillämpnings- område. Med EU:s gemensamma informationssystem avses system som används gemensamt av medlemsstaterna inom EU för insam- ling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Med behandling av uppgifter i sådana
Undantaget avser alltså inte behandling av uppgifter som enbart utförs i Kronofogdemyndighetens egna interna system som inte är förvaltade och utformade av
1467
Författningskommentar |
SOU 2023:100 |
dock fortfarande vara så att Kronofogdemyndigheten i sådana fall anses personuppgiftsansvarig för behandlingen även i de
För behandling av personuppgifter som inte omfattas av lagen kommer i första hand EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförord- ning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen anges lagens förhållande till annan reglering. Överväg- andena finns i avsnitt 7.5.1.
Första stycket, som motsvarar 1 kap. 2 § kronofogdedatabaslagen, upplyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 110 och 111).
Andra stycket, som motsvarar 1 kap. 3 § kronofogdedatabaslagen, tydliggör lagens förhållande till lagen (2018:218) med kompletterande
1468
SOU 2023:100 |
Författningskommentar |
bestämmelser till EU:s dataskyddsförordning, kallad dataskydds- lagen (jfr prop. 2017/18:95 s. 111).
5 § De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur gäller i stället för denna lag.
Enligt paragrafen, som motsvarar 1 kap. 3 b § kronofogdedatabas- lagen, gäller de avvikande bestämmelser om behandling av person- uppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöver- skridande skuldindrivning i mål och ärenden av privaträttslig natur i stället för lagen (jfr prop. 2015/16:148 s. 61 och 62). Övervägan- dena finns i avsnitt 7.5.2.
Personuppgiftsansvar
6 § Kronofogdemyndigheten är personuppgiftsansvarig för den behand- ling av personuppgifter som myndigheten utför enligt denna lag och före- skrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak motsvarar 1 kap. 5 § kronofogdedatabaslagen, regleras att Kronofogdemyndigheten är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen (jfr prop. 2000/01:33 s. 213). Övervägandena finns i avsnitt 7.6.1.
En definition av begreppet personuppgiftsansvarig finns i arti- kel 4.7 i dataskyddsförordningen. Att Kronofogdemyndigheten är personuppgiftsansvarig innebär att myndigheten har en rad skyldig- heter som måste uppfyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av person- uppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (arti- kel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna
1469
Författningskommentar |
SOU 2023:100 |
säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24).
Ändamål
7 § Kronofogdemyndigheten får behandla personuppgifter om det är nöd- vändigt för
1.att utföra verksamhet enligt 2 §, eller
2.att göra dataanalyser och urval i syfte att
a)förebygga, förhindra och upptäcka fel i den verksamheten, och
b)motverka överskuldsättning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
I paragrafen anges för vilka primära ändamål Kronofogdemyndig- heten får behandla personuppgifter enligt lagen. Övervägandena finns i avsnitten 8.4.3 och 14.8.
Av första stycket framgår att en förutsättning för att Kronofogde- myndigheten ska få behandla personuppgifter är att det är nödvän- digt för att utföra viss verksamhet som myndigheten ansvarar för. Kravet på nödvändighet innebär inte ett krav på att behandlings- åtgärden ska vara oundgänglig.
Enligt första punkten, som delvis motsvarar 2 kap. 2, 8, 14 och
20 §§ kronofogdedatabaslagen, får Kronofogdemyndigheten behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 § (jfr bl.a. prop. 2000/01:33 s.
1470
SOU 2023:100 |
Författningskommentar |
kontroll, uppföljning och planering av verksamheten och för utveck- ling av nya digitala arbetssätt såsom testning av befintlig eller ny it- struktur omfattas av ändamålet.
Av andra punkten, som inte har någon motsvarighet i krono- fogdedatabaslagen, framgår att Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet enligt 2 § och i syfte att motverka överskuldsättning. Ändamålet om- fattar alltså Kronofogdemyndighetens dataanalyser och urval. Arbe- tet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns störst risk för fel och som därför behöver kontrolleras särskilt. Det kan också göras för att identifiera var i samhället det finns störst risk för att enskilda hamnar i överskuldsättning, vilket kan behöva bemötas med t.ex. särskilda informationsinsatser. Ändamålet om- fattar all den personuppgiftsbehandling som kan vara nödvändig vid Kronofogdemyndighetens dataanalyser och urval. Det innebär att per- sonuppgiftsbehandling i form av t.ex. inhämtning av uppgifter och fortsatt behandling av sådana uppgifter kommer att rymmas i bestäm- melsen. Ändamålet omfattar också exempelvis uppföljning, utveck- ling och testning av analys- och urvalsmodeller.
Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för felaktigheter redan innan det finns ett ärende. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som be- ror på avsiktligt fusk eller misstag.
I andra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen.
8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller för- ordning.
Paragrafen, som motsvarar 2 kap. 3 § 3, 9 § 3, 15 § 2 och 20 a § 2 kronofogdedatabaslagen, är en s.k. sekundär ändamålsbestämmelse
1471
Författningskommentar |
SOU 2023:100 |
om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 7 § (jfr prop. 2017/ 18:95 s.
9 § Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Paragrafen, som motsvarar 2 kap. 3 § 4, 9 § 4, 15 § 3 och 20 a § 3 kronofogdedatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i dataskyddsförordningen (jfr prop. 2017/18:95 s.
Känsliga personuppgifter
10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen, som delvis motsvarar 1 kap. 6 § kronofogdedatabaslagen, reglerar möjligheten till behandling av känsliga personuppgifter (prop. 2017/18:95 s. 111). Till skillnad från 1 kap. 6 § kronofogde- databaslagen omfattar bestämmelsen inte behandling av uppgifter om lagöverträdelser. Bestämmelsen är inte heller avgränsad till om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det. Den innehåller inte heller något krav på att tillåt- ligheten av behandling av sådana uppgifter annars särskilt ska anges i lagen. Övervägandena finns i avsnitt 10.7.
Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i dataskyddsförord- ningen. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga personuppgifter för ett viktigt allmänt intresse, vilken annars gäller där sektorspecifik reglering saknas (prop. 2017/18:105 s. 91). Bestämmelsen ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförordningen.
De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp-
1472
SOU 2023:100 |
Författningskommentar |
gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskydds- förordningen definieras uppgifter om hälsa.
Kronofogdemyndigheten får enligt bestämmelsen behandla käns- liga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig (jfr prop. 2017/18:105
s.194). Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter myndigheten har att utföra. I kravet på nödvändighet ligger även att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter.
Sökbegränsningar
11 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Paragrafen, som delvis motsvarar 2 kap. 29 § första stycket krono- fogdedatabaslagen, reglerar sökbegränsningar avseende känsliga per- sonuppgifter (jfr prop. 2000/01:33 s. 219). Till skillnad från 2 kap. 29 § första stycket kronofogdedatabaslagen utgår bestämmelsen från syftet med en sökning. Bestämmelsen är inte heller begränsad till sökning i en viss databas och omfattar inte uppgifter om lagöverträ- delser. Den innehåller vidare vissa undantag hänförliga till behovet av att kunna göra vissa sökningar som inte har någon motsvarighet i dag. Övervägandena finns i avsnitten 10.9.1 och 10.9.2.
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 10 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Kronofogdemyndigheten inte får utföra sökningar i syfte att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös
1473
Författningskommentar |
SOU 2023:100 |
åskådning eller sexuell läggning. Sökbegränsningen omfattar alla tek- niska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av perso- ner grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga person- uppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/ 23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som inne- bär att personer kartläggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av lagen. Genom detta undantag är det möjligt för Kronofogdemyndigheten att ta fram ett urval baserat på uppgifter om t.ex. sjukförsäkringsförmåner eller sjukdom som framkommer i läkarintyg vilket har åberopats som grund för betalningssvårigheter. Uppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförord- ning. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är att sökningen är nödvändig för att ut- föra en uppgift i myndighetens verksamhet som omfattas av lagens tillämpningsområde. Begreppet nödvändigt i förevarande paragraf har samma innebörd som enligt bestämmelsen om känsliga personuppgif- ter, se kommentaren till 10 §.
Förbudet omfattar inte heller sökningar som sker i en viss hand- ling eller i ett visst ärende. Den enskilde medarbetaren vid Krono- fogdemyndigheten kan alltså göra sökningar på t.ex. känsliga person- uppgifter i en viss handling eller i ett visst enskilt ärende.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas:
1.uppgifter som Kronofogdemyndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2.uppgifter som lämnas till Kronofogdemyndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
1474
SOU 2023:100 |
Författningskommentar |
Paragrafen, som inte har någon motsvarighet i kronofogdedatabas- lagen, innehåller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, för- hindra och upptäcka fel och för att motverka överskuldsättning. Övervägandena finns i avsnitt 14.9.2.
Första stycket tydliggör att Kronofogdemyndigheten inte får be- handla uppgifter som det inte finns stöd för att behandla till följd av myndighetens uppdrag. Regleringen möjliggör dock insamling och vidarebehandling av personuppgifter för att göra aktuella dataanaly- ser och urval. Vilka uppgifter som är relevanta att behandla för data- analyser och urval följer av den materiella verksamhetsregleringen. Kronofogdemyndigheten behöver alltid säkerställa att behandlingen är förenlig med dataskyddsförordningen.
Enligt första punkten får Kronofogdemyndigheten behandla person- uppgifter som myndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §. Med uppgifter som Kronofogdemyndigheten förfogar över avses sådana uppgifter som myndigheten redan har tillgång till som en följd av sin verksamhet, t.ex. i fråga om hand- läggning av ärenden. Uppgifterna kan exempelvis ha samlats in från enskilda som har ett ärende hos myndigheten eller så kan uppgifter ha överlämnats från andra myndigheter.
Med uppgifter som Kronofogdemyndigheten samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina upp- gifter. Insamlingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser urval i syfte att förebygga, förhindra och upptäcka fel eller motverka överskuldsättning. Det rör sig med andra ord om uppgifter som myndigheten ännu inte har samlat in och den därför inte heller förfogar över till följd av t.ex. handlägg- ning av ärenden. Det kan exempelvis vara uppgifter som hämtas in från öppna källor hos andra myndigheter vilka i förekommande fall innehåller personuppgifter.
Enligt andra punkten får Kronofogdemyndigheten behandla per- sonuppgifter som lämnas till myndigheten för att fullgöra uppgifts- lämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen omfattar uppgifter som t.ex. en annan myndighet lämnar i enlighet med en i lag eller förordning föreskriven uppgifts- skyldighet på begäran av Kronofogdemyndigheten, uppgifter som lämnas till Kronofogdemyndigheten med stöd av den s.k. general-
1475
Författningskommentar |
SOU 2023:100 |
klausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) eller uppgifter som i övrigt lämnas till myndigheten med stöd av bestämmelser i lag eller förordning. Det kan röra sig om både sekre- tessbelagda uppgifter och uppgifter som är offentliga hos den över- lämnande myndigheten.
I de fall en bestämmelse om uppgiftsskyldighet innebär att upp- gifterna endast får lämnas ut om det behövs i ett ärende hos Krono- fogdemyndigheten kommer uppgifterna inte att kunna hämtas in i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kommer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i dataskyddsförordningen kunna behandlas även för att göra dataanalyser och urval.
I andra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 7 § första stycket 2. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kon- troll i efterhand.
Paragrafen, som inte har någon motsvarighet i kronofogdedatabas- lagen, innehåller krav på dokumentation och är en särskild skydds- åtgärd vid behandling av personuppgifter för att göra dataanalyser och urval. Övervägandena finns i avsnitt 14.11.3.
Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumen- teras. Det innebär att Kronofogdemyndigheten ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för person- uppgiftsskyddet. I denna bedömning ska Kronofogdemyndigheten ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfatt- ning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad data- analyserna och urvalen förväntas leda till för resultat.
1476
SOU 2023:100 |
Författningskommentar |
I de fall Kronofogdemyndigheten är skyldig att göra en konse- kvensbedömning enligt artikel 35 i dataskyddsförordningen och myn- digheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten även uppfyllt det aktuella dokumentationskravet.
Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och dataskyddsförordningen.
Enligt andra stycket ska de metoder och sökbegrepp som används för att ta fram urval dokumenteras. Med metoder för att ta fram ur- val menas t.ex. urvalsmodeller som Kronofogdemyndigheten tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel eller motverka överskuldsättning i den verksamhet som omfattas av lagens tillämpningsområde. Dokumentationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har an- vänts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informationsmängd och hitta de poster eller uppgiftskonstellationer där begreppet förekommer. Sök- begrepp kan också användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer användas som underlag för en viss data- analys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare.
Av tredje stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumen- tationen ska det gå att följa upp att behandlingen endast avser upp- gifter som får behandlas vid dataanalyser och urval samt att uppgif- terna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheterna måste redovisa exakt vilka uppgifter som be- handlas. Det är tillräckligt att det framgår vilka kategorier av upp- gifter som behandlas och uppgifternas art.
Det är upp till Kronofogdemyndigheten att bedöma i vilken form dokumentationen som bestämmelsen ställer krav på ska ske. Det avgörande är att det i efterhand går att kontrollera den gjorda pro- portionalitetsbedömningen samt vilka metoder och sökbegrepp som har använts för att ta fram urval.
1477
Författningskommentar |
SOU 2023:100 |
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en be- höver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regel- bundet.
I paragrafen, som delvis motsvarar 2 kap. 26 § kronofogdedatabas- lagen, finns en bestämmelse om den interna tillgången till person- uppgifter i Kronofogdemyndighetens verksamhet (jfr prop. 2010/11:78 s. 35). Övervägandena finns i avsnitt 7.7.
Första stycket innebär att Kronofogdemyndigheten ska begränsa tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i dataskyddsförordningen).
Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid Krono- fogdemyndigheten ska alltså inte ges obegränsad tillgång till alla per- sonuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Det ska finnas ett reellt behov eller be- hovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Enligt andra stycket ska Kronofogdemyndigheten kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Kronofogdemyndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kon- troll kan till exempel ske genom uppföljning av loggar. Det är dock upp till Kronofogdemyndigheten att bestämma de närmare formerna för kontrollen.
1478
SOU 2023:100 |
Författningskommentar |
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar
av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som inte har någon motsvarighet i kronofogdedatabas- lagen, reglerar förutsättningarna för elektroniskt utlämnande av per- sonuppgifter. Övervägandena finns i avsnitt 11.7.5.
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst, varmed avses att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61), som annat elektroniskt utlämnande, varmed avses bl.a. utlämnande genom
Bedömningen av om utlämnandet är olämpligt ska ske med beak- tande av eventuella bestämmelser om sekretess, vad syftet med ut- lämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utläm- nande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad och bedöm- ningen bör innefatta en noggrann prövning av vilka särskilda integ- ritetsrisker ett sådant elektroniskt utlämnande kan innebära.
Iandra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut person- uppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att person- uppgifter längst får behandlas under viss tid.
Paragrafen, som inte som inte har någon motsvarighet i kronofogde- databaslagen, innehåller en huvudregel om längsta tid för behandling
1479
Författningskommentar |
SOU 2023:100 |
av personuppgifter vid Kronofogdemyndigheten. Övervägandena finns i avsnitten 12.4.3 och 12.4.5.
Bestämmelsen i första stycket innebär en skyldighet för Krono- fogdemyndigheten att upphöra med behandlingen av personuppgif- ter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifier- ingsmöjligheter försvinner. Bestämmelsen ställer krav på Kronofogde- myndigheten att kunna motivera fortsatt behandling av person- uppgifter, t.ex. inför en tillsynsmyndighet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Be- stämmelsen motsvarar principen om lagringsminimering, artikel 5.1 e i dataskyddsförordningen, och utgör inte något hinder mot att upp- gifter och handlingar bevaras enligt arkivlagens (1990:782) bestäm- melser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål av allmänt intresse.
Iandra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som följer av den generella bestämmelsen i första stycket om att personuppgif- ter inte får behandlas under längre tid än vad som behövs med hän- syn till ändamålet.
Begränsning av rätten att göra invändningar
17 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invänd- ningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen, som motsvarar 3 kap. 3 § kronofogdedatabaslagen, inne- bär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 115 och 116). Övervägandena finns i avsnitt 7.8.1.
1480
SOU 2023:100 |
Författningskommentar |
Rättelse av uppgifter och överklagande
18 § På begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som
1.inte har behandlats i enlighet med denna lag eller anslutande författ- ningar, eller
2.vid tidpunkten för registreringen är missvisande i fråga om den en- skildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.
Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndig- heten underrätta denne om åtgärd enligt första stycket, om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats.
Paragrafen, som delvis motsvarar 3 kap. 3 a § kronofogdedatabas- lagen, reglerar enskildas rätt till rättelse m.m. av uppgifter som be- handlas i Kronofogdemyndighetens verksamhet (jfr prop. 2017/18:95 s. 116). Övervägandena finns i avsnitt 7.8.3.
Till skillnad från 3 kap. 3 a § kronofogdedatabaslagen är bestäm- melsen inte tillämplig vid behandling av uppgifter om avlidna personer. Vidare är bestämmelsen endast tillämplig på uppgifter om juridiska personer gällande uppgifter som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser, vilket följer av 2 § tredje stycket. Be- greppet ”den registrerade” i 3 kap. 3 a § kronofogdedatabaslagen har ersatts med begreppet ”enskild”. Med begreppet enskild avses i tillämp- liga fall både fysiska och juridiska personer. Vidare framgår nu ut- tryckligen av lagen att prövningen enligt 18 § första stycket andra punkten ska göras med utgångspunkt från förhållandena vid tid- punkten för registreringen (jfr prop. 2007/08:116 s. 29).
19 § Beslut om rättelse enligt 18 § första stycket får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Paragrafen, som delvis motsvarar 3 kap. 4 § kronofogdedatabaslagen, innehåller bestämmelser om överklagande (jfr prop. 2017/18:95 s. 116). Övervägandena finns i avsnitt 7.8.3.
Enligt första stycket får beslut om rättelse som Kronofogde- myndigheten har fattat enligt 18 § första stycket överklagas till all- män förvaltningsdomstol. Bestämmelsen omfattar beslut om rättelse enligt både punkt 1 och 2 i den särskilda bestämmelsen om rättelse
1481
Författningskommentar |
SOU 2023:100 |
m.m.Av 2 § tredje stycket framgår att bestämmelsen även gäller vid behandling av uppgifter om juridiska personer.
Enligt andra stycket krävs prövningstillstånd vid överklagande till kammarrätten.
Ikraftträdande- och övergångsbestämmelser
1 Denna lag träder i kraft den 1 januari 2026.
2.Genom lagen upphävs lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
3.Den upphävda lagen gäller dock fortfarande för en begäran om rättelse som har kommit in före den ikraftträdandet.
Enligt punkten 1 träder lagen i kraft den 1 januari 2026. Punkten behandlas i kapitel 18.
Enligt punkten 2 upphävs den nu gällande kronofogdedatabas- lagen genom kronofogdedatalagen (0000:00). Övervägandena finns i avsnitt 6.2.
Enligt tredje punkten gäller den upphävda kronofogdedatabaslagen fortfarande för en begäran om rättelse som har kommit in till myn- digheten före ikraftträdandet av lagen, dvs. den 1 januari 2026. Det innebär att sådana ärenden om rättelse m.m. ska handläggas enligt den lagen till dess att de har vunnit laga kraft. De särskilda bestäm- melserna om rättelse och överklagande av sådana beslut enligt krono- fogdedatabaslagen finns i den lagens 3 kap. 3 a och 4 §§.
Övervägandena finns i kapitel 18.
20.5Förslaget till lag om det statliga personadressregistret
Genom lagen upphävs lagen (1998:527) om det statliga person- adressregistret,
1482
SOU 2023:100 |
Författningskommentar |
Inledande bestämmelser
1 § För de kontroll- och urvalsändamål som anges i 5 § ska det föras ett statligt personadressregister (SPAR). Registret får användas för elektroniskt utlämnande av uppgifter.
I paragrafen, som i sak motsvarar 1 §
2 § Syftet med denna lag är att ge den myndighet som regeringen utser att ansvara för SPAR möjlighet att behandla personuppgifter på ett ända- målsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Paragrafen, som inte har någon motsvarighet i
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. att dels ge ansvarig myndighet möjlighet att inom
Förhållandet till annan reglering
3 § Denna lag innehåller bestämmelser som kompletterar Europaparlamen- tets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförord- ning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Iparagrafen, som motsvarar 2 §
Första stycket upplyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/ 18:95 s. 104).
1483
Författningskommentar |
SOU 2023:100 |
Andra stycket, tydliggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen (jfr prop. 2017/18:95 s. 104 och 105).
Personuppgiftsansvar
4 § Den myndighet som regeringen utser att ansvara för SPAR är per- sonuppgiftsansvarig för den behandling av personuppgifter som myndig- heten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som delvis motsvarar 2 § förordningen (1998:1234) om det statliga personadressregistret
En definition av begreppet personuppgiftsansvarig finns i arti- kel 4.7 i dataskyddsförordningen. Att den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regler- ingen i dataskyddsförordningen. Exempelvis ska den personuppgifts- ansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförord- ningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna
Ändamål
5 § Uppgifterna i SPAR får behandlas för att
1.aktualisera, komplettera och kontrollera personuppgifter (kontroll- ändamål), och
2.ta ut uppgifter om namn och adress genom urvalsdragning för direkt- reklam, opinionsbildning eller samhällsinformation eller annan därmed jäm- förlig verksamhet (urvalsändamål).
1484
SOU 2023:100 |
Författningskommentar |
I paragrafen, som i sak motsvarar 3 §
Övervägandena finns i avsnitt 16.4.4.
Med kontrolländamål avses enligt första punkten att aktualisera, komplettera och kontrollera personuppgifter.
Med urvalsändamål avses enligt andra punkten att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinions- bildning eller samhällsinformation eller annan därmed jämförlig verksamhet.
Registerinnehåll
6 § SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Följande uppgifter får anges:
1.namn,
2.person- eller samordningsnummer,
3.födelsetid,
4.adress,
5.folkbokföringsort och distrikt,
6.födelsehemort,
7.svenskt medborgarskap,
8.make eller vårdnadshavare,
9.avregistrering enligt
10.summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor,
11.ägare av småhusenhet eller lantbruksenhet med småhus på tomt- mark samt uppgift om kommun (belägenhet),
12.taxeringsvärde för småhusenhet,
13.tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer,
14.tidpunkt för vilandeförklaring av ett samordningsnummer enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen,
15.tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och
16.om den enskildes identitet vid tilldelning eller förnyelse av samord- ningsnummer har styrkts eller gjorts sannolik.
1485
Författningskommentar |
SOU 2023:100 |
På begäran av en registrerad ska det i SPAR också anges att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2.
Paragrafen reglerar vilka uppgifter som får behandlas i SPAR Änd- ringarna är endast språkliga och redaktionella. Övervägandena finns i avsnitt 16.4.3.
I första stycket som motsvarar 4 § första stycket
Av andra stycket, som motsvarar 4 § andra stycket
7 § Uppgifter som avses i 6 § första stycket
Paragrafen, som i sak motsvarar 5 §
Utlämnande av uppgifter
8 § En enskild som begär att en myndighet ska lämna ut personuppgifter för kontrolländamål eller urvalsändamål ska hänvisas till SPAR, om inte annat följer av lag eller förordning.
Paragrafen, som i sak motsvarar 6 §
1486
SOU 2023:100 |
Författningskommentar |
ter för kontrolländamål eller urvalsändamål, om inte annat följer av lag eller förordning, (jfr prop. 1997/98:136 s. 77). Ändringarna är en- dast språkliga och redaktionella. Övervägandena finns i avsnitt 16.4.3.
9 § Regeringen får meddela föreskrifter om begränsningar av utlämnande av uppgifter från SPAR.
Paragrafen, som delvis motsvarar 7 § andra stycket
Sökbegrepp
10 § Regeringen får meddela föreskrifter om begränsningar av de sök- begrepp som får användas vid sökning i SPAR.
Paragrafen, som motsvarar 8 §
Begränsning av rätten att göra invändningar
11 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra in- vändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning.
I paragrafen finns bestämmelser som rätten att göra invändningar. Övervägandena finns i avsnitt 16.4.3.
Första stycket, som motsvarar 3 a § första stycket
1487
Författningskommentar |
SOU 2023:100 |
I andra stycket, som motsvarar 3 a § andra stycket
Längsta tid för behandling
12 § Uppgifter får inte behandlas i SPAR under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att person- uppgifter längst får behandlas under viss tid.
Paragrafen, som inte som inte har någon motsvarighet i
Bestämmelsen i första stycket innebär en skyldighet för den myn- dighet som regeringen utser att ansvara för SPAR att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestäm- melsen ställer krav på den personuppgiftsansvariga myndigheten att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Om uppgiften behandlas för flera olika ända- mål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen motsvarar principen om lagringsminimering, artikel 5.1 e i dataskyddsförord- ningen, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens (1990:782) bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål av allmänt intresse.
Iandra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som föl- jer av den generella bestämmelsen i första stycket om att person-
1488
SOU 2023:100 |
Författningskommentar |
uppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
Anmälan om misstänkt oriktig uppgift
13 § Vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR.
Paragrafen, som delvis motsvarar 14 §
Bestämmelsen innebär att det föreligger en generell anmälnings- skyldighet, för samtliga som nyttjar SPAR:s tjänster och avseende alla uppgifter som är hämtade från SPAR, att vid misstanke om att en uppgift är oriktig genast anmäla det till den myndighet som ansvarar för SPAR. Anmälningsskyldigheten inträder genast, dvs. så snart det uppstår misstanke om att en uppgift som är hämtad från SPAR är orik- tig. Tröskeln för att skyldigheten att göra en anmälan är dessutom låg, det räcker att det finns en misstanke. Anmälningsskyldigheten innebär dock inte någon skyldighet att genomföra någon ytterligare ut- redning eller redovisa de förhållanden som misstanken grundar sig på.
20.6Förslaget till lag om dataskydd
i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Genom lagen upphävs lagen (2015:898) om behandling av person- uppgifter i Skatteverkets äktenskapsregister- och boupptecknings- verksamheter,
1489
Författningskommentar |
SOU 2023:100 |
innebär dock att redaktionella och strukturella ändringar görs i för- hållande till dagens reglering.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Paragrafen, som i sak motsvarar 1 §
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Paragrafen, som i sak motsvarar 2 § första och andra styckena ÄrBu- lagen, anger lagens tillämpningsområde (jfr prop. 2015/16:28 s. 69 och 70). Till skillnad från
Förhållandet till annan reglering
3 § Denna lag innehåller bestämmelser som kompletterar Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförord- ning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1490
SOU 2023:100 |
Författningskommentar |
I paragrafen, som motsvarar 4 §
Första stycket upplyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/ 18:95 s. 120).
Andra stycket, tydliggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen (jfr prop. 2017/18:95 s. 120).
Personuppgiftsansvar
4 § Skatteverket är personuppgiftsansvarig för den behandling av person- uppgifter som Skatteverket utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak motsvarar 5 §
En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i dataskyddsförordningen. Att Skatteverket är personuppgiftsansvarig innebär att myndigheten har en rad skyldigheter som måste upp- fyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grund- läggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den personuppgifts- ansvarige ska också t.ex. tillhandahålla information om person- uppgiftsbehandlingen (artiklarna
1491
Författningskommentar |
SOU 2023:100 |
Ändamål
5 § Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §.
I paragrafen, som motsvarar 6 § första stycket
6 § Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller för- ordning.
Paragrafen, som motsvarar 6 § andra stycket första meningen ÄrBu- lagen är en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den pri- mära ändamålsbestämmelsen i 5 § (jfr prop. 2015/16:28 s.71). Över- vägandena finns i avsnitt 17.4.4.
7 § Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Paragrafen, som motsvarar 6 § andra stycket andra meningen ÄrBu- lagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i dataskyddsförordningen (jfr prop. 2017/18:95 s. 120). Övervägan- dena finns i avsnitt 17.4.4.
Känsliga personuppgifter
8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen, som delvis motsvarar 7 §
1492
SOU 2023:100 |
Författningskommentar |
Bestämmelsen innebär ett undantag från förbudet mot behand- ling av känsliga personuppgifter som finns i artikel 9.1 i dataskydds- förordningen. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga person- uppgifter för ett viktigt allmänt intresse, vilken annars gäller där sek- torspecifik reglering saknas (prop. 2017/18:105 s. 91). Bestämmelsen ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförord- ningen.
De kategorier av personuppgifter som får behandlas med stöd av den nya bestämmelsen är de som avses i artikel 9.1 i dataskyddsförord- ningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlem- skap i fackförening och behandling av genetiska uppgifter, biomet- riska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskyddsförordningen definieras uppgifter om hälsa.
Skatteverket får enligt bestämmelsen behandla känsliga person- uppgifter om det är nödvändigt med hänsyn till ändamålet med be- handlingen. Begreppet nödvändigt innebär inte ett krav på att be- handlingsåtgärden ska vara oundgänglig (jfr prop. 2017/18:105 s. 194). Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter Skatteverket har att utföra inom
Sökbegränsningar
9 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende.
1493
Författningskommentar |
SOU 2023:100 |
Paragrafen, som delvis motsvarar 8 §
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Skatteverket inte får utföra sökningar i syfte att få fram ett urval av personer som t.ex. har en viss etnisk bakgrund. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på käns- liga personuppgifter är den tillåten, även om känsliga personuppgif- ter används vid sökningen. Bestämmelsen hindrar därmed inte sök- ningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar som sker i en viss handling eller i ett visst ärende. Den enskilde med- arbetaren vid Skatteverkets äktenskapsregister- och boupptecknings- verksamheter kan alltså göra sökningar på känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
Tillgång till personuppgifter
10 § Tillgången till personuppgifter ska begränsas till vad var och en be- höver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regel- bundet.
Iparagrafen, som inte har någon motsvarighet i
Första stycket innebär att Skatteverket ska begränsa tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra
1494
SOU 2023:100 |
Författningskommentar |
sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säker- ställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbets- uppgifter (jfr artikel 32 i dataskyddsförordningen). Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd inom Skatteverkets äkten- skapsregister- och bouppteckningsverksamheter ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas inom verksamheterna. Uttrycket var och en inkluderar såväl tillsvidare- anställd personal som t.ex. personer med en tidsbegränsad anställ- ning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Enligt andra stycket ska Skatteverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Skatteverket att bestämma de närmare formerna för kontrollen.
Elektroniskt utlämnande av personuppgifter
11 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar
av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som delvis motsvarar 9 §
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utläm- nande genom direktåtkomst, varmed avses att en mottagare har
1495
Författningskommentar |
SOU 2023:100 |
direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61), som annat elektroniskt utlämnande, varmed avses bl.a. utlämnande ge- nom
Bedömningen av om utlämnandet är olämpligt ska ske med be- aktande av eventuella bestämmelser om sekretess, vad syftet med ut- lämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utläm- nande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad och bedöm- ningen bör innefatta en noggrann prövning av vilka särskilda integ- ritetsrisker ett sådant elektroniskt utlämnande kan innebära.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela före- skrifter om begränsningar av möjligheterna att lämna ut person- uppgifter elektroniskt.
Längsta tid för behandling
12 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att person- uppgifter längst får behandlas under viss tid.
Paragrafen, som inte som inte har någon motsvarighet i
Bestämmelsen i första stycket innebär en skyldighet för Skatte- verket att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Skatteverket att kunna moti- vera fortsatt behandling av personuppgifter, t.ex. inför en tillsyns- myndighet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen motsvarar principen om
1496
SOU 2023:100 |
Författningskommentar |
lagringsminimering, artikel 5.1 e i dataskyddsförordningen, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens (1990:782) bestämmelser. När uppgifter inte längre be- hövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål av allmänt intresse.
Iandra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som följer av den generella bestämmelsen i första stycket om att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
Begränsning av rätten att göra invändningar
13 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invänd- ningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som meddelats i anslutning till lagen.
Paragrafen, som motsvarar 10 §
20.7Förslaget till lag om ändring i kreditupplysningslagen (1973:1173)
8 § En uppgift om en fysisk person ska gallras när det inte längre är nöd- vändigt att bevara uppgiften med hänsyn till ändamålet med behandlingen.
En uppgift om en fysisk person som inte är näringsidkare ska, om upp- giften inte gäller skuldsanering eller
En uppgift om skuldsanering ska gallras senast fem år efter den dag då inledandebeslutet meddelades eller, om uppgiften gäller
1497
Författningskommentar |
SOU 2023:100 |
En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Krono- fogdemyndigheten ska också gallras när den har blockerats av Kronofogde- myndigheten med stöd av 18 § kronofogdedatalagen (0000:00).
Bestämmelsen reglerar gallring av uppgifter i kreditupplysnings- verksamhet. Övervägandena finns i avsnitt 6.3.
Ändringen av fjärde stycket föranleds av förslaget om att lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska upphävas och ersättas av kronofogdedatalagen (0000:00). Någon ändring i sak är inte avsedd.
Ikraftträdande- och övergångsbestämmelser
1.Denna lag träder i kraft den 1 januari 2026.
2.Äldre bestämmelser gäller fortfarande för uppgifter som har block- erats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Enligt punkten 1 träder lagen i kraft den 1 januari 2026.
Enligt punkten 2 gäller äldre bestämmelser i fråga om uppgifter som har blockerats av Kronofogdemyndigheten med stöd av den nu- varande 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet efter ikraftträdandet den 1 janu- ari 2026. Det innebär att sådana uppgifter ska gallras enligt den tidi- gare lydelsen av 8 § fjärde stycket kreditupplysningslagen.
Övervägandena finns i kapitel 18.
20.8Förslaget till lag om ändring i folkbokföringslagen (1991:481)
1 §
Folkbokföring enligt denna lag innebär fastställande av en persons bo- sättning samt registrering av de uppgifter om personen som får registreras enligt 1 a §.
Vigsel, födelse och dödsfall i landet ska registreras även i fråga om en person som inte är eller har varit folkbokförd.
1498
SOU 2023:100 |
Författningskommentar |
Skatteverket ansvarar för folkbokföring och sådan registrering som avses i andra stycket.
Bestämmelser om samordningsnummer för den som inte är eller har varit folkbokförd finns i lagen (2022:1697) om samordningsnummer.
Paragrafens första stycke innehåller en definition av begreppet folk- bokföring. Folkbokföring innebär fastställande av en persons bosätt- ning och registrering av de uppgifter om personen som får registre- ras om honom eller henne enligt 1 a §. Ändringen utgör en följd av att lagen (2001:182) om behandling av personuppgifter i Skatte- verkets folkbokföringsverksamhet upphävs, och att de uppgifter som får registreras om en person vid folkbokföring i stället anges i folk- bokföringslagen.
Ändringen i tredje stycket avser att tydliggöra att Skatteverket ansvarar för den registrering som ska ske enligt lagen.
Övervägandena finns i avsnitten 9.4.5 och 9.4.6.
1 a §
Skatteverket får registrera följande uppgifter om en person:
1.personnummer,
2.samordningsnummer,
3.namn,
4.födelsetid,
5.födelsehemort,
6.födelseort och födelseland,
7.adress,
8.folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokför- ing under särskild rubrik och distrikt,
9.medborgarskap,
10.civilstånd,
11.make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt,
12.samband enligt 11 som är grundat på adoption,
13.inflyttning från utlandet,
14.avregistrering enligt
15.gravsättning,
16.personnummer som personen har tilldelats i ett annat nordiskt land,
och
17.uppehållsrätt.
1499
Författningskommentar |
SOU 2023:100 |
I paragrafen, som är ny, anges de uppgifter om en person som Skatte- verket får registrera om honom eller henne vid folkbokföring. Över- vägandena finns i avsnitt 9.4.5.
Uppräkningen i bestämmelsen motsvarar, med vissa redaktionella ändringar, de uppgifter om en person som enligt 2 kap. 3 § första stycket lagen (2001:182) om behandling av personuppgifter i Skatte- verkets folkbokföringsverksamhet får behandlas i folkbokförings- databasen och som är relevanta vid folkbokföring. I bestämmelsens punkt 6 har även ett förtydligande tillägg gjorts avseende vad som avses med födelseort. Med födelseort avses även land för en person som inte är född i Sverige vilket genom förtydligandet uttryckligen framgår av punkt 6 (jfr prop. 1990/91:53 s. 40).
Bestämmelsen syftar inte till att begränsa vilka uppgifter Skatte- verket över huvud taget får behandla. Att en uppgift inte anges i bestämmelsen innebär följaktligen inte att Skatteverket är förhindrat att behandla den uppgiften om behandlingen är nödvändig för att Skatteverket ska kunna utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges i bestämmelsen inne- bär endast att det inte är en sådan uppgift om en person som, om det är relevant, registreras om honom eller henne i samband med folk- bokföring. Det innebär exempelvis att Skatteverket inte är förhind- rat att fortsättningsvis behandla uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495). Skatte- verket är vidare inte förhindrat att fortsättningsvis behandla uppgif- ter om anmälan enligt 5 kap. 2 § vallagen (2005:837).
26 c §
Om en handling som överlämnats enligt 26 b § har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kon- trollera att dessa motsvarar dem som finns i handlingen.
När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.
Paragrafen innehåller bestämmelser om kontroll av bl.a. biometriska uppgifter i handlingar.
1500
SOU 2023:100 |
Författningskommentar |
I det nya andra stycket har införts en ny bestämmelse om att när en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. Bestämmelsen motsvarar 1 kap. 7 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folk- bokföringsverksamhet och har överförts med endast redaktionella ändringar (jfr prop. 2021/22:276 s. 152).
Övervägandena finns i 9.4.6.
28 §
En anmälan enligt 25 eller 26 § ska innehålla följande uppgifter:
1.namn och person- eller samordningsnummer,
2.datum för ändring av bostads- eller postadress,
3.ny bostads- och postadress samt beräknad giltighetstid,
4.registerbeteckning för den fastighet som den nya bostadsadressen avser och, om fastigheten innehåller flera bostadslägenheter med samma belägenhetsadress, lägenhetsnummer som avses i lagen (2006:378) om lägen- hetsregister, och
5.vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser.
En anmälan enligt 26 § första stycket ska dessutom innehålla
1.uppgift om födelsetid och medborgarskap,
2.uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess beräknade varaktighet,
3.uppgift om personnummer som personen har tilldelats i ett annat nordiskt land, och
4.övriga uppgifter som får registreras enligt 1 a §.
Paragrafens innehåller bestämmelser om vilka uppgifter en anmälan enligt 25 eller 26 §§ ska innehålla.
Ändringen i andra stycket punkt 4 är en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folk- bokföringsverksamhet upphävs och att de uppgifter om en person som får registreras om honom eller henne vid folkbokföring i stället anges i 1 a §. Övervägandena finns i avsnitt 9.4.6.
31 §
Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälnings-
1501
Författningskommentar |
SOU 2023:100 |
skyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosätt- ningen enligt denna lag eller för kontroll eller komplettering av andra upp- gifter om en person som får registreras enligt 1 a §. I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp.
Paragrafen innehåller bestämmelser om Skatteverkets möjligheter att besluta om föreläggande om att göra anmälan eller lämna uppgifter m.m. för att fullgöra en anmälningsskyldighet.
Ändringen i paragrafens andra mening är en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folk- bokföringsverksamhet upphävs och att de uppgifter om en person som får registreras om honom eller henne vid folkbokföring i stället anges i 1 a §. Övervägandena finns i avsnitt 9.4.6.
20.9Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
17 kap.
Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel m.m. i vissa verksamheter
1 a §
Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör
1.Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) eller 2 § folkbokföringsdatalagen (0000:00),
2.Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00), eller
3.Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedata- lagen (0000:00).
Sekretessen gäller även i verksamhet som avses i första stycket 3 för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka över- skuldsättning.
Paragrafen reglerar sekretess för vissa uppgifter som hänför sig till dataanalyser och urval i syfte att skydda allmänna intressen. Paragra- fen har ändrats så att den avser ytterligare verksamheter än Skatte- verkets folkbokföringsverksamhet. Övervägandena finns i avsnitt 15.4.
1502
SOU 2023:100 |
Författningskommentar |
I första stycket har ändringar gjorts som innebär att sekretessen gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upp- täcka fel i Skatteverkets verksamhet som avses i 2 § beskattnings- datalagen (0000:00) eller 2 § folkbokföringsdatalagen (0000:00), Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00), eller Kronofogdemyndighetens verksamhet som avses i 2 § kronofogde- datalagen (0000:00). De uppgifter som omfattas av paragrafen är t.ex. uppgifter om vilka riskfaktorer som en myndighet har tagit fram för att identifiera misstänkta felaktigheter i verksamheterna. Andra upp- gifter som kan omfattas av sekretess är t.ex. hur dataanalyserna och urvalsmodellerna har utformats eller utvecklats.
Sekretessen gäller om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Sekretess- bestämmelsen är utformad med ett rakt skaderekvisit, vilket innebär en presumtion för offentlighet. Det avgörande för om sekretess före- ligger är därmed om uppgiften som sådan är av den arten att ett ut- lämnande typiskt sett kan vara ägnat att medföra skada för det all- männas syfte med sådana dataanalyser och urval som här avses. Mot bakgrund av de aktuella uppgifternas karaktär kan det ofta antas att myndigheternas möjligheter att förebygga, förhindra och upptäcka fel kommer att motverkas om uppgifterna blir offentliga.
Andra stycket, som är nytt, innebär att sekretessen enligt första stycket även gäller i verksamhet som avses i första stycket 3 för så- dana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. Den avser därmed sådana analyser och urval som görs för att motverka överskuldsättning i Kronofogde- myndighetens verksamhet.
Behovet av att sekretessbelägga uppgifter om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval finns så länge myndigheterna har ett behov av att använda sådana i berörda verksamheter. Sekretessen hindrar alltså endast att uppgifterna lämnas ut så länge de används. Efter denna tidpunkt upphör sekretessen, vilket innebär att uppgifterna ska lämnas ut på begäran.
1503
Författningskommentar |
SOU 2023:100 |
22 kap.
1 a §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhål- landen.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
Paragrafen innehåller bestämmelser om sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden som hänför sig till Skatteverkets dataanalyser och urval inom folkbokföringsverksam- heten. Övervägandena finns i avsnitt 15.3.
Enligt första stycket gäller sekretess vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verk- samhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Stycket har ändrats till följd av de nya bestämmelserna om dataanalyser och urval som föreslås gälla i Skatteverkets folkbokföringsverksamhet enligt folkbokföringsdatalagen. Ändringarna innebär att sekretessen inte längre knyts till en viss databas mot bakgrund av att den nu- varande lagen (2001:182) om behandling av uppgifter i Skatteverkets folkbokföringsverksamhet upphör att gälla genom den nya folkbok- föringsdatalagen.
Bestämmelsen, som endast är tillämplig i Skatteverkets folkbok- föringsverksamhet, innebär att det råder absolut sekretess för samt- liga uppgifter om en enskilds personliga eller ekonomiska förhållan- den i den aktuella verksamheten.
1 b §
Sekretess gäller i Skatteverkets verksamhet som avses i 2 § folkbokföringsdata- lagen (0000:00) för uppgift i en sammanställning ur en upptagning för automa- tiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt.
Sekretessen gäller inte för uppgift som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
1504
SOU 2023:100 |
Författningskommentar |
Paragrafen, som är ny, reglerar sekretess för vissa uppgifter i sam- manställningar inom Skatteverkets folkbokföringsverksamhet. Över- vägandena finns i avsnitt 15.2.
Första stycket innebär att absolut sekretess gäller i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift i en sammanställning ur en upptagning för automatiserad be- handling om den grundar sig på uppgifter om födelseort, födelse- land, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Bestämmelsen är därmed tillämplig i Skatteverkets folkbokförings- verksamhet. Sekretessens föremål är utformat efter vilka uppgifter som omfattas av det nuvarande sökförbudet i 2 kap. 10 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet vilka inte har någon motsvarighet i folkbokföringsdata- lagen. Ett uttryckligt tillägg har gjorts avseende uppgift om födelse- land i förhållande till vad som anges i det nuvarande sökförbudet. Vidare anges endast uppgift om uppehållsrätt, till skillnad från uppe- hållsrätt för en person som är folkbokförd vilket i dag anges i lagen om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet.
Idag är de aktuella sammanställningarna inte allmänna handlingar på grund av sökbegränsningarna. För att i princip uppnå samma skydd när sammanställningarna kan bli allmänna föreskrivs absolut sekre- tess.
Enligt sekretessbestämmelsen räcker det att någon av de upp- räknade uppgifterna är en uppgift bland flera andra som har använts för att göra sammanställningen tillgänglig genom t.ex. en sökning för att sammanställningen i sin helhet ska omfattas av sekretess. Om ingen av de uppräknade uppgifterna används när sammanställningen görs kommer den dock inte att omfattas av sekretessbestämmelsen. Regleringen innebär även att eventuella redan befintliga samman- ställningar som har grundats på aktuella uppgifter kommer att om- fattas av sekretess. Däremot omfattar sekretessbestämmelsen inte enskilda uppgifter om exempelvis en viss persons födelseort i ett ärende. I ett sådant fall får en prövning i stället göras enligt andra redan befintliga sekretessbestämmelser i offentlighets- och sekretess- lagen (2009:400) som kan tillämpas på uppgifterna.
I andra stycket föreskrivs ett undantag från den sekretess som anges i första stycket. Enligt undantaget gäller inte sekretessen för uppgift som ingår i en sådan sammanställning som avses i första stycket
1505
Författningskommentar |
SOU 2023:100 |
om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). De uppgifter som omfattas av undantaget är sådana som inte heller i dag omfattas av sökförbudet i 2 kap. 10 § lagen om behandling av personuppgifter i Skatteverkets folkbokför- ingsverksamhet. Det hänför sig till att uppgifterna behövs för bl.a. framställning av röstlängder och för avisering till vissa myndigheter.
Tredje stycket innebär att för uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
6 §
Den tystnadsplikt som följer av 1 § första stycket och 1
I paragrafen finns bestämmelser om rätten att meddela och offent- liggöra uppgifter. Övervägandena finns i avsnitten 15.2.3 och 15.3.3.
Ändringen i paragrafen är en följd av ändringarna av 1 a § och den nya bestämmelsen i 1 b §. Den innebär att tystnadsplikten som följer av de bestämmelserna inskränker den rätt att meddela och offent- liggöra uppgifter som följer av tryckfrihetsförordningen och yttrande- frihetsgrundlagen.
27 kap.
1 §
Sekretess gäller i verksamhet som avser bestämmande av skatt eller faststäl- lande av underlag för bestämmande av skatt eller som avser fastighetstaxer- ing för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Sekretess gäller vidare
1.vid förande av eller uttag ur en automatiserad uppgiftssamling som Skatte- verket använder i verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden,
2.hos kommun eller region för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatterättsnämnden har lämnat i ett ärende om förhandsbesked i en skatte- eller taxeringsfråga, och
1506
SOU 2023:100 |
Författningskommentar |
3.hos Försäkringskassan för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatteverket har lämnat i ett ärende om sär- skild sjukförsäkringsavgift.
Med skatt avses i detta kapitel skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund, skattetillägg, återkallelse- avgift, rapporteringsavgift, plattformsavgift och förseningsavgift samt expedi- tionsavgift och tilläggsavgift enligt lagen (2004:629) om trängselskatt och tilläggsavgift enligt 8 a § lagen (2016:1067) om skatt på kemikalier i viss elektronik. Med verksamhet som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst.
Första och andra styckena gäller inte om annat följer av 3, 4 eller 6 §. Andra stycket 1 gäller inte heller om det finns en annan primär sekretess- bestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket.
För uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år.
I paragrafen finns bestämmelser om sekretess till skydd för enskild inom verksamhet som avser bestämmande av skatt, m.m., s.k. skatte- sekretess. Ändringarna innebär att sekretessen i 1 § andra stycket 1 inte längre knyts till en viss databas mot bakgrund av att den nuvar- ande lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet upphör att gälla genom den nya beskatt- ningsdatalagen (0000:00). Övervägandena finns i avsnitt 15.5.
Ändringarna i andra stycket första punkten avser den s.k. databas- sekretessen. Den ändrade lydelsen innebär att absolut sekretess ska gälla vid förande av eller uttag ur en automatiserad uppgiftssamling som Skatteverket använder i verksamhet som avses i 2 § beskatt- ningsdatalagen för uppgift om en enskilds personliga eller ekono- miska förhållanden.
Avsikten är att motsvarande sekretess som i dag gäller vid för- ande av eller uttag ur beskattningsdatabasen fortsatt ska gälla vid andra myndigheters direktåtkomst till sådana uppgifter som i dag behandlas i databasen. Den ändrade formuleringen innebär alltså att den sekretess som gäller hos Skatteverket även fortsättningsvis blir tillämplig också hos myndigheter som har direktåtkomst till upp- gifter som behandlas automatiserat hos Skatteverket, så länge de anslutna myndigheterna inte tar ut uppgifter och använder dessa i sina egna verksamheter på något sätt. Då blir sekretessbestämmel- serna för dessa verksamheter i stället tillämpliga. Avsikten är vidare
1507
Författningskommentar |
SOU 2023:100 |
att den primära sekretess som i dag gäller vid Skatteverket genom bestämmelsen om databassekretess fortsatt ska gälla.
Med automatiserad uppgiftssamling avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer av- gränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av Skatteverkets verksamhet till vilken andra myndigheter kan ha direktåtkomst. Lydelsen en auto- matiserad uppgiftssamling som Skatteverket använder i verksamhet som avses i 2 § beskattningsdatalagen tydliggör att den ändrade sekretessbestämmelsen ges samma räckvidd som den nu gällande be- stämmelsen om databassekretess. Sekretessen omfattar alltså inte automatiserade uppgiftssamlingar som har tagits fram av enskilda med- arbetare och som normalt endast är åtkomliga för den enskilde med- arbetaren och t.ex. systemadministratörer vid myndigheten. Sekre- tessbestämmelsen omfattar i stället större strukturerade och syste- matiserade automatiserade uppgiftssamlingar vid myndigheten, som det också kan bli aktuellt att ge andra myndigheter direktåtkomst till. Den gäller därmed inte tillfälliga uppgiftssamlingar som endast finns tillgängliga för en medarbetare på dennes enskilda lagrings- utrymme på en server eller i en dator, eller för en mindre arbetsgrupp i samband med att gruppen hanterar vissa uppgifter vid arbete med t.ex. ordbehandling för framtagande av dokument. Det är Skatte- verket som myndighet som ska ha tagit fram en viss uppgiftssamling för användning i den aktuella verksamheten.
Genom uttryckssättet ”för verksamhet som avses i 2 § beskatt- ningsdatalagen” tydliggörs att sekretessen gäller i samma verksamhet som i dag. Formuleringen innebär vidare att även uppgifter om juri- diska personer och i förekommande fall uppgifter om avlidna perso- ner omfattas av sekretessbestämmelsen på samma sätt som gäller i dag.
I fjärde stycket föreskrivs ett nytt undantag från sekretessen i 1 § andra stycket 1. Undantaget innebär att sekretessen inte gäller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket. Sekretessen ska alltså inte tillämpas när en uppgift används i en annan del av Skatteverkets verksamhet, dvs. i verksamhet som avser ärendehantering och som omfattas av sekre- tessbestämmelser med skaderekvisit som avviker från den absoluta sekretessen i den aktuella sekretessbestämmelsen. Det rör t.ex. Skatte- verkets handläggning av ärenden enligt lagen (2013:948) om stöd vid
1508
SOU 2023:100 |
Författningskommentar |
korttidsarbete i vilka uppgifter omfattas av sekretess med ett s.k. rakt skaderekvisit (28 kap. 12 §). Bestämmelsen innebär vidare att eventuella undantag från den primära sekretessen i sekretessregler som ska tillämpas i verksamhet med ärendehandläggning, såsom t.ex. undantaget i 28 kap. 12 § andra stycket, kan tillämpas trots sekre- tessen i 27 kap. 1 § andra stycket 1.
Hänvisningen till vissa bestämmelser om primär sekretess i 21 kap. innebär att om t.ex. sekretessbestämmelsen i 21 kap. 1 § är tillämplig i ett ärende, då gäller ändå sekretessen enligt 27 kap. 1 § andra stycket 1 i tillämpliga fall vilken föreskriver starkare sekretess som de aktuella bestämmelserna i 21 kap.
Undantaget innebär en lagreglering av det som redan får anses gälla enligt förarbetsuttalanden i andra lagstiftningsärenden (se t.ex. prop. 2006/07:99 s.
2 a §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
Paragrafen är ny och reglerar sekretess i verksamhet med dataanaly- ser och urval i Skatteverkets beskattningsverksamhet. Övervägan- dena finns i avsnitt 15.3.
Enligt första stycket gäller sekretess vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verk- samhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestäm- melsen innebär att det råder absolut sekretess för uppgifterna i den aktuella verksamheten.
Andra stycket innehåller en bestämmelse om att sekretessen gäller i högst tjugo år för uppgift i en allmän handling.
1509
Författningskommentar |
SOU 2023:100 |
3 §
Sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.
Motsvarande sekretess gäller vid förande av eller uttag ur en auto- matiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift som finns i den uppgiftssamlingen.
Första och andra styckena gäller inte om annat följer av 6 §. Andra stycket gäller inte heller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Tullverket.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
I paragrafen finns bestämmelser om sekretess till skydd för enskild inom verksamhet som rör tull m.m. hos Tullverket. Ändringarna inne- bär att sekretessen enligt 3 § andra stycket inte längre knyts till en viss databas mot bakgrund av att den nuvarande lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet upphör att gälla genom den nya tulldatalagen (0000:00). Övervägandena finns i av- snitt 15.5.
Ändringarna i andra stycket avser den s.k. databassekretessen. Den ändrade lydelsen innebär att motsvarande sekretess som anges i första stycket ska gälla vid förande av eller uttag ur en automatiserad upp- giftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen för uppgift som finns i den uppgiftssamlingen.
Avsikten är att motsvarande sekretess som i dag gäller vid förande av eller uttag ur tulldatabasen fortsatt ska gälla vid andra myndig- heters direktåtkomst till sådana uppgifter som i dag behandlas i data- basen. Den ändrade formuleringen innebär alltså att den sekretess som gäller hos Tullverket även fortsättningsvis blir tillämplig också hos myndigheter som har direktåtkomst till uppgifter som behand- las automatiserat hos Tullverket, så länge de anslutna myndigheterna inte tar ut uppgifter och använder dessa i sina egna verksamheter på något sätt. Då blir sekretessbestämmelserna för dessa verksamheter i stället tillämpliga. Avsikten är vidare att den primära sekretess som
idag gäller vid Tullverket genom bestämmelsen om databassekretess fortsatt ska gälla.
Med automatiserad uppgiftssamling avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer av- gränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av Tullverkets verksamhet
1510
SOU 2023:100 |
Författningskommentar |
till vilken andra myndigheter kan ha direktåtkomst. Lydelsen en auto- matiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen tydliggör att den ändrade sekretessbestäm- melsen ges samma räckvidd som den nu gällande bestämmelsen om databassekretess. Sekretessen omfattar alltså inte automatiserade upp- giftssamlingar som har tagits fram av enskilda medarbetare och som normalt endast är åtkomliga för den enskilde medarbetaren och t.ex. systemadministratörer vid myndigheten. Sekretessbestämmelsen om- fattar i stället större strukturerade och systematiserade automati- serade uppgiftssamlingar vid myndigheten, som det också kan bli aktuellt att ge andra myndigheter direktåtkomst till. Den gäller där- med inte tillfälliga uppgiftssamlingar som endast finns tillgängliga för en medarbetare på dennes enskilda lagringsutrymme på en server eller i en dator, eller för en mindre arbetsgrupp i samband med att gruppen hanterar vissa uppgifter vid arbete med t.ex. ordbehandling för framtagande av dokument. Det är Tullverket som myndighet som ska ha tagit fram en viss uppgiftssamling för användning i den aktuella verksamheten.
Genom uttryckssättet ”för verksamhet som avses i 2 § tulldata- lagen” tydliggörs att sekretessen gäller i samma verksamhet som i dag. Formuleringen innebär vidare att även uppgifter om juridiska personer och i förekommande fall uppgifter om avlidna personer omfattas av sekretessbestämmelsen på samma sätt som gäller i dag.
I tredje stycket föreskrivs ett nytt undantag från sekretessen i
27 kap. 3 § andra stycket. Undantaget innebär att sekretessen inte gäller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den före- kommer i ett ärende hos Tullverket. Sekretessen ska alltså inte till- lämpas när en uppgift används i en annan del av Tullverkets verksam- het, dvs. i verksamhet som avser ärendehantering och som omfattas av sekretessbestämmelser med skaderekvisit som avviker från sekre- tessen i den aktuella sekretessbestämmelsen. Bestämmelsen innebär vidare att eventuella undantag från den primära sekretessen i sekre- tessregler som ska tillämpas i verksamhet med ärendehandläggning kan tillämpas trots sekretessen i 27 kap. 3 § andra stycket.
Hänvisningen till vissa bestämmelser om primär sekretess i 21 kap. innebär att om t.ex. sekretessbestämmelsen i 21 kap. 1 § är tillämplig i ett ärende, då gäller ändå sekretessen enligt 27 kap. 3 § andra stycket
1511
Författningskommentar |
SOU 2023:100 |
i tillämpliga fall vilken föreskriver starkare eller lika stark sekretess som de aktuella bestämmelserna i 21 kap.
Undantaget innebär en lagreglering av det som redan får anses gälla enligt förarbetsuttalanden i andra lagstiftningsärenden (se t.ex. prop. 2006/07:99 s.
3 a §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som omfattas av 2 § tulldatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
Paragrafen är ny och reglerar sekretess i verksamhet med dataanaly- ser och urval i Tullverkets verksamhet. Övervägandena finns i av- snitt 15.3.
Enligt första stycket gäller sekretess i verksamhet med dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tull- verkets verksamhet som avses i 2 § tulldatalagen (0000:00) för upp- gift om en enskilds personliga eller ekonomiska förhållanden. Bestäm- melsen innebär att det råder absolut sekretess för uppgifterna i den aktuella verksamheten.
Andra stycket innehåller en bestämmelse om att sekretessen gäller i högst tjugo år för uppgift i en allmän handling.
4 §
Sekretessen enligt 1, 2 och 3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Det- samma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller
4.Får en domstol i ett mål från en annan myndighet en sekretessreglerad uppgift och saknar uppgiften betydelse i målet, blir dock sekretessbestäm- melsen tillämplig på uppgiften även hos domstolen.
I paragrafen finns sekretessregler som gäller uppgifter i mål hos domstol. Övervägandena finns i avsnitt 15.3.4.
Ändringen är föranledd av att nya paragrafer förs in i 2 a och 3 a §§ och innebär att de nya sekretessreglerna inte kommer att omfattas
1512
SOU 2023:100 |
Författningskommentar |
av bestämmelsen i 4 §. Den innebär ingen materiell förändring mot vad som gäller i dag.
7 §
Sekretessen enligt 1, 3 och 4 §§ hindrar inte att uppgift lämnas till en enskild enligt vad som föreskrivs i
1.lag om förfarande vid beskattning,
2.lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energi- produktion,
3.förordningen (0000:00) om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet, eller
4.förordningen (0000:00) om utlämnande av uppgifter från Tullverket.
Paragrafen innehåller en sekretessbrytande bestämmelse. Ändring- arna innebär inte några materiella förändringar mot vad som gäller i dag. Övervägandena finns i avsnitten 13.5.2 och 13.7.2.
Andra punkten har ändrats så att den hänvisar till lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energiproduktion. Detta angavs tidigare i punkt 3. Ändringen medför ingen materiell föränd- ring utan görs för att de förordningar som paragrafen hänvisar till ska anges i kronologisk ordning.
I tredje punkten ändras hänvisningen till den föreslagna förord- ningen (0000:00) om utlämnande av uppgifter från Skatteverkets be- skattningsverksamhet.
I fjärde punkten ändras hänvisningen till den föreslagna förord- ningen (0000:00) om utlämnande av uppgifter från Tullverket.
8 §
Sekretessen enligt 1, 2, 3 och 4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs.
Sekretessen enligt 2, 3 och 4 §§ hindrar inte att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs.
Om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vid- are eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen.
1513
Författningskommentar |
SOU 2023:100 |
I paragrafen finns sekretessbrytande bestämmelser som gäller upp- gift i ärende om revision eller ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter. Övervägandena finns i avsnitt 15.3.4.
Ändringarna i första och andra styckena är föranledda av att nya paragrafer förs in i 2 a och 3 a §§ och innebär att de nya sekretess- reglerna inte kommer att omfattas av bestämmelsen i 8 §. Den inne- bär ingen materiell förändring mot vad som gäller i dag.
10 §
Den tystnadsplikt som följer av 1 §, 2 § första stycket, och 2
I paragrafen finns bestämmelser om rätten att meddela och offent- liggöra uppgifter. Övervägandena finns i avsnitt 15.3.3.
Ändringen i paragrafen är en följd av de nya bestämmelserna i 2 a och 3 a §§. Den innebär att tystnadsplikten som följer av de bestäm- melserna inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
34 kap.
Uppgifter i automatiserade uppgiftssamlingar
2 §
Under motsvarande förutsättningar som i 1 § gäller sekretess vid förande av eller uttag ur en automatiserad uppgiftssamling som Kronofogdemyndigheten använder i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud som avses i 2 § kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Första stycket gäller inte om det finns en annan primär sekretessbestäm- melse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Kronofogdemyndigheten.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekre- tessen i högst femtio år.
1514
SOU 2023:100 |
Författningskommentar |
I paragrafen finns bestämmelser om sekretess till skydd för enskild i verksamhet med utsökning och indrivning och ansökan om och till- syn över näringsförbud hos Kronofogdemyndigheten. Ändringarna innebär att sekretessen inte längre knyts till en viss databas mot bak- grund av att den nuvarande lagen (2001:184) om behandling av upp- gifter i Kronofogdemyndighetens verksamhet upphör att gälla genom den nya kronofogdedatalagen (0000:00). Övervägandena finns i av- snitt 15.5.
Ändringarna i första stycket avser den s.k. databassekretessen. Den ändrade lydelsen innebär att under motsvarande förutsättningar som i 1 § ska sekretess gälla vid förande av eller uttag ur en automatiserad uppgiftssamling som Kronofogdemyndigheten använder i verksam- het med utsökning och indrivning och ansökan om och tillsyn över näringsförbud som avses i 2 § kronofogdedatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Avsikten är att motsvarande sekretess som i dag gäller vid för- ande av eller uttag ur utsöknings- och indrivningsdatabasen fortsatt ska gälla vid andra myndigheters direktåtkomst till sådana uppgifter som i dag behandlas i databasen. Den ändrade formuleringen innebär alltså att den sekretess som gäller hos Kronofogdemyndigheten även fortsättningsvis blir tillämplig också hos myndigheter som har direkt- åtkomst till uppgifter som behandlas automatiserat hos Kronofogde- myndigheten, så länge de anslutna myndigheterna inte tar ut uppgif- ter och använder dessa i sina egna verksamheter på något sätt. Då blir sekretessbestämmelserna för dessa verksamheter i stället tillämp- liga. Avsikten är vidare att den primära sekretess som i dag gäller vid Kronofogdemyndigheten genom bestämmelsen om databassekretess fortsatt ska gälla.
Med automatiserad uppgiftssamling avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer av- gränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av Kronofogdemyndighetens verksamhet till vilken andra myndigheter kan ha direktåtkomst. Lydel- sen en automatiserad uppgiftssamling som Kronofogdemyndigheten använder i verksamhet som avses i 2 § kronofogdedatalagen tydlig- gör att den ändrade sekretessbestämmelsen ges samma räckvidd som den nu gällande bestämmelsen om databassekretess. Sekretessen om- fattar alltså inte automatiserade uppgiftssamlingar som har tagits fram av enskilda medarbetare och som normalt endast är åtkomliga för
1515
Författningskommentar |
SOU 2023:100 |
den enskilde medarbetaren och t.ex. systemadministratörer vid myn- digheten. Sekretessbestämmelsen omfattar i stället större strukturerade och systematiserade automatiserade uppgiftssamlingar vid myndig- heten, som det också kan bli aktuellt att ge andra myndigheter direkt- åtkomst till. Den gäller därmed inte tillfälliga uppgiftssamlingar som endast finns tillgängliga för en medarbetare på dennes enskilda lag- ringsutrymme på en server eller i en dator, eller för en mindre arbets- grupp i samband med att gruppen hanterar vissa uppgifter vid arbete med t.ex. ordbehandling för framtagande av dokument. Det är Krono- fogdemyndigheten som myndighet som ska ha tagit fram en viss uppgiftssamling för användning i den aktuella verksamheten.
Genom uttryckssättet ”för verksamhet med utsökning och indriv- ning samt ansökan om och tillsyn över näringsförbud som avses i 2 § kronofogdedatalagen” tydliggörs att sekretessen gäller i samma verk- samhet som i dag. Formuleringen innebär vidare att även uppgifter om juridiska personer och i förekommande fall uppgifter om avlidna personer omfattas av sekretessbestämmelsen på samma sätt som gäller i dag. Med utsökning och indrivning avses i den ändrade sekre- tessregeln samma verksamhet som i dag omfattas av databassekretessen i utsöknings- och indrivningsdatabasen, vilken i sig har en koppling till den sekretess som gäller enligt 34 kap. 1 § första stycket. Vidare ska sekretessen motsvara Kronofogdemyndighetens verksamhet med utsökning och indrivning såsom det anges i den föreslagna bestäm- melsen i 2 § första stycket kronofogdedatalagen. Sekretessen ska även uttryckligen gälla i myndighetens verksamhet med ansökan om och tillsyn över näringsförbud för att det inte ska ske några förändringar av sekretessen i sak. Den föreslagna bestämmelsen i 2 § kronofogde- datalagen är i sin tur inte avsedd att omfatta någon annan verksamhet än vad som anges i 1 kap. 1 § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet i dag.
I andra stycket föreskrivs ett nytt undantag från sekretessen i
34 kap. 2 §. Undantaget innebär att sekretessen inte gäller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Kronofogdemyndigheten. Sekretessen ska alltså inte tillämpas när en uppgift används i en annan del av Kronofogdemyndighetens verksamhet, dvs. i verksamhet som avser ärendehantering och som omfattas av sekretessbestämmelser med skaderekvisit som avviker från sekretessen i den aktuella sekretessbestämmelsen. Bestämmelsen
1516
SOU 2023:100 |
Författningskommentar |
innebär vidare att eventuella undantag från den primära sekretessen i sekretessregler som ska tillämpas i verksamhet med ärendehandlägg- ning kan tillämpas trots sekretessen i 34 kap. 2 § första stycket.
Hänvisningen till vissa bestämmelser om primär sekretess i 21 kap. innebär att om t.ex. sekretessbestämmelsen i 21 kap. 1 § är tillämplig i ett ärende, då gäller ändå sekretessen enligt 34 kap. 2 § i tillämpliga fall vilken föreskriver starkare eller lika stark sekretess som de aktu- ella bestämmelserna i 21 kap.
Undantaget innebär en lagreglering av det som redan får anses gälla enligt förarbetsuttalanden i andra lagstiftningsärenden (se t.ex. prop. 2006/07:99 s.
3 §
Uppgift som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 18 § kronofogdedatalagen (0000:00) omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet be- träffande vilken uppgiften blockerats.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretes- sen i högst femtio år.
I paragrafen regleras sekretess för vissa uppgifter som Kronofogde- myndigheten har beslutat att blockera. Övervägandena finns i av- snitt 6.2.
Ändringarna i första stycket är föranledda av att lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet upphävs, av våra föreslagna ändringar av sekretessbestämmelsen i
34kap. 2 § och av att en ny paragraf om rättelse föreslås i 18 § krono- fogdedatalagen vilken ersätter nuvarande 3 kap. 3 a § lagen om be- handling av uppgifter i Kronofogdemyndighetens verksamhet. Bestäm- melsen motsvarar den befintliga bestämmelsen om sekretess (jfr prop. 2007/08:116 s. 30).
4 §
Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndig- het i verksamhet som avses i
1517
Författningskommentar |
SOU 2023:100 |
skilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet.
Om sekretess gäller enligt första stycket, får de sekretessbrytande be- stämmelserna i 10 kap.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
I paragrafen finns sekretessregler som gäller uppgifter i hänförliga till internationella avtal. Övervägandena finns i avsnitt 15.3.4.
Ändringen är föranledd av att en ny paragraf förs in i 10 b § och innebär att den nya sekretessregeln kommer att omfattas av bestäm- melsen i 4 §.
Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel m.m. i Kronofogdemyndighetens verksamhet
10 b §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel samt motverka överskuldsättning i Kronofogdemyndighetens verk- samhet som omfattas av 2 § kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.
Paragrafen är ny och reglerar sekretess i verksamhet som avser data- analyser och urval i Kronofogdemyndighetens verksamhet. Överväg- andena finns i avsnitten 15.3.1 och 15.3.2.
Enligt första stycket gäller sekretess i verksamhet som avser data- analyser och urval i syfte att förebygga, förhindra och upptäcka fel samt motverka överskuldsättning i Kronofogdemyndighetens verk- samhet som avses i 2 § kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmel- sen innebär att det råder absolut sekretess för uppgifterna i den aktu- ella verksamheten.
Andra stycket innehåller en bestämmelse om att sekretessen gäller i högst tjugo år för uppgift i en allmän handling. I de fall uppgiften avser en enskilds personliga förhållanden gäller dock sekretessen för uppgift i en allmän handling i högst femtio år.
1518
SOU 2023:100 |
Författningskommentar |
11 §
Den tystnadsplikt som följer av 4 § och 10 b § och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 5 § andra stycket in- skränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
I paragrafen finns bestämmelser om rätten att meddela och offent- liggöra uppgifter. Övervägandena finns i avsnitt 15.3.3.
Ändringen i paragrafen är en följd av den nya bestämmelsen i
10 b §. Den innebär att tystnadsplikten som följer av de bestämmel- serna inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Ikraftträdande- och övergångsbestämmelser
1.Denna lag träder i kraft den 1 januari 2026.
2.Äldre bestämmelser gäller fortfarande för uppgifter som har block- erats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Enligt punkt 1 träder lagen i kraft den 1 januari 2026.
Enligt punkt 2 gäller äldre bestämmelser i fråga om uppgifter som har blockerats av Kronofogdemyndigheten med stöd av den nuvar- ande 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Krono- fogdemyndighetens verksamhet efter ikraftträdandet den 1 januari 2026. Det innebär att sådana uppgifter omfattas av sekretess enligt den tidigare lydelsen av 34 kap. 3 §.
Övervägandena finns i kapitel 18.
20.10Förslaget till lag om ändring i lagen (2022:1697) om samordningsnummer
1kap.
2§
Skatteverket beslutar i ärenden enligt denna lag.
Skatteverket får registrera följande uppgifter om en person som har tilldelats samordningsnummer:
1.samordningsnummer,
2.personnummer,
1519
Författningskommentar |
SOU 2023:100 |
3.namn,
4.födelsetid,
5.medborgarskap,
6.födelseort och födelseland
7.kontaktadress,
8.om personens identitet är styrkt, sannolik eller osäker,
9.tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1,
10.vilandeförklaring enligt 3 kap. 2 §, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, och
11.tidpunkt för när en person har avlidit.
Bestämmelser om folkbokföring och personnummer finns i folkbokför- ingslagen (1991:481).
I paragrafen anges beslutande myndighet.
Genom ändringen i andra stycket anges de uppgifter om en person som har tilldelats samordningsnummer och som Skatteverket får registrera om honom eller henne. Övervägandena finns i 9.4.8.
Uppräkningen i bestämmelsen motsvarar, med vissa redaktionella ändringar, de uppgifter om en person som enligt 2 kap. 3 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folk- bokföringsverksamhet får behandlas i folkbokföringsdatabasen och som är relevanta avseende en person som har tilldelats samordnings- nummer. Det innebär att uppgiftskategorier som enbart registreras vid folkbokföring, eller uppgiftskategorier som inte avser en specifik uppgift om en person, inte anges i bestämmelsen.
I bestämmelsens punkt 6 har även ett förtydligande tillägg gjorts avseende vad som avses med födelseort. Med födelseort avses även land för en person som inte är född i Sverige vilket genom förtydli- gandet nu uttryckligen framgår i punkt 6 (jfr prop. 1990/91:53 s. 40).
Bestämmelsen syftar inte till att begränsa vilka uppgifter Skatte- verket över huvud taget får behandla. Att en uppgift inte anges i be- stämmelsen innebär följaktligen inte att Skatteverket är förhindrat att behandla den uppgiften om behandlingen är nödvändig för att Skatteverket ska kunna utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges i bestämmelsen inne- bär endast att det inte är en sådan uppgift om en person som har till- delats samordningsnummer som, om det är relevant, registreras om honom eller henne. Det innebär exempelvis att Skatteverket inte är förhindrat att behandla uppgifter om vilka identitetshandlingar som har legat till grund för identifiering vid tilldelning av samordnings- nummer. Skatteverket är vidare inte förhindrat att behandla de upp-
1520
SOU 2023:100 |
Författningskommentar |
gifter om personer som före år 2000 tilldelats personnummer utan samband med folkbokföring som är nödvändiga för att utföra sin verksamhet enligt lagen om samordningsnummer.
2kap.
4§
Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen.
När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.
Paragrafen innehåller bestämmelser om kontroll av bl.a. biometriska uppgifter i handlingar.
I det nya andra stycket har införts en bestämmelse om att när en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedel- bart förstöras. Bestämmelsen motsvarar 1 kap. 7 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet och har överförts med endast redaktionella ändringar (jfr prop. 2021/22:276 s. 152). Övervägandena finns i avsnitt 9.4.9.
4 kap.
1 §
En myndighet ska underrätta Skatteverket om det kan antas att en uppgift som får registreras om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig.
En sådan underrättelse behöver inte lämnas om särskilda skäl talar mot det. Skyldigheten i första stycket gäller inte för Skatteverkets brottsbekäm- pande verksamhet. Den gäller inte heller i fråga om uppgifter som omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400).
Paragrafens innehåller bestämmelser om myndigheters underrättelse- skyldighet beträffande oriktiga eller ofullständiga uppgifter.
Ändringen i första stycket innebär att hänvisningen till folkbok- föringsdatabasen utgår. Ändringen är en följd av att lagen (2001:182)
1521
Författningskommentar |
SOU 2023:100 |
om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet upphävs och att de uppgifter som får registreras om en person som har tilldelats samordningsnummer i stället anges i 1 kap. 2 §. Övervägandena finns i 9.4.9.
2 §
Om en person med ett samordningsnummer har en kontaktadress regi- strerad, ska han eller hon anmäla ändringar av adressen till Skatteverket.
Anmälningsskyldigheten gäller inte om samordningsnumret är vilande eller personen omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.
Paragrafen innehåller bestämmelser om skyldigheten att anmäla ändringar av registrerad kontaktadress till Skatteverket
Ändringen i första stycket innebär att hänvisningen till folkbok- föringsdatabasen utgår. Ändringen är en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet upphävs och att de uppgifter som får registreras om en person som har tilldelats samordningsnummer i stället anges i 1 kap. 2 §. Övervägandena finns i avsnitt 9.4.9.
20.11Övriga lagförslag
Lagförslagen är en följd av införandet av beskattningsdatalagen (0000:00), folkbokföringsdatalagen (0000:00), lagen (0000:00) om det statliga personadressregistret, lagen (0000:00) om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, tulldatalagen (0000:00) och kronofogdedatalagen (0000:00). Genom dessa lagar upphävs lagen (1998:527) om det statliga personadress- registret, lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen (2001:182) om behandling av person- uppgifter i Skatteverkets folkbokföringsverksamhet, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, lagen (2001:185) om behandling av uppgifter i Tullverkets verksam- het och lagen (2015:898) om behandling av personuppgifter i Skatte- verkets äktenskapsregister- och bouppteckningsverksamheter.
1522
SOU 2023:100 |
Författningskommentar |
I flera författningar ersätts hänvisningar till de upphävda lagarna av hänvisningar till de nya lagarna. Hänvisningar till de särskilda data- baserna som finns i andra författningar ersätts i flera fall av hänvisningar till den verksamhet som avses. Vissa paragrafer i tullagen (2016:253) upphävs som en följd av införandet av förordningen (0000:00) om utlämnande av uppgifter från Tullverket. Övervägandena finns i av- snitten 6.3 och 13.7.1.
1523
Bilaga 1
Kommittédirektiv 2021:104
En modern dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten och förbättrade förutsättningar för en effektiv kontrollverksamhet
Beslut vid regeringssammanträde den 3 november 2021
Sammanfattning
En särskild utredare ska göra en översyn av Skatteverkets, Tull- verkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Reglerna bör vara flexibla och anpassade efter såväl den tekniska ut- vecklingen som den
Utredaren ska även se över förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. En ut- gångspunkt är att det ska finnas ett tydligt rättsligt stöd för myndig- heternas arbete med dataanalyser och urval. Reglerna behöver dess- utom vara teknikneutrala och flexibla samt ge myndigheterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utveck- lingen i samhället i övrigt.
Utredaren ska noga väga myndigheternas behov av att behandla personuppgifter mot den enskildes rätt till skydd för sin personliga integritet. I uppdraget ingår att lämna nödvändiga författningsförslag.
Uppdraget ska redovisas senast den 31 maj 2023.
1525
Bilaga 1 |
SOU 2023:100 |
Den nuvarande regleringen för de berörda myndigheterna
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en skyd- dad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap.
Europaparlamentets och rådets förordning (EU) 2016/679 av den
27april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförord- ning), här kallad EU:s dataskyddsförordning, utgör den generella re- gleringen av personuppgiftsbehandling inom EU. Förordningen är i alla delar bindande och direkt tillämplig i samtliga EU:s medlemsländer, men tillåter och förutsätter ibland att medlemsstaterna kompletterar förordningen med nationell lagstiftning. Dataskyddsförordningen kompletteras i Sverige av bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Data- skyddslagen är subsidiär till annan lag eller förordning, vilket möjlig- gör avvikande bestämmelser i särskilda registerförfattningar.
För Skatteverket, Tullverket och Kronofogdemyndigheten finns särskilda registerförfattningar som kompletterar såväl EU:s data- skyddsförordning som dataskyddslagen. För Skatteverkets behand- ling av personuppgifter finns ett antal sådana registerförfattningar. Ett exempel är lagen (2001:181) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet och den tillhörande förordningen (2001:588). Lagen tillämpas vid behandling av personuppgifter i Skatte- verkets beskattningsverksamhet och i verkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgif- ter, lagen (2013:948) om stöd vid korttidsarbete, lagen (1991:1047) om sjuklön och lagen (2020:548) om omställningsstöd, om behand- lingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I Skatteverkets folkbokföringsverksamhet gäller lagen (2001:182) om behandling av personuppgifter i Skatteverkets folk- bokföringsverksamhet och den tillhörande förordningen (2001:589). Därutöver kan nämnas lagen (1998:527) och förordningen (1998:1234)
1526
SOU 2023:100 |
Bilaga 1 |
om det statliga personadressregistret som gäller i Skatteverkets verk- samhet som avser det statliga personadressregistret, SPAR, och lagen (2015:898) och förordningen (2015:905) om behandling av person- uppgifter i Skatteverkets äktenskapsregister- och boupptecknings- verksamheter.
För Tullverkets personuppgiftsbehandling gäller lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och den till- hörande förordningen (2001:646). Lagen och förordningen gäller i all verksamhet som Tullverket bedriver, med undantag för den brotts- bekämpande verksamheten och viss annan administrativ verksamhet.
För Kronofogdemyndighetens personuppgiftsbehandling gäller lagen (2001:184) om behandling av uppgifter i Kronofogdemyndig- hetens verksamhet och den tillhörande förordningen (2001:590). Lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndig- hetens verksamhet med utsökning och indrivning, skuldsanering,
De flesta av de nämnda författningarna är uppbyggda på samma sätt som lagen om behandling av uppgifter i Skatteverkets beskatt- ningsverksamhet när det gäller automatiserad behandling. Alla dessa författningar är vidare uppbyggda så att dataskyddslagen gäller om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till denna. Några av författningarna gäller del- vis även vid behandling av uppgifter om juridiska personer och av- lidna. De flesta författningarna innehåller bestämmelser om behand- ling av uppgifter i särskilda databaser, bl.a. beskattningsdatabasen hos Skatteverket, tulldatabasen hos Tullverket och utsöknings- och indrivningsdatabasen hos Kronofogdemyndigheten.
Inom Skatteverket, Tullverket och Kronofogdemyndigheten före- kommer också viss personuppgiftsbehandling som inte omfattas av registerförfattningarna. Sådan behandling sker då enbart med stöd av den generella dataskyddsregleringen i EU:s dataskyddsförordning och dataskyddslagen.
De registerförfattningar som gäller i Skatteverkets beskattnings- och folkbokföringsverksamheter, i Tullverkets verksamhet utanför det brottsbekämpande området och i Kronofogdemyndighetens verk- samhet är uppbyggda på samma sätt. De tillkom för 20 år sedan (prop. 2000/01:33, bet. 2000/01:SkU20, rskr. 2000/01:176). Dessför-
1527
Bilaga 1 |
SOU 2023:100 |
innan hade en översyn gjorts av de dåvarande registerförfattningarna inom dessa områden, se betänkandet Skatt Tull Exekution Normer för behandling av personuppgifter (SOU 1999:105).
I samband med EU:s dataskyddsreform gjordes anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskydds- förordning (prop. 2017/18:95, bet. 2017/18:SkU15, rskr. 2017/18:234). Det var dock inte fråga om en generell översyn av registerförfatt- ningarna, även om vissa justeringar gjordes i de berörda lagarna där behov uppmärksammats vid översynen som inte direkt hade sam- band med dataskyddsförordningen (se samma prop. s. 39 f.).
Vid sidan av denna dataskyddsreglering finns den reglering som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verk- samheter. I dessa verksamheter består dataskyddsregleringen främst av brottsdatalagen (2018:1177), lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Varför behövs det en utredning?
Någon allmän översyn av de registerförfattningar som gäller i Skatte- verkets beskattnings- och folkbokföringsverksamheter samt i Tull- verkets och Kronofogdemyndighetens verksamheter har inte gjorts sedan registerförfattningarnas tillkomst. Den översyn som gjordes i samband med EU:s dataskyddsform var som anges ovan i stort sett begränsad till anpassningar till dataskyddsförordningen. Sedan mil- lennieskiftet har förutsättningarna för myndigheternas digitalisering och personuppgiftsbehandling förändrats avsevärt med hänsyn till såväl den snabba tekniska utvecklingen som nya dataskyddsregler inom främst EU. Redan av dessa skäl framgår att det är nödvändigt med en systematisk genomgång av de aktuella registerförfattningarna. Myndigheterna har själva framställt detta önskemål vid ett flertal tillfällen.
I förarbetena till registerförfattningarna framgår att avsikten var att regleringen skulle vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt på- går (prop. 2000/01:33 s. 81). Trots detta kan det konstateras att registerförfattningarna inte längre framstår som ändamålsenliga och
1528
SOU 2023:100 |
Bilaga 1 |
anpassade till dagens behov hos aktuella myndigheter. Till exempel togs registerförfattningarna fram under en tid då manuell handlägg- ning av enskilda ärenden var det vanligaste arbetssättet. De är inte anpassade till den mer avancerade och omfattande automatiserade be- handling av personuppgifter som är aktuell i dag när nya
Uppdraget att se över myndigheternas registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov
En utgångspunkt för en allmän översyn bör vara att skapa ända- målsenliga regler som är anpassade efter dagens behov hos Skatte- verket, Tullverket och Kronofogdemyndigheten. Reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den
1529
Bilaga 1 |
SOU 2023:100 |
De registerförfattningar som omfattas av denna översyn är de som har angetts ovan under rubriken Den nuvarande regleringen för de berörda myndigheterna. Det ligger dock inte inom ramen för ut- redarens uppdrag att analysera behovet av ändringar i de register- författningar som gäller i Skatteverkets respektive Tullverkets brotts- bekämpande verksamheter. Dessa registerförfattningar tillkom så pass nyligen att det för närvarande inte finns något behov av en allmän översyn.
Utredaren ska därför
•göra en fullständig översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar och då bl.a. be- döma om det finns utrymme för minskad detaljreglering och se över registerförfattningarnas struktur och terminologi, och
•lämna nödvändiga författningsförslag.
I det följande anges några frågor av särskilt intresse som ska behand- las i samband med denna översyn.
Tillämpningsområden och ändamålsbestämmelser
I flera av registerförfattningarna gäller bestämmelserna om bl.a. tillåtna ändamål även vid behandling av uppgifter om juridiska per- soner. Enligt förarbetena var ett skäl till denna ordning att det genom den ökade användningen av elektroniska akter och elektroniska doku- ment i många fall skulle bli svårt att skilja uppgifter om juridiska personer från uppgifter om deras delägare eller ställföreträdare (prop. 2000/01:33 s. 86). Det är dock allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer (prop. 2017/18:269 s. 113). Det finns därför skäl att på nytt ta ställning till frågan om juridiska personer bör omfattas. Det bör i det sammanhanget bl.a. beaktas om en sådan ordning skapar omoti- verade hinder för digitalisering och för det internationella uppgifts- utbytet med andra
Registerförfattningarna innehåller bestämmelser om för vilka ända- mål personuppgifter får behandlas. Sådana ändamålsbestämmelser anger den yttersta ram inom vilken personuppgifterna får behandlas.
1530
SOU 2023:100 |
Bilaga 1 |
För att säkerställa att ändamålsbestämmelserna är anpassade till den tekniska utvecklingen kan det finnas ett behov av en utvidgad ända- målsreglering jämfört med i dag.
Det finns även skäl att överväga en mindre detaljerad ändamåls- reglering. Det gäller t.ex. de sekundära ändamålsbestämmelserna som reglerar i vilken utsträckning personuppgifter får behandlas för att lämnas ut till annan verksamhet inom den egna myndigheten, till en- skilda eller till andra myndigheter för att tillgodose deras behov.
Utredaren ska därför
•ta ställning till om juridiska personer ska omfattas av register- författningarna och se över tillämpningsområdet i övrigt, och
•ta ställning till om det finns ett behov av en utvidgad ändamåls- reglering för att den ska vara anpassad till den tekniska utveck- lingen och om ändamålsregleringen kan vara mindre detaljerad, t.ex. när det gäller de sekundära ändamålsbestämmelserna.
Informationsutbyte och elektroniskt utlämnande av uppgifter
Många av de registerförfattningar som omfattas av översynen inne- håller en reglering av utlämnande av uppgifter från de berörda verk- samheterna. Det finns skäl att ta ställning till om denna reglering är väl avvägd eller om det finns behov av förändringar. Det ingår dock i huvudsak inte i utredarens uppdrag att föreslå ändringar kring omfattningen av det nuvarande informationsutbytet. I förordningen om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns det ett stort antal bestämmelser om utlämnande till andra myn- digheter och andra organ med delvis olika utformning. Det finns därför anledning att se över bl.a. dessa bestämmelser även med ut- gångspunkten att skapa en mer enhetlig reglering. Eventuella förslag om sekretessbrytande uppgiftsskyldigheter eller utökning av sådana förutsätter att integritetsaspekten har beaktats och att en bedöm- ning gjorts av om behovet av utökad tillgång till information väger tyngre än behovet av skydd för den personliga integriteten.
I registerförfattningarna regleras även frågor om sättet för ut- lämnande av personuppgifter i elektronisk form. Ett vanligt sätt att skilja på olika former av elektroniskt utlämnande är att skilja mellan utlämnande på medium för automatiserad behandling, t.ex. genom
1531
Bilaga 1 |
SOU 2023:100 |
för automatiserad behandling” har dock på vissa ställen fasats ut till förmån för uttrycket ”elektroniskt på annat sätt än genom direkt- åtkomst”, se t.ex. 16 § domstolsdatalagen (2015:728) och 2 kap. 9 § lagen om Skatteverkets behandling av personuppgifter inom brotts- datalagens område. Den grundläggande innebörden av direktåtkomst är att någon har direkt tillgång till någon annans uppgiftssamling och på egen hand kan söka efter information, men utan att kunna påverka innehållet i uppgiftssamlingen. Elektroniskt utlämnande genom direkt- åtkomst bedöms som mest integritetskänsligt, jfr t.ex. propositionen Tullbrottsdatalag (prop. 2016/17:91 s. 58).
Digitaliseringen medför att det ställs ökade krav på att myndig- heter ska ha möjlighet att lämna uppgifter elektroniskt till fram- för allt enskilda. Det kan därför finnas ett behov av en mer flexibel reglering av möjligheten till elektroniskt utlämnande på annat sätt än genom direktåtkomst. Det är något som redan finns i annan data- skyddsreglering, bl.a. domstolsdatalagen.
En annan fråga som behöver utredas är om nuvarande regler om direktåtkomst är ändamålsenliga. Elektroniskt utlämnande på annat sätt än genom direktåtkomst bör i vissa fall, genom tillämpning av adekvat teknik, kunna tillgodose samma behov som direktåtkomst. Denna fråga behandlas i eSamverkansprogrammets (eSam) publika- tion Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form (maj 2016).
Ytterligare en fråga i detta sammanhang som bör utredas är om dagens regler om elektroniskt utlämnande till utländska myndigheter, som gäller vid elektroniskt informationsutbyte inom ramen för det internationella samarbetet, är utformade på ett ändamålsenligt sätt. Det är viktigt att regleringen inte skapar omotiverade hinder för detta samarbete.
Utredaren ska därför
•ta ställning till om regleringen av utlämnande av uppgifter är väl avvägd eller om det finns behov av förändringar, varvid behovet av skydd för den personliga integriteten ska beaktas, och
•ta ställning till om nuvarande regler om elektroniskt utlämnande är utformade på ett ändamålsenligt sätt.
1532
SOU 2023:100 |
Bilaga 1 |
Sökbegränsningar och bestämmelser om bevarande och gallring
I de flesta registerförfattningar som omfattas av översynen finns särskilda bestämmelser om sökbegränsningar, som ofta tar sikte på den eller de databaser som regleras i respektive författning. Sök- begränsningarna tar sikte på känsliga personuppgifter och uppgifter om lagöverträdelser, men också på möjligheten att söka efter hand- lingar i databaserna. Bestämmelserna har införts av integritetsskäl (se t.ex. prop. 2000/01:33 s.
Det finns vidare skäl att utreda om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga i förhål- lande till gällande materiella regler och dagens behov. Det bör i sam- band därmed bedömas om nuvarande bestämmelser om gallring kan ersättas med regler om längsta tid som personuppgifter får behandlas automatiserat för att tydliggöra att det rör sig om dataskyddsbestäm- melser och inte bestämmelser om gallring i arkivrättslig mening. En sådan ändring har gjorts i registerförfattningarna inom brottsdata- lagens område (se prop. 2017/18:269 s. 122 f.). Oavsett vilken lösning som förordas är det viktigt att bestämmelserna utformas med hänsyn till att domstolsprocesser kan pågå under lång tid. Vidare kan det konstateras att bestämmelserna om gallring i dåvarande tullregister- lagen (1990:137) i stort sett oförändrade fördes över till lagen om behandling av uppgifter i Tullverkets verksamhet. Regeringen moti- verade detta med att det pågick en översyn av EU:s tullagstiftning som kunde komma att påverka gallringsbestämmelserna (se prop. 2000/01:33 s. 180). Det finns därför skäl att nu göra en allmän översyn av Tullverkets gallringsbestämmelser. Slutligen finns det an- ledning att analysera och tydliggöra vilka gallringsbestämmelser som ska gälla när någon av de berörda myndigheterna tillgängliggör upp- gifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna.
1533
Bilaga 1 |
SOU 2023:100 |
Utredaren ska därför
•ta ställning till om dagens bestämmelser om sökbegränsningar är ändamålsenligt utformade,
•ta ställning till om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga, varvid det bl.a. ska be- dömas om gallringsbestämmelserna bör ersättas med regler om längsta tid som personuppgifter får behandlas, och
•analysera hur frågan om gallring av uppgifter lämpligen kan regle- ras i de fall någon av de berörda myndigheterna tillgängliggör upp- gifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna.
Uppdraget att se över förutsättningarna för att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet
Dagens regelverk behöver ses över och vässas
Skatteverket använder sig i sin beskattningsverksamhet i dag av ett maskinellt urval i syfte att välja ut de deklarationer som behöver granskas manuellt. Detta urval bygger på en riskanalys med utgångs- punkt från olika data som Skatteverket har tillgång till i beskattnings- databasen. Verksamheten syftar till att utförda manuella kontroller ska bli så träffsäkra och effektiva som möjligt. Det finns enligt nu- varande regelverk dock tydliga begränsningar av möjligheterna att använda dataanalyser och urval i fler situationer.
Dagens registerlagstiftning för Skatteverket, Tullverket och Krono- fogdemyndigheten är till stora delar kopplad till ärendehantering. Även bestämmelserna i den materiella lagstiftningen har sin huvud- sakliga utgångspunkt i handläggning av ärenden. Behovet av att kunna göra urval kan dock finnas även när det inte finns något ärende. Skatteverket har framfört att myndigheten, med en möjlighet att även göra urvalsanalyser på ett antal iakttagna företeelser utan någon koppling till specifika ärenden, skulle kunna koncentrera sin verksam- het på att åtgärda sådana fel som orsakar störst problem för samhället.
Det är mycket som talar för att det går att åstadkomma en effek- tivare kontrollverksamhet om det blir möjligt för de berörda myn- digheterna att i större utsträckning använda maskinella riskbaserade
1534
SOU 2023:100 |
Bilaga 1 |
analyser och urval. Det framgår exempelvis av den effektivisering av arbetet med att granska deklarationer som möjligheten att använda dataanalyser och urval i den ärendeanknutna beskattningsverksam- heten innebär. Detta kräver dock ett tydligt rättsligt stöd. En sådan reglering kräver också att skyddet mot betydande intrång i den per- sonliga integriteten i 2 kap. 6 § andra stycket regeringsformen sär- skilt beaktas.
Det anförda har stora likheter med de utgångspunkter som ligger bakom förslagen som rör analyser och urval i folkbokföringsverksam- heten i betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57).
Tidigare utredningar av relevans för uppdraget
I betänkandet Kontroll för ökad tilltro – en ny myndighet för att före- bygga, förhindra och upptäcka felaktiga utbetalningar (SOU 2020:35) föreslås att en ny myndighet för utbetalningskontroll inrättas som bl.a. ska ha till uppgift att göra dataanalyser och urval för att upptäcka felaktiga utbetalningar från välfärdssystemen. Som bakgrund till för- slaget anges bl.a. att erfarenheter från myndigheter i Danmark, Norge och Storbritannien visar att dataanalyser och urval är effektiva för att upptäcka felaktiga utbetalningar och i många fall är den mest effek- tiva metoden (s. 213). I budgetpropositionen för 2022 (prop. 2021/22:1 utg.omr. 2 avsnitt 6.5.1) föreslås att en sådan ny myndighet bildas och inleder sin verksamhet under 2023.
ISOU 2021:57 föreslås att Skatteverkets folkbokföringsverk- samhet genom dataanalyser och urval ska ges bättre förutsättningar att kunna koncentrera sin kontroll mot områden med hög risk för fel och fusk och områden där man kan uppnå bästa möjliga effekt med givna insatser. Förslagen har vissa likheter med förslagen i SOU 2020:35. I SOU 2021:57 föreslås att uppgifter ska få samlas in och behandlas i syfte att upptäcka och förhindra felaktiga uppgifter
ifolkbokföringsdatabasen. För de uppgifter som samlas in i detta syfte föreslås en särskild uppgiftssamling, analys- och urvalsdatabasen. Det föreslås även en rad bestämmelser som syftar till att minska det intrång i den personliga integriteten som uppgiftsbehandlingen be- döms innebära. I verksamheten som avser förande av och uttag ur analys- och urvalsdatabasen föreslås det gälla absolut sekretess. Som
1535
Bilaga 1 |
SOU 2023:100 |
bakgrund till förslagen anges bl.a. den kritik som Riksrevisionen fram- fört mot Skatteverkets arbete med riskanalys och urval i folkbokför- ingsverksamheten i sin rapport Folkbokföring – ett kvalitetsarbete i uppförsbacke (RiR 2017:23).
Utredaren ska se över om det bör införas ny reglering
Av det anförda framgår att det finns skäl att se över om det bör införas en reglering som innebär en utökad möjlighet att göra data- analyser och urval i Skatteverkets, Tullverkets och Kronofogdemyn- dighetens verksamheter jämfört med vad som är tillåtet enligt dagens regler. Oavsett vad utredaren gör för bedömning i lämplighetsfrågan ska utredaren lämna de författningsförslag som krävs för en utökad möjlighet till dataanalyser och urval utan koppling till specifika ären- den. Utgångspunkten är att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med dataanalyser och urval. Reglerna ska dess- utom vara teknikneutrala och flexibla och ge myndigheterna möj- lighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt.
Uppdraget omfattar samma verksamheter som uppdraget att göra en översyn av de berörda myndigheternas registerlagstiftningar tar sikte på. Det ligger dock inte inom ramen för utredarens uppdrag att se över lämpligheten av en ny reglering och lämna författningsförslag som rör Skatteverkets folkbokföringsverksamhet till den del det om- fattas av förslagen i SOU 2021:57. Om utredarens överväganden i övrigt får följder även på de förslag som lämnats i det betänkandet ska dock förslag lämnas även på folkbokföringsområdet.
Utredaren ska därför
•analysera och bedöma lämpligheten och utformningen av en regler- ing som innebär en utökad möjlighet att göra dataanalyser och urval för respektive myndighet,
•kartlägga vilken information som behövs för att möjliggöra ade- kvata analyser och urval och föreslå hur tillgång till sådan infor- mation bör ges,
•bedöma om det finns behov av ändringar i sekretessbestämmel- serna eller nya sekretessbestämmelser och då även beakta insyns- intresset,
1536
SOU 2023:100 |
Bilaga 1 |
•säkerställa behovet av skydd för den personliga integriteten och att EU:s dataskyddslagstiftning följs,
•bedöma vilka regler kring bevarande och gallring som ska gälla för de uppgifter som behandlas, och hur gjorda analyser och urval ska dokumenteras för att tillgodose såväl myndigheternas verksam- hetsbehov som behovet av att möjliggöra kontroller av arbetet med analyser och urval i efterhand, och
•lämna nödvändiga författningsförslag.
Konsekvensbeskrivningar
Utredaren ska utöver vad som följer av kommittéförordningen (1998:1474) analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten. Vidare ska utredaren redovisa hur moderna registerförfattningar som innebär en mer ändamålsenlig re- glering och förbättrade förutsättningar för en effektiv kontroll- verksamhet kan påverka myndigheternas verksamheter. Om försla- gen kan förväntas leda till kostnadsökningar för det offentliga ska utredaren föreslå hur dessa ska finansieras.
Kontakter och redovisning av uppdraget
Utredaren ska, i den utsträckning som bedöms lämplig, samråda med och inhämta upplysningar från berörda myndigheter och andra orga- nisationer som berörs av frågorna.
Utredaren ska hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, särskilt beredningen av för- slagen i betänkandet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från väl- färdssystemen (SOU 2020:35) och betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57).
Utredaren ska även hålla sig informerad om och beakta relevant arbete som bedrivs inom utredningsväsendet och inom EU. För- slagen som utredaren lämnar ska vara förenliga med
1537
Bilaga 1 |
SOU 2023:100 |
Om det bedöms nödvändigt får utredaren ta upp andra närlig- gande frågor i samband med de frågeställningar som ska utredas.
Uppdraget ska redovisas senast den 31 maj 2023.
(Finansdepartementet)
1538
Bilaga 2
Kommittédirektiv 2023:24
Tilläggsdirektiv till Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden (Fi 2021:11)
Beslut vid regeringssammanträde den 16 februari 2023
Förlängd tid för uppdraget
Regeringen beslutade den 3 november 2021 kommittédirektiv om en modern dataskyddsreglering för Skatteverket, Tullverket och Krono- fogdemyndigheten och förbättrade förutsättningar för en effektiv kon- trollverksamhet (dir. 2021:104). Uppdraget skulle enligt direktiven redovisas senast den 31 maj 2023.
Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 30 november 2023.
(Finansdepartementet)
1539
Statens offentliga utredningar 2023
Kronologisk förteckning
1.Skärpta straff för flerfaldig brottslig- het. Ju.
2.En inre marknad för digitala tjänster
–ansvarsfördelning mellan myndig- heter. Fi.
3.Nya regler om nödlidande kreditavtal och inkassoverksamhet. Ju.
4.Posttjänst för hela slanten. Finansieringsmodeller för framtidens samhällsomfattande posttjänst. Fi.
5.Från delar till helhet. Tvångsvården som en del av en sammanhållen och personcentrerad vårdkedja. S.
6.En lag om tilläggsskatt för företag i stora koncerner. Fi.
7.På egna ben.
Utvecklad samverkan för individers etablering på arbetsmarknaden. A.
8.Arbetslivskriminalitet – arbetet
i Sverige, en bedömning av omfatt- ningen, lärdomar från Danmark och Finland. A.
9.Ett statligt huvudmannaskap för personlig assistans.
Ökad likvärdighet, långsiktighet och kvalitet. S.
10.Tandvårdens stöd till våldsutsatta patienter. S.
11.Tillfälligt miljötillstånd för samhällsviktig verksamhet
–för ökad försörjningsberedskap. KN.
12.Förstärkt skydd för demokratin och domstolarnas oberoende. Ju.
13.Patientöversikter inom EES och Sverige. S.
14.Organisera för hållbar utveckling. KN.
15.Förnybart i tanken. Ett styrmedels- förslag för en stärkt bioekonomi. LI.
16.Staten och betalningarna. Del 1 och 2. Fi.
17.En tydligare bestämmelse om hets mot folkgrupp. Ju.
18.Värdet av vinden. Kompensation, incitament och planering för
en hållbar fortsatt utbyggnad av vindkraften. Del 1 och 2. KN.
19.Statlig forskningsfinansiering. Underlagsrapporter. U.
20.Förbud mot bottentrålning i marina skyddade områden. LI.
21.Informationsförsörjning på skolområdet. Skolverkets ansvar. U.
22.Datalagring och åtkomst till elektronisk information. Ju.
23.Ett modernare socialförsäkringsskydd för gravida. S.
24.Etablering för fler – jämställda möjlig- heter till integration. A.
25.Kunskapskrav för permanent uppe- hållstillstånd. Ju.
26.Översyn av entreprenörsansvaret. A.
27.Kamerabevakning för ett bättre djur- skydd. LI.
28.Samhället mot skolattacker. U.
29.Varje rörelse räknas – hur skapar vi ett samhälle som främjar fysisk aktivitet? S.
30.Ett trygghetssystem för alla. Nytt regelverk för sjukpenninggrundande inkomst. S.
31.Framtidens yrkeshögskola
– stabil, effektiv och hållbar. U.
32.Biometri – för en effektivare brottsbekämpning. Ju.
33.Ett förbättrat resegarantisystem. Fi.
34.Bolag och brott – några åtgärder mot oseriösa företag. Ju.
35.Nya regler om hållbarhetsredovisning. Ju.
36.Genomförande av minimilöne- direktivet. A.
37.Förstärkt skydd för den personliga integriteten. Behovet av åtgärder mot oskuldskontroller, oskuldsintyg och oskuldsingrepp samt omvändelseför- sök. Ju.
38.Ett förstärkt konsumentskydd mot riskfylld kreditgivning och överskuldsättning. Fi.
39.En inre marknad för digitala tjänster
–kompletteringar och ändringar i svensk rätt. Fi.
40.Förbättrade möjligheter för barn att utkräva sina rättigheter enligt barn- konventionen. S.
41.Förutsättningarna för en ny kollektiv- avtalad arbetslöshetsförsäkring. A.
42.Ett modernare regelverk för legalise- ringar, apostille och andra former av intyganden. UD.
43.En samordnad registerkontroll för upphandlande myndigheter och enheter. Fi.
44.En översyn av regleringen om frihets- berövande påföljder för unga. Ju.
45.Övergångsrestriktioner
–ökat förtroende för offentlig verk- samhet. Fi.
46.Jakt och fiske i renbetesland. LI.
47.En utvecklad arbetsgivardeklaration
–åtgärder mot missbruk av välfärdssystemen. Fi.
48.Rätt förutsättningar för sjukskriv- ning. S.
49.Skyddet för EU:s finansiella intressen. Ändringar och kompletteringar i svensk rätt. Fi.
50.En modell för svensk försörjnings- beredskap. Fö.
51.Signalspaning i försvars- underrättelseverksamhet
–frågor med anledning
av Europadomstolens dom. Fö.
52.Ett stärkt och samlat skydd av välfärdssystemen. S.
53.En ändamålsenlig arbetsskadeförsäk- ring – för bättre ekonomisk trygghet, kunskap och rättssäkerhet. Volym 1 och 2. S.
54.Centraliseringen av administrativa tjänster till Statens servicecenter
–en utvärdering. Fi.
55.Vem äger fastigheten. Ju.
56.Några smittskyddsfrågor inom social- tjänsten och socialförsäkringen. S.
57.Åtgärder för tryggare bostadsområden. Ju.
58.Kultursamhället – utvecklad sam- verkan mellan stat, region och kommun. Ku.
59.Ny myndighetsstruktur för finansiering av forskning och innovation. U.
60.Utökade möjligheter att använda preventiva tvångsmedel 2. Ju.
61.En säker och tillgänglig statlig
62.Vi kan bättre!
Kunskapsbaserad narkotikapolitik med liv och hälsa i fokus. S.
63.Sveriges säkerhet i etern. Ku.
64.Ett förändrat regelverk för framtidens el- och gasnät. KN.
65.Bättre information om hyresbostäder. Kartläggning av andrahands- marknaden och ett förbättrat lägen- hetsregister. LI.
66.För barn och unga i samhällsvård. S.
67.Anonyma vittnen. Ju.
68.Som om vi aldrig funnits
–exkludering och assimilering av
tornedalingar,kväner och lantalaiset. Aivan ko meitä ei olis ollukhaan
–eksklyteerinki ja assimileerinki tornionlaaksolaisista, kväänistä ja lantalaisista. Slutbetänkande.
Som om vi aldrig funnits. Vår sanning och verklighet. Aivan ko meitä ei olis ollukhaan. Meän tottuus ja toelisuus. Intervjuberättelser.
Som om vi aldrig funnits.
Tolv tematiska forskarrapporter. Aivan ko meitä ei olis ollukhaan. Kakstoista temattista tutkintoraporttia. Forskarrapporter. Ku.
69.Ökat informationsflöde till brottsbekämpningen. En ny huvud- regel. Ju.
70.Ordning och reda – förstärkt och tillförlitlig byggkontroll. LI.
71.Speciallivsmedel till barn inom öppen hälso- och sjukvård. S.
72.En enklare hantering av vattenfrågor vid planläggning och byggande. LI.
73.Genomförandet av vaccineringen mot sjukdomen
74.Förenklade förutsättningar för ett hållbart vattenbruk. LI.
75.Stärkt konstitutionell beredskap. Ju.
76.Vidareanvändning av hälsodata för vård och klinisk forskning. S.
77.Behörig myndighet enligt EU:s avskogningsförordning. LI.
78.Hemlig dataavläsning – utvärdering och permanent lagstiftning. Ju.
79.Arbetsrätten under krig och krigsfara. A.
80.Ett starkare straffrättsligt skydd– mot sexuella kränkningar, bedrägerier
ivissa fall och brott med hatmotiv avseende kön. Ju.
81.Ett enklare bilstöd. S.
82.Ökad kontroll över tandvårdssektorn. S.
83.Samordnat juridiskt stöd och vägledning för hälso-
och sjukvårdens digitalisering. S.
84.En hållbar bioekonomistrategi
– för ett välmående fossilfritt samhälle. LI.
85.Långtidsutredningen 2023. Finans politisk konjunkturstabilisering. Huvudbetänkande. Fi.
86.Trends in GDP Growth and its Driving Factors. Bilaga 1 till Långtids utredningen 2023. Fi.
87.Drivkrafter bakom globala trender
iden neutrala räntan. Bilaga 2 till Långtidsutredningen 2023. Fi.
88.
89.Makrotillsynsregleringar och finan- siell stabilitet. Bilaga 4 till Långtids utredningen 2023. Fi.
90.Samspelet mellan finans- och penningpolitik i Sverige. Bilaga 5 till Långtidsutredningen 2023. Fi.
91.Penning- och finanspolitisk konjunkturstabilisering. Bilaga 6 till Långtidsutredningen 2023. Fi.
92.Nytt ramverk för finanspolitiken. Bilaga 7 till Långtidsutredningen 2023. Fi.
93.Budgetprocessen i det finanspolitiska ramverket. Bilaga 8 till Långtids utredningen 2023. Fi.
94.Förändring genom försök. Försöksverksamhet i den kommunala sektorn. Fi.
95.Uppföljning för utveckling – ett hållbart system för samlad kunskap om villkoren för barn och elever med funktionsnedsättning i förskola och skola. U.
96.En reform för datadelning. Fi.
97.Ut ur utsatthet. A.
98.Sexuellt utnyttjande i pornografiska syften – våldsutsatthet som behöver synliggöras. Vol. 1 och 2: Forsknings- bilaga. A.
99.Nya tullrättsliga sanktioner och skärpta åtgärder mot utförsel av stöldgods. Fi.
100. Framtidens dataskydd. Vid Skatte verket, Tullverket och Kronofogden. Del 1 och 2. Fi.
Statens offentliga utredningar 2023
Systematisk förteckning
Arbetsmarknadsdepartementet
På egna ben.
Utvecklad samverkan för individers etablering på arbetsmarknaden. [7]
Arbetslivskriminalitet – arbetet i Sverige, en bedömning av omfattningen, lärdomar från Danmark och Finland. [8]
Etablering för fler – jämställda möjligheter till integration. [24]
Översyn av entreprenörsansvaret. [26]
Genomförande av minimilönedirektivet. [36]
Förutsättningarna för en ny kollektiv avtalad arbetslöshetsförsäkring. [41]
Arbetsrätten under krig och krigsfara. [79] Ut ur utsatthet. [97]
Sexuellt utnyttjande i pornografiska syften – våldsutsatthet som behöver synliggöras. Vol. 1 och 2: Forsknings- bilaga. [98]
Finansdepartementet
En inre marknad för digitala tjänster
–ansvarsfördelning mellan myndig- heter. [2]
Posttjänst för hela slanten. Finansieringsmodeller för framtidens samhällsomfattande posttjänst. [4]
En lag om tilläggsskatt för företag i stora koncerner. [6]
Staten och betalningarna. Del 1 och 2. [16] Ett förbättrat resegarantisystem. [33]
Ett förstärkt konsumentskydd mot riskfylld kreditgivning och överskuldsättning. [38]
En inre marknad för digitala tjänster - kompletteringar och ändringar
i svensk rätt. [39]
En samordnad registerkontroll för upphandlande myndigheter och enheter. [43]
Övergångsrestriktioner – ökat förtroende för offentlig verksamhet. [45]
En utvecklad arbetsgivardeklaration
–åtgärder mot missbruk av välfärdssystemen. [47]
Skyddet för EU:s finansiella intressen. Ändringar och kompletteringar
i svensk rätt. [49]
Centraliseringen av administrativa tjänster till Statens servicecenter
– en utvärdering. [54]
En säker och tillgänglig statlig
Långtidsutredningen 2023. Finanspolitisk konjunkturstabilisering. Huvudbetänkande. [85]
Trends in GDP Growth and its Driving Factors. Bilaga 1 till Långtids utredningen 2023. [86]
Drivkrafter bakom globala trender i den neutrala räntan. Bilaga 2 till Långtids utredningen 2023. [87]
Makrotillsynsregleringar och finansiell stabilitet. Bilaga 4 till Långtids utredningen 2023. [89]
Samspelet mellan finans- och penning politik i Sverige. Bilaga 5 till Långtids utredningen 2023. [90]
Penning- och finanspolitisk konjunktur stabilisering. Bilaga 6 till Långtids utredningen 2023. [91]
Nytt ramverk för finanspolitiken. Bilaga 7 till Långtidsutredningen 2023. [92]
Budgetprocessen i det finanspolitiska ramverket. Bilaga 8 till Långtids utredningen 2023. [93]
Förändring genom försök. Försöksverksamhet i den kommunala sektorn. [94]
En reform för datadelning. [96]
Nya tullrättsliga sanktioner och skärpta åtgärder mot utförsel av stöldgods. [99]
Framtidens dataskydd. Vid Skatteverket, Tullverket och Kronofogden.
Del 1 och 2. [100]
Försvarsdepartementet
En modell för svensk försörjnings- beredskap. [50]
Signalspaning i försvars- underrättelseverksamhet
– frågor med anledning
av Europadomstolens dom. [51]
Justitiedepartementet
Skärpta straff för flerfaldig brottslighet. [1]
Nya regler om nödlidande kreditavtal och inkassoverksamhet. [3]
Förstärkt skydd för demokratin och domstolarnas oberoende. [12]
En tydligare bestämmelse om hets mot folkgrupp. [17]
Datalagring och åtkomst till elektronisk information. [22]
Kunskapskrav för permanent uppehålls- tillstånd. [25]
Biometri – för en effektivare brottsbekämpning. [32]
Bolag och brott – några åtgärder mot oseriösa företag. [34]
Nya regler om hållbarhetsredovisning. [35]
Förstärkt skydd för den personliga integriteten. Behovet av åtgärder mot oskuldskontroller, oskuldsintyg och oskuldsingrepp samt omvändelse- försök. [37]
En översyn av regleringen om frihets- berövande påföljder för unga. [44]
Vem äger fastigheten. [55]
Åtgärder för tryggare bostadsområden. [57]
Utökade möjligheter att använda preventiva tvångsmedel 2. [60]
Anonyma vittnen. [67]
Ökat informationsflöde till brottsbekämpningen. En ny huvudregel. [69]
Stärkt konstitutionell beredskap. [75]
Hemlig dataavläsning – utvärdering och permanent lagstiftning. [78]
Ett starkare straffrättsligt skydd– mot sexuella kränkningar, bedrägerier i vissa fall och brott med hatmotiv avseende kön. [80]
Klimat- och näringslivsdepartementet
Tillfälligt miljötillstånd för samhällsviktig verksamhet
–för ökad försörjningsberedskap. [11] Organisera för hållbar utveckling. [14]
Värdet av vinden. Kompensation, incitament och planering för en hållbar fortsatt utbyggnad av vindkraften. Del 1 och 2. [18]
Ett förändrat regelverk för framtidens el- och gasnät. [64]
Kulturdepartementet
Kultursamhället – utvecklad samverkan mellan stat, region och kommun. [58]
Sveriges säkerhet i etern. [63] Som om vi aldrig funnits
–exkludering och assimilering av
tornedalingar,kväner och lantalaiset. Aivan ko meitä ei olis ollukhaan
–eksklyteerinki ja assimileerinki tornionlaaksolaisista, kväänistä ja lantalaisista. Slutbetänkande.
Som om vi aldrig funnits. Vår sanning och verklighet. Aivan ko meitä ei olis ollukhaan. Meän tottuus ja toelisuus.
Intervjuberättelser.
Som om vi aldrig funnits.
Tolv tematiska forskarrapporter. Aivan ko meitä ei olis ollukhaan.
Kakstoista temattista tutkintoraporttia. Forskarrapporter. [68]
Landsbygds- och infrastrukturdepartementet
Förnybart i tanken. Ett styrmedelsförslag för en stärkt bioekonomi. [15]
Förbud mot bottentrålning i marina skyddade områden. [20]
Kamerabevakning för ett bättre djurskydd. [27]
Jakt och fiske i renbetesland. [46]
Bättre information om hyresbostäder. Kartläggning av andrahands- marknaden och ett förbättrat lägen- hetsregister. [65]
Ordning och reda – förstärkt och tillförlit- lig byggkontroll. [70]
En enklare hantering av vattenfrågor vid planläggning och byggande. [72]
Förenklade förutsättningar
för ett hållbart vattenbruk. [74]
Behörig myndighet enligt EU:s avskogningsförordning. [77]
En hållbar bioekonomistrategi.
–för ett välmående fossilfritt samhälle. [84]
Socialdepartementet
Från delar till helhet. Tvångsvården som en del av en sammanhållen och personcentrerad vårdkedja. [5]
Ett statligt huvudmannaskap för personlig assistans.
Ökad likvärdighet, långsiktighet och kvalitet. [9]
Tandvårdens stöd till våldsutsatta patienter. [10]
Patientöversikter inom EES och Sverige. [13]
Ett modernare socialförsäkringsskydd för gravida. [23]
Varje rörelse räknas – hur skapar vi ett samhälle som främjar fysisk aktivitet? [29]
Ett trygghetssystem för alla. Nytt regelverk för sjukpenninggrundande inkomst. [30]
Förbättrade möjligheter för barn att utkräva sina rättigheter enligt barn- konventionen. [40]
Rätt förutsättningar för sjukskrivning. [48]
Ett stärkt och samlat skydd av välfärdssystemen. [52]
En ändamålsenlig arbetsskadeförsäkring
–för bättre ekonomisk trygghet, kunskap och rättssäkerhet. Volym 1 och 2. [53]
Några smittskyddsfrågor inom social tjänsten och socialförsäkringen. [56]
Vi kan bättre!
Kunskapsbaserad narkotikapolitik med liv och hälsa i fokus. [62]
För barn och unga i samhällsvård. [66]
Speciallivsmedel till barn inom öppen hälso- och sjukvård. [71]
Genomförandet av vaccineringen mot sjukdomen
Vidareanvändning av hälsodata för vård och klinisk forskning. [76]
Ett enklare bilstöd. [81]
Ökad kontroll över tandvårdssektorn. [82]
Samordnat juridiskt stöd och vägledning för hälso-
och sjukvårdens digitalisering. [83]
Utbildningsdepartementet
Statlig forskningsfinansiering. Underlagsrapporter. [19]
Informationsförsörjning på skolområdet. Skolverkets ansvar. [21]
Samhället mot skolattacker. [28]
Framtidens yrkeshögskola
– stabil, effektiv och hållbar. [31]
Ny myndighetsstruktur för finansiering av forskning och innovation. [59]
Uppföljning för utveckling – ett håll- bart system för samlad kunskap om villkoren för barn och elever med funktionsnedsättning i förskola och skola. [95]
Utrikesdepartementet
Ett modernare regelverk för legaliseringar, apostille och andra former av intygan- den. [42]