Framtidens dataskydd
Vid Skatteverket, Tullverket och Kronofogden
Del 2
Betänkande av Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden
Stockholm 2023
SOU 2023:100
SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2021:1.
Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck och remisshantering: Elanders Sverige AB, Stockholm 2023
ISBN
ISBN
ISSN
13Ny reglering av uppgiftslämnande
13.1Inledning
De registerförfattningar som omfattas av vår översyn innehåller sekretessbrytande bestämmelser som möjliggör utlämnande av sekre- tessreglerade uppgifter från de berörda verksamheterna. Enligt våra direktiv finns det skäl att ta ställning till om denna reglering är väl avvägd eller om det finns behov av förändringar. I vårt uppdrag ingår dock inte i huvudsak att föreslå ändringar kring omfattningen av det nuvarande informationsutbytet.
I direktiven anges att särskilt för Skatteverkets beskattningsverk- samhet finns det ett stort antal bestämmelser om utlämnande till andra myndigheter och andra organ med delvis olika utformning. Enligt direktiven finns det därför anledning att se över bl.a. dessa bestäm- melser med utgångspunkten att skapa en mer enhetlig reglering. Even- tuella förslag om sekretessbrytande uppgiftsskyldigheter eller utök- ning av sådana förutsätter att integritetsaspekten har beaktats och att en bedömning gjorts av om behovet av utökad tillgång till infor- mation väger tyngre än behovet av skydd för den personliga integri- teten. Vårt uppdrag består alltså i att ta ställning till om regleringen av utlämnande av uppgifter är väl avvägd, särskilt avseende hur den är utformad, eller om det finns behov av förändringar, varvid beho- vet av skydd för den personliga integriteten ska beaktas.
I detta kapitel redogör vi för generella aspekter av informations- utbyte mellan myndigheter och uppgiftslämnande till enskilda samt vissa generella bestämmelser om uppgiftsskyldighet. Frågor som rör olika former av elektroniskt utlämnande behandlas dock särskilt i kapitel 11. I detta kapitel redogör vi även för hur de befintliga be- stämmelserna i Skatteverkets, Tullverkets och Kronofogdemyndig- hetens respektive registerförfattningar är utformade, samt översikt-
895
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
ligt bakgrunden till nuvarande bestämmelser. Slutligen redogör vi för våra överväganden avseende vilka förändringsbehov som före- ligger, och lämnar förslag på ny reglering. De förslag som lämnas avser Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverkets verksamhet samt Kronofogdemyndighetens verksamhet. Skatteverkets
13.2Utlämnande av uppgifter
13.2.1Allmänt om informationsutbyte
Alla myndigheter är beroende av att ha tillgång till den information som är avgörande för riktigheten i beslut eller för att olika uppgifter ska kunna utföras. Uppgifter som är av betydelse för myndigheters beslutsfattande m.m. finns ofta hos fysiska eller juridiska personer. Enskilda har därför i många situationer en långtgående uppgiftsskyl- dighet till myndigheterna och i vissa fall även en skyldighet att bevara visst underlag för att möjliggöra efterhandskontroller. Exempel på detta är bl.a. avdelning VI i skatteförfarandelagen (2011:1244) som behandlar kontrolluppgifter, deklarationer och övriga uppgifter, av- delning VII i samma lag om dokumentationsskyldighet, 1 kap. 12 § tullagen (2016:253) om bevarande av uppgifter, 5 kap. tullagen som behandlar överträdelser och sanktioner vid bl.a. underlåtenhet att full- göra uppgiftsskyldighet och 4 kap.
Den information som behövs för att en myndighet ska kunna ut- föra sina uppgifter finns dock ofta hos en annan myndighet. Utläm- nande av uppgifter från en myndighet till en annan kan vara en för- utsättning för att den mottagande myndigheten ska kunna få det underlag som behövs för att kunna fatta korrekta beslut. Informa- tionsutbyte mellan myndigheter kan också bidra till att förenkla för enskilda, genom att de inte behöver förse en myndighet med uppgif- ter som redan lämnats till en annan myndighet, eller visa upp beslut som en annan myndighet redan har fattat. Möjligheten att utbyta upp- gifter utgör därför en viktig förutsättning för att myndigheter ska kunna fullgöra sina uppgifter och för en fungerande samverkan mellan myndigheter i övrigt.
896
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Offentlighetsprincipen innebär att allmänheten ska ha insyn i statens och kommunernas verksamhet. Principen kommer bl.a. till uttryck genom rätten att ta del av allmänna handlingar, som regleras i 2 kap. tryckfrihetsförordningen, TF. Genom offentlighetsprincipen ges enskilda rätt att ta del av allmänna handlingar hos Skatteverket, Tullverket och Kronofogdemyndigheten. Offentlighetsprincipen inne- fattar dock inte någon rätt för myndigheter att ta del av allmänna handlingar. Det har ändå ansetts att offentlighetsprincipen ska till- ämpas även myndigheter emellan. Det har också sedan länge ansetts vara en självklar princip att alla myndigheter är skyldiga att samarbeta och bistå varandra i den utsträckning som det kan ske.1
I 6 kap. 5 § offentlighets- och sekretesslagen (2009:400), OSL, finns en bestämmelse som i offentlighets- och sekretesshänseende be- kräftar och möjliggör den samarbetsskyldighet som föreligger mellan myndigheter. Av bestämmelsen framgår att en myndighet på begär- an av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Något krav på att den efterfrågade uppgiften ska finnas i en allmän handling finns inte.2
Skyldigheten för myndigheter att samarbeta och bistå varandra framgår även av flera andra lagar och förordningar. Exempelvis anges i 8 § förvaltningslagen (2017:900) att en myndighet inom sitt verk- samhetsområde ska samverka med andra myndigheter och i 6 § myn- dighetsförordningen (2007:515) att en myndighet ska verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet.
13.2.2Uppgiftslämnande till myndigheter
Sekretess gäller mellan myndigheter
Uppgifter som behandlas av en myndighet skyddas ofta av bestäm- melser som anger att sekretess alltid eller under vissa förutsättningar råder för uppgifterna utanför det sammanhang där de behandlas. Sekretessbestämmelser begränsar i praktiken enskildas rätt att ta del
1SOU 2003:99, Ny sekretesslag, s. 222.
2Jfr 6 kap. 4 § OSL som anger att en myndighet på begäran av en enskild ska lämna uppgift ur en allmän handling [vår kursivering] som förvaras hos myndigheten, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
897
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
av allmänna handlingar.3 Sådana bestämmelser innebär också att myn- digheter inte kan lämna ut uppgifter fritt till varandra. Om en sekre- tessbestämmelse är tillämplig för en viss uppgift gäller alltså sekre- tessen såväl i förhållande till enskilda som i förhållande till andra offentliga aktörer (och andra självständiga verksamhetsgrenar hos myndigheten).4
I avsnitten
Det förekommer dock en mängd olika situationer när en myn- dighets intresse av att ta del av en sekretessbelagd uppgift hos en annan myndighet anses väga tyngre än det intresse som sekretessen ska skydda. Generella bestämmelser som anger att en myndighet får lämna information eller att myndigheter ska samarbeta räcker dock inte för att sekretessen ska brytas.
32 kap. 2 § TF.
48 kap.
527 kap. 1 och 2 §§ OSL.
622 kap. 1 § första stycket OSL.
722 kap. 1 § andra stycket OSL och 22 kap. 1 a samt 2 §§ OSL.
827 kap.
934 kap. OSL.
898
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Generella sekretsbrytande bestämmelser
I offentlighets- och sekretesslagen finns det vissa generella sekretess- brytande bestämmelser. De sekretessbrytande bestämmelser som gäller till förmån för myndigheter och är tillämpliga på sekretess en- ligt ett stort antal sekretessbestämmelser finns samlade i kapitel 10 i OSL. Två av de mest centrala generellt sekretessbrytande bestäm- melserna är följande.
Enligt 10 kap. 2 § OSL hindrar inte sekretess att en myndighet lämnar ut en uppgift om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sitt uppdrag. Bestämmelsen ska dock tolkas restriktivt och avsikten är inte att sekretessen ska kunna brytas enbart av effektivitetsskäl. Sekretessen får i stället brytas endast om det är en nödvändig förutsättning att en sekretessbelagd uppgift läm- nas ut för att den utlämnande myndigheten ska kunna fullgöra sina uppgifter.10
Enligt den s.k. generalklausulen i 10 kap. 27 § OSL får en sekretess- belagd uppgift lämnas till en myndighet, om det är uppenbart att in- tresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. En myndighet kan lämna sekretessbelagda uppgifter till en annan myndighet med tillämpning av generalklau- sulen på eget initiativ. Det krävs alltså inte att det finns en uttrycklig begäran från en annan myndighet.11 Generalklausulen möjliggör följ- aktligen informationsutbyte mellan myndigheter av uppgifter som omfattas av sekretess även i de fall då det saknas uttryckliga sekre- tessbrytande regler. Av bestämmelsens andra stycke framgår dock att uppgifter som omfattas av viss sekretess, som hälso- och sjukvårds- sekretessen och socialtjänstsekretessen, inte kan lämnas ut med stöd av generalklausulen. En förutsättning för att generalklausulen ska vara tillämplig är dessutom att det inte finns en specialreglering av upp- giftslämnandet i fråga i annan lag eller förordning. Generalklausulen är därmed subsidiär i förhållande till andra sekretessbrytande bestäm- melser och ska inte tillämpas i ett fall där någon annan sekretess- brytande bestämmelse kan tillämpas.
Av förarbetena till bestämmelsen framgår att det inte finns något hinder mot att utbyte av uppgifter sker rutinmässigt mellan myndig- heter och mellan olika verksamhetsgrenar inom en myndighet.
10Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 465.
11Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 327.
899
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Generalklausulen bygger dock på att ett rutinmässigt uppgiftsutbyte av sekretessbelagda uppgifter som utgångspunkt är särskilt författ- ningsreglerat. Endast i undantagsfall kan rutinmässigt uppgiftsläm- nande som inte är författningsreglerat anses tillräckligt motiverat.12 Regeringen har dock i samband med senare författningsändringar gjort bedömningen att det ofta inte är lämpligt att ett omfattande utlämnande av sekretessbelagda uppgifter sker enbart med stöd av den sekretessbrytande generalklausulen.13
Uppgiftsskyldigheter
Att uppgiftsskyldighet i lag eller förordning bryter sekretess i för- hållande till andra myndigheter framgår av 10 kap. 28 § OSL. För att sekretessbelagda uppgifter ska kunna lämnas ut från en myndighet till en annan, och om utlämnandet inte kan ske med stöd av någon generellt sekretessbrytande bestämmelse, måste det alltså föreligga en skyldighet i lag eller förordning att lämna ut uppgifterna. Något hinder mot att regeringen genom bestämmelser i en förordning med- ger att annars sekretessbelagda uppgifter lämnas mellan myndigheterna finns inte. För att en bestämmelse om uppgiftsskyldighet ska ha sekre- tessbrytande effekt krävs antingen att den föreskriver en skyldighet för en myndighet att lämna ut uppgifter till en annan myndighet eller att den föreskriver en rätt för en myndighet att ta del av uppgifter hos en annan myndighet.14
För att myndigheter ska få tillgång till den information de behö- ver för att utföra sina uppgifter, men som förvaras hos en annan myn- dighet, kan det krävas en särskild sekretessbrytande bestämmelse om uppgiftsskyldighet. Det finns ett stort antal bestämmelser som bryter sekretess mellan myndigheter, bl.a. i de nuvarande register- förordningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten. Vissa bestämmelser med den innebör- den finns även i registerförordningarna som är tillämpliga i Skatte- verkets folkbokföringsverksamhet och
12Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 327.
13Se t.ex. prop. 2015/16:65 Utlänningslag, s. 94 och prop. 2016/17:58 Uppgifter på individnivå i arbetsgivardeklarationen, s. 126.
14Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 71.
900
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
exempelvis lagen (2008:206) om underrättelseskyldighet vid felak- tiga utbetalningar från välfärdssystemen. Sekretessbrytande bestäm- melser kan även finnas i materiell reglering. Exempelvis föreskrivs i 42 a kap. 1 § skatteförfarandelagen (2011:1244), SFL, att uppgifter som en myndighet förfogar över och som behövs för kontroll eller be- slut enligt den lagen på Skatteverkets begäran ska lämnas till verket.
Uppgiftslämnande till utländsk myndighet
En svensk myndighet har i princip inte någon skyldighet att lämna uppgifter till utländsk myndighet eller en mellanfolklig organisation, oavsett om uppgifterna är sekretessbelagda eller inte, om inte en så- dan uppgiftsskyldighet är särskilt föreskriven.15 När det gäller utländ- ska myndigheter föreskrivs dock normalt sett inte uppgiftsskyldig- het utan att uppgifter får lämnas ut under vissa förutsättningar.16
En uppgift för vilken sekretess gäller får följaktligen inte lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnandet sker i enlighet med en särskild bestämmelse i för- fattning. Utlämnande får dock även ske om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas ut.17
13.2.3Uppgiftslämnande till enskilda
Om sekretess gäller för uppgifter som finns hos en myndighet, dvs. också för sådana uppgifter som finns i Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverkets verksamhet eller Kronofogdemyndighetens verksamhet, kan sekretessen brytas i för- hållande till en annan myndighet genom en bestämmelse om upp- giftsskyldighet i en annan lag än offentlighets- och sekretesslagen
15Konstitutionsutskottets betänkande 1982/83: 12, om ändringar sekretesslagen (1980:100), s. 36.
16Prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform,
178 kap. 3 § OSL.
18Prop. 1999/2000:126, En ny tullag, s. 272 och 283.
901
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
eller i förordning (10 kap. 28 § OSL). Detsamma gäller dock inte för utlämnande till enskilda.
För enskilda, dvs. fysiska eller juridiska personer utanför den offentliga förvaltningen, gäller i stället att sekretessen enbart kan brytas genom bestämmelse i offentlighets- och sekretesslagen, eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till, vilket framgår av 8 kap. 1 § OSL. Sekretess till skydd för en en- skild gäller dock som utgångspunkt inte i förhållande till den en- skilde själv (12 kap. 1 § OSL).
Av 27 kap. 7 § OSL följer att vissa sekretessbestämmelser som gäller inom Skatteverkets beskattningsverksamhet (bl.a. avseende upp- gifter i beskattningsdatabasen) inte hindrar att uppgift lämnas till en enskild enligt vad som föreskrivs i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabas- lagen (SdbL). Av samma lagrum framgår även att de sekretessbestäm- melser som gäller inom Tullverkets verksamhet inte hindrar att upp- gift lämnas till en enskild enligt vad som föreskrivs i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tull- databasförordningen (TDF). De bestämmelser i skattedatabaslagen respektive tulldatabasförordningen som särskilt avser uppgiftsläm- nande till enskilda bryter alltså förekommande sekretess.19 Bestämmel- ser om utlämnande till enskilda som finns i andra författningar är inte i sig sekretessbrytande. Det sagda gäller exempelvis bestämmelserna om utlämnande till enskilda på medium för automatiserad behand- ling som finns i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF) och lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL).
Ioffentlighets- och sekretesslagen hänvisas inte till Kronofogde- myndighetens registerförfattningar. Bestämmelser som rör utlämnande till enskilda och som finns i lagen (2001:184) om behandling av upp- gifter i Kronofogdemyndighetens verksamhet, kronofogdedatabas- lagen (KFMdbL) och förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedata- basförordningen (KFMdbF), har därmed inte en sekretessbrytande verkan.
I offentlighets- och sekretesslagen hänvisas inte heller till register- författningarna för folkbokföringsverksamheten. Följaktligen finns
192 kap. 5 § SdbL och 7 § TDF.
902
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
det inga bestämmelser i lagen (2001:182) om behandling av person- uppgifter i Skatteverkets folkbokföringsverksamhet, folkbokförings- databaslagen (FdbL), eller förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folk- bokföringsdatabasförordningen (FdbF), som bryter eventuell sekre- tess i förhållande till enskilda.
13.2.4Uppgiftslämnande och den allmänna dataskyddsregleringen
I avsnitt 3.2.5 har vi redogjort för de grundläggande principerna för behandling av personuppgifter enligt EU:s dataskyddsförordning20 och den allmänna dataskyddsregleringen i övrigt. Hantering i form av överföring och mottagande av personuppgifter som aktualiseras vid olika informationsutbyten är en form av behandling enligt data- skyddsförordningen. Den allmänna dataskyddsregleringen är därför tillämplig vid sådant informationsutbyte mellan myndigheter, eller mellan myndigheter och enskilda, som inbegriper personuppgifter.21 Det innebär bl.a. att det måste finnas en rättslig grund för den be- handling som informationsutbytet innebär, att utbytet inte får avse fler uppgifter än vad som är nödvändigt med hänsyn till ändamålet och att tekniska och organisatoriska åtgärder ska vidtas för att minska de risker för den personliga integriteten som behandlingen innebär. För att uppgifter ska få utbytas krävs dock inte bara att informa- tionsutbytet sker i enlighet med gällande regelverk om dataskydd. Som framgår i avsnitten ovan måste det även vara förenligt med tillämp- liga bestämmelser om sekretess. De sekretessbrytande bestämmelser som anger att uppgifter får eller ska lämnas ut utgör en rättslig grund för behandling av personuppgifter genom utlämnande.
Uppgiftslämnande och finalitetsprincipen
Ett uppgiftslämnande från en myndighet till en annan, eller till en en- skild, utgör i normalfallet en vidarebehandling av tidigare insamlade uppgifter. Vidarebehandlingen sker i dessa fall ofta för andra ändamål
20Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
21Artiklarna 2.1 och 4.2 i dataskyddsförordningen.
903
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
än de för vilka de ursprungligen samlades in, se avsnitt 8.4.4 om s.k. sekundära ändamål och avsnitt 13.3.1 nedan. Ett utlämnande aktua- liserar därför den s.k. finalitetsprincipen. Finalitetsprincipen kommer till uttryck i dataskyddsförordningen genom att det i artikel 5.1 b anges att personuppgifter ska samlas in för särskilda, uttryckligt an- givna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Principen innebär att om en tilltänkt behandling av redan insamlade personuppgifter inte omfat- tas av de ursprungliga ändamålen måste det göras en bedömning av om ändamålet med den senare behandlingen är förenligt med de ur- sprungliga ändamålen. Vid vidarebehandling av personuppgifter där det tillkommande ändamålet är förenligt med insamlingsändamålen krävs inte någon annan separat rättslig grund än den som möjlig- gjorde insamlingen av uppgifter från första början, vilket framgår av skäl 50 till dataskyddsförordningen (se avsnitt 8.4.6). Det innebär att om den tillkommande behandlingen är förenlig med insamlings- ändamålet vilar den på samma rättsliga grund som insamlandet gjorde.
I dataskyddsförordningen föreskrivs det i artikel 6.4 hur pröv- ningen av om en vidarebehandling är förenligt med insamlingsända- målet som utgångspunkt ska gå till. Vid prövningen ska bl.a. kopp- lingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen beaktas. Det sammanhang inom vilket personuppgifterna har samlats in, sär- skilt förhållandet mellan de registrerade och den personuppgifts- ansvarige, samt personuppgifternas art, är också förhållanden som ska beaktas. I enlighet med den s.k. ansvarsprincipen, som framgår av artikel 5.2 i dataskyddsförordningen, är det den personuppgiftsansvar- iga som ska göra prövningen.
För viss personuppgiftsbehandling som i huvudsak myndigheter utför finns dock särskilda bestämmelser. Om en vidarebehandling är nödvändig för att fullgöra en uppgift av allmänt intresse, eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan medlemsstaternas nationella rätt fast- ställa för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Om behandlingen grundar sig på unions- rätten eller på medlemsstaternas nationella rätt som utgör en nödvän- dig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den per- sonuppgiftsansvarige dessutom tillåtas att behandla personuppgif-
904
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
terna ytterligare, oavsett om detta är förenligt med ändamålen eller inte (skäl 50 till dataskyddsförordningen). Dataskyddsförordningen ger därmed utrymme för att i nationell rätt föreskriva att ytterligare behandling av personuppgifter får ske, även om den ytterligare be- handlingen inte är förenlig med det ändamål för vilket uppgifterna samlades in. Lagbestämmelser som innebär att uppgifter som har sam- lats in för ett ändamål får eller ska behandlas för ett annat ändamål kan i vissa fall utgöra en tillämpning av finalitetsprincipen, dvs. reger- ingen och riksdagen har gjort bedömningen att behandlingen är för- enlig med den principen. I andra fall kan befintliga lagbestämmelser anses utgöra undantag från finalitetsprincipen.22
I förarbetena till brottsdatalagen (2018:1177) har frågan om hur bestämmelser om uppgiftsskyldighet förhåller sig till behandling av personuppgifter för nya ändamål behandlats. Regeringen uttalade då att när det i lag eller förordning föreskrivs att uppgifter ska lämnas har lagstiftaren tagit ställning till att det dels är så viktigt att det ska införas en skyldighet att lämna information, dels att eventuell sekre- tess ska brytas. Enligt regeringen fick lagstiftaren då också anses ha tagit ställning till att uppgiftslämnandet är nödvändigt och propor- tionerligt. I sådana fall ansåg regeringen att det inte behövde göras en prövning av om behandlingen av personuppgifterna för det nya ändamålet är nödvändig och proportionerlig.23
I rättsfallet HFD 2021 ref. 10 ansåg Högsta förvaltningsdomstolen att samma synsätt som regeringen gett uttryck för i förarbetena till brottsdatalagen borde anläggas beträffande förhållandet mellan 6 kap. 5 § OSL (se avsnitt 13.2.1 ovan) och finalitetsprincipen enligt EU:s dataskyddsförordning. Domstolen konstaterade att genom sekretess- bestämmelser hindras myndigheter från att lämna bl.a. integritetskäns- liga uppgifter till andra myndigheter. Domstolen ansåg att lagstiftaren härigenom får anses ha tagit ställning till när ett uppgiftslämnande är oförenligt med det eller de ändamål för vilka uppgifterna samlades in. Av rättsfallet framgår dessutom att den personuppgiftsansvariga myndigheten, utöver sekretessprövningen, inte ska göra någon kon- troll av förenligheten med finalitetsprincipen i samband med läm- nande av uppgifter enligt 6 kap. 5 § OSL.
22Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 48.
23Prop. 2017/18:232, Brottsdatalag, s. 138.
905
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
13.3Bestämmelser om uppgiftslämnande i registerförfattningarna
13.3.1Bakgrund till nuvarande reglering
De befintliga registerförfattningarna för Skatteverkets beskattnings- verksamhet, Tullverket och Kronofogdemyndigheten är i vissa delar tillämpliga även vid behandling av uppgifter om juridiska personer. Detta framgår av 1 kap. 1 § SdbL, 1 kap. 1 § TDL och 1 kap. 1 § KFMdbL. Regeringen angav i förarbetena att skälet till detta bl.a. var att det i många fall annars skulle bli svårt att skilja uppgifter om juri- diska personer från uppgifter om deras delägare eller ställföreträdare, genom den ökande användningen av elektroniska akter och elektro- niska dokument. Detta medförde enligt regeringen att framför allt elektroniska handlingar som gällde juridiska personer måste behand- las på samma sätt som de som gäller fysiska personer. Möjligheten att lämna ut uppgifter om juridiska personer automatiserat borde därför enligt regeringen regleras på samma sätt som uppgifter om fysiska personer, även om flertalet uppgifter omfattades av sekretess.24
Enligt regeringen borde vidare de grundläggande principerna för att skydda den enskildes integritet regleras i lag medan frågor som inte var centrala från integritetssynpunkt i stället borde regleras i för- ordning.25 Genom en uppdelning i primära och sekundära ändamål (se avsnitt 8.3.1) skulle det dock bli tydligt hur uppgifterna skulle få användas i den egna verksamheten och hur de skulle få lämnas ut till andra. De sekundära ändamålen borde enligt regeringen regleras i lag i de fall det gick att förutse att informationen regelmässigt skulle komma att användas av andra myndigheter eller i annan författnings- reglerad verksamhet. En uppräkning av sekundära ändamål skulle dock inte kunna bli uttömmande, eftersom det inte bedömdes vara möjligt att förutse samtliga de situationer då uppgifter kunde komma att lämnas ut till myndigheter eller andra för olika ändamål.26
Regeringen konstaterade vidare att dåvarande sekretesslagens27 regler byggde på att rutinmässigt utlämnande av uppgifter i regel skulle vara författningsreglerat. Enligt regeringens mening borde rutinmäs-
24Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86.
25Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 84.
26Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
27Sekretesslagen (1980:100) upphörde att gälla 2009 i samband med att offentlighets- och sekretesslagen trädde i kraft.
906
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
sigt utlämnande även i fortsättningen vara författningsreglerat och sekretessbrytande bestämmelser skulle tas in i förordning.28
I registerlagarna finns dock sedan tillkomsten vissa bestämmelser som reglerar utlämnande genom direktåtkomst som inte i sig är sekre- tessbrytande, se avsnitt 11.2.2 och avsnitt 13.3.2 nedan. Sekretess- brytande bestämmelser som möjliggör utlämnandet till andra myn- digheter i sak, oavsett form, finns dock sedan registerförfattningarnas tillkomst i registerförordningarna. I registerförordningarna, särskilt för beskattningsverksamheten, finns dag fler bestämmelser om upp- giftsskyldighet till andra myndigheter än vid deras tillkomst. Det har alltså tillkommit flera situationer där en annan myndighets intresse av att ta del av en sekretessbelagd uppgift bedömts väga tyngre än det intresse sekretessen ska skydda.
Vad gäller uppgiftslämnande till enskilda finns det i dag enbart två sådana sekretessbrytande bestämmelser i de författningar som omfattas av vårt uppdrag, en för beskattningsverksamheten och en för Tullverket, se avsnitt 13.2.3 ovan. Bestämmelsen som gäller uppgifts- lämnande till enskilda från Skatteverkets beskattningsverksamhet,
2kap. 5 § SdbL, har funnits sedan registerlagens tillkomst. Bestämmel- sen anger vilka uppgifter i beskattningsverksamheten som får lämnas ut till en enskild, dock enbart om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon närstående lider men om uppgiften röjs. Den motsvarar i huvudsak 16 § i den upphävda skatteregisterlagen (1980:343).29 I likhet med nuvarande be- stämmelse om uppgiftslämnande till enskilda var också bestämmelsen i skatteregisterlagen förenad med en s.k. menprövning. Av förarbetena till bestämmelsen i skatteregisterlagen framgår att den ursprungligen syftade till att på ett enkelt sätt tillgodose arbetsgivares behov av in- formation från skatteregistret, bl.a. om arbetstagarnas personnum- mer och adresser. Praktiska skäl motiverade dock att uppgifterna även skulle kunna lämnas ut till andra enskilda än arbetsgivare. Uppgif- terna bedömdes dessutom inte vara av integritetskänslig natur och menprövningen utformades därför efter den sekretess som skulle gälla för motsvarande uppgifter i folkbokföringsverksamheten.30
Den sekretessbrytande bestämmelse som avser uppgiftslämnande till enskilda från tulldatabasen kom till i sin nuvarande form som en
28Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 112.
29Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 202.
30Prop. 1979/80:146, med förslag till skatteregisterlag, s. 23.
907
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
följd av tullkodexens31 krav på tullmyndigheterna att kommunicera elektroniskt.32 Bestämmelsen i 7 § tredje stycket TDF avser utläm- nande genom direktåtkomst bl.a. i den mån uppgifterna behövs hos mottagaren för att uppfylla åtgärder, formaliteter eller förpliktelser som föreligger i tullagstiftningen. I förarbetena bedömde regeringen att det dels inte rörde uppgifter som var särskilt integritetskänsliga, dels inte var fråga om att nya eller fler uppgifter skulle lämnas ut, eller att fler aktörer skulle få del av uppgifterna. Eftersom uppgifterna skulle börja lämnas ut genom direktåtkomst krävdes dock enligt reger- ingen en ny sekretessbrytande bestämmelse.33
13.3.2Uppgiftslämnande till andra myndigheter genom direktåtkomst
Särskilda sekretessbrytande bestämmelser avseende utlämnandeform
De befintliga registerförfattningarna har sedan tillkomsten innehållit en särskild form av bestämmelser som avser utlämnande genom direktåtkomst. I avsnitt 11.2.2 har vi redogjort för vad som särskiljer utlämnande genom direktåtkomst från andra former av elektroniskt utlämnande, primärt i förhållande till andra myndigheter. Direkt- åtkomst kan medges till uppgifter som är offentliga som utgångs- punkt, och då krävs ingen sekretessbrytande bestämmelse för att göra uppgifterna tillgängliga på detta sätt. Det är dock vanligt att en direkt- åtkomst omfattar sekretessreglerade uppgifter. Sammanfattningsvis innebär utlämnande genom direktåtkomst av sekretessbelagda upp- gifter att samtliga uppgifter som den sekretessbrytande bestämmel- sen avser görs tekniskt tillgängliga i samband med att anslutningen upprättas, utan att någon ytterligare prövning sker i samband med att den mottagande aktören hämtar in uppgifter. Direktåtkomst inne- bär också att samtliga uppgifter som omfattas anses utlämnade i tryck- frihetsförordningens mening, och uppgifterna anses därmed förvar- ade även hos den mottagande myndigheten. Den sekretessbrytande uppgiftsskyldigheten måste vara formulerad så att den omfattar alla de uppgifter som är tekniskt tillgängliga för den mottagande myndig-
31Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen, se även avsnitten 4.2 och 11.6. 4.
32Prop. 2015/16:175, Unionstullkodexen och elektroniskt uppgiftslämnande, s. 35.
33Prop. 2015/16:175, Unionstullkodexen och elektroniskt uppgiftslämnande, s.
908
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
heten när direktåtkomsten är aktiv.34 För att direktåtkomst ska kunna aktualiseras krävs alltså att den sekretessbrytande bestämmelsen är brett formulerad.
I registerlagarna anges i vilka fall direktåtkomst är tillåtet, se 2 kap.
I vilka fall direktåtkomst får förekomma regleras i registerlagarna oavsett om uppgiftslämnandet rör uppgifter som är sekretessbelagda eller inte, och oavsett om den sekretessbrytande bestämmelsen finns i registerförordningen eller i annan författning.35 I Skatteverkets folk- bokföringsverksamhet är utgångspunkten exempelvis att uppgifterna är offentliga, varför sekretessbrytande bestämmelser inte är nödvän- diga för att möjliggöra direktåtkomst. Även i registerlagen för folk- bokföringsverksamheten finns dock en bestämmelse med innebör- den att andra myndigheter får medges direktåtkomst till uppgifter i folkbokföringsdatabasen.
Särskilt om sekretessbrytande bestämmelser om direktåtkomst i Skatteverkets beskattningsverksamhet
I regleringen av Skatteverkets uppgiftsskyldighet till andra myndig- heter finns en särskild systematik avseende direktåtkomst som inte finns i regleringen av myndigheters direktåtkomst till uppgifter hos Tullverket36 och Kronofogdemyndigheten. Den särskilda regleringen har funnits sedan millennieskiftet och har vidhållits i senare lagstift-
34Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 71.
35Behöriga myndigheter i annat land inom EU får enligt unionsrättsliga bestämmelser ha direktåtkomst till uppgifter om mervärdesskatt i beskattningsdatabasen. I 17 § SdbF finns en upplysningsbestämmelse med motsvarande innebörd. Någon bestämmelse i skattedatabas- lagen som medger att utländska behöriga myndigheter har direktåtkomst till uppgifterna som avses finns dock inte.
36För Tullverkets del finns dock särskilda bestämmelser om direktåtkomst för enskilda, se avsnitten 13.3.5 och 13.7.2 nedan.
909
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
ningsärenden avseende utlämnande från beskattningsverksamheten.37 För beskattningsverksamheten kompletteras den bestämmelse i skatte- databaslagen som tillåter direktåtkomst i de flesta fall av en sekretess- brytande bestämmelse i skattedatabasförordningen som uttryckligen reglerar utlämnande genom direktåtkomst.38 I samtliga dessa fall finns även en generellt sekretessbrytande bestämmelse i förordningen som avser samma uppgifter som bestämmelsen om direktåtkomsten avser. Den generella sekretessbrytande bestämmelsen reglerar inte formen för utlämnandet, utan anger enbart att uppgifterna som avses över huvud taget får lämnas ut. Ofta kombineras den generella sekretess- brytande bestämmelsen med angivande av de förutsättningar som ska föreligga hos den mottagande myndigheten för att utlämnandet ska få ske, typiskt sett att uppgifterna behövs i viss verksamhet där.
Ett exempel som åskådliggör skillnaden mellan sekretessbrytande bestämmelser som inte rör formen för utlämnande och sekretess- brytande bestämmelser som införts för att möjliggöra direktåtkomst finns i bestämmelsen som avser Skatteverkets uppgiftsskyldighet till Migrationsverket avseende uppgifter på individnivå i arbetsgivardekla- rationen. I registerlagens bestämmelse om direktåtkomst, 2 kap. 8 b § SdbL, anges följande.
Migrationsverket får ha direktåtkomst till uppgifter i beskattningsdata- basen, om uppgifterna behövs i ett ärende om dagersättning åt asylsök- ande enligt lagen (1994:137) om mottagande av asylsökande m.fl.
Direktåtkomsten får endast omfatta
1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfar- andelagen (2011:1244),
2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och
3.uppgift om den redovisningsperiod som deklarationen avser.
Eftersom den bestämmelsen endast reglerar att direktåtkomst till de angivna uppgifterna över huvud taget får förekomma, och inte före- skriver en skyldighet för Skatteverket att lämna ut uppgifterna, krävs en kompletterande sekretessbrytande bestämmelse för att bryta den sekretess som gäller för uppgifter. Som nämnts i avsnitt 13.2.2 måste
37Se bl.a. prop. 2000/01:33, Behandling av uppgifter inom skatt, tull och exekution, s. 112 och
38För socialnämnderna, som har rätt att ta del av vissa uppgifter i beskattningsdatabasen via direktåtkomst, finns de sekretessbrytande bestämmelserna i andra författningar än i skatte- databasförordningen.
910
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
det nämligen föreligga en skyldighet att lämna ut uppgifterna för att sekretess ska brytas enligt 10 kap. 28 § OSL.
Beskattningsverksamhetens uppgiftsskyldighet i fråga om direkt- åtkomst regleras i 8 b § tredje stycket SdbF. Den aktuella bestäm- melsen i sin helhet har dock följande lydelse.
Till Migrationsverket ska uppgifter lämnas ut från beskattningsdatabasen i den utsträckning det behövs för beräkning eller kontroll av dagersätt- ning enligt lagen (1994:137) om mottagande av asylsökande m.fl.
De uppgifter som ska lämnas ut med stöd av första stycket är
1.uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfar- andelagen (2011:1244),
2.identifikationsuppgifter för den uppgiftsskyldige och betalnings- mottagaren, och
3.uppgift om den redovisningsperiod som deklarationen avser.
Migrationsverket har rätt att ta del av uppgifterna vid direktåtkomst till beskattningsdatabasen enligt 2 kap. 8 b § lagen (2001:181) om be- handling av uppgifter i Skatteverkets beskattningsverksamhet.
Den sekretessbrytande bestämmelsen avseende direktåtkomst finns i 8 b § tredje stycket SdbF. Den generella sekretessbrytande bestäm- melsen, som möjliggör utlämnande i annan form än genom direkt- åtkomst, finns i 8 b § första stycket SdbF. Bestämmelsens andra stycke, som specificerar de uppgifter som avses, gäller följaktligen både för den generella och den särskilda sekretessbrytande bestämmelsen.
I förarbetena till 2 kap. 8 b § SdbL och de sekretessbrytande be- stämmelserna i 8 b § SdbF bedömde regeringen att två former av sekretessbrytande bestämmelser borde införas beroende på formen för utlämnande av uppgifter, i syfte att åstadkomma ett så starkt integ- ritetsskydd som möjligt. Eftersom direktåtkomst förutsätter en vidare sekretessbrytande bestämmelse borde enligt regeringen en särskild bestämmelse gälla för sådant utlämnande. Den bestämmelsen skulle ge Migrationsverket rätt att ta del av den aktuella typen av uppgifter vid direktåtkomst. Regeringen bedömde dock även att en annan sekre- tessbrytande bestämmelse borde införas för andra former av utläm- nande. En sådan bestämmelse borde enligt regeringen ta sikte på upp- gifter som i enskilda fall behövs för handläggningen av ärenden om dagersättning.39
39Prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 137.
911
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Regeringen har även i ett tidigare lagstiftningsärende avseende Kronofogdemyndighetens direktåtkomst till vissa uppgifter i beskatt- ningsdatabasen bedömt att integritetsskyddet blir starkare om det på lag- eller förordningsnivå tas in två olika typer av sekretessbrytande bestämmelser beroende på formen för utlämnande av uppgifter. Det rörde sig då dels om en sekretessbrytande bestämmelse som tog sikte på uppgiftslämnande i enskilda fall och som kunde användas vid ut- lämnande av uppgifter t.ex. via telefon eller mejl, dels en vidare sekretessbrytande bestämmelse som bara gällde vid direktåtkomst.40
13.3.3Uppgiftslämnande från Skatteverkets beskattningsverksamhet
Uppgiftslämnande till enskilda
I registerförfattningarna för Skatteverkets beskattningsverksamhet finns flera bestämmelser som reglerar olika former av elektroniskt utlämnande av uppgifter från beskattningsdatabasen. Bestämmelser om olika former av elektroniskt utlämnande till enskilda finns dock i skattedatabasförordningen och är inte sekretessbrytande i sig, se av- snitt 13.2.3.41 I 2 kap. 5 § SdbL finns i stället den bestämmelse som bryter sekretess i förhållande till andra enskilda än den enskilde själv. Av bestämmelsen framgår att vissa uppgifter i databasen får lämnas ut till en enskild, om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon närstående lider men om upp- giften röjs.
Det finns dock en sekretessbrytande bestämmelse som avser upp- giftslämnande till enskilda även i skattedatabasförordningen. I 8 d § SdbF anges nämligen att uppgifter ska lämnas från databasen till arbets- löshetskassorna i den utsträckning det behövs för beräkning eller kontroll av arbetslöshetsersättning. Som framgår av avsnitt 13.2.3 nämns inte skattedatabasförordningen i 27 kap. 7 § OSL. Bestämmel- sen om uppgiftsskyldighet i förhållande till arbetslöshetskassorna är dock sekretessbrytande trots att den inte förekommer i en författ- ning som det hänvisas till i offentlighets- och sekretesslagen. Arbetslös- hetskassor är visserligen inte myndigheter, men deras handläggning av arbetslöshetsförsäkringen utgör myndighetsutövning. I samband
40Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 21.
41
912
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
med att den sekretessbrytande bestämmelsen i skattedatabasförord- ningen infördes konstaterade regeringen att av 2 kap. 4 § jämfört med 1 kap. 1 § OSL och den lagens bilaga framgår att arbetslöshetskas- sornas prövning av ärenden om arbetslöshetsersättning omfattas av offentlighetsprincipen och att de beträffande den verksamheten ska betraktas som myndigheter.42 Sekretess kan därmed brytas i förhål- lande till arbetslöshetskassor genom en författningsreglerad uppgifts- skyldighet, i likhet med vad som gäller för myndigheter.
Uppgiftslämnande till myndigheter och andra verksamhetsgrenar
I skattedatabasförordningen finns ett stort antal sekretessbrytande bestämmelser till förmån för andra myndigheter, och andra själv- ständiga verksamhetsgrenar inom Skatteverket.43 Bestämmelser som särskilt avser direktåtkomst har behandlats i avsnitt 13.3.2. Utöver de bestämmelser som särskilt avser utlämnande genom direktåtkomst finns det i dag en stor variation i hur bestämmelser som föreskriver att uppgifter ska lämnas ut är utformade.
Utlämnande av uppgifter på begäran
De sekretessbrytande bestämmelserna i skattedatabasförordningen föreskriver i de flesta fall att uppgifter ska lämnas ut på begäran av en särskild myndighet eller verksamhetsgren. Det är bestämmelserna som avser uppgiftslämnande till Skatteverkets brottsbekämpande verksamhet, Skatteverkets folkbokföringsverksamhet, Skatteverkets verksamhet för evenemangsstöd, Kronofogdemyndigheten, Tull- verket, Centrala studiestödsnämnden, Inspektionen för socialförsäk- ringen, Polismyndigheten, Statistiska centralbyrån, Tillväxtverket, länsstyrelserna, Inspektionen för vård och omsorg, Myndigheten för tillväxtpolitiska utvärderingar och analyser, Kammarkollegiet, Eko- brottsmyndigheten, Kustbevakningen, Polismyndigheten, Säkerhets- polisen, Åklagarmyndigheten, allmänna domstolar, Rättshjälps- myndigheten och Rättshjälpsnämnden.
Till Kronofogdemyndigheten ska vissa grunduppgifter om en en- skild lämnas ut på begäran, utan närmare angivande av förutsättning-
42Prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 143.
43
913
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
arna för utlämnandet.44 Skatteverket ska även lämna ut ytterligare uppgifter om en person som förekommer hos Kronofogdemyndig- heten i vissa angivna sammanhang.45 Något uttryckligt krav på att de angivna uppgifterna ska behövas hos mottagaren finns dock inte i de sekretessbrytande bestämmelserna avseende uppgiftslämnande till Kronofogdemyndigheten.
Även till Tullverket ska vissa grunduppgifter lämnas ut på begäran utan närmare angivande av de närmare förutsättningarna för utläm- nandet.46 Skatteverket ska även lämna ut ytterligare uppgifter om en person som på olika sätt är aktuell hos Tullverket, är eller kan antas vara skattskyldig enligt vissa bestämmelser, eller som förekommer i ett särskilt angivet unionsrättsligt administrativt samarbete i fråga om punktskatter.47 Något uttryckligt krav på att uppgifterna ska behö- vas hos mottagaren finns alltså inte heller i de sekretessbrytande bestämmelserna avseende uppgiftslämnande till Tullverket.
Utöver föreskrivet uppgiftslämnande till Kronofogdemyndigheten och Tullverket anger bestämmelserna om utlämnande på begäran att utlämnande endast ska ske i den utsträckning uppgifterna behövs, eller ibland uttryckt som uppgifter som den mottagande myndig- heten behöver, för vissa angivna verksamheter eller arbetsuppgifter.48 I dessa fall föreligger ett krav på att den mottagande myndigheten ska ha ett behov av uppgifterna.
Utlämnande av uppgifter i den uträckning det behövs
I vissa fall är de sekretessbrytande bestämmelserna formulerade utan att ange att utlämnandet ska ske på begäran. I dessa fall anges enbart att uppgifter ska lämnas ut från beskattningsdatabasen i den uträck- ning det behövs för särskilt angiven verksamhet hos den mottagande myndigheten. Det är bestämmelserna som avser uppgiftslämnande till Statens tjänstepensionsverk, Pensionsmyndigheten, Arbetsförmed- lingen, samt den i avsnittet ovan nämnda bestämmelsen om upp- giftslämnande till arbetslöshetskassorna.49
444 § första stycket, första meningen SdbF.
454 § första stycket, andra meningen SdbF.
465 a § SdbF.
475 § första stycket SdbF.
485
497 a, 7 c och 8 c– 8 d §§ SdbF.
914
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Utlämnande av uppgifter både på begäran och/eller i den utsträckning det behövs
I bestämmelser som avser uppgiftslämnande till Försäkringskassan och Migrationsverket förekommer båda varianterna, dvs. bestäm- melserna anger i vissa fall att uppgifter ska lämnas ut på begäran i kombination med i den utsträckning det behövs. I andra fall anges enbart att uppgifter ska lämnas ut i den utsträckning det behövs för viss angiven verksamhet hos den mottagande myndigheten.50
De uppgifter som avses
Även i frågan om vilka uppgifter som ska lämnas ut är de sekretess- brytande bestämmelserna i skattedatabasförordningen olika utfor- made. I flera fall hänvisas till en eller flera punkter i den uppräkning i 2 kap. 3 § SdbL över vilka uppgifter som i dag får behandlas i be- skattningsdatabasen.51
I andra fall specificeras uppgifterna som ska lämnas ut genom ett uttryckligt angivande av de uppgifter som avses, eller genom hän- visningar till bestämmelser i andra författningar eller bestämmelser i skattedatabasförordningen.52
Till Inspektionen för socialförsäkringen (ISF) ska uppgifter läm- nas ut på begäran utan angivande av annat än att uppgifterna ska be- hövas för den myndighetens systemtillsyn och effektivitetsgransk- ning enligt vissa bestämmelser i ISF:s instruktion.53 De bestämmelser som den sekretessbrytande bestämmelsen hänvisar till anger dock inte närmare vilka uppgifter som avses.54 Inte heller i bestämmelsen om visst föreskrivet uppgiftslämnande till Polismyndigheten anges närmare vilka uppgifter som avses, utan enbart att uppgifterna ska be- hövas i viss verksamhet.55
Som vi nämnt ovan är bestämmelserna som avser Skatteverkets utlämnande till Tullverket och Kronofogdemyndigheten utformade på ett sådant sätt att de uppgifter som ska lämnas ut också avgränsas
507 § första och fjärde stycket samt 8 a och 8 b §§ SdbF.
51
52
537 b § SdbF.
542 § 3 och 3 § förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen.
557 b och 7 d §§ SdbF.
915
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
genom att de bara får avse personer som är aktuella i vissa samman- hang hos mottagaren.56
Bestämmelsernas struktur i övrigt
Även i andra avseenden än de som nämnts ovan finns skillnader mellan hur olika bestämmelser utformats.
Bestämmelser om uppgiftslämnande till en och samma myndighet finns i vissa fall på olika ställen, beroende på för vilket behov upp- gifterna ska lämnas ut. Detta gäller för utlämnande till Tullverket, Polis- myndigheten och Statistiska centralbyrån.57
I vissa fall anges att vissa uppgifter ska lämnas ut, och därefter vilka behov som måste föreligga för att så ska ske.58 I andra fall anges först vilka behov som måste föreligga för att ett utlämnande ska få ske, och därefter vilka uppgifter som ska lämnas ut.59
13.3.4Uppgiftslämnande från Skatteverkets folkbokföringsverksamhet
Uppgiftslämnande till enskilda och nordiska registreringsmyndigheter
Uppgiftslämnande till enskilda
Som redan nämnts är uppgifter som registreras i folkbokföringsdata- basen som utgångspunkt offentliga. Inom folkbokföringsverksam- heten kan vissa uppgifter ändå vara sekretessbelagda, se avsnitt 3.3.4.
I folkbokföringsdatabasförordningen föreskrivs i vilka situationer Skatteverket får lämna uppgifter till enskilda på s.k. medium för auto- matiserad behandling (se avsnitt 11.2.3).60 Det finns även bestämmel- ser om enskildas direktåtkomst.61 Som redan påpekats hänvisar inte offentlighets- och sekretesslagen till folkbokföringsdatabasförord- ningen. Det innebär att bestämmelserna om när olika former av elek- troniskt utlämnande får användas inte är sekretessbrytande. Den
564 och 5 §§ SdbF.
575, 5 a, 7 d, 8, 8 e och 8 l §§ SdbF.
58Jfr t.ex. 8 g § SdbF.
59Jfr t.ex. 7 § SdbF.
60
6116 och 17 §§ FdbF.
916
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
sekretess som i vissa fall kan gälla för uppgifter i folkbokförings- verksamheten påverkas alltså inte av bestämmelserna om i vilka fall uppgifter får lämnas ut elektroniskt till enskilda.
I folkbokföringsdatabasförordningen finns dock en bestämmelse om utlämnande på medium för automatiserad behandling som, trots att den inte är sekretessbrytande, fyller en särskild funktion utöver att reglera formen för utlämnandet. Som utgångspunkt ska enskilda hänvisas till Statens personadressregister, SPAR, när personuppgif- ter begärs ut för kontroll- eller urvalsändamål. Detta framgår av 6 § lagen (1998:527) om det statliga personadressregistret,
Uppgiftslämnande till utländska myndigheter
Som nämnts tidigare har en svensk myndighet i princip inte någon skyldighet att lämna uppgifter till utländsk myndighet eller en mellan- folklig organisation, oavsett om uppgifterna är sekretessbelagda eller inte, om inte en sådan uppgiftsskyldighet är särskilt föreskriven.62
Av artikel 4 i bilagan till lagen (2005:268) om överenskommelse mellan Danmark, Finland, Island, Norge och Sverige om folkbok- föring framgår att visst uppgiftslämnande ska ske mellan de centrala registreringsmyndigheterna i fråga om folkbokföring, men enbart i den utsträckning uppgifterna kan antas vara nödvändiga för bedöm- ningen av bosättningsfrågan, eller om det är fråga om att underrätta om de beslut som fattas.
Av 14 § FdbF framgår att uppgifter om en nordisk medborgare som är folkbokförd i Sverige får lämnas till central registrerings- myndighet för folkbokföring i det nordiska land personen är med- borgare i för de ändamål som anges i 1 kap. 4 § 5 och 6 FdbL, dvs. kontroll- och urvalsändamål. I likhet med bestämmelsen i 13 § FdbF anges detta i ett sammanhang som reglerar formen för utlämnande.
62Konstitutionsutskottets betänkande 1982/83: 12, om ändringar sekretesslagen (1980:100), s. 36.
917
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Trots det förefaller bestämmelsen ha en betydelse även i andra av- seenden än gällande formen för utlämnandet. Genom bestämmelsen i 14 § FdbF föreskrivs nämligen ett mer omfattande utlämnande än det som följer av artikel 4 i bilagan till lagen om överenskommelse mellan Danmark, Finland, Island, Norge och Sverige om folkbok- föring.
Uppgiftslämnande till myndigheter
I folkbokföringsdatabasförordningen föreskrivs vissa av Skatteverkets underrättelseskyldigheter i förhållande till ett antal andra myndig- heter. Skatteverket ska enligt dessa skyldigheter underrätta mottag- aren av informationen om att registrering av vissa uppgifter skett, samt vissa andra förhållanden.63 Det innebär att Skatteverket på eget initiativ ska lämna ut de angivna uppgifterna. De myndigheter som Skatteverket har en underrättelseskyldighet till är Statistiska central- byrån, socialnämnderna, Försäkringskassan, Pensionsmyndigheten och Socialstyrelsen. Eftersom bestämmelserna föreskriver att Skatte- verket ska lämna underrättelserna bryter de eventuell sekretess.
Till skillnad från de sekretessbrytande bestämmelserna i skatte- databasförordningen är bestämmelserna om Skatteverkets underrät- telseskyldighet i folkbokföringsverksamheten enhetligt utformade. Bestämmelserna anger att underrättelse ska ske, när den ska ske, till vilken myndighet, samt uttryckligen vilka uppgifter som avses. Be- stämmelserna föreskriver även i vissa fall om förfarandet vid under- rättelse, exempelvis när det ska ske.64
13.3.5Uppgiftslämnande från Tullverkets verksamhet
Uppgiftslämnande till enskilda
Liksom för beskattningsverksamheten och folkbokföringsverksam- heten finns det i tulldatabasförordningen vissa bestämmelser som reglerar när olika former av elektroniskt utlämnande får förekomma. Eftersom 27 kap. 7 § OSL hänvisar till tulldatabasförordningen kan bestämmelserna bryta förekommande sekretess. Flera av bestämmel-
63
64Se 6 § andra stycket och 7 § andra och tredje styckena FdbF,
918
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
serna som reglerar formen för utlämnande avser dock utlämnande av uppgifter om en enskild till den enskilde själv eller dennes ombud. Då sekretess till skydd för en enskild normalt inte gäller i förhållande till den enskilde själv kan bestämmelser som avser sådant utläm- nande inte anses ha en sekretessbrytande funktion.
I tulldatabasförordningen finns dock även en bestämmelse som avser utlämnande av andra uppgifter än om den enskilde själv genom direktåtkomst. Bestämmelsen har ansetts ha en särskild sekretess- brytande funktion, se avsnitt 13.2.3 ovan. Utöver den bestämmelse som avser enskildas direktåtkomst till uppgifter i tulldatabasen om andra än den enskilde själv finns det dock ingen ytterligare sekretess- brytande bestämmelse i förhållande till enskilda i tulldatabasförord- ningen.
Uppgiftslämnande till myndigheter
Bestämmelser om utlämnande av uppgifter som rör import eller ex- port av varor finns i 1 kap. 4 och 5 §§ tullagen. Sekretessbrytande be- stämmelser i förhållande till andra myndigheter finns alltså primärt någon annanstans än i registerförfattningarna, vilket också framgår upplysningsvis i tulldatabasförordningen.65
I 1 kap. 4 § tullagen anges att Tullverket på begäran ska tillhanda- hålla vissa myndigheter uppgifter som förekommer hos Tullverket och som rör import eller export av varor. I 1 kap. 5 § tullagen före- skrivs en underrättelseskyldighet för Tullverket i förhållande till Skatte- verket. Underrättelseskyldigheten gäller när det finns anledning att anta att någon på annat sätt än muntligen har lämnat eller kommer att lämna en oriktig uppgift till Skatteverket, eller inte har lämnat eller inte kommer att lämna mervärdesskattedeklaration, kontroll- uppgift eller annan föreskriven uppgift till Skatteverket, och det däri- genom finns risk för att mervärdesskatt undandras eller felaktigt till- godoräknas eller betalas tillbaka.
Utöver vad som föreskrivs i tullagen ska vissa uppgifter lämnas ut på begäran av Skatteverket om uppgiften avser en person som före- kommer i ett ärende hos Skatteverket eller som annars är föremål för Skatteverkets kontrollverksamhet avseende mervärdesskatt vid im-
654 § TDF.
919
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
port.66 Något ytterligare krav på att uppgifterna ska behövas i Skatte- verkets verksamhet finns inte. De uppgifter som avses anges genom en hänvisning till 2 kap. 3 § TDL. I den bestämmelsen finns en upp- räkning av de uppgifter som får behandlas i tulldatabasen.
Enligt tulldatabaslagen får Skatteverket och Kronofogdemyndig- heten ha direktåtkomst till vissa uppgifter som behandlas i tulldata- basen.67 Till skillnad från hur regleringen för Skatteverkets beskatt- ningsverksamhet är strukturerad finns det dock inga sekretessbrytande bestämmelser som särskilt avser direktåtkomst i tulldatabasförord- ningen. Den uppgiftsskyldighet till Skatteverket som föreskrivs i för- ordningen avser i och för sig samma uppgifter i tulldatabasen som anges i lagens bestämmelse om direktåtkomst. Däremot anges i förord- ningen att uppgifterna ska lämnas på begäran och under förutsättning att de avser en person som förekommer i ett ärende hos Skatteverket eller som annars är föremål för Skatteverkets kontrollverksamhet av- seende mervärdesskatt vid import. I förordningen finns ingen bestäm- melse som avser utlämnande av uppgifter till Kronofogdemyndigheten, som enligt tulldatabaslagen får ha direktåtkomst till samma uppgif- ter som Skatteverket.
I tulldatabasförordningen finns även en bestämmelse om uppgifts- skyldighet till en offentlig aktör som dock inte förefaller vara sekre- tessbrytande. Det rör sig om bestämmelsen i 4 a § TDF, som anger att uppgifter i tulldatabasen på begäran ska lämnas ut till de enheter inom Tullverket som arbetar med brottsbekämpande verksamhet. Tullverkets verksamhetsgrenar anses dock inte vara så självständiga att sekretess ska råda för utbyte av information mellan dem.68 Det går därmed att ifrågasätta om det finns någon sekretess att bryta mellan Tullverkets olika enheter. Vid bestämmelsens tillkomst konstaterade regeringen att det inte kunde anses utrett att sekretess förelåg mellan Tullverkets olika verksamhetsgrenar. Eftersom det vid tidpunkten fanns olika uppfattningar i frågan borde det dock enligt regeringen säkerställas att det inte fanns något sekretesshinder för den direkt- åtkomst som skulle få förekomma.69
664 § TDF.
672 kap. 7 § TDL.
68Jfr SOU 2003:99, Ny sekretesslag, s. 280.
69Prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s.
920
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
13.3.6Uppgiftslämnande från Kronofogdemyndighetens verksamhet
Uppgiftslämnande till enskilda
För Kronofogdemyndighetens verksamhet finns flera olika bestäm- melser om sekretess, se avsnitt 3.3.6. I viss verksamhet som Krono- fogdemyndigheten utför är utgångspunkten att uppgifterna är offent- liga. I andra situationer råder en presumtion för sekretess, och i enstaka fall gäller absolut sekretess för uppgifterna. Liksom i övriga registerförfattningar innehåller framför allt kronfogdedatabasförord- ningen, bestämmelser som reglerar när olika former av elektroniskt utlämnande får användas.70 Som framgår av avsnitt 13.2.3 finns det dock ingen hänvisning Kronofogdemyndighetens registerförfatt- ningar i offentlighets- och sekretesslagen till. Därmed har ingen av de bestämmelser som reglerar formerna för utlämnandet till enskilda en sekretessbrytande funktion.
Uppgiftslämnande till myndigheter
Enligt kronofogdedatabaslagen får Skatteverkets beskattningsverk- samhet, Tullverket och Säkerhetspolisen ha direktåtkomst till vissa uppgifter som behandlas i utsöknings- och indrivningsdatabasen.71 Till skillnad från hur regleringen för Skatteverkets beskattningsverk- samhet är uppbyggd finns det dock inga sekretessbrytande bestäm- melser som särskilt avser direktåtkomst i kronofogdedatabasförord- ningen. Den uppgiftsskyldighet som föreskrivs i förordningen, och som möjliggör den direktåtkomst som enligt lagen får förekomma, avser i och för sig samma uppgifter i utsöknings- och indrivnings- databasen som anges i lagens bestämmelse om direktåtkomst, och till samma mottagare. Däremot anges att uppgifterna ska lämnas på be- gäran och under förutsättning att uppgifterna avser en person som förekommer i ett ärende hos den myndighet som begär att få ut upp- giften, eller för Säkerhetspolisens räkning, ett särskilt angivet slags ärende.72
Kronofogdemyndigheten har därutöver även en skyldighet att lämna uppgifter till Skatteverkets folkbokföringsverksamhet. Även
70
712 kap. 27 § KFMdbL.
727 och 8 §§ KFMdbF.
921
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
den bestämmelsen föreskriver att uppgiftslämnandet ska ske på be- gäran och om det behövs för handläggning av ärenden eller kontroll. Bestämmelsen är dock utformad på ett annat sätt än Kronofogde- myndighetens övriga uppgiftsskyldigheter, eftersom den uttryckligen anger vilka uppgifter som avses, utan hänvisning till uppgifter som får behandlas i någon av myndighetens databaser. Den pekar inte heller ut en särskild personkrets.73
13.4Generella överväganden och förslag
13.4.1Nuvarande reglering är inte väl avvägd
Vår bedömning: Dagens reglering om uppgiftslämnande är ut- formad på ett sätt som inte är väl avvägt och det finns behov av för- ändringar.
Det finns även behov av en anpassning till våra förslag avse- ende den nya dataskyddsregleringens tillämpningsområde och struktur i övrigt.
Skälen för vår bedömning
Bestämmelsernas generella utformning
Bestämmelser i Skatteverkets, Tullverkets och Kronofogdemyndig- hetens registerförfattningar som avser uppgiftslämnande kan upp- fattas som förhållandevis komplexa och svårtillgängliga. Dels reglerar de den utlämnande myndighetens handlande (dvs. att utlämnandet ska ske) dels måste bestämmelserna tolkas som att de även reglerar den mottagande myndighetens handlingsutrymme (dvs. i vilka situ- ationer uppgifterna får hämtas in). Utlämnandet förutsätter alltså normalt att ett visst behov föreligger hos mottagaren, som kan vara mer eller mindre precist beskrivet. Vilka behov som ska föreligga hos den mottagande myndigheten anges dessutom inledningsvis i vissa bestämmelser, och de uppgifter som ska lämnas ut därefter. I andra fall anges att vissa uppgifter ska lämnas ut, och först därefter vilka behov som ska föreligga hos mottagaren för att så ska få ske. Även om bestämmelserna i sak inte förändras av en sådan nyansskillnad riske-
737 a § KFMdbF.
922
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
rar den att bidra till en osäkerhet i frågan om någon skillnad i sak är avsedd eller inte. Vilka uppgifter som ska lämnas ut är dessutom be- skrivet på olika sätt i olika bestämmelser. I vissa fall kan det vara svårt att förstå vilka uppgifter som faktiskt avses enbart genom att läsa den bestämmelse som reglerar utlämnandet. Så kan exempelvis vara fallet om bestämmelsen inte hänvisar till några särskilda uppgifter utan enbart till behovet hos mottagaren, eller om den hänvisar till annan lagstiftning. Som vi konstaterat i avsnitt 13.3.3 finns det särskilt för Skatteverkets beskattningsverksamhet en stor variation i hur bestäm- melser som föreskriver att uppgifter ska lämnas ut är utformade.
Vår bedömning är att de befintliga bestämmelsernas utformning riskerar att bidra till en osäkerhet om vad som gäller för olika före- skrivna utlämnanden. Bestämmelsernas utformning måste därför i flera fall anses vara mindre väl avvägd. De nuvarande bestämmelserna om uppgiftslämnande i skattedatabasförordningen är dessutom svår- överskådliga, med en mängd underparagrafer (särskilt
Bestämmelser som avser direktåtkomst
Som framgår av avsnitt 13.3.3 jämfört med avsnitten
923
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
nas ut till någon annan offentlig aktör är utformade. I vissa fall ska uppgifter lämnas ut på begäran. I andra fall ska uppgifter lämnas ut i den utsträckning uppgifterna behövs i den mottagande myndighetens verksamhet, utan något krav på att mottagaren ska begära ut uppgif- terna. Det finns även bestämmelser om uppgiftsskyldighet som inte föreskriver något krav på ett behov av uppgifterna hos mottagaren, och i andra fall anges inte vilka uppgifter som avses.
Som framgår av avsnitt 13.3.2 finns det dessutom en särskild sorts kompletterande sekretessbrytande bestämmelser för utlämnande av uppgifter från beskattningsdatabasen genom direktåtkomst, som också kompletteras av en mer generell sekretessbrytande bestämmelse. Regeringen har i vissa fall motiverat detta med att integritetsskyddet blir starkare om två olika typer av sekretessbrytande bestämmelser införs, dels en sekretessbrytande bestämmelse som tar sikte på upp- giftslämnande i enskilda fall, dels en vidare sekretessbrytande bestäm- melse som bara gäller vid direktåtkomst. Enligt vår mening är det dock svårt att se något annat motiv bakom att införa en särskild sekretess- brytande bestämmelse som bara gäller direktåtkomst än att regeringen har ansett att en sådan bestämmelse har behövts för att direktåtkomst alls ska vara tillåten. Den generella sekretessbrytande bestämmelsen förefaller alltså ha ansetts vara för snäv för att direktåtkomst ska vara möjligt, exempelvis om den anger att utlämnande ska ske på begäran.
För Tullverkets och Kronofogdemyndighetens utlämnande genom direktåtkomst av uppgifter i tulldatabasen respektive utsöknings- och indrivningsdatabasen finns dock inga särskilda sekretessbrytande be- stämmelser som enbart avser direktåtkomst, trots att det i de sekre- tessbrytande bestämmelserna anges att utlämnandet ska ske på begäran (se avsnitt 13.3.5 om Tullverket och avsnitt 13.3.6 om Kronofogde- myndigheten). Utmärkande för ett utlämnande genom direktåtkomst är dock att det inte föregås av någon begäran från den mottagande myndigheten i det enskilda fallet (se avsnitt 11.2.2). Som vi tidigare nämnt anses alla uppgifter som omfattas av direktåtkomsten utläm- nade i samma stund som förbindelsen mellan myndigheterna upprät- tas och är aktiv.
När bestämmelserna om direktåtkomst till uppgifter hos Tull- verket och Kronofogdemyndigheten infördes förefaller regeringen dock ha avsett att direktåtkomst skulle få förekomma. Regeringen konstaterade att dåvarande Riksskatteverket redan hade direktåtkomst till uppgifter hos Tullverket och bedömde att det inte fanns anledning
924
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
att begränsa de möjligheter till ett effektivt samarbete som då fanns. Regeringen ansåg därför att såväl Riksskatteverket som skattemyndig- heterna skulle få ha direktåtkomst till tulldatabasen. Även dåvarande kronofogdemyndigheterna skulle få ha direktåtkomst till vissa upp- gifter i tulldatabasen, mot bakgrund av den nära koppling som före- låg mellan beskattnings- och indrivningsverksamhet.74 Regeringen bedömde även att skattemyndigheterna, Tullverket och Säkerhets- polisen skulle få ha direktåtkomst till uppgifter i utsöknings- och indrivningsdatabasen.75 Det borde därför kunna argumenteras att en begäran från den mottagande myndigheten om att få ta del av upp- gifterna genom direktåtkomst skulle kunna anses utgöra en sådan begäran som krävs enligt de sekretessbrytande bestämmelserna.
Vi har analyserat bestämmelser med olika utformning för att se om det går att urskilja situationer där den ena eller andra strukturen har motiverats av en saklig skillnad i fråga om själva utlämnandet. En möjlig förklaring skulle kunna vara skillnaderna i sekretessbestäm- melsernas styrka. Uppgifter inom beskattningsverksamheten skyddas som utgångspunkt av en absolut sekretess. För uppgifter som behand- las inom Tullverket råder dock en presumtion för sekretess, vilket innebär att utrymmet för uppgiftslämnande från tulldatabasen också är mycket begränsat. Skillnaderna i sekretessens styrka kan därför enligt vår mening inte fullt ut förklara skillnaderna i detta avseende. Vid en jämförelse mellan den sekretessbrytande regleringen avseende utlämnande genom direktåtkomst från beskattningsverksamheten och motsvarande reglering för utlämnande genom direktåtkomst från Tullverket och Kronofogdemyndigheten uppstår därmed en osäker- het om skillnaderna har någon saklig betydelse.
Bestämmelser som inte avser direktåtkomst och som inte föreskriver att utlämnande ska ske på begäran
De allra flesta sekretessbrytande bestämmelser anger att utlämnan- det ska ske på begäran av den mottagande myndigheten. Sekretess- brytande bestämmelser som avser ett uppgiftslämnande som i dag inte får ske genom direktåtkomst är dock i vissa fall formulerade utan angivande av att utlämnandet ska ske på begäran. I dessa fall anges att uppgifter ska lämnas ut till mottagaren i den utsträckning det be-
74Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 179.
75Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 173.
925
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
hövs för exempelvis viss ärendehandläggning eller kontroll. Frågan uppkommer då i vilken utsträckning de bestämmelser som inte anger att ett utlämnande ska ske på begäran även tillåter utlämnande på initiativ av den utlämnande myndigheten.
Vad gäller de underrättelseskyldigheter som föreskrivs för Skatte- verkets folkbokföringsverksamhet i folkbokföringsdatabasförord- ningen får det anses vara tydligt att sådant utlämnande ska ske på initia- tiv av Skatteverket, se avsnitt 13.3.4. I övriga fall, exempelvis för visst utlämnande från beskattningsverksamheten till Försäkringskassan enligt 7 § första stycket SdbF (se avsnitt 13.3.3) är det mindre tydligt om utlämnande får ske på initiativ av Skatteverkets beskattnings- verksamhet. Den aktuella bestämmelsen föreskrev fram till år 2009 att utlämnandet till Försäkringskassan skulle ske på begäran. Fram till dess hade informationsutlämnandet skett via maskinella aviser- ingar, vanligtvis som filer via ett särskilt system, och oftast efter för- frågan från Försäkringskassan.76 Regeringen bedömde dock att det fanns ett behov av regler som möjliggjorde ett utökat elektroniskt informationsutbyte.77 I förarbetena till den ändring som innebar att utlämnandet från beskattningsverksamheten till Försäkringskassan inte längre skulle ske på begäran bedömde regeringen att uppgifts- skyldigheten borde gälla oavsett om en begäran först hade framställts i det enskilda fallet [vår kursivering]. Detta motiverades bl.a. av att det under tiden för ett pågående ärende skulle vara möjligt att skicka uppdaterad information utan en ny begäran från mottagaren. Enligt regeringen fick dock information endast överföras när det hade bety- delse för mottagaren i viss angiven verksamhet eller i ett ärende avse- ende handläggning av viss förmån. I praktiken skulle därför ett utläm- nande i samtliga fall komma att föregås av en ursprunglig begäran om att få ut uppgifter av ett visst slag.78 Att uppgiftslämnandet inte längre skulle ske på begäran var enligt regeringen en mindre revider- ing av redan gällande uppgiftsskyldighet.79
Bestämmelsen som reglerar utlämnande från beskattningsverksam- heten till Statens pensionsverk, 7 a § SdbF, kom till samtidigt som ändringen av 7 § första stycket SdbF. Även den bestämmelsen moti- verades av regeringens bedömning att uppgiftsskyldigheten borde gälla
76Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 77.
77Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 39.
78Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s.
79Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 80 samt bilaga 2, författnings- förslag 17.
926
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
oavsett om en begäran först hade framställts i det enskilda fallet, och att det under tiden för ett pågående ärende skulle vara möjligt att skicka uppdaterad information utan en ny begäran från mottagaren. Regeringen bedömde alltså även i detta fall att i praktiken skulle ett utlämnande i samtliga fall komma att föregås av en ursprunglig be- gäran om att få ut uppgifter av ett visst slag.80
I andra sammanhang finns det exempel på sekretessbrytande be- stämmelser som har utformats i syfte att tillåta ett utlämnande på initiativ av den utlämnande myndigheten utan att det föregåtts av en ursprunglig begäran. Sådana bestämmelser finns exempelvis i
Övriga bestämmelser i skattedatabasförordningen som avser ut- lämnande som inte behöver ske på begäran har en liknande utform- ning som de ovan nämnda, dvs. 7 och 7 a §§ SdbF.82 Ingen av dessa bestämmelser har en utformning som liknar
80Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 110.
81Prop. 2019/20:166, Extra ändringsbudget för 2020 – Fler kraftfulla åtgärder med anledning av coronaviruset, s.
82Se 7 a, 7 c, 8 b, 8 c och 8 d §§ SdbF.
927
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
vår mening på att samtliga bestämmelser i skattedatabasförordningen som inte föreskriver att ett utlämnande ska ske på begäran bör tolkas på samma sätt, dvs. att de möjliggör utlämnande av företrädelsevis uppdaterad information under tiden för ett pågående ärende utan en ny begäran från mottagaren i det enskilda fallet. I praktiken förefaller därför även de bestämmelser som inte uttryckligen kräver en begäran från mottagaren behöva föregås av en ursprunglig begäran om att få ut uppgifter av ett visst slag.
En gemensam nämnare för de bestämmelser i skattedatabasförord- ningen som inte anger att utlämnandet ska ske på begäran förefaller därför vara att utlämnande kräver att mottagaren vid ett tidigare till- fälle har begärt att få ta del av uppgifter. Detta framgår dock inte tyd- ligt av författningstexten. Det är dessutom svårt att avgöra hur ett sådant förfarande i praktiken skiljer sig från en begäran om att få upp- gifter med vissa intervall, eller en begäran om att i framtiden även få ut uppgifter som ändras. Vare sig den allmänna dataskyddsregleringen eller sekretessbrytande bestämmelser som anger att ett utlämnande ska ske på begäran kräver nämligen en konkret fråga i varje enskilt fall. Ett utlämnande efter begäran förefaller därför även kunna avse automatiserade processer baserat på en generell begäran, exempelvis vid prenumerationstjänster eller händelsebaserade tjänster som inne- bär att den utlämnande myndigheten automatiskt lämnar ut infor- mation när ett ärende uppdateras (jfr avsnitt 11.2.3).
I förhållande till våra förslag om nya datalagar
Dagens bestämmelser om uppgiftslämnande utgår ofta från den sär- skilda regleringen av databaser inom respektive verksamhet, se av- snitten 9.3.1 och 9.3.2 om databasregleringen. I dessa fall hänvisas det till att uppgifter får lämnas ut från en särskilt reglerad databas. Vilka uppgifter det rör sig om anges även i andra fall genom en hän- visning till det lagrum som reglerar den aktuella databasens innehåll. Vi har i avsnitt 9.4.2 föreslagit att databasregleringen inte ska ha någon motsvarighet i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndig- heten. Redan av den anledningen finns det ett behov av att ändra många av de befintliga bestämmelserna om uppgiftslämnande, se av- snitt 13.4.5 nedan.
928
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Nuvarande bestämmelser om uppgiftslämnande gör vidare inte någon åtskillnad mellan personuppgifter och uppgifter om juridiska personer och i vissa fall avlidna. Vi har i avsnitten 7.4.2 och 7.4.3 föreslagit att de nya datalagarna inte ska vara tillämpliga på annat än personuppgifter. Även av den anledningen finns det ett behov av att överväga förändringar av de befintliga bestämmelserna om utläm- nande, se avsnitt 13.4.3 nedan.
I avsnitt 11.7.5 har vi föreslagit att den befintliga regleringen av olika former av elektroniskt utlämnande inte ska ha någon motsvar- ighet i de nya datalagarna. Vi har även föreslagit att den rättsliga åt- skillnaden mellan direktåtkomst och andra former av elektroniskt utlämnande ska upphävas. I befintlig reglering finns dock särskilda sekretessbrytande bestämmelser som uttryckligen avser direktåtkomst, och som förefaller vara införda i syfte att möjliggöra ett sådant ut- lämnande. Också i detta avseende finns det ett behov av att föreslå justerade bestämmelser, se avsnitten 13.4.2 och 13.4.4 nedan.
13.4.2Omfattningen av informationsutbytet bör som utgångspunkt inte ändras i sak
Vår bedömning: Med undantag för viss utvidgad uppgiftsskyl- dighet till följd av våra förslag om dataanalyser och urval, samt avseende utlämnande från beskattningsverksamheten till Krono- fogdemyndigheten för tillsyn över näringsförbud, bör omfatt- ningen av det nuvarande informationsutbytet som utgångspunkt inte förändras avseende vem som har rätt att ta del av vilka upp- gifter och för vilka behov.
Skälen för vår bedömning
En generell utgångspunkt
Skatteverket, Tullverket och Kronofogdemyndigheten har samstäm- migt uppgett att dagens reglering av elektroniskt utlämnande av upp- gifter innebär omotiverade hinder för att de ska kunna utföra sina respektive uppgifter. Det är dock inte i fråga om de sekretessbrytande bestämmelser som reglerar uppgiftslämnandet i sak som myndig-
929
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
heterna har pekat på behov av förändring, utan avseende regleringen av formerna för utlämnandet, se avsnitt 11.6.
Myndigheterna har dock i andra sammanhang uttryckt att ett ut- ökat informationsutbyte mellan myndigheter skulle kunna leda till att de får del av information som de behöver i sin verksamhet eller till att handläggningen i vissa avseenden kan förenklas och effektiviseras.83 Särskilt Skatteverket har även uppgett till utredningen att myndig- hetens inställning är att det på ett generellt plan behövs en föränd- ring av regelverket avseende uppgiftslämnande mellan myndigheter. Skatteverket har även lyft att myndigheten bl.a. i remissvar har på- pekat att det finns ett generellt behov av ett ökat informationsutbyte på en rad olika områden, exempelvis för att säkerställa korrekta besluts- underlag för myndigheter och öka möjligheten till efterkontroller. Det nuvarande regelverket har enligt Skatteverket blivit svåröverskåd- ligt och svårt att tillämpa på ett effektivt sätt och samhällsutvecklingen ställer krav på att det finns en flexibilitet i regelverket som inte finns
idag. I Skatteverkets verksamhet finns det enligt myndigheten exem- pel på uppgifter som skulle kunna ha stort värde för en mottagande myndighet, där ett utbyte inte är möjligt med dagens bestämmelser.84 I vårt uppdrag ingår dock inte i huvudsak att föreslå ändringar kring omfattningen av det nuvarande informationsutbytet. Vi be- dömer därför att en hantering av de synpunkter som Skatteverket gett uttryck för inte kan anses falla inom ramen för vårt uppdrag. Mot den bakgrunden, och då vi inte heller av annan anledning funnit skäl att inom ramen för vårt uppdrag föreslå några generella förändringar av omfattningen av det nuvarande informationsutbytet, bedömer vi att det som utgångspunkt inte bör förändras i sak. Med det nyss sagda avses att vi huvudsakligen inte funnit skäl att föreslå att andra kate- gorier av uppgifter än i dag ska få lämnas ut, till någon ytterligare mot- tagare eller för andra behov. Vissa förändringar föreslås dock även i detta avseende, se om utlämnande som i dag sker genom direktåtkomst
iavsnittet nedan och om utlämnande av vissa uppgifter som behövs för Skatteverkets och Tullverkets dataanalyser och urval i kontroll- verksamhet i avsnitten 14.10.2 och 14.10.3. I avsnitt 13.5.5 föreslår
viäven att utlämnande av vissa uppgifter från beskattningsverksam-
83Se Tullverkets yttrande
84Skatteverkets remissvar
930
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
heten till Kronofogdemyndigheten för behov kopplade till tillsyn över näringsförbud, som i dag delvis sker med stöd av generalklausulen i 10 kap. 27 § OSL, ska författningsregleras.
Vissa sekretessbrytande bestämmelser bör dock omformuleras
En följd av den enhetliga reglering av elektroniskt utlämnande som
viföreslår i avsnitt 11.7.5 är att sekretessbrytande bestämmelser som uttryckligen avser direktåtkomst inte bör finnas kvar. Det kan i vissa fall få till följd att kvarvarande sekretessbrytande bestämmelser inte kan anses vara tillräckligt brett formulerade för att tillåta utlämnande genom direktåtkomst. Eftersom vi inte har för avsikt att förändra omfattningen av uppgiftslämnandet, utöver vad som anges i avsnit- ten 14.10.2 och 14.10.3 och avsnitt 13.5.5 nedan, behövs vissa juster- ingar göras med anledning att bestämmelser om direktåtkomst före- slås upphöra.
Vår bedömning är dock att det behovet i huvudsak uppkommer där det kvarvarande föreskrivna uppgiftslämnandet ska ske på be- gäran och samtidigt anger att enbart uppgifter om personer som förekommer hos den mottagande myndigheten får lämnas ut. Sådana bestämmelser förekommer i dag i regleringen för Skatteverkets be- skattningsverksamhet, Tullverket och Kronofogdemyndigheten.85 Sekretessbrytande bestämmelser som avser uppgifter om vissa angivna personer skiljer sig från hur övriga sekretessbrytande bestämmelser är formulerade, eftersom de uttryckligen pekar ut en personkrets och inte en kategori av uppgifter kopplat till ett behov hos mottagaren. Utan de särskilda bestämmelser som avser direktåtkomst kommer dessa bestämmelser eventuellt anses utgöra ett hinder mot fortsatt utlämnande genom direktåtkomst. Om de sekretessbrytande bestäm- melserna i stället formuleras utan angivande av krav på begäran och
iövrigt i likhet med andra sekretessbrytande bestämmelser, dvs. en- bart anger de kategorier av uppgifter som är aktuella, alternativt den verksamhet i vilken uppgifterna måste behövas, uppkommer enligt vår bedömning inte det problemet. I avsnitten nedan föreslår vi där- för att de bestämmelser som i dag avser en viss personkrets ska for- muleras om till att avse kategorier av uppgifter och vilka behov som ska föreligga hos mottagaren för att utlämnandet ska komma i fråga.
85
931
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
De föreslagna bestämmelsernas ordalydelse kan genom vår ändring komma att uppfattas som en utvidgning i förhållande till vad som gäller i dag. Den förändring som föreslås i dessa sammanhang syftar dock enbart till att möjliggöra samma uppgiftslämnande som i dag när be- stämmelser som tillåter direktåtkomst försvinner, se närmare moti- veringar i avsnitten nedan. Ändringen innebär alltså inte ett avsteg från vår generella utgångspunkt att omfattningen av bestämmelserna om utlämnande inte ska förändras.
13.4.3Bestämmelser om uppgiftsskyldighet bör inte finnas i de nya dataskyddsförfattningarna
Vår bedömning: Bestämmelser om uppgiftsskyldighet bör inte finnas i de nya dataskyddsförfattningarna för Skatteverkets beskatt- nings- respektive folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten.
Skälen för vår bedömning
De föreslagna datalagarnas tillämpningsområde
Med undantag för Skatteverkets folkbokföringsverksamhet träffar de sekretessbestämmelser som är tillämpliga i Skatteverkets, Tull- verkets och Kronofogdemyndighetens respektive verksamheter inte enbart uppgifter om fysiska personer (personuppgifter), utan även upp- gifter om juridiska personer och avlidna. Som framgår av avsnitt 13.2.2 bryter uppgiftsskyldighet mellan svenska myndigheter eventuell sekre- tess. Ett av skälen till att befintliga registerförfattningar skulle vara tillämpliga även vid myndigheternas behandling av uppgifter om juri- diska personer och i vissa fall avlidna var att det enligt regeringen skulle vara svårt att särskilja de olika kategorierna exempelvis vid utlämnande, se avsnitt 13.3.1.
I avsnitten 7.4.2 och 7.4.3 har vi föreslagit att de nya lagarna samt tillhörande förordningar som utgångspunkt inte ska vara tillämpliga vid behandling av uppgifter om juridiska personer och avlidna. Om bestämmelser om uppgiftslämnande fortsatt skulle regleras i data- skyddsförfattningarna skulle dessa bestämmelser behöva vara tillämp- liga även vid behandling av andra uppgifter än personuppgifter för
932
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
att bryta förekommande sekretess. Vi anser dock att en sådan lös- ning komplicerar regleringen på ett sätt som inte är motiverat. De nya dataskyddsförfattningarnas föreslagna tillämpningsområde talar i stället för att bestämmelser om uppgiftslämnande bör regleras i andra sam- manhang.
Bestämmelser om uppgiftslämnande är inte av dataskyddskaraktär
I kapitel 5 har vi redogjort för våra utgångspunkter i arbetet med att se över befintlig reglering av Skatteverkets, Tullverkets och Krono- fogdemyndighetens behandling av personuppgifter. En av våra ut- gångspunkter är att den nya regleringen i så hög utsträckning som möjligt ska renodlas till att endast omfatta dataskyddsbestämmelser (se avsnitt 5.2.6). Den kompletterande dataskyddsregleringen bör därmed inte rymma materiella bestämmelser eller bestämmelser som reglerar mer eller mindre närliggande frågor som inte utgör rena dataskyddsbestämmelser. En sammanblandning av bestämmelser med olika funktion och rättslig karaktär som ibland dessutom överlappar varandra riskerar nämligen att skapa en omotiverat komplex lagstift- ning. Det nyss sagda gäller enligt vår mening särskilt bestämmelser som reglerar förhållanden som ligger nära de rena dataskyddsfråg- orna, eftersom bestämmelsernas skiftande karaktär och föremål kan medföra en osäkerhet kring deras innebörd. Frågan är då om sekre- tessbrytande bestämmelser som föreskriver att uppgifter ska lämnas ut är sådana dataskyddsbestämmelser som, trots vad som anges i av- snittet ovan, bör finnas i dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten.
Inledningsvis kan konstateras att sekretessbrytande bestämmelser inte reglerar förutsättningarna för automatiserad personuppgifts- behandling, förutom sådana bestämmelser som i dag särskilt avser direktåtkomst.86 Även om tillämpningen av bestämmelser med sekre- tessbrytande funktion i regel får till följd att information lämnas ut automatiserat är det inte det elektroniska utlämnandet i sig som regle- ras genom bestämmelserna. Det bestämmelserna avser är i stället att annars sekretessbelagda uppgifter över huvud taget får lämnas ut från den verksamhet där de förekommer. Bestämmelserna avser inte
86Jfr regeringens uttalanden i prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform, s. 45.
933
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
heller enbart personuppgifter, utan även uppgifter om juridiska perso- ner, avlidna och uppgifter om sakförhållanden. Bestämmelserna har följaktligen inte heller kommit till för att särskilt skydda enskildas personliga integritet, vare sig vid automatiserad eller annan behand- ling. De innebär i stället att det ursprungliga skyddet för den person- liga integriteten (sekretessen) bryts. Det nyss sagda talar enligt vår mening för att bestämmelser om uppgiftslämnande inte bör finnas i dataskyddssammanhang.
Av Högsta förvaltningsdomstolens avgörande i rättsfallet HFD 2021 ref. 10 framgår att den utlämnande myndigheten inte ska göra någon kontroll av förenligheten med finalitetsprincipen i samband med utlämnande av offentliga uppgifter enligt 6 kap. 5 § OSL, se av- snitt 13.2.4. Motsvarande bör enligt vår mening gälla även i situationer där det föreskrivna uppgiftslämnandet omfattar uppgifter som annars skulle vara sekretessbelagda. Genom bestämmelser som föreskriver en skyldighet att lämna ut uppgifter får riksdagen eller regeringen anses ha tagit ställning till utlämnandets förenlighet med insamlings- ändamålet, samt dess laglighet. Något utrymme för myndigheterna att med tillämpning av den allmänna eller kompletterande dataskydds- regleringen pröva om ett föreskrivet utlämnande ska ske borde därför inte heller finnas när det föreskrivna utlämnandet bryter förekom- mande sekretess. Också det talar för att bestämmelser om utlämnande av uppgifter bör regleras skilt från dataskyddsbestämmelser.
Registerförfattningarnas bestämmelser om uppgiftslämnande till- sammans med andra bestämmelser om uppgiftslämnande i nationell rätt, samt unionsrättsliga och andra internationella rättsakter som före- skriver en skyldighet för myndigheterna att lämna ut uppgifter, visar dessutom att behovet av att utbyta uppgifter i dag är mycket omfat- tande. Det är inte bara uppgifter som behövs för beslut eller i särskilt angiven samverkan som ska lämnas ut, utan även sådan information som behövs för att den mottagande aktören ska kunna fullgöra sina författningsreglerade uppgifter. Totalt sett kan de sekretessbrytande bestämmelserna och andra bestämmelser om uppgiftslämnande sägas utgöra ett eget område inom lagstiftningen som är både stort och komplext. Bestämmelser om uppgiftsskyldighet och annat utlämnande bör därför enligt vår mening snarast likställas med andra materiella bestämmelser som styr myndigheternas verksamhet. Det förefaller därmed mer ändamålsenligt att bestämmelser om uppgiftslämnande regleras skilt från dataskyddsregleringen.
934
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
För att den nya regleringen ska bli så enhetlig, ändamålsenlig och flexibel som möjligt bör bestämmelser om utlämnande i sak inte regleras i de nya dataskyddsförfattningarna. Bestämmelserna behöver dock finnas kvar i sak för att utlämnandet även fortsättningsvis ska vara förenligt med den generella dataskyddsregleringen och offent- lighets- och sekretesslagens bestämmelser. Att de nya bestämmelser som vi föreslår i huvudsak ska motsvara det uppgiftslämnande som föreskrivs i dag framgår av avsnitten
13.4.4Sekretessbrytande bestämmelser ska inte ange att utlämnandet ska ske på begäran av den mottagande myndigheten
Vårt förslag: Sekretessbrytande bestämmelser ska ange att utläm- nande ska ske i den utsträckning det behövs i den mottagande myndighetens verksamhet.
I de fall utlämnandet i dag ska ske på begäran ska den nya sekretessbrytande bestämmelsen förenas med ett förbud mot att lämna ut uppgifterna på eget initiativ.
Skälen för vårt förslag
En ny huvudregel
Vi har tidigare bedömt att utformningen av nuvarande reglering inte är väl avvägd bl.a. med hänvisning till den stora variationen i hur bestämmelserna är utformade. I avsnitt 11.7.5 har vi dessutom före- slagit att den rättsliga åtskillnaden mellan direktåtkomst och andra former av elektroniskt utlämnande ska överges. Frågan är då hur sekre- tessbrytande bestämmelser bör utformas i den del som avser skyldig- heten att lämna ut uppgifter för att i så hög utsträckning som möjligt uppfylla målsättningen om en reglering som är flexibel och ända- målsenlig och som är anpassad efter våra förslag i övrigt. Vad avser frågan om hur de uppgifter som avses ska definieras, se avsnitt 13.4.5 nedan.
Som vi redogjort för i avsnitt 11.5.1 finns det inga särskilda be- stämmelser i EU:s dataskyddsförordning som direkt rör på vilket sätt personuppgifter får lämnas ut. Om utlämnandet i sig är tillåtet
935
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
finns det alltså inget krav på att direktåtkomst eller någon annan form av utlämnande ska regleras särskilt. Särskilda sekretessbrytande bestämmelser för direktåtkomst är därför inte nödvändiga med hän- visning till den allmänna dataskyddsregleringen Sekretessbrytande bestämmelser som uttryckligen avser direktåtkomst är dessutom svåra att kombinera med förslaget om en enhetlig reglering för alla former av elektroniskt utlämnande. Vi anser därför att det inte bör införas nya sekretessbrytande bestämmelser som särskilt avser direktåtkomst.
Som vi redan berört behöver dock upphävandet av sekretessbryt- ande bestämmelser som är utformade för att möjliggöra direktåtkomst kompenseras för på något sätt för att regleringen av uppgiftslämnan- det inte ska förändras i mindre tillåtande riktning. Också i övrigt bör dock bestämmelser som föreskriver att ett uppgiftslämnande ska ske formuleras med hänsyn till förslaget om att det inte ska göras någon rättslig åtskillnad mellan direktåtkomst och andra former av elektro- niskt utlämnande.
I dagens reglering finns flera sekretessbrytande bestämmelser som förutom att ange vilka uppgifter som avses och att mottagaren ska behöva uppgifterna i viss verksamhet också anger att ett utlämnande ska ske på begäran. Ett utlämnande som ska föregås av en begäran har i vissa fall ansetts hindra utlämnande genom direktåtkomst, även om övriga förutsättningar för utlämnande genom direktåtkomst är uppfyllda, se avsnitten 13.4.1, 13.4.2 och 11.2.2. Som vi påpekat tidi- gare förefaller dock även sekretessbrytande bestämmelser som anger att utlämnandet ska ske på begäran kunna ligga till grund för utläm- nande genom direktåtkomst, när det finns en bestämmelse i lag om att sådant utlämnande får förekomma. Även de bestämmelser som
idag föreskriver att ett utlämnande inte behöver ske på begäran före- faller dessutom utgå från att det funnits en ursprunglig begäran om att få ut uppgifter, och inte tillåta utlämnande helt på den utläm- nande myndighetens initiativ.
I vissa fall förefaller uttrycket på begäran i den befintliga regler- ingen dessutom ha ersatt ledet att uppgifterna ska behövas hos mot- tagaren. I dag finns det exempelvis en sekretessbrytande bestämmelse för Skatteverkets beskattningsverksamhet som enbart anger att vissa uppgifter ska lämnas ut på begäran av Tullverket, där bestämmelsen inte föreskriver att det ska finnas ett behov hos mottagaren. Av 5 a § SdbF framgår nämligen följande.
936
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
På begäran av Tullverket ska sådana uppgifter lämnas ut som avses i 2 kap. 4 a § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Tullverket har rätt att ta del av sådana uppgifter om enskilda som avses i 2 kap. 4 a § lagen om behandling av uppgifter i Skatteverkets be- skattningsverksamhet vid direktåtkomst till beskattningsdatabasen enligt 2 kap. 8 § tredje stycket samma lag.
I bestämmelsens andra stycke anges inte annat än att Tullverket får ha direktåtkomst till uppgifterna. Uttrycket på begäran får i detta fall anses förutsätta att Tullverket inte begär ut uppgifter som det inte finns något behov av i Tullverkets verksamhet.
Av exemplen ovan framgår att det inte är helt tydligt i dagens regler- ing vad ett utlämnande som ska ske på begäran innebär. Till skillnad från nuvarande reglering bör de nya bestämmelserna vara tydliga och konsekventa och inte ge upphov till osäkerhet om dess innebörd. Vi anser därför att bestämmelser om uppgiftsskyldighet inte längre bör utformas på så sätt att de kräver en begäran från den mottagande myn- digheten. Vi bedömer i stället att sekretessbrytande bestämmelser som anger att uppgifterna ska lämnas ut i den utsträckning det behövs med tillräcklig tydlighet och precision pekar ut i vilka situationer uppgifts- lämnandet kan komma i fråga. Ett krav på att utlämnandet också ska ske på begäran framstår därmed som överflödigt. I fråga om utbyte av uppgifter mellan myndigheter och självständiga verksamhetsgrenar inom en myndighet är dessutom utgångspunkten sedan länge att ut- lämnande endast ska ske om uppgifterna behövs i den mottagande verksamheten.87 Även de fall där på begäran i dag har ersatt kravet på att uppgifterna ska behövas hos mottagaren bör det därför ställas krav på att uppgifterna ska behövas hos mottagaren. En reglering som anger att utlämnande ska ske om uppgifterna behövs hos mottagaren överensstämmer också väl med den allmänna dataskyddsregleringen. Som framgår av bl.a. avsnitten 3.2.5, 3.2.6 och 9.2.3 får en myndighet inte samla in eller annars behandla uppgifter som den saknar stöd för att behandla, eller annorlunda uttryckt som den inte har en rättslig grund för att behandla.
Sammanfattningsvis bedömer vi att sekretessbrytande bestämmel- ser i fortsättningen bör ange att utlämnande ska ske i den utsträckning som det behövs hos mottagaren. Det får till följd att direktåtkomst inte hindras enbart på grund av bestämmelsens utformning i denna
87Jfr prop. 1979/80:146, med förslag till skatteregisterlag, s. 36.
937
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
del. I avsnitten
Utlämnande på eget initiativ?
Av avsnittet ovan framgår att vi föreslår att kravet på att utlämnandet ska ske på begäran av den mottagande myndigheten ska tas bort. Frågan är då om denna ändring medför att utlämnande i högre ut- sträckning kan ske på initiativ av den utlämnande myndigheten.
Först kan påpekas att vi i avsnitt 13.4.1 gett exempel på uppgifts- skyldighet som inträder redan när det kan antas att det finns ett be- hov hos mottagaren. Någon sådan bestämmelse har vi inte föreslagit. Vi har heller inte föreslagit att de sekretessbrytande bestämmelserna i fortsättningen ska utgöra underrättelseskyldigheter. Bestämmelser- nas föreslagna utformning, dvs. att uppgiftsskyldigheten inträder först när det föreligger ett behov hos mottagaren, bör i stället anses utgöra ett hinder mot utlämnande av sekretessbelagda uppgifter helt på den utlämnande myndighetens egna initiativ. Uppgiftsskyldigheten in- träder i stället först när den utlämnande myndigheten har en faktisk kännedom om sådana omständigheter hos den mottagande myndig- heten som gör att det finns skäl att lämna ut uppgifter.88 I de allra flesta situationer bör en sådan kännedom uppkomma först i samband med ett förfarande som kan karaktäriseras som en begäran, exempel- vis en överenskommelse om utlämnande med vissa intervall där de uppgifter som efterfrågas specificerats, eller när formerna för ett elektroniskt utbyte av uppgifter mellan två myndigheter utarbetas (jfr avsnitten 11.7.3 och 11.7.5).
Att uppgifterna ska behövas hos den mottagande myndigheten ställer inte upp något krav på att den utlämnande myndigheten i varje enskilt fall ska pröva behovet hos mottagaren. Att den utlämnande myndigheten inte behöver pröva en begäran i varje enskilt fall bör dock vara fallet redan i dag, eftersom utlämnande efter begäran kan ske genom regelbundna överföringar eller genom automatiserade hän-
88Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 168.
938
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
delsebaserade tjänster där information lämnas ut när ett ärende upp- dateras (jfr avsnitt 11.2.3). Kravet på att uppgifterna ska behövas bör i stället tolkas på så sätt att bedömningen utgår från uppgifter som typiskt sett behövs i den verksamhet som den sekretessbrytande be- stämmelsen anger, och utifrån den information om behovet av upp- gifterna som lämnas av den mottagande myndigheten till den utläm- nande myndigheten. Det får alltså anses ankomma på den mottag- ande myndigheten att uppge vilka uppgifter den typiskt sett behöver. Vid tillämpningen av bestämmelser om utlämnande som föreskriver vilka behov som ska föreligga hos mottagaren rör det sig därmed i viss mån om ett tillitsbaserat system, oavsett om utlämnandet sker på begäran eller inte.
Redan i dag finns det flera bestämmelser som utöver vilka upp- gifter som avses enbart anger det behov som ska föreligga hos mot- tagaren, dvs. det krävs inte att utlämnandet föregåtts av en begäran i det enskilda fallet. Som framgår av avsnitt 13.4.1 förefaller dock även dessa bestämmelser förutsätta att den mottagande myndigheten tidi- gare framställt en begäran om att få ta del av uppgifter. Regeringen har exempelvis bedömt att en sådan bestämmelses utformning inne- bär att utlämnandet på eget initiativ i samtliga fall skulle komma att avse uppdateringar av uppgifter som tidigare begärts ut av mottagaren. Som redan nämnts uttalade regeringen i det sammanhanget att det en- bart var en mindre revidering att ta bort kravet på att utlämnandet skulle ske på begäran.
Sammanfattningsvis bedömer vi att ett föreskrivet utlämnande som inte kräver en begäran i vart fall inte med någon självklarhet medför att den utlämnande myndigheten ges utrymme att lämna ut uppgifter på eget initiativ.
Ett förbud mot utlämnande på eget initiativ
Den föreslagna ändringen att utlämnande inte längre ska ske på be- gäran kan trots det som anges i avsnittet ovan tolkas som att upp- giftsskyldighetens omfattning utökas på ett sätt som inte kan anses motsvara en mindre revidering. Osäkerhet kan exempelvis uppkomma om bestämmelsernas föreslagna lydelse trots allt ger möjlighet till ett faktiskt utlämnande redan när den utlämnande myndigheten kan anta att uppgifterna behövs hos mottagaren.
939
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
För att det inte ska råda några tvivel i denna fråga bör samtliga nya bestämmelser som avser ett utlämnande som i dag ska ske på begäran förenas med ett förbud mot utlämnande på initiativ av den utlämnande myndigheten. Förbudet innebär att det inte är tillräckligt att den ut- lämnande myndigheten kan anta att den mottagande myndigheten har ett behov av uppgifterna för att uppgiftsskyldigheten ska inträda. Det innebär däremot ett hinder mot spontant utlämnande av upp- gifter som inte efterfrågats.
Förbudet innebär dock inget hinder mot att en myndighet har en ”stående begäran” om viss information som omfattas av en sekretess- brytande bestämmelse, eller att den utlämnande och den mottagande myndigheten avtalar om aviseringar av ändrade uppgifter, löpande utlämnande med olika intervall, utlämnande genom automatiserade händelsebaserade tjänster eller prenumerationer. Förbudet hindrar inte heller ett utlämnande genom direktåtkomst. Ett utlämnande genom direktåtkomst förutsätter nämligen ett förberedande samarbete mellan den utlämnande och mottagande myndigheten inför upprättandet av en sådan förbindelse. Det som förbudet träffar är i stället sådant ut- lämnande som går utöver det som avtalats, som har begärts ut eller som den utlämnande myndigheten inte förvissat sig om faktiskt efterfrågas i den mottagande myndighetens angivna verksamhet.
Det förbudet avser är det faktiska utlämnandet, som inte får ske spontant. Förbudet hindrar med andra ord inte att den utlämnande myndigheten kontaktar den myndighet som uppgiftsskyldigheten av- ser i syfte att uppmärksamma mottagaren på att viss information som omfattas av uppgiftsskyldigheten finns eller kan komma att finnas hos den utlämnande myndigheten. En sådan kontakt kan ske i syfte att ge mottagaren möjlighet att framställa en begäran om att informationen ska lämnas ut i enlighet med den aktuella sekretessbrytande bestäm- melsen. Det faktiska utlämnandet kommer i en sådan situation inte att ske på initiativ av den utlämnande myndigheten.
Ett sådant förfarande förekommer i dag i enstaka fall hos Tull- verket, som enligt 1 kap. 4 § tullagen har en uppgiftsskyldighet till bl.a. marknadskontrollmyndigheter. Marknadskontroll innebär att ansvarig myndighet kontrollerar att produkter som finns på mark- naden uppfyller gällande lagstiftning och att de är märkta och kontrol- lerade på föreskrivet sätt.89 Marknadskontrollverksamheten är primärt
89Marknadskontrollrådets webbsida, Vad är marknadskontroll?, tillgänglig:
940
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
reglerat i unionsrätten genom olika rättsakter som avser såväl för- farandet som de produktssäkerhetskrav som ska gälla. Tullverket är inte en marknadskontrollmyndighet med ansvar för sakfrågorna, utan för varje sakområde finns en utpekad marknadskontrollmyndighet. Det är också dessa ansvariga myndigheter som har specialkunskapen inom sina områden. Tullverket har däremot rätt att stoppa misstänkta varor vid gränsen och att hålla kvar varor i avvaktan på marknads- kontrollmyndighetens beslut om vilka åtgärder som ska vidtas med varan. Marknadskontrollmyndigheterna och Tullverket samråder också om olika åtgärder för att stoppa farliga varor vid gränsen. Uppgifts- skyldigheten enligt 1 kap. 4 § tullagen är i dag utformad utifrån att utlämnandet föregås av en begäran. Enligt vad Tullverket har upp- gett till utredningen förkommer det dock också att myndigheten i det enskilda fallet gör en förfrågan hos den aktuella kontrollmyndig- heten om uppgifter som avses i 1 kap. 4 § tullagen begärs ut eller inte. Detta förfarande kommer vara möjligt även i framtiden.
Som vi nämnt tidigare finns bestämmelser om uppgiftslämnande och skyldighet att lämna uppgifter i många olika nationella författ- ningar och i unionsrätten. Förbudet hindrar självfallet inte sådant ut- lämnande som regleras i någon annan författning, exempelvis de be- stämmelser om underrättelseskyldighet och uppgiftsskyldighet vi redogjort för i avsnitt 13.4.1 och som i dag inte regleras i myndig- heternas registerförfattningar.
Det kan som redan nämnts ifrågasättas om det finns någon prak- tisk skillnad mellan ett utlämnande på begäran som avser exempelvis regelbundna uppdateringar och ett utlämnande som i dag kan ske utan en begäran i det enskilda fallet. I syfte att inte oavsiktligt för- ändra omfattningen av det nuvarande informationsutbytet bör dock de bestämmelser som i dag inte ställer krav på att utlämnandet ska föregås av en begäran inte förenas med ett förbud mot utlämnande på eget initiativ.
Ett undantag från huvudregeln
I regleringen för beskattningsverksamheten finns en bestämmelse där de överväganden som vi nyss redogjort för inte kan tillämpas fullt ut. Enligt 8 e § SdbF ska nämligen uppgifter lämnas till Statistiska central- byrån på begäran av Riksbanken. Det är den enda bestämmelsen i sam-
941
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
manhanget som föreskriver ett utlämnande på begäran av en myndig- het men där mottagaren av uppgifterna är en annan myndighet. Vi anser att ett utlämnande på initiativ från en tredje part inte med själv- klarhet skulle anses vara tillåtet utan en tydligt tillåtande reglering. I syfte att inte rubba det uppgiftslämnande som möjliggörs genom den nämnda bestämmelsen bör det följaktligen införas en ny bestäm- melse med motsvarande innebörd, dvs. att utlämnande av de aktuella uppgifterna till Statistiska centralbyrån ska ske på begäran av Riks- banken.
13.4.5Vilka kategorier av uppgifter som avses ska
ide nya bestämmelserna utgå från hur de definieras
iden befintliga regleringen
Vårt förslag: Sekretessbrytande bestämmelser som i dag hänvisar till en eller flera punkter i registerlagarnas kataloger över vilka uppgifter som får behandlas i respektive databas ska utan ändring i sak föras in i de nya sekretessbrytande bestämmelserna, men i stället för en sådan hänvisning ange de kategorier av uppgifter som avses.
I övrigt ska nuvarande bestämmelser avseende vilka uppgifter som avses oförändrade föras in i de nya bestämmelserna.
Skälen för vårt förslag
Bestämmelser som i dag hänvisar till databasregleringen
Som framgår av avsnitten
I många fall hänvisas det i den sekretessbrytande bestämmelsen till en eller flera kategorier av uppgifter som får behandlas i en data- bas. Hänvisning sker då genom att det i bestämmelsen anges det lagrum som föreskriver att uppgifterna får behandlas i databasen.
Iavsnitt 9.4.2 har vi som redan nämnts föreslagit att dagens reglering av olika databaser inte ska ha någon motsvarighet i de nya dataskydds-
942
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
författningarna. Nya sekretessbrytande bestämmelser kan därför inte i samtliga fall utformas efter samma systematik som tidigare.
Vi har tidigare bedömt att de sekretessbrytande bestämmelserna i huvudsak inte ska förändras avseende vilka uppgifter som avses, vem mottagaren ska vara och i vilken verksamhet de ska behövas. När en sekretessbrytande bestämmelse i dag hänvisar till en kategori uppgifter som får behandlas i en databas ska därför samma kategori uppgifter
istället uttryckligen anges i den nya bestämmelsen. Den skillnad mellan de gamla och de nya bestämmelserna som i detta avseende uppstår blir därmed enbart språklig.
Bestämmelser som hänvisar till andra författningar
I enlighet med vår målsättning om att de nya bestämmelserna ska vara så enhetligt utformade som möjligt har vi övervägt om samma kate- gorier av uppgifter som anges ovan, dvs. de som får behandlas i data- baserna, kan användas vid allt uppgiftslämnande. De kategorier av uppgifter som får behandlas i databaserna är dock ofta mycket brett formulerade. Bestämmelser om uppgiftsskyldighet som avser andra kategorier av uppgifter är motsatsvis ofta mycket detaljerade. Detta gäller exempelvis för de många fall då Skatteverket har en skyldighet att lämna ut uppgifter på individnivå i arbetsgivardeklarationen, där uppgifterna är detaljerat angivna. I dessa fall är det i stället ofta beho- vet hos den mottagande myndigheten som anges mycket brett, exem- pelvis får flera brottsbekämpande myndigheter i dag ta del av uppgifter på individnivå i arbetsgivardeklarationen i den utsträckning det be- hövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.90 Här framstår det alltså som nödvän- digt att föra över begränsningen avseende vilka uppgifter som avses till de nya bestämmelserna för att undvika en utvidgning av uppgifts- skyldigheten.
I andra fall där avgränsningen av vilka uppgifter som avses utgår från andra bestämmelser än registerförfattningarna är det dock inte lika självklart att de sekretessbrytande bestämmelserna inte skulle kunna förenklas. Exempelvis anges i 7 § första stycket SdbF följande.
908 l § SdbF.
943
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Till Försäkringskassan ska uppgifter lämnas ut från beskattningsdata- basen i den utsträckning det behövs för
1.beräkning eller kontroll av sjukpenninggrundande inkomst,
2.fördelning av ålderspensionsavgifter,
3.fastställande av underhållsstöd och betalningsskyldighet för sådant stöd enligt socialförsäkringsbalken,
4.beräkning och kontroll av bostadsbidrag enligt socialförsäkrings- balken,
5.beräkning av betalningsskyldighet enligt 8 § andra stycket lagen (2004:1237) om särskild sjukförsäkringsavgift,
6 beräkning och kontroll av bostadstillägg enligt socialförsäkrings- balken, eller
7.beräkning av ersättning för sjuklönekostnad enligt 17 eller 17 d § lagen (1991:1047) om sjuklön.
Behovet hos Försäkringskassan är mycket detaljerat angivet, till skillnad från vad som gäller för vissa brottsbekämpande myndigheter. Andra stycket i samma bestämmelse, som anges nedan, hänvisar dock inte till den katalog över uppgifter som får behandlas i beskattnings- databasen utan till bestämmelser i andra författningar. I 7 § andra stycket SdbF anges följande.
De uppgifter som ska lämnas till Försäkringskassan med stöd av första stycket är uppgifter
1.enligt 19 kap. 11, 13 och 14 §§ socialförsäkringsbalken, med undan- tag av 13 § tredje stycket,
2.om inkomst som anges i 97 kap. 2, 4, 5, 11 och 13 §§ socialförsäkrings- balken, med undantag av 5 § tredje stycket och 13 § första stycket
3.om fastighet, ägarandel, fastighetsbeteckning, adress och bostadsyta,
4.om avgiftsunderlag enligt 2 kap. 24 § socialavgiftslagen (2000:980) och om därpå belöpande arbetsgivaravgifter enligt 2 kap. socialavgifts- lagen, skatt enligt 1 § lagen (1990:659) om löneavgift och avgift enligt 1 § lagen (1994:1920) om allmän löneavgift som beräknats för arbets- givare under ett kalenderår,
5.om avdrag för avsättning till periodiseringsfond och expansions- fond enligt 30 och 34 kap. inkomstskattelagen (1999:1229) samt om återföring av sådana avdrag,
6.om schablonintäkt enligt 47 kap. 11 b § inkomstskattelagen,
7.om samtliga intäkts- och kostnadsposter i inkomstslagen tjänst och kapital,
8.om överskott eller underskott i inkomstslaget näringsverksamhet, och
9.om sjuklönekostnad enligt 17 b § första stycket lagen (1991:1047) om sjuklön.
944
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Vi har övervägt om sekretessbrytande bestämmelser som i exemplet ovan i stället skulle kunna ange motsvarande kategorier av uppgifter som i dag får behandlas i databaserna, utan att det skulle medföra en förändring av utlämnandets omfattning. En sådan lösning skulle bidra till en större enhetlighet och att bestämmelser om utlämnande blev mindre komplexa. Avgränsningen skulle i sådant fall ske genom angiv- andet av att behovet ska föreligga i samma verksamhet som i dag. Som
viangett i avsnitt 13.4.4 ansvarar nämligen den mottagande myndig- heten i normalfallet för att inte fler uppgifter än vad som är motiverat utifrån mottagarens legitima behov, som i exemplet anges i bestäm- melsens första stycke, hämtas in. I de bestämmelser som hänvisas till
i7 § första stycket SdbF föreskrivs i detalj vilka uppgifter som ska ligga till grund för vilken åtgärd från Försäkringskassans sida. Det skulle kunna innebära att detaljeringsgraden i andra stycket är över- flödig.
Vi har analyserat de bestämmelser som det hänvisas till i 7 § andra stycket SdbF och utifrån detta bedömer vi att bestämmelsens andra stycke skulle kunna utformas enligt följande.
De uppgifter som ska lämnas till Försäkringskassan med stöd av första stycket är uppgifter om
1.underlag för fastställande av skatter och avgifter,
2.bestämmande av skatter och avgifter,
3.underlag för fastighetstaxering, och
4.uppgifter om sjuklönekostnad.
En sådan lösning förutsätter dock att det inte finns uppgifter som ingår i de breda kategorier som får behandlas i databasen och som be- hövs i Försäkringskassans verksamhet, men som Försäkringskassan i dag inte har rätt att ta del av. Den frågan bedömer vi dock vara allt- för omfattande för att kunna besvaras inom ramen för vårt uppdrag.
Inte heller avseende exemplet ovan går det att med någon själv- klarhet översätta uppgiftsskyldighetens omfattning till en eller flera kategorier av uppgifter som får behandlas i databaserna enligt nuvar- ande reglering. Riskerna med den lösning vi övervägt är att den mot- tagande myndigheten ges tillgång till fler uppgifter än i dag. För att inte oavsiktligt utöka uppgiftsskyldigheternas omfattning anser vi att det lämpligaste är att strukturen i de bestämmelser som hänvisar till andra författningar än registerlagarna förs över oförändrad till de nya bestämmelserna.
945
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Bestämmelser som inte anger vilka uppgifter som avses
I vissa sekretessbrytande bestämmelser anges inte över huvud taget vilka kategorier av uppgifter som avses, utan endast vilket behov hos mottagaren som ska föreligga för att utlämnande ska ske. Detta gäller bl.a. visst utlämnande från beskattningsverksamheten till Polismyndig- heten.91 För att inte riskera att oavsiktligt inskränka utlämnandets omfattning bedömer vi att det i dessa fall inte heller i de nya, mot- svarande bestämmelserna bör införas något angivande av vilka upp- gifter som avses.
13.4.6Bestämmelser om uppgiftslämnande bör i så hög utsträckning som möjligt utformas på ett enhetligt och flexibelt sätt
Vår bedömning: Bestämmelser om uppgiftslämnande bör utfor- mas på ett enhetligt sätt och på ett sätt som tar höjd för regeländ- ringar.
Skälen för vår bedömning
Som en generell utgångspunkt anser vi att bestämmelser som regle- rar samma sorts rättsliga förhållanden, i det här fallet förutsättningar för uppgiftslämnande, tjänar på att utformas på ett enhetligt sätt. En enskild bestämmelse blir sannolikt enklare att både förstå och tillämpa om inte själva utformningen av den väcker frågan om dess innebörd i förhållande till andra liknande bestämmelser, som de exempel vi redogör för i avsnitt 13.4.1.
Som vi redan påpekat är informationsutbytet mellan myndigheter, såväl inom som över nationsgränser, i dag mycket omfattande. Infor- mationsutbytet ökar dessutom kontinuerligt. Vi anser därför att be- stämmelser om uppgiftslämnande inte bara bör utformas på ett enhetligt sätt, utan även på ett sätt som tar höjd för tillkommande uppgifts- skyldighet. Själva regleringens struktur bör alltså utformas på ett så- dant sätt att tillkommande uppgiftsskyldighet inte kräver att befint- liga bestämmelser ändras, om det inte är påkallat av rent sakliga skäl.
917 d § SdbF.
946
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Vi har övervägt hur dessa två målsättningar mest effektivt kan till- godoses i de nya bestämmelserna. En grundläggande åtgärd är att dela upp bestämmelserna i kapitel när det är fråga om ett stort antal be- stämmelser som rör utlämnande till flera olika mottagare, vilket är fallet för Skatteverkets beskattningsverksamhet. I detta fall bör be- stämmelser avseende utlämnande till de mottagare där informations- utbytet är som mest omfattande, och där uppgiftslämnandet kan an- tas öka, finnas i särskilda kapitel. Kapitelindelningen bör även i viss mån utgå från de mottagande myndigheternas verksamhet, exempel- vis bör utlämnande till brottsbekämpande myndigheter regleras i ett kapitel. En annan åtgärd är att inte reglera uppgiftslämnande till flera mottagare i samma bestämmelser, vilket i dag sker för vissa brotts- bekämpande myndigheter.92 Utlämnande till en och samma mottagare bör dessutom inte regleras på olika ställen, utan samlat.
Vad avser själva bestämmelsernas struktur bör som utgångspunkt behoven hos mottagaren anges i en bestämmelses första stycke, och vilka uppgifter som avses i andra stycket. När det föreskrivna upp- giftslämnandet är av mer begränsad omfattning, eller synnerligen brett formulerat framstår som det mindre ändamålsenligt, och ibland omöj- ligt, att dela upp de befintliga bestämmelserna i stycken. Exempelvis finns det som nämnts ovan bestämmelser som inte specificerar vilka uppgifter som avses, utan enbart vilka behov som ska föreligga, alter- nativt inte anger vilka behov som ska föreligga utan enbart vilka upp- gifter som avses.
När det rör sig om ett mycket omfattande utlämnande för ett stort antal behov hos mottagaren anser vi att den lösning som medger mest överskådlighet och flexibilitet är att dela upp bestämmelserna i två paragrafer som hänvisar till varandra. I den ena bestämmelsen ska det föreskrivas att uppgifter ska lämnas ut och för vilka behov hos mot- tagaren. I den andra bestämmelsen ska de uppgifter som avses anges.
928 l § SdbF.
947
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
13.5Skatteverkets beskattningsverksamhet
13.5.1Utlämnande av uppgifter från beskattningsverksamheten ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgiftsläm- nande som i dag regleras i registerförfattningarna för Skatteverkets beskattningsverksamhet ska föras in i en ny förordning kallad för- ordningen om utlämnande av uppgifter från Skatteverkets beskatt- ningsverksamhet.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Skatteverkets utlämnande av upp- gifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som om- fattas av den föreslagna beskattningsdatalagen.
I den nya förordningen ska införas bestämmelser som motsva- rar de bestämmelser som i dag reglerar Skatteverkets möjligheter att ta ut avgifter vid utlämnande från beskattningsdatabasen.
Skälen för vårt förslag
En ny förordning om utlämnande av uppgifter
Det finns ett stort antal bestämmelser om uppgiftslämnande från beskattningsverksamhet och regleringen är komplex. Bestämmelserna som styr informationsflödet från verksamheten finns i dag i flera olika författningar. Det vore därför lämpligt att i så hög utsträckning som möjligt undvika en ännu mer splittrad reglering.
I avsnitt 13.4.3 har vi bedömt att bestämmelser om uppgiftsläm- nande inte ska finnas i de nya författningarna om dataskydd. Vi har övervägt om bestämmelser om Skatteverkets uppgiftsskyldighet i be- skattningsverksamheten kan flyttas till någon befintlig författning som reglerar de uppgifter Skatteverket har att utföra. Mot bakgrund av den stora omfattningen, att bestämmelser om utlämnande ofta ändras och då det inte finns något krav på att sekretessbrytande uppgiftsskyl- dighet som bygger på 10 kap. 28 § OSL ska finnas i lag, anser vi dock att det är lämpligt att de nya bestämmelserna förs in i en förordning.
Vi har exempelvis övervägt om bestämmelser om utlämnande som i dag finns i registerförfattningarna kan föras in i skatteförfarande-
948
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
förordningen (2011:1261), SFF. I 18 kap. SFF finns nämligen redan vissa bestämmelser om uppgiftsskyldighet för Skatteverket, bl.a. avseende utlämnande till Försäkringskassan, Kronofogdemyndigheten och Statistiska centralbyrån.93 Dessa och andra myndigheter som Skatteverket har en uppgiftsskyldighet till enligt skatteförfarande- förordningen är myndigheter som även anges som mottagare av upp- gifter i skattedatabasförordningen. I 20 kap. SFF finns dessutom vissa bestämmelser om uppgiftslämnande till myndigheter i andra stater.
En invändning mot att föra in de nya bestämmelserna om uppgifts- lämnande i skatteförfarandeförordningen är dock att tillämpnings- område för nuvarande registerförfattningar är bredare än tillämpnings- området för skatteförfarandelagen, som skatteförfarandeförordningen kompletterar.94 Den nya beskattningsdatalagen kommer i likhet med dagens registerförfattningar tillämpas i flera olika sammanhang som inte enbart regleras i skatteförfarandelagen och därmed inte heller den tillhörande förordningen. Vi anser därför att det inte är lämpligt att föra in de bestämmelser om utlämnande som i dag finns i register- författningarna i skatteförfarandeförordningen.
Någon annan lämplig författning som de ändrade bestämmelserna kan föras in i har vi inte hittat. Vår slutsats är därför att det inte finns någon befintlig författning dit nuvarande bestämmelser i register- författningarna bör flyttas. Vi föreslår därför en ny förordning om Skatteverkets utlämnande av uppgifter från beskattningsverksamheten.
Förordningens namn och portalparagraf
Vi anser att det inte är lämpligt att särskilt ange begreppet uppgifts- skyldighet i förordningens namn, trots att den huvudsakligen föreslås innehålla sådana. Även sekretessbrytande bestämmelser om utläm- nande till enskilda föreslås nämligen finnas i den nya förordningen, och dessa utgör inte i sig skyldigheter för Skatteverket. Namnet bör dessutom möjliggöra införandet av framtida upplysningsbestämmel- ser om sådant utlämnande som inte sker med stöd av en sekretess- brytande uppgiftsskyldighet i nationell rätt, eller med stöd av upp- giftsskyldighet som inte kan eller bör införas i den nya förordningen av normtekniska skäl. Det kan inte heller uteslutas att det kan finnas
9318 kap. 2, 4 och 9 §§ SFF.
941 kap.
949
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
skäl att i framtiden upplysa om sådant utlämnande som kan ske med stöd av den s.k. generalklausulen i offentlighets- och sekretesslagen genom en bestämmelse i förordningen. Förordningens namn bör där- för vara förordningen om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet.
Eftersom bestämmelser som möjliggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upp- lysa om att den innehåller bestämmelser om utlämnande av uppgifter från beskattningsverksamheten i vissa fall.
Förordningens struktur
I avsnitt 13.5.2 nedan föreslår vi att bestämmelser som motsvarar skattedatabaslagens och skattedatabasförordningens bestämmelser om utlämnande till enskilda förs in i den nya förordningen om ut- lämnande av uppgifter från beskattningsverksamheten. Dessa be- stämmelser bör finnas i ett eget kapitel.
Även uppgiftslämnande till andra verksamhetsgrenar inom Skatte- verket bör regleras i ett eget kapitel. Avseende bestämmelser om ut- lämnande till
Också bestämmelser om utlämnande till de myndigheter där be- skattningsverksamhetens uppgiftslämnande är mest omfattande, dvs. Kronofogdemyndigheten, Tullverket, Försäkringskassan, Migrations- verket och Statistiska centralbyrån bör finnas i särskilda kapitel.
Utlämnande till myndigheter inom det brottsbekämpande området, samt till domstolar m.fl. bör också regleras i särskilda kapitel.
Bestämmelser som rör utlämnande till övriga myndigheter bör slutligen regleras i ett kapitel.
Tillämpningsområde
Det breda materiella tillämpningsområdet för den föreslagna beskatt- ningsdatalagen syftar i likhet med dagens registerförfattningar till att omfatta alla Skatteverkets arbetsuppgifter inom den aktuella verksam- hetsgrenen, se avsnitt 7.4.5. För samstämmighet med de författningar som föreslås upphävas bör den nya förordningen om uppgiftsläm- nande ha samma breda materiella tillämpningsområde som den nya
950
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
beskattningsdatalagen. De avgränsningar som föreslås avseende juri- diska personer och avlidna i beskattningsdatalagen bör dock inte finnas i den nya förordningen.
En följd av det breda tillämpningsområdet är att eventuell till- kommande uppgiftsskyldighet för beskattningsverksamheten i första hand ska kunna föras i den föreslagna förordningen, och inte i andra förordningar eller i materiell reglering. Om så sker undviks ytterligare splittring i regleringen av vilka skyldigheter Skatteverket har att lämna ut uppgifter till andra aktörer.
Även vissa befintliga bestämmelser om uppgiftsskyldighet som i dag regleras i andra sammanhang bör kunna flyttas till den nya för- ordningen. Exempelvis skulle sådana bestämmelser som i dag finns i skatteförfarandeförordningens 18 kap. och 20 kap. kunna flyttas dit. Redan en sådan förändring hade enligt vår mening bidragit till att om- rådet framstod som mindre splittrat och svåröverskådligt. Vi anser dock att det inte ligger inom ramen för vårt uppdrag att lämna för- slag med den innebörden.
Bestämmelser om Skatteverkets rätt att ta ut avgifter
En myndighet får bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett sär- skilt beslut av regeringen. En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.95 Något krav på att bestämmelser om myndigheters rätt att ta ut av- gifter ska finnas i lag finns alltså inte.
Idag ges Skatteverket rätt att ta ut avgifter för utlämnande av upp- gifter från beskattningsdatabasen enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i lag, 2 kap. 14 § första stycket SdbL. I paragrafens andra stycke anges att rätten att ta ut av- gifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller en registrerads rätt enligt artikel 12.5
iEU:s dataskyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Skatte- verkets rätt att ta ut avgifter vid utlämnande motsvaras av nya bestäm-
953 och 5 §§ avgiftsförordningen (1992:191).
951
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
melser. Skatteverket har dessutom uppgett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter från beskattningsverksamheten. Dessa nya bestämmel- ser bör enligt vår mening finnas i samma sammanhang som de nya be- stämmelser som reglerar utlämnandet i sak, dvs. den nya förordningen om utlämnande av uppgifter.
En bestämmelse som motsvarar bestämmelsen i 2 kap. 14 § första stycket SdbL bör därför införas i den nya förordningen om utläm- nande av uppgifter. Även bestämmelsen om hur möjligheten att ta ut avgifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör ha en mot- svarighet i den nya förordningen. Däremot bör tillägget i nuvarande
2kap. 14 § första stycket första meningen SdbL, som anger att avgif- terna får tas ut enligt de närmare föreskrifter som meddelas av reger- ingen, inte införas i den nya förordningen eftersom regleringen i sin helhet föreslås finnas på förordningsnivå.
I 22 § SdbF finns i dag en bestämmelse som ger Skatteverket rätt att fastställa avgifter för utlämnande av uppgifter ur beskattningsdata- basen. I bestämmelsen anges dock att avgift inte ska tas ut när upp- gifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning. En bestämmelse med motsvarande innebörd bör också föras in i den nya förordningen om uppgifts- lämnande från beskattningsverksamheten.
Bestämmelserna i sak
I de kommande avsnitten redogör vi för vissa förändringar i förhål- lande till den reglering som i dag finns i skattedatabasförordningen. Utöver dessa tillägg och justeringar föreslår vi att de sekretessbrytande bestämmelser som i dag finns i skattedatabaslagen och skattedatabas- förordningen ska föras över till den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten med de förändringar vi redogjort för ovan.
952
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
13.5.2Utlämnande till enskilda
Vårt förslag: I den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten ska det införas en bestämmelse som motsvarar den sekretessbrytande bestämmelse i skattedata- baslagen som i dag reglerar förutsättningarna för utlämnande från beskattningsdatabasen till enskilda. Bestämmelsen i den nya för- ordningen ska dock förtydligas avseende vilka uppgifter som får lämnas ut avseende en fysisk eller juridisk person är godkänd som skattebefriad förbrukare enligt lagen om skatt på energi eller lagen om alkoholskatt.
Utlämnande till arbetslöshetskassor ska regleras i anslutning till bestämmelsen om utlämnande till övriga enskilda.
Skälen för vårt förslag
En sammanhållen reglering
För att skapa en sammanhållen reglering anser vi att inte bara de sekretessbrytande bestämmelser som i dag finns i registerförordningen för beskattningsverksamheten ska införas i den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten. Även vissa andra sekretessbrytande bestämmelser bör flyttas dit.
I 2 kap. 5 § SdbL finns i dag bestämmelser som bryter skatte- sekretessen i förhållande till enskilda. Bestämmelsen skiljer sig från de bestämmelser som reglerar utlämnande till myndigheter, eftersom den föreskriver att en s.k. menprövning ska göras (jfr avsnitt 3.3.2). Den föreskriver inte heller att något särskilt behov ska föreligga hos mottagaren för att uppgifterna ska kunna lämnas ut.
Med hänsyn till vår målsättning att bestämmelser med olika karak- tär och föremål ska hållas åtskilda skulle det kunna argumenteras att bestämmelsen som i dag finns i 2 kap. 5 § SdbL borde föras in i något annat sammanhang än det i vilket informationsutbyte mellan myndig- heter regleras. Vår bedömning är dock att den överordnade funktio- nen med bestämmelserna, dvs. att bryta förekommande sekretess, talar för att de bör finnas i ett och samma sammanhang. I den mån tillkom- mande bestämmelser om utlämnande samlas i den nya förordningen bidrar den lösningen dessutom till att ge en mer heltäckande bild av de sekretessgenombrott som kan förekomma. Vi föreslår därför att det
953
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
i den nya förordningen om utlämnande av uppgifter från beskattnings- verksamheten förs in en bestämmelse som motsvarar den som i dag finns i 2 kap. 5 § SdbL, med enbart vissa redaktionella ändringar. Som en följd av vårt förslag i denna del bör även 27 kap. 7 § ändras, se avsnitt 13.2.3.
I avsnitt 13.3.3 har vi redogjort för att arbetslöshetskassor inte är myndigheter, men att de behandlas som sådana inom offentlighets- och sekretesslagstiftningen. Att det förhåller sig på så sätt kan dock inte anses vara helt allmänt känt. I syfte att inte skapa onödig otyd- lighet anser vi att utlämnandet till arbetslöshetskassorna bör regleras i samma sammanhang som utlämnande till övriga enskilda. Vi före- slår därför att en bestämmelse som motsvarar den som i dag finns i 8 d § SdbF och som reglerar utlämnande från beskattningsverksam- heten till arbetslöshetskassorna, förs in i den nya förordningens kapitel om utlämnande till enskilda.
Ett förtydligande
Skatteverket har i ett annat sammanhang96 föreslagit ett förtydligande av omfattningen av uppgifter som kan lämnas ut avseende en skatte- befriad förbrukare med stöd av 2 kap. 5 § 8 SdbL. Av den aktuella bestämmelsens framgår i dag att uppgifter får lämnas ut om huruvida en fysisk eller juridisk person är godkänd som skattebefriad förbru- kare enligt lagen (1994:1776) om skatt på energi eller lagen (2022:156) om alkoholskatt och i sådana fall från vilken tidpunkt.
Ett godkännande som skattebefriad förbrukare innebär bl.a. att skattepliktiga alkoholvaror kan tas emot från en s.k. upplagshavare utan skatt alternativt att skattepliktigt bränsle kan tas emot utan skatt eller med nedsatt skatt för vissa ändamål.97
Av förarbetena till den aktuella bestämmelsen framgår att syftet med att uppgifterna över huvud taget skulle få lämnas ut var att det fanns ett behov av att lämna ut uppgifterna eftersom skattebefriade förbrukare ibland bad att få uppgift om godkännande sänt till annan än den egna adressen, samt att s.k. upplagshavare kunde ha intresse av att ta del av uppgift om huruvida någon var godkänd som skatte-
96Skatteverkets promemoria
9710 kap. 2 § andra stycket lagen om alkoholskatt och 8 kap. 1 § tredje stycket lagen om skatt på energi.
954
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
befriad förbrukare. Enligt regeringens bedömning kunde det finnas situationer där den enskildes samtycke inte kunde inhämtas eller det kunde vara omständligt att inhämta det. Dessa situationer skulle under- lättas genom en bestämmelse som angav att uppgifter om besluten fick lämnas ut. Den efterfrågade informationen från en tredje person var dock endast huruvida en fysisk eller juridisk person var godkänd som skattebefriad förbrukare och i så fall från vilken tidpunkt detta gällde. Enligt regeringen borde bestämmelsen därför utformas med beaktande av detta.98
Skatteverket har gjort gällande att bestämmelsen i 2 kap. 5 § 8 SdbL bör förtydligas på så sätt att den även anger vad ett godkännande omfattar eftersom uppgifter om för vilket ändamål ett godkännande gäller eller vilket bränsle ett godkännande gäller kan vara sådana upp- gifter som har betydelse för hanteringen av skatten. Skatteverket har påpekat att sådana uppgifter i och för sig omfattas av den nuvarande lydelsen. För att det inte ska kunna råda någon oklarhet i denna fråga bör det dock enligt Skatteverket uttryckligen framgå av bestämmel- sen att utlämnandet även får innefatta uppgift om vad ett godkännande omfattar.
Vi delar den bedömning som Skatteverket gett uttryck för avse- ende att dagens reglering bör anses omfatta även viss ytterligare infor- mation om godkännandet än enbart att ett sådant beslut fattats och från vilken tidpunkt. Om den sekretessbrytande bestämmelsen inte också avsåg information om vad ett sådant beslut omfattade skulle den nämligen inte fylla den funktion som förefaller ha avsetts, dvs. att Skatteverket skulle ges möjlighet att upplysa tredje man om förhål- landen som var av betydelse bl.a. för om denna kunde leverera en vara utan att samtidigt påföra skatt.
Det går att ifrågasätta om det finns något faktiskt behov av ett sådant förtydligande som Skatteverket efterfrågat. Mot bakgrund av att en bestämmelse som möjliggör ett utlämnande av uppgifter också utgör en rättslig grund för den personuppgiftsbehandling som utläm- nandet innebär bör dock bestämmelsen i den nya förordningen vara tydlig och precis och dess tillämpning förutsebar för den som omfat- tas av den (skäl 41 till EU:s dataskyddsförordning). Vi föreslår där- för att bestämmelsen i den nya förordningen som motsvarar 2 kap. 5 § 8 SdbL även ska tillåta utlämnande av uppgifter om vad godkän- nandet omfattar.
98Prop. 2004/05:99, Val av ledamot i skattenämnd, m.m., s.
955
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Eftersom utlämnande av uppgifter om vad godkännandet omfat- tar redan bör omfattas av nuvarande reglering innebär vårt förslag inte någon ändring i sak.
13.5.3Utlämnande till
Vårt förslag: I den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten ska det införas en bestämmelse som motsvarar den sekretessbrytande bestämmelse i
Skälen för vårt förslag
I avsnitt 16.4.2 har vi föreslagit en ny lag och en ny förordning för Skatteverkets verksamhet med det statliga personadressregistret, (SPAR). Skatteverkets verksamhet med SPAR utgör en självständig verksamhetsgren, varför sekretessen inom beskattningsverksamheten även gäller i förhållande till
Av 4 §
I 4 § förordningen (1998:1234) om det statliga personadressregist- ret,
956
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Den uppgiftsskyldighet som i dag framgår av 4 §
13.5.4Visst utlämnande till Kronofogdemyndigheten
Vårt förslag: Bestämmelserna om uppgiftslämnande till Krono- fogdemyndigheten i den nya förordningen ska med vissa juster- ingar motsvaras av nuvarande bestämmelse.
Skälen för vårt förslag
Ospecificerade behov i Kronofogdemyndighetens verksamhet
Av 4 § första stycket första meningen SdbF framgår att Skatteverket på begäran av Kronofogdemyndigheten ska lämna ut uppgifter som anges i 2 kap. 3 §
Som vi redogjort för i avsnitt 13.4.4 bör även bestämmelser som i dag inte anger att uppgifterna ska behövas hos mottagaren förenas med ett krav på att det ska föreligga ett sådant behov för att uppgif- terna ska få lämnas ut. Eftersom vi inte har för avsikt att förändra om- fattningen av det befintliga informationsutbytet bör dock behovet inte heller specificeras närmare i den nya regleringen. Uppgifter som i dag anges i 2 kap. 3 §
957
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Personer som förekommer i Kronofogdemyndighetens verksamhet
I 4 § första stycket andra meningen SdbF anges att uppgifter som avses i 2 kap. 3 § 4, 5, 8, 10 och 11 SdbL på begäran ska lämnas ut om personer som på olika sätt är aktuella i Kronofogdemyndighetens verk- samhet. Den personkrets som pekas ut är sådana som har ansökt om skuldsanering eller
Av 4 § andra stycket SdbF framgår att Kronofogdemyndigheten har rätt att ta del av samtliga uppgifter, alltså uppgifter som anges i 2 kap. 3 §
Av 4 a § SdbF framgår att uppgifter som avses i 2 kap. 3 § 4 och 5 SdbL på begäran ska lämnas ut om en person, som omfattas av en begäran om inhämtande av bankkontoinformation enligt Europa- parlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bank- medel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur. Bestämmelsen är inte förenad med någon kompletterande bestämmelse som ger Kronofogdemyndigheten rätt att ta del av uppgifterna genom direktåtkomst.
I avsnitt 13.4.4 har vi gjort bedömningen att bestämmelser som särskilt reglerar direktåtkomst inte ska ha någon motsvarighet i den nya regleringen. I avsnitt 13.4.2 har vi också påpekat att bortfallet av be- stämmelser som i dag möjliggör direktåtkomst måste kompenseras för på något sätt i den nya regleringen. Vi har även bedömt att detta bör ske genom att nya bestämmelser inte ska föreskriva att ett utläm- nande ska ske på begäran och inte heller hänvisa till en särskilt angi- ven personkrets. Frågan är då hur bestämmelser i den nya förordningen, och som ska motsvara 4 § första stycket andra meningen och 4 a § SdbF ska ange i vilka fall uppgifterna får lämnas ut.
Inledningsvis kan konstateras att bestämmelser om uppgiftsläm- nande likt de aktuella har en inneboende komplexitet. Å ena sidan finns bestämmelserna om utlämnandet (avseende form och i sak) i en för- fattning vars tillämpningsområde tyder på att den enbart styr den ut-
958
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
lämnande myndighetens agerande, dvs. själva utlämnandet. Det ställer krav på den utlämnande myndigheten inte enbart att lämna ut upp- gifterna, utan även att vidta vissa åtgärder innan utlämnandet, exem- pelvis att avgränsa det till sådana uppgifter som typiskt sett har bety- delse för den verksamhet som anges hos den mottagande myndigheten. En avgränsande åtgärd blir särskilt betydelsefull när uppgifterna är brett formulerade, exempelvis ”underlag för fastställande av skatter och avgifter”. Att uppgifterna endast får avse personer som förekom- mer hos mottagaren är dock svårt för den utlämnande myndigheten att närmare kontrollera i det enskilda fallet, oavsett i vilken form ut- lämnandet genomförs. När uppgifterna dessutom lämnas ut genom direktåtkomst innebär det i praktiken att kontrollen av att uppgif- terna rör personer som är aktuella i den mottagande myndigheten helt faller på mottagaren. Efter Högsta förvaltningsdomstolens avgörande rörande LEFI Online (HFD 2015 ref. 16) har nämligen begreppet av- gränsats till att avse sådana former av överföring som sker utan att den utlämnande myndigheten vidtar någon (automatiserad) kontroll eller åtgärd (se avsnitt 11.4.2).
Åandra sidan styr bestämmelserna också den mottagande myn- dighetens handlingsutrymme. Om den mottagande myndigheten, som Kronofogdemyndigheten i det aktuella fallet, också har direktåtkomst till samtliga kategorier av uppgifter innebär det att uppgifterna i en strikt teknisk mening också är utlämnade när direktåtkomsten är aktiv (se avsnitt 11.2.2). Uppgifterna är därför också i rättslig mening förvarade hos mottagaren. Trots detta får Kronofogdemyndigheten enligt nuvarande reglering inte ta del av uppgifterna för de behov som anges i 4 a § SdbF genom direktåtkomst. För dessa behov ska upp- gifterna, som myndigheten alltså i teknisk och rättslig mening redan har tillgång till, hämtas in genom ett annat förfarande. Bestämmelsen
iden utlämnande myndighetens registerförfattning styr därmed i vilka situationer mottagaren faktiskt kan ta del av de uppgifter som
irättslig mening anses förvarade där.
Om bestämmelser som de i 4 § första stycket andra meningen och 4 a § SdbL enbart reglerade Skatteverkets agerande, dvs. själva utläm- nandet, skulle det möjligtvis vara enklare att formulera de nya bestäm- melserna. Hänsyn måste dock även tas till att regleringen också är bestämmande för mottagarens agerande, för att inte utöka bestäm- melsens omfattning.
959
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Kan ärendehandläggning eller verksamhet ersätta personkrets?
I syfte att åstadkomma en så liten förskjutning av omfattningen av informationsutbytet som möjligt, men samtidigt möjliggöra fortsatt direktåtkomst, har vi övervägt olika alternativ i frågan om hur de sekre- tessbrytande bestämmelserna till Kronofogdemyndigheten ska formu- leras i framtiden.
En möjlighet är att de nya bestämmelserna utformas på så sätt att de tillåter utlämnande i den utsträckning det behövs för Kronofogde- myndighetens ärendehandläggning. En sådan förändring skulle med- föra att kravet för utlämnande till Kronofogdemyndigheten utformas i likhet med det uppgiftslämnande som exempelvis föreskrivs till Försäkringskassan, se exemplet i avsnitt 13.4.5. För utlämnande till Försäkringskassan finns nämligen inget krav på att uppgifterna ska avse en person som är aktuell på ett särskilt sätt. I stället anges i vilken form av handläggning uppgifterna måste behövas, samt vilka uppgifter som avses. I praktiken borde dock Försäkringskassan inte ha något rättsligt utrymme att begära ut eller ta del av information som avser andra personer än de som är aktuella inom den handläggning som spe- cificeras i den sekretessbrytande bestämmelsen. Detsamma borde en- ligt vår bedömning gälla för Kronofogdemyndigheten om uppgifter i framtiden enbart ska lämnas ut i den utsträckning det behövs för viss ärendehandläggning. En avgränsning till uppgifter som behövs i ären- dehandläggning skulle även för Kronofogdemyndigheten innebära att myndighetens handlingsutrymme begränsas till att ta del av upp- gifter om personer som är aktuella i ärenden hos myndigheten och uppgifterna måste dessutom behövas i ärendet.
En annan möjlighet vi övervägt är om de nya bestämmelserna
istället bör avse viss verksamhet inom Kronofogdemyndigheten. Även en sådan lösning skulle medföra att kravet för utlämnande till Krono- fogdemyndigheten utformas i likhet med vissa befintliga bestämmelser, exempelvis sådant utlämnande som i dag ska ske till Skatteverkets brottsbekämpande verksamhet (5 b § SdbF). Begreppet verksamhet omfattar dock fler företeelser än ärendehandläggning.
Vilket begrepp som framstår som mest lämpligt är därför avhängigt hur de befintliga bestämmelserna är utformade. Det går därmed inte att på ett generellt plan svara på frågan om ärendehandläggning eller verksamhet kan ersätta de personkretsar som anges i bestämmelserna
idag.
960
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Person som ansökt om skuldsanering eller
I dag ska uppgifter lämnas ut om en person som ansökt om skuld- sanering eller
Kopplingen till en ansökan skulle kunna anses tala för att den befint- liga bestämmelsen avser Kronofogdemyndighetens behov av uppgif- ter i handläggning av ärenden om skuldsanering och
idag rätt att ta del av uppgifter om personer som ingår i personkretsen även för andra ändamål än att handlägga ärenden, exempelvis för till- syn eller kontroll utan koppling till handläggningen av ett ärende. Någon begränsning till personer som faktiskt har beviljats skuldsaner- ing finns vidare inte. Om den nya bestämmelsen enbart ger Krono- fogdemyndigheten rätt att ta del av de aktuella uppgifterna i den ut- sträckning det behövs för handläggning av ärenden om skuldsaner- ing eller
Begreppet verksamhet skulle dock kunna uppfattas omfatta upp- gifter om andra personer än enbart de som avses i dagens bestäm- melse, dvs. personer som ansökt om skuldsanering eller är make eller motsvarande till denna. Liksom i all annan verksamhet som kräver personuppgiftsbehandling är dock Kronofogdemyndigheten också i verksamheten med skuldsanering och
961
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
bart får behandlas om det är nödvändigt för att utföra verksamhet som omfattas av lagens tillämpningsområde.
Verksamheten med skuldsanering är dessutom relativt avgränsad. Kronofogdemyndigheten har uppgett till utredningen att det i dag inte finns några behov inom verksamheten med skuldsanering att ta del av beskattningsuppgifter som inte blir tillgodosedda genom be- fintlig reglering. De uppgifter som Kronofogdemyndigheten får be- handla i verksamheten med skuldsanering och
Mot den bakgrunden bedömer vi att omfattningen av det nuvarande utlämnandet inte förändras om den nya bestämmelsen anger att upp- gifter ska lämnas ut i den utsträckning det behövs för Kronofogdemyn- dighetens verksamhet med skuldsanering och
9912 och 15 §§ skuldsaneringslagen, samt 13 och 17 §§ lagen om skuldsanering för företagare.
10012 § 6 skuldsaneringslagen och 13 § 8 lagen om skuldsanering för företagare.
962
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
för att den nya bestämmelsen ska ange att Skatteverket ska lämna ut uppgifter till Kronofogdemyndigheten i den utsträckning det behövs för verksamhet med skuldsanering eller
Person som är registrerad som gäldenär
I dag ska uppgifter lämnas ut om en person som är registrerad som gäldenär hos Kronofogdemyndigheten, eller en person som är make eller motsvarande till denna.
Gäldenärer kan förekomma i flera olika typer av ärenden hos Krono- fogdemyndigheten. Samtliga personer som ansöker om skuldsaner- ing borde exempelvis vara gäldenär i förhållande till någon. Att upp- giftslämnandet ska avse personer som är registrerade som gäldenärer hos Kronofogdemyndigheten tyder dock på att avsikten inte är att avse all verksamhet där gäldenärer förekommer.
När den befintliga bestämmelsen infördes hade dåvarande krono- fogdemyndigheterna sedan en lång tid haft tillgång till det centrala skatteregistret genom direktåtkomst, vilket hade motiverats av den nära kopplingen mellan beskattningsverksamhet och indrivnings- verksamhet. Det fanns enligt regeringens mening inte anledning att av integritetsskäl inskränka den möjligheten. I likhet med vad som redan gällde borde åtkomsten i huvudsak vara begränsad till uppgif- ter om gäldenärer och andra personer som förekom i ett ärende hos kronofogdemyndigheten.101 I förarbetena till de sekundära ända- målsbestämmelserna för beskattningsverksamheten (se avsnitt 13.3.1) konstaterade regeringen också att enligt skatteregisterlagen fick skatteregistren användas för utredningar i kronofogdemyndigheter- nas exekutiva verksamhet. Regeringen ansåg därför att ett sekundärt ändamål för beskattningsverksamheten borde vara utsökning och in- drivning.102
Det nyss sagda talar enligt vår mening för att uppgiftslämnandet som i dag föreskrivs i 4 § första stycket andra meningen 1 och 4 i huvudsak bör avse personer som förekommer i Kronofogdemyndig- hetens verksamhet med utsökning eller indrivning, dvs. sådan verksam- het som huvudsakligen bedrivs enligt bestämmelserna i utsöknings- balken och utsökningsförordningen (1981:981), dvs. verkställighet,
101Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 132.
102Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 125.
963
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
samt enligt bestämmelser i lagen (1993:891) om indrivning av stat- liga fordringar m.m., dvs. indrivning.
Alla personer som verkställigheten riktas mot i ett ärende om ut- sökning eller indrivning registreras dessutom som gäldenärer hos Kronofogdemyndigheten, oavsett om verkställigheten gäller en ford- ran eller någon annan förpliktelse. Den som söker om verkställighet (sökande) har som utgångspunkt en skyldighet att betala vissa avgif- ter och kostnader. Enligt bestämmelserna om kostnader i 17 kap. ut- sökningsbalken och i förordningen (1992:1094) om avgifter vid Kronofogdemyndigheten är dock huvudregeln att all verkställighet sker på svarandens, dvs. sökandens motparts, bekostnad. I mål och ärenden som avser en fordran kallas sökandens motpart enligt utsök- ningsbalken gäldenär.103 Svaranden/gäldenären är därmed betalnings- ansvarig för alla s.k. förrättningskostnader, vilket innebär att Krono- fogdemyndigheten med stöd av bestämmelserna i 17 kap. utsöknings- balken och förordningen om avgifter vid Kronofogdemyndigheten ska försöka driva in dessa kostnader av den svarande. Samtliga perso- ner som är svarande eller gäldenär enligt utsökningsbalken registreras därför som gäldenärer hos Kronofogdemyndigheten.
Även sökanden kan komma att registreras som gäldenär om ut- fallet av verkställigheten trots allt medför att han eller hon blir betal- ningsskyldig för förrättningskostnaden. Sökanden kan dessutom komma att registreras som gäldenär om han eller hon blir återbetal- ningsskyldig rörande den fordran för vilken verkställighet ansökts om, t.ex. kapitalbelopp eller ränta efter att domstol ändrat fördelning eller utbetalning. Kronofogdemyndigheten kan då på begäran av den berättigade genast utsöka beloppen, vilket framgår av 13 kap. 20 § utsökningsbalken. Mål registreras då upp mot sökanden om betal- ning inte sker frivilligt. Även arbetsgivare som betalar ut lön i strid mot ett beslut om löneutmätning kan registreras som gäldenär. Mot denne kan utsökning genast ske, vilket framgår av 7 kap. 21 § utsöknings- balken. Då registreras ett mål upp mot arbetsgivaren på samma sätt som mot sökanden. Arbetsgivaren blir då gäldenär genom att mål registreras upp om arbetsgivaren inte betalar frivilligt.
Kronofogdemyndigheten har uppgett till utredningen att myndig- hetens behov av att ta del av beskattningsuppgifter inom verksamheten med utsökning och indrivning i dag blir tillgodosett genom nuvar- ande reglering. I likhet med vad som anges ovan om personer som
103Jfr 1 kap. 7 § utsökningsbalken.
964
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
har ansökt om skuldsanering eller
Vi har ovan konstaterat att Kronofogdemyndigheten vid all be- handling av personuppgifter måste tillämpa dataskyddsförordning- ens bestämmelser om bl.a. rättslig grund för behandling och att inte fler uppgifter än vad som är nödvändigt får behandlas. Av den mate- riella verksamhetsregleringen av myndighetens verksamhet med ut- sökning och indrivning, dvs. primärt utsökningsbalken och utsök- ningsförordningen, framgår vilka förhållanden som har betydelse för tillämpningen av bestämmelserna, vilka undersökningar och kontroller Kronofogdemyndigheten ska utföra, samt vilka förhållanden som är avgörande för utfallet av de förfaranden som regleras genom utsök- ningsbalken.104 Vad gäller uppgifter om make eller motsvarande fram- går exempelvis av bestämmelser i 4 kap. utsökningsbalken att upp- gifter om dessa kan påverka vilken egendom som kan utmätas. Det innebär att uppgifter om make eller motsvarande behövs i handlägg- ning av mål eller ärenden om utsökning eller indrivning.
Den materiella verksamhetsregleringen avser dock i allt väsentligt uppgifter om och förhållanden som är knutna till personer som också registreras som gäldenärer hos Kronofogdemyndigheten, dvs. den som förfarandet riktas mot inom verksamheten med utsökning och indrivning. Dessa uppgifter, samt uppgifter om andra förhållanden som enligt den materiella verksamhetsregleringen tillmäts betydelse
104Jfr t.ex. 4 kap. 9, 14 och 15 §§ och 7 kap. 1 § utsökningsbalken.
965
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
för tillämpningen motsvarar därmed också sådana uppgifter som kan bli aktuella att behandla vid tillsyn, kontroll eller annat analysarbete som sker inom verksamheten med utsökning och indrivning. I den mån beskattningsuppgifter om personer som är registrerade som gäl- denärer behövs för att handlägga ärenden eller för att utföra andra uppgifter inom verksamheten med utsökning och indrivning har Kronofogdemyndigheten i dag möjlighet att ta del av dessa via direkt- åtkomst.
Mot den bakgrunden bedömer vi att omfattningen av det nuvar- ande utlämnandet inte förändras om den nya bestämmelsen anger att uppgifter ska lämnas ut i den utsträckning det behövs för Krono- fogdemyndighetens verksamhet med utsökning och indrivning. Vi föreslår därför att den nya bestämmelsen ska ange att Skatteverket ska lämna ut uppgifter till Kronofogdemyndigheten i den utsträck- ning det behövs för verksamhet med utsökning och indrivning.
Person som omfattas av en begäran om inhämtande av bankkontoinformation
I dag ska uppgifter lämnas ut om en person som omfattas av en be- gäran om inhämtande av bankkontoinformation enligt Europaparla- mentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bank- medel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur, kvarstadsförordningen.
Av 3 § lagen (2016:757) om kvarstad på bankmedel inom EU, kvarstadslagen, framgår att Kronofogdemyndigheten är informations- myndighet enligt kvarstadsförordningen. Vi har därför övervägt om den nya bestämmelsen kan avse Kronofogdemyndighetens verksam- het enligt kvarstadsförordningen, utan att omfattningen av utlämnan- det förändras. Av 6 § kvarstadslagen framgår dock att Kronofogde- myndigheten även är behörig myndighet och ansvarig verkställande myndighet enligt kvarstadsförordningen. Kronofogdemyndigheten har alltså ett större uppdrag med anledning av kvarstadsförordningen än vad som omfattas av informationsuppdraget.
I detta fall är det enligt vår mening inte lämpligt att ange verksam- het. För att den nya bestämmelsens omfattning inte ska bli större än den befintliga föreslår vi att uppgifterna ska lämnas ut om det behövs
966
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
för Kronofogdemyndighetens handläggning av en begäran om inhäm- tande av bankkontoinformation enligt kvarstadsförordningen.
13.5.5Utlämnande till Kronofogdemyndigheten för tillsyn över näringsförbud
Vårt förslag: I den utsträckning det behövs för handläggning av ärenden om tillsyn över näringsförbud ska följande uppgifter läm- nas ut till Kronofogdemyndigheten:
1.underlag för fastställande av skatter och avgifter,
2.bestämmande av skatter och avgifter,
3.uppgifter som behövs för handläggning enligt lagen om Skatte- verkets hantering av vissa borgenärsuppgifter,
4.yrkanden och grunder i ett ärende, och
5.beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Skälen för vårt förslag
Kronofogdemyndighetens behov av och tillgång till uppgifter för tillsyn över näringsförbud
Av 41 § lagen (2014:836) om näringsförbud framgår att Kronofogde- myndigheten utövar tillsyn över att näringsförbud och tillfälliga när- ingsförbud följs. Inom ramen för det arbetet ska Kronofogdemyndig- heten bevaka att en person som meddelats näringsförbud i princip omedelbart upphör med den näringsverksamhet som bedrivs, inte bedriver ny verksamhet, och inte är anställd eller tar emot återkom- mande uppdrag i de situationer då det är förbjudet.
Kronofogdemyndigheten har uppgett till utredningen att det är av stor betydelse att myndigheten har tillgång till uppgifter om hur en person som meddelats näringsförbud försörjer sig för att kunna genomföra en effektiv och ändamålsenlig tillsyn. Myndigheten har vidare uppgett att man behöver kontrollera att uppgifter som den för- budsdömde lämnat stämmer. Enligt Kronofogdemyndigheten är de uppgifter som är av vikt för tillsynsarbetet bl.a. uppgifter om delägar- skap i bolag, uppgifter om deklarerade inkomster, kontrolluppgifter,
967
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
månadsuppgifter, uppgift om fastighetsinnehav samt uppgift om när- stående.
Som framgår ovan har Kronofogdemyndigheten i dag direkt- åtkomst till de uppgifter som behövs för tillsyn över näringsförbud i beskattningsdatabasen om en person som har ansökt om skuldsan- ering eller
Utlämnande för handläggning av ärenden om tillsyn över näringsförbud som i dag delvis sker med stöd av generalklausulen
Om en person som meddelats näringsförbud inte är registrerad som gäldenär, och inte heller har ansökt om skuldsanering eller
De grunduppgifter som myndigheten har tillgång till i dessa situ- ationer utgör dock enligt Kronofogdemyndigheten inte tillräcklig information för utövandet av tillsyn över näringsförbud.105 Krono-
105Dvs. uppgifter enligt 2 kap. 3 §
968
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
fogdemyndigheten har uppgett till utredningen att i de fall myndig- heten enbart har tillgång till grunduppgifter om en person som med- delats näringsförbud begärs de ytterligare uppgifter som behövs ut från Skatteverket särskilt. I begäran anges att uppgifterna bör kunna lämnas ut av Skatteverket med stöd av 10 kap. 27 § (generalklausulen, se avsnitt 13.2.2).
Skatteverket har uppgett till utredningen att samverkan mellan myndigheterna i denna fråga har resulterat i en mall för begäran som handläggaren för tillsynsärendet vid Kronofogdemyndigheten fyller i och skickar till Skatteverket. Skatteverket prövar begäran med ut- gångspunkt i de uppgifter som begärs enligt mallen. I mallen redo- görs även standardiserat för Kronofogdemyndighetens behov. Med utgångspunkt i detta underlag prövar Skatteverket begäran.
Skatteverket har även uppgett att bedömningen är att uppgifterna som begärs enligt mallen som utgångspunkt kan lämnas ut med stöd av 10 kap. 27 § OSL.
Uppgifter ska få lämnas ut i den utsträckning det behövs för Kronofogdemyndighetens handläggning av ärenden om tillsyn över näringsförbud
Vi har i avsnitt 13.5.4 föreslagit att samma uppgifter som Krono- fogdemyndigheten har ett behov av vid tillsyn över näringsförbud, och som myndigheten i dag har tillgång till i huvudsak genom data- basregleringen och i annat fall efter särskild begäran till Skatteverket, ska få lämnas ut i den utsträckning det behövs för verksamhet med skuldsanering eller
969
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
sträckning det behövs för Kronofogdemyndighetens tillsyn över näringsförbud.
När förändringar i regleringen av uppgiftsutbyte mellan myndig- heter övervägs krävs också noggranna avvägningar mellan viktiga all- männa intressen och skyddet för den personliga integriteten. Vad gäller det allmänna intresset kan konstateras att näringsförbud huvud- sakligen har två syften. Det ena syftet är att hindra personer att be- driva näringsverksamhet sedan de har visat sig olämpliga för detta. Det andra syftet är att tillhandahålla en adekvat reaktion på missbruk av näringsfriheten.106 Näringsförbud kan meddelas av flera olika orsa- ker bl.a. om någon grovt åsidosatt sina skyldigheter i näringsverk- samheten och därvid har gjort sig skyldig till brottslighet som inte är ringa (4 § lagen om näringsförbud) eller om någon grovt åsidosatt sina skyldigheter i en näringsverksamhet för vilken sådan skatt, tull eller avgift som omfattas av bestämmelserna om betalningssäkring i skatteförfarandelagen i avsevärd omfattning inte har betalats (6 § lagen om näringsförbud). Den som meddelats näringsförbud får bl.a. inte driva näringsverksamhet, faktiskt utöva ledningen av en närings- verksamhet, vara ledamot eller suppleant i styrelsen för bl.a. aktie- bolag och ekonomiska föreningar, eller vara anställd eller återkom- mande ta emot uppdrag i en näringsverksamhet som drivs av en när- stående till honom eller henne (11 § lagen om näringsförbud). Den som bryter mot ett näringsförbud kan dömas för överträdelse av näringsförbud till böter eller fängelse i högst två år (47 § lagen om näringsförbud).
Regeringen har uttalat att för att syftena med näringsförbud ska uppnås är det uppenbarligen inte tillräckligt att beslut om närings- förbud meddelas. Det krävs enligt regeringen också att det tillsyns- arbete som tar vid efter beslutet är ändamålsenligt och effektivt så att näringsförbudet följs.107 Kronofogdemyndigheten har därför som tillsynsmyndighet över näringsförbud möjlighet att vidta vissa till- synsåtgärder, bl.a. att begära att den som har näringsförbud lämnar uppgift om inkomst, anställningsförhållanden och övriga omständig- heter av betydelse för att klarlägga hur han eller hon försörjer sig samt vidta övriga utrednings- och spaningsåtgärder som är befogade för att klarlägga hur den som har näringsförbud försörjer sig (44 § lagen om näringsförbud).
106Prop. 2013/14:215, Ny lag om näringsförbud, s. 62.
107Prop. 2013/14:215, Ny lag om näringsförbud, s. 62.
970
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Om Kronofogdemyndigheten inte får del av de uppgifter från be- skattningsverksamheten som behövs för tillsyn över näringsförbud skulle konsekvensen bli att myndigheten inte kan utöva tillsyn över att näringsförbudet följs och att myndigheten inte heller har förut- sättningar att anmäla misstänkta överträdelser till åklagare. Det skulle i förlängningen leda till att ett av huvudsyftena med näringsförbud inte kan uppnås, dvs. att hindra den förbudsdömde från att bedriva näringsverksamhet. Att Kronofogdemyndigheten ges tillgång till de uppgifter som behövs för att kontrollera att näringsförbud följs måste därför enligt vår mening anses vara ett viktigt allmänt intresse.
Vad avser skyddet för den personliga integriteten, som det all- männa intresset ska vägas mot, kan konstateras att befintliga sekre- tessbrytande bestämmelser inte i tillräcklig omfattning medger att uppgifter som är av betydelse för Kronofogdemyndighetens tillsyn över näringsförbud lämnas ut. Utöver den tillgång till uppgifterna som möjliggörs av befintliga sekretessbrytande bestämmelser samt databasregleringen lämnas därför behövliga uppgifter regelmässigt ut av Skatteverket med stöd av generalklausulen i 10 kap. 27 OSL. En eventuell ny sekretessbrytande bestämmelse som möjliggör att upp- gifter som Kronofogdemyndigheten behöver för tillsyn över närings- förbud skulle därmed kodifiera sådant uppgiftslämnande som huvud- sakligen redan förekommer. En ny sekretessbrytande bestämmelse bör därför kunna införas utan att det innebär något beaktansvärt ut- ökat utlämnande av sekretessbelagda uppgifter. Som vi redogjort för i avsnitt 13.2.2 bygger generalklausulen dessutom på att ett rutin- mässigt uppgiftsutbyte av sekretessbelagda uppgifter som utgångs- punkt är särskilt författningsreglerat.108 Mot den bakgrunden bör en ny bestämmelse som särskilt avser utlämnande för Kronofogdemyn- dighetens tillsyn över näringsförbud framstå som proportionerlig ur ett integritetshänseende.
Som vi nämnt i avsnitt 13.2.4 utgör bestämmelser om utlämnande av uppgifter från en myndighet till en annan myndighet också en rättslig grund för behandling av personuppgifter genom utlämnande. Enligt dataskyddsförordningen bör den rättsliga grunden för person- uppgiftsbehandling vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den (skäl 41). Genom att uttryckligen reglera uppgiftslämnande som sker för Kronofogde-
108Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 327.
971
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
myndighetens tillsyn över näringsförbud skulle den rättsliga grunden för behandlingen bli mer tydlig och förutsebar för de registrerade.
Vår bedömning är att därför att det finns ett behov av att införa en bestämmelse i den nya förordningen som tillåter utlämnande av uppgifter från beskattningsverksamheten till Kronofogdemyndigheten i den utsträckning det behövs för handläggning av ärenden om till- syn över näringsförbud. En sådan reglering innebär att Kronofogde- myndigheten kan få ut de uppgifter som myndigheten behöver inom ramen för tillsynsarbetet, vare sig det handlar om uppgifter om den förbudsdömde eller en misstänkt bulvan. Samtidigt skulle det inte innebära något beaktansvärt utökat informationsutbyte jämfört med det som redan sker i dag bl.a. med stöd av generalklausulen i 10 kap. 27 § OSL. Informationsutbytet skulle i stället bli tydligt författnings- reglerat, vilket innebär att dataskyddsförordningens krav på den rätts- liga grunden i högre utsträckning än i dag tillgodoses.
Vid införande av en sekretessbrytande bestämmelse bör det dock även övervägas om de aktuella uppgifterna kommer att ha ett sekre- tesskydd hos den mottagande myndigheten samt, om så inte är fallet, om de bör ha det.109 I det avseende kan konstateras att det av 34 kap. 1 § OSL framgår att sekretess gäller hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men. Det råder följaktligen en presumtion för sekretess hos Kronofogdemyndigheten för de uppgifter som skulle komma att kunna lämnas ut med stöd av en ny sekretessbrytande bestämmelse. Vi bedömer att någon förändring i detta avseende inte är påkallat med anledning av en eventuell ny sekretessbrytande be- stämmelse avseende uppgifter som Kronofogdemyndigheten behö- ver vid tillsyn över näringsförbud. Den sekretess som enligt 34 kap.
1§ OSL råder för uppgifterna hos Kronofogdemyndigheten får där- för anses svara mot berättigade krav på sekretesskydd när de lämnas ut dit. I avsnitt 15.5 har vi dessutom föreslagit att en reglering mot- svarande dagens databassekretess (34 kap. 2 § OSL) ska gälla även i fortsättningen och att den ska omfatta Kronofogdemyndighetens verksamhet med ansökan om och tillsyn över näringsförbud.
109Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s.
972
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Vi föreslår därför att det ska införas en bestämmelse i den nya för- ordningen som föreskriver att Skatteverket ska lämna ut uppgifter till Kronofogdemyndigheten i den utsträckning det behövs för myn- dighetens handläggning av ärenden om tillsyn över näringsförbud. De uppgifter som ska kunna lämnas ut med stöd av den nya bestämmel- sen bör avse samma kategorier som i dag anges i 4 § SdbF och som Kronofogdemyndigheten redan har tillgång till för tillsyn över när- ingsförbud i vissa fall genom databasregleringen. Det innebär att upp- gifter som avses i 2 kap. 3 § 4, 5, 8, 10 och 11 SdbL ska kunna lämnas ut med stöd av bestämmelsen.
13.5.6Visst utlämnande till Tullverket
Vårt förslag: Bestämmelserna om uppgiftslämnande till Tullverket i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser samt visst utökat uppgiftslämnande som behövs för dataanalyser och urval.
Skälen för vårt förslag
Personer som förekommer hos Tullverket
I 5 § första stycket SdbF anges att uppgifter som avses i 2 kap. 3 § första stycket
–är eller kan antas vara gäldenär enligt tullagstiftningen,
–är eller kan antas vara skyldig att betala skatt för vara vid import,
–är eller kan antas vara skattskyldig enligt lagen (1994:1776) om skatt på energi, lagen (2016:1067) om skatt på kemikalier i viss elek- tronik, lagen (2018:696) om skatt på vissa nikotinhaltiga produk- ter, lagen (2020:32) om skatt på plastbärkassar, lagen (2022:155) om tobaksskatt eller lagen (2022:156) om alkoholskatt,
–avses i 3 § SdbF, eller
–annars är föremål för Tullverkets kontrollverksamhet.
973
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Av 5 § andra stycket SdbF framgår att Tullverket har rätt att ta del av samtliga uppgifter, dvs. uppgifter som anges i 2 kap. 3 § första stycket
I avsnitt 13.5.4 ovan har vi redogjort för våra bedömningar och för- slag avseende Skatteverkets uppgiftslämnande till Kronofogdemyndig- heten där bestämmelserna i dag avser en särskild personkrets, och där uppgifterna även ska lämnas ut genom direktåtkomst. Samma över- väganden gör sig gällande även för utlämnande till Tullverket, dvs. i de fall nuvarande bestämmelser kan anses vara begränsade till att avse Tullverkets behov vid handläggning av ärenden bör den nya regler- ingen avse ärendehandläggning. I annat fall bör verksamhet anges i den nya bestämmelsen. På så sätt bedömer vi att omfattningen av utlämnandet inte förändras.
Gäldenärer enligt tullagstiftningen
I dag ska uppgifter lämnas ut om en person som är eller kan antas vara gäldenär enligt tullagstiftningen. De betalningsskyldigheter som kan uppkomma enligt tullagstiftningen är avseende tull och andra avgifter, exempelvis tulltillägg. Hanteringen av sådan skattskyldighet sker inom ramen för ett ärende. Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för handläggning av ärenden om skyldighet att betala tull eller andra avgifter enligt tullagstiftningen.
Personer som är skyldiga att betala skatt vid import
I dag ska uppgifter lämnas ut om en person som är eller kan antas vara skyldig att betala skatt för vara vid import. Även i detta fall sker hanteringen inom ramen för ett ärende. Vi föreslår därför att Tull- verket i den nya bestämmelsen ges rätt att ta del av uppgifter om det
974
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
behövs för handläggning av ärenden om skyldighet att betala skatt för vara vid import.
Skattskyldiga i övrigt
I dag ska uppgifter lämnas ut om en person som är eller kan antas vara skatteskyldig enligt lagen om skatt på energi, lagen om skatt på kemikalier i viss elektronik, lagen om skatt på vissa nikotinhaltiga produkter, lagen om skatt på plastbärkassar, lagen om tobaksskatt eller lagen om alkoholskatt. I dessa fall sker hanteringen inom ramen för ett ärende. Vi föreslår därför att Tullverket i den nya bestämmel- sen ges rätt att ta del av uppgifter om det behövs för handläggning av ärenden om skattskyldighet enligt nyss nämnda författningar.
Personer som avses i 3 § SdbF
I dag ska enligt 5 § 4 SdbF uppgifter lämnas ut om en person som anges i 3 § SdbF. I paragrafen, vars föremål är att reglera vilka upp- gifter som får registreras i beskattningsdatabasen, hänvisas till upp- gifter som anges i rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004. Vilka de personer är som avses i 5 § 4 SdbF kan alltså inte utläsas enbart genom att läsa 3 § SdbF.
Enligt 3 § förordningen (2012:331) om tillämpning av rådets för- ordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt sam- arbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004 är det dessutom Skatteverket som är behörig myn- dighet vid tillämpningen. Tullverket borde därför inte ha något sär- skilt, eget uppdrag med anledning av
I 3 § andra stycket i den svenska tillämpningsförordningen anges dock att Skatteverket och Tullverket även i övrigt genom utbyte av information och annan samverkan ska se till att det administrativa sam- arbetet med andra medlemsstaters myndigheter enligt
975
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
ningen bedrivs på ett effektivt sätt. Tullverket har följaktligen verk- samhet med anledning av
Personer som annars är föremål för Tullverkets kontrollverksamhet
I dag ska uppgifter lämnas ut om en person som annars är föremål för Tullverkets kontrollverksamhet. Vi har övervägt om den nya be- stämmelsen bör avse uppgifter som behövs i Tullverkets handlägg- ning av kontrollärenden. Tullverkets verksamhet och arbetsuppgifter utgörs dock i mycket stor utsträckning av olika åtgärder som har ett mer eller mindre tydligt inslag av kontroll, se avsnitt 14.2.3. Mot den bakgrunden är vår bedömning att en sådan förändring i förhållande till dagens reglering skulle innebära en inskränkning av informations- utbytet. Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifter om det behövs i kontrollverksamhet, utan angivande av att det ska finnas en ärendekoppling.
En utökad uppgiftsskyldighet – dataanalyser och urval
I avsnitt 14.10 om dataanalyser och urval gör vi bedömningen att Tullverket bör ges tillgång till vissa uppgifter från beskattningsverk- samheten som dagens reglering inte omfattar. Överväganden och be- dömningar i fråga om det föreslagna uppgiftslämnandet framgår av det avsnittet.
976
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
13.5.7Upplysningsbestämmelser
Vår bedömning: Upplysningsbestämmelser bör inte föras in i den nya förordningen om utlämnande av uppgifter från beskattnings- verksamheten.
Skälen för vår bedömning
I dag finns några bestämmelser i skattedatabasförordningen om ut- lämnande av uppgifter som inte bryter förekommande sekretess. Dessa bestämmelser upplyser i stället om att föreskrifter om Skatteverkets skyldighet att lämna uppgifter till de angivna mottagarna finns i andra författningar eller rättsakter. Så är fallet avseende Skatteverkets ut- lämnande till socialnämnderna, Statens tjänstepensionsverk och Euro- peiska kommissionen (8 f och 15 §§ SdbF).
Vi har tidigare redogjort för vår bedömning att den splittrade regleringen av utlämnandet av uppgifter från beskattningsverksam- heten i viss utsträckning bör kunna samlas i den nya förordningen. Vi har även redogjort för att förordningens föreslagna namn bör möjliggöra för upplysningsbestämmelser om uppgiftsskyldighet som av olika skäl inte kan eller bör flyttas till den nya förordningen. Trots det nyss sagda anser vi inte att de befintliga upplysningsbestämmel- serna i skattedatabasförordningen bör motsvaras av bestämmelser i den nya förordningen. Skälet till detta är just den splittring som före- ligger i dag. Uppgiftsskyldigheter regleras nämligen utanför register- förordningen i långt fler fall än vad som framgår av dagens bestäm- melser.
I den mån en mer samlad reglering ska kunna uppnås kräver det enligt vår mening att fler än de få upplysningsbestämmelser som i dag förekommer i skattedatabasförordningen införs i den nya för- ordningen. Eftersom det kräver överväganden som går utanför ramen för vårt uppdrag anser vi att frågan om upplysningsbestämmelser bör införas i den nya förordningen, och i så fall i vilken utsträckning, bör hanteras i ett annat sammanhang.
977
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
13.6Skatteverkets folkbokföringsverksamhet
13.6.1Utlämnande av uppgifter från folkbokföringsverksamheten ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgifts- lämnande som i dag regleras i registerförfattningarna för Skatte- verkets folkbokföringsverksamhet ska föras in i en ny förordning kallad förordningen om utlämnande av uppgifter från Skatte- verkets folkbokföringsverksamhet.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Skatteverkets utlämnande av upp- gifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som omfattas av den föreslagna folkbokföringsdatalagen.
I den nya förordningen ska införas bestämmelser som mot- svarar de bestämmelser som i dag reglerar Skatteverkets möjligheter att ta ut avgifter vid utlämnande från folkbokföringsdatabasen.
Skälen för vårt förlag
En ny förordning om utlämnande av uppgifter
En central funktion med folkbokföringsverksamheten är att förse olika samhällsfunktioner med ett korrekt underlag för beslut och åtgärder.110 Uppgifter som registreras är därför som utgångspunkt offentliga. För folkbokföringsverksamhetens del har det följaktligen inte funnit ett särskilt stort behov av att införa sekretessbrytande bestämmelser om uppgiftsskyldighet. Däremot finns det i dag, som
viredogjort för i avsnitt 13.3.4, vissa bestämmelser i folkbokförings- databasförordningen som reglerar Skatteverkets skyldighet att under- rätta olika aktörer om vissa förhållanden.
Som vi tidigare konstaterat är bestämmelserna om underrättelse- skyldighet enhetligt utformade. I samtliga fall anges uttryckligen vilka uppgifter som ska lämnas ut, eller vilken information som ska ges, och utan angivande av vilka behov som ska föreligga hos mottagaren. Bestämmelserna innehåller även vissa föreskrifter om förfarandet. Flera av de överväganden vi redogjort för ovan i fråga om behov av föränd-
1102 § förordningen (2017:154) med instruktion för Skatteverket.
978
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
ringar och hur nya bestämmelser om utlämnande bör formuleras, är därför inte aktuella för de nya bestämmelserna om Skatteverkets under- rättelseskyldighet i folkbokföringsverksamheten. Med andra ord har
viinte funnit skäl att inom ramen för vårt uppdrag föreslå några språkliga eller andra förändringar av bestämmelserna. Däremot anser
viatt bestämmelser om underrättelseskyldighet, av de skäl som fram- går av avsnitt 13.4.3 inte bör finnas i de nya dataskyddsförfattning- arna för folkbokföringsverksamheten.
Mot bakgrund av folkbokföringsverksamhetens övergripande syfte, dvs. att förse olika samhällsfunktioner med information, har
viöverväg om Skatteverkets skyldighet att underrätta andra offent- liga aktörer kan regleras i någon befintlig författning. I avsnitten 9.4.5 och 9.4.6 föreslår vi att flera befintliga bestämmelser i registerförfatt- ningarna för folkbokföringsverksamheten ska flyttas till folkbokför- ingslagen (1991:481) och folkbokföringsförordningen (1991:749). Det rör bestämmelser avseende förhållanden som inte utgör rena dataskyddsfrågor. Det skulle kunna framstå som lämpligt att också bestämmelser om Skatteverkets underrättelseskyldighet samt bestäm- melser som avser förfarandet i samband med underrättelserna förs in
ifolkbokföringsförordningen. I folkbokföringsförordningen finns dessutom redan bestämmelser av liknande karaktär, avseende andra myndigheters skyldigheter att lämna uppgifter till Skatteverket.111
Eftersom folkbokföringsverksamheten i dag omfattar fler områ- den än enbart folkbokföring enligt folkbokföringslagen framstår det emellertid som olämpligt att föra in bestämmelser om utlämnande av uppgifter i folkbokföringsförordningen. Exempelvis utgör Skatte- verkets uppgifter enligt lagen (2022:1697) om samordningsnummer en del av folkbokföringsverksamheten, men tilldelning av samord- ningsnummer sker enbart avseende personer som inte är eller har varit folkbokförda. Med begreppet folkbokföringsverksamhet avses följaktligen fler av Skatteverkets uppgifter än de som framgår av folk- bokföringslagen och folkbokföringsförordningen.112 Eftersom Skatte- verkets utlämnande av uppgifter från folkbokföringsverksamheten också omfattar uppgifter om personer som inte är folkbokförda bör de nya bestämmelsernas placering anpassas efter detta. Vi har dock inte funnit någon lämplig befintlig författning. Vi föreslår därför att de nya bestämmelserna om utlämnande av uppgifter från folkbokför-
111
112Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s.
979
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
ingsverksamheten ska motsvara dagens bestämmelser, med endast mindre redaktionella ändringar, och att de ska föras in i en ny förord- ning.
Förordningens namn och portalparagraf
Liksom avseende förslaget om en ny förordning om utlämnande av uppgifter från beskattningsverksamheten anser vi att det inte är lämp- ligt att särskilt ange begreppet uppgiftsskyldighet i den nya förord- ningens namn. Förordningens namn bör inte heller använda begrep- pet underrättelseskyldighet. Namnet på den nya förordningen bör nämligen enligt vår mening möjliggöra införandet av framtida upp- lysningsbestämmelser om sådant utlämnande som inte sker med stöd av en sekretessbrytande uppgiftsskyldighet i nationell rätt, eller med stöd av uppgiftsskyldighet som inte kan eller bör införas i den nya förordningen av normtekniska skäl. Förordningens namn bör därför vara förordningen om utlämnande av uppgifter från Skatteverkets folk- bokföringsverksamhet.
Eftersom bestämmelser som möjliggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upp- lysa om att den innehåller bestämmelser om utlämnande av uppgifter från folkbokföringsverksamheten i vissa fall.
Förordningens struktur
Förordningen ska innehålla allmänna bestämmelser, bestämmelser om avgifter samt bestämmelser om Skatteverkets skyldigheter att under- rätta myndigheter om vissa förhållanden respektive Skatteverkets skyldighet att i övrigt lämna ut uppgifter. Förordningen ska även innehålla vissa bestämmelser om Skatteverkets möjlighet att lämna ut uppgifter till Svenska kyrkan och till centrala registreringsmyndig- heter för folkbokföring i nordiska länder.
Tillämpningsområde
Det materiella tillämpningsområdet för den föreslagna folkbokför- ingsdatalagen syftar i likhet med dagens registerförfattningar till att omfatta alla Skatteverkets uppgifter inom den aktuella verksamhets-
980
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
grenen, se avsnitt 7.4.6. För samstämmighet med de författningar som föreslås upphävas bör den nya förordningen om uppgiftslämnande ha samma breda materiella tillämpningsområde som den nya folk- bokföringsdatalagen. En följd av det breda tillämpningsområdet är att eventuella tillkommande uppgiftsskyldigheter m.m. för folkbok- föringsverksamheten i första hand ska kunna föras in i den föreslagna förordningen, och inte i nya förordningar eller i materiell reglering.
Bestämmelser om Skatteverkets rätt respektive skyldighet att ta ut avgifter
Som nämnts i avsnitt 13.5.1 får en myndighet bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen. En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.113
Idag ges Skatteverket rätt att ta ut avgifter för utlämnande av upp- gifter från folkbokföringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i 2 kap. 12 § första stycket FdbL. I paragrafens andra stycke anges att rätten att ta ut av- gifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller en registrerads rätt enligt artikel 12.5
iEU:s dataskyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Skatte- verkets rätt att ta ut avgifter vid utlämnande motsvaras av nya bestäm- melser. Skatteverket har dessutom uppgett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter från folkbokföringsverksamheten. Som framgår av av- snitt 16.4.12 utgör Skatteverkets informationsförsörjningssystem Navet en del av folkbokföringsdatabasen, och Navet är avgiftsbelagt för vissa myndigheter. De nya bestämmelserna om Skatteverkets av- giftsuttag bör enligt vår mening införas i samma författning som de nya bestämmelserna som reglerar utlämnandet i sak, dvs. i den nya förordningen om utlämnande av uppgifter från folkbokföringsverk- samheten.
1133 och 5 §§ avgiftsförordningen (1992:191).
981
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
En bestämmelse som motsvarar bestämmelsen i 2 kap. 12 § första stycket FdbL bör därför införas i den nya förordningen. Även be- stämmelsen om hur möjligheten att ta ut avgifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör ha en motsvarighet i den nya för- ordningen. Däremot bör tillägget i nuvarande 2 kap. 12 § första stycket FdbL, som anger att avgifterna får tas ut enligt de närmare föreskrif- ter som meddelas av regeringen, inte införas i den nya förordningen eftersom regleringen i sin helhet föreslås finnas på förordningsnivå.
I 18 § FdbF finns i dag närmare bestämmelser om Skatteverket avgiftsuttag. Av första stycket framgår att när uppgifter ur folkbok- föringsdatabasen lämnas ut för ändamål som avses i 1 kap. 4 § 5 och 6 FdbL ska en avgift tas ut. Skatteverket har alltså en skyldighet att ta ut avgifter när utlämnandet sker för aktualisering, komplettering och kontroll av personuppgifter, eller uttag av urval av personuppgif- ter. Av andra stycket framgår att när uppgifter lämnas ut i andra fall får en avgift tas ut. Av bestämmelsens tredje stycke framgår att stat- liga myndigheter, med undantag för affärsverken, är fria från sådana avgifter som avses i första och andra styckena när uppgifter ur folk- bokföringsdatabasen lämnas ut genom direktåtkomst eller på med- ium för automatiserad behandling. I bestämmelsens fjärde stycke an- ges att Skatteverket fastställer avgifterna för att lämna ut uppgifter ur folkbokföringsdatabasen.
Bestämmelser med motsvarande innebörd som dagens 18 § FdbF bör också föras in i den nya förordningen om utlämnande av upp- gifter från folkbokföringsverksamheten. Eftersom vi i avsnitt 8.4.3 föreslår att dagens detaljerade ändamålsbestämmelser i den nya folk- bokföringsdatalagen ska ersättas av en brett formulerad ändamåls- bestämmelse bör den nya bestämmelsen uttryckligen ange de ända- mål som i dag anges i 1 kap. 4 § 5 och 6 FdbL. Mot bakgrund av att vi i avsnitt 11.7.5 föreslår en enhetlig reglering av elektroniskt utläm- nande bör de nya bestämmelserna dessutom inte särskilt ange begrep- pen direktåtkomst och utlämnande på medium för automatiserad behandling, utan enbart ”när uppgifter lämnas ut elektroniskt”.
982
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Bestämmelserna i sak
I det kommande avsnittet redogör vi för ett tillägg i förhållande till den reglering av Skatteverkets underrättelseskyldighet som i dag finns i folkbokföringsdatabasförordningen. Utöver detta tillägg föreslår vi att de bestämmelser om Skatteverkets underrättelseskyldighet som i dag finns i folkbokföringsdatabasförordningen ska föras över till den nya förordningen om utlämnande av uppgifter från Skatteverkets folkbokföringsverksamhet.
Förordningen ska även innehålla bestämmelser som motsvarar 13 och 14 §§ FdbF, som reglerar utlämnande till Svenska kyrkan respek- tive till central registreringsmyndighet för folkbokföring i ett nor- diskt land för kontroll- och urvalsändamål. Dessa bestämmelser har en materiell innebörd som medför att de behöver motsvaras av be- stämmelser i den nya förordningen (se avsnitt 13.3.4).
I kapitel 9 har vi föreslagit att regleringen av folkbokföringsdata- basen ska upphävas och inte ha någon motsvarighet i den nya folk- bokföringsdatalagen. Vi har även föreslagit att de uppgifter som får registreras om en person vid folkbokföring och om en person som tilldelats samordningsnummer ska framgå av folkbokföringslagen re- spektive lagen om samordningsnummer. Vilka personuppgifter som får registreras i samband med folkbokföring eller om en person som har tilldelats samordningsnummer kan dock komma att förändras. Det är därför mindre lämpligt att i de nya bestämmelserna i förord- ningen uttryckligen ange samma uppgiftskategorier som anges i de föreslagna nya bestämmelserna i folkbokföringslagen respektive lagen om samordningsnummer. Bestämmelsen i den nya förordningen om utlämnande till Svenska kyrkan bör i stället hänvisa till dessa författ- ningar.
Bestämmelsen i den nya förordningen om utlämnande till en central registreringsmyndighet för folkbokföring i ett nordiskt land bör dock inte begränsas avseende vilka uppgifter som får lämnas ut, i likhet med vad som gäller i dag.
983
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
13.6.2Utlämnande av uppgifter till
Vårt förslag: I den nya förordningen om utlämnande av upp- gifter från folkbokföringsverksamheten ska det införas en be- stämmelse som motsvarar den sekretessbrytande bestämmelse i
Skälen för vårt förslag
I avsnitt 13.5.3 har vi redogjort för våra förslag avseende utlämnande av uppgifter från Skatteverkets beskattningsverksamhet till verksam- heten med det statliga personadressregistret,
I 4 §
Eftersom bestämmelsens föremål är att bryta den eventuella sekre- tess som annars skulle ha gällt inom folkbokföringsverksamheten är det mest ändamålsenliga att även den ska motsvaras av en bestäm- melse i den nya förordningen om utlämnande av uppgifter från folk- bokföringsverksamheten. Vi föreslår därför att det införs en bestäm- melse i den nya förordningen med innebörden att uppgifter som anges i 4 §
984
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
13.7Tullverket
13.7.1Utlämnande av uppgifter från Tullverket ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgiftsläm- nande som i dag regleras i registerförfattningarna för Tullverkets verksamhet samt i tullagens första kapitel ska föras in i en ny för- ordning kallad förordningen om utlämnande av uppgifter från Tullverket.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Tullverkets utlämnande av upp- gifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som omfattas av den föreslagna tulldatalagen.
I den nya förordningen ska införas bestämmelser som mot- svarar de bestämmelser som i dag reglerar Tullverkets möjligheter att ta ut avgifter vid utlämnande från tulldatabasen.
Skälen för vårt förslag
En ny förordning av utlämnande av uppgifter
I nationell rätt regleras Tullverkets skyldigheter att lämna uppgifter till andra offentliga aktörer primärt i tullagens första kapitel.114 Till skillnad från beskattningsverksamheten finns det därför inte särskilt många sekretessbrytande bestämmelser avseende utlämnande till myn- digheter i registerförordningen för Tullverkets verksamhet, trots att båda verksamheterna förser ett stort antal andra myndigheter med information. Någon sekretessbrytande bestämmelse som särskilt av- ser direktåtkomst för en annan myndighet finns exempelvis inte.
Den enda sekretessbrytande uppgiftsskyldighet som föreskrivs i tulldatabasförordningen reglerar utlämnande till Skatteverket. I för- ordningen finns även en bestämmelse om uppgiftslämnande av upp- gifter i tulldatabasen till enheter inom Tullverket som arbetar med brottsbekämpande verksamhet, se avsnitt 13.3.5. Förordningen inne-
114Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177, 181 och 182.
985
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
håller dock en bestämmelse som bryter sekretess i förhållande till en- skilda och som särskilt avser direktåtkomst, se avsnitt 13.2.4.
Vi har ovan bedömt att bestämmelser om uppgiftslämnande inte ska finnas i de nya författningarna om dataskydd. Vi har övervägt om det finns skäl att föreslå att Tullverkets uppgiftslämnande som i dag regleras i tulldatabasförordningen bör motsvaras av bestämmelser som förs in tullagen, eftersom Tullverkets skyldigheter att lämna uppgif- ter till andra offentliga aktörer primärt regleras där i dag. Det finns dock inget krav på att sekretessbrytande bestämmelser om uppgiftsläm- nande ska regleras i lagform, och övriga bestämmelser i tullagen regle- rar primärt frågor om förfarandet, bl.a. tullskuld, in- och utförsel av varor, tullkontroll och sanktioner. Vi har även övervägt om det är lämpligt att föreslå att Tullverkets uppgiftslämnande i fortsättningen ska regleras i tullförordningen (2016:287). I den förordningen finns dock inte några bestämmelser som avser utlämnande av uppgifter. Tull- förordningen innehåller i stället bestämmelser om bl.a. tullskuld, skatt, ränta och garantier, införsel och utförsel av varor, samt tullkontroll. Tullagens och tullförordningens karaktär, med i huvudsak materiella bestämmelser och förfarandebestämmelser, talar mot att införa mer generella bestämmelser om uppgiftslämnande i dessa. Det framstår därför som olämpligt att föra in eller behålla bestämmelser som rör utlämnande av uppgifter såväl i tullagen som i tullförordningen.
Vi anser därför att det mest ändamålsenliga är att föreslå en ny förordning om Tullverkets utlämnande av uppgifter.
Förordningens namn och portalparagraf
Liksom avseende förslagen om en ny förordning om utlämnande av uppgifter från beskattningsverksamheten respektive folkbokför- ingsverksamheten anser vi att det inte är lämpligt att särskilt ange begreppet uppgiftsskyldighet i den nya förordningens namn. Namnet på den nya förordningen bör nämligen enligt vår mening möjliggöra införandet av framtida upplysningsbestämmelser om sådant utläm- nande som inte sker med stöd av en sekretessbrytande uppgifts- skyldighet i nationell rätt, eller med stöd av uppgiftsskyldighet som inte kan eller bör införas i den nya förordningen av normtekniska skäl. Förordningens namn bör därför vara förordningen om utläm- nande av uppgifter från Tullverket. Eftersom bestämmelser som möj-
986
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
liggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upplysa om att den innehåller bestäm- melser om utlämnande av uppgifter från Tullverket i vissa fall.
Förordningens struktur
Förordningen bör innehålla allmänna bestämmelser och bestämmel- ser om avgifter. Förordningen bör även innehålla bestämmelser om Tullverkets rätt att lämna ut uppgifter till enskilda, samt Tullverkets underrättelseskyldighet och skyldighet att i övrigt lämna ut uppgifter.
Tillämpningsområde
Det breda materiella tillämpningsområdet för den föreslagna tulldata- lagen syftar i likhet med dagens registerförfattningar till att omfatta alla Tullverkets uppgifter utanför det brottsbekämpande uppdraget, se avsnitt 7.4.7. För samstämmighet med de författningar som före- slås upphävas bör den nya förordningen om uppgiftslämnande ha samma breda materiella tillämpningsområde som den nya tulldata- lagen. De avgränsningar som föreslås avseende juridiska personer bör dock inte finnas i den nya förordningen.
En följd av det breda tillämpningsområdet är att eventuella till- kommande uppgiftsskyldighet för Tullverkets verksamhet utanför det brottsbekämpande området i första hans ska kunna föras in i den föreslagna förordningen, och inte i nya förordningar eller i materiell reglering. På så sätt kan regleringen bli mer sammanhållen och enhet- lig. Som framgår ovan bedömer vi att även de bestämmelser om upp- giftsskyldighet som i dag framgår av tullagens första kapitel ska flyttas till den nya förordningen, eftersom de till skillnad från den reglering som finns i 18 kap. och 20 kap. skatteförfarandeförordningen är för- hållandevis avgränsade (jfr avsnitt 13.5.1).
Bestämmelser om Tullverkets rätt att ta ut avgifter
Som framgått ovan får en myndighet bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förord- ning eller av ett särskilt beslut av regeringen, se avsnitt 13.5.1 och 13.6.1.
987
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.115
I dag ges Tullverket rätt att ta ut avgifter för utlämnande av upp- gifter från tulldatabasen enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i 2 kap. 11 § första stycket TDL. I bestämmelsens andra stycke anges att rätten att ta ut avgifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihets- förordningen, eller en registrerads rätt enligt artikel 12.5 i EU:s data- skyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Tull- verkets rätt att ta ut avgifter vid utlämnande motsvaras av nya bestäm- melser. Tullverket har dessutom uppgett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter. Dessa nya bestämmelser bör enligt vår mening regleras i samma sammanhang som de nya bestämmelser som reglerar upp- giftslämnandet i sak, dvs. den nya förordningen om utlämnande av uppgifter.
En bestämmelse som motsvarar bestämmelsen i 2 kap. 11 § första stycket TDL bör därför införas i den nya förordningen om utläm- nande av uppgifter. Bestämmelsen om hur möjligheten att ta ut av- gifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör också ha en motsvarighet den nya förordningen. Däremot bör tillägget i nuvar- ande 2 kap. 11 § första stycket första meningen TDL, som anger att avgifterna får tas ut enligt de närmare föreskrifter som meddelas av regeringen, inte ha en motsvarighet i den nya förordningen eftersom regleringen i sin helhet föreslås finnas på förordningsnivå.
I 9 § TDF finns i dag en bestämmelse som ger Tullverket rätt att fastställa avgifter för utlämnande av uppgifter ur tulldatabasen. I be- stämmelsen anges dock att avgift inte ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldig- het i lag eller förordning. En bestämmelse med motsvarande inne- börd bör också föras in i den nya förordningen om uppgiftslämnande från Tullverket.
Enligt artikel 52.1 i tullkodex får tullmyndigheterna inte ta ut av- gifter för tullkontroller eller annan tillämpning av tullagstiftningen
1153 och 5 §§ avgiftsförordningen (1992:191).
988
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
som äger rum under de behöriga tullkontorens officiella öppettider, och enligt artikel 52.2 får avgifter tas ut för särskilda tjänster. I sam- manhanget bör också en upplysningsbestämmelse föras in om att Tullverket inte får ta ut avgifter i strid med artikel 52 i tullkodex för tillämpning av tullagstiftningen.
Bestämmelserna i sak
I de kommande avsnitten
I 4 a § TDF anges i dag att uppgifter i tulldatabasen på begäran ska lämnas ut till de enheter inom Tullverket som arbetar med brotts- bekämpande verksamhet. Ett av de sekundära ändamålen i tulldata- baslagen är dessutom att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet (1 kap. 5 § 2 TDL). I av- snitt 8.4.4 föreslår vi att de befintliga detaljerade sekundära ända- målsbestämmelserna inte ska ha någon motsvarighet i den föreslagna tulldatalagen. I stället ska den sekundära ändamålsbestämmelsen avse vidareanvändning av uppgifter som behandlas enligt den primära ända- målsbestämmelsen för att fullgöra uppgiftslämnande som sker i över- ensstämmelse med lag eller förordning.
Tullverket har uppgett till utredningen att det är av mycket stor betydelse för myndigheten att uppgiftslämnande till de enheter inom myndigheten som arbetar med brottsbekämpande verksamhet fort- sättningsvis inte hindras, och att det inte i framtiden kommer krävas ständiga överväganden kring uppgiftslämnandets förenlighet med finalitetsprincipen. Trots att bestämmelsen i 4 a § TDF inte förefaller ha en sekretessbrytande funktion (se avsnitt 13.3.5) bör därför även den ha en motsvarighet i den nya förordningen. Genom att bestäm- melsen ges en motsvarighet i den nya förordningen kan Tullverket, med stöd av den sekundära ändamålsbestämmelsen i den nya tull- datalagen, även fortsättningsvis lämna ut uppgifter till de enheter inom myndigheten som arbetar med brottsbekämpande verksamhet. Be-
989
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
stämmelsen utgör en rättslig grund för den personuppgiftbehandling som uppgiftslämnandet till de brottsbekämpande enheterna innebär. I likhet med vad som anges i avsnitt 13.4.3 behöver Tullverket där- med inte heller fortsättningsvis pröva om ett begärt utlämnande ska ske, eller om ett utlämnande är förenligt med det ändamål för vilket uppgifter samlats in.
Mot bakgrund av att det inte förefaller råda någon sekretess mellan de olika enheterna på Tullverket går det dock att ifrågasätta om det kan anses vara motiverat att bestämmelsen som avser uppgiftsläm- nande till de brottsbekämpande enheterna ska förenas med ett så- dant förbud mot spontant utlämnande som föreslås i avsnitt 13.4.4. Ett sådant förbud går även att ifrågasätta utifrån Tullverkets sam- mantagna samhällsviktiga uppdrag. Det går dock inte att bortse från att den befintliga bestämmelsen avser utlämnande på begäran, och därför inte tillåter spontant utlämnande på det sätt som exempelvis är möjligt med stöd av bestämmelserna i
Som redogjorts för i avsnitt 13.4.4 avser dock det föreslagna för- budet mot utlämnande på eget initiativ endast själva utlämnandet, som inte får ske spontant. Det innebär att det utlämnande till Tull- verkets brottsbekämpande enheter som förekommer i dag även kommer vara möjligt i fortsättningen.
13.7.2Utlämnande till enskilda
Vår bedömning: I den nya förordningen om utlämnande av upp- gifter från Tullverket ska det införas en bestämmelse som mot- svarar den sekretessbrytande bestämmelse i tulldatabasförord- ningen som i dag reglerar förutsättningarna för utlämnande från tulldatabasen till enskilda.
990
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Skälen för vårt förslag
Som vi redogjort för i avsnitten 13.2.3 och 13.3.5 finns det bara en bestämmelse i tulldatabasförordningen som avser utlämnande till enskilda som också är sekretessbrytande. Bestämmelsen kom samman- fattningsvis till för att Tullverket skulle ges rättslig möjlighet att följa unionsrättsliga krav på elektronisk kommunikation i tullförfarandet. I dag föreskriver bestämmelsen i 7 § tredje stycket TDF att vissa ekonomiska aktörer får ha direktåtkomst till uppgifter i tulldata- basen som de ekonomiska aktörerna behöver för att utföra sina för- pliktelser enligt tullagstiftningen.
Som vi redogjort för i avsnitten 13.4.2 och 13.4.4 anser vi att be- stämmelser som särskilt avser direktåtkomst inte ska förekomma i den nya regleringen. Vår målsättning är dock att omfattningen av det nuvarande utlämnandet av uppgifter inte ska ändras. I de fall en be- stämmelse om direktåtkomst kompletteras av en bestämmelse som avser en generell skyldighet att lämna uppgifter kan bestämmelsen som avser direktåtkomst tas bort, och den generella bestämmelsen justeras i vissa avseenden, utan att omfattningen av utlämnandet förändras.
Avseende 7 § tredje stycket TDF finns det dock ingen generell sekretessbrytande bestämmelse. Det innebär att bestämmelsen som
idag särskilt reglerar utlämnande genom direktåtkomst måste ges en motsvarighet i den nya förordningen om utlämnande från Tullverket. Vi föreslår därför att en bestämmelse införs i den nya förordningen om utlämnande från Tullverket med innebörden att under förut- sättning att en ekonomisk aktör är registrerad hos en tullmyndighet,
ienlighet med artikel 9 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tull- kodex, får Tullverket lämna ut de uppgifter till aktören som den be- höver för att kunna fullgöra sina förpliktelser enligt tullagstiftningen som den definieras i 1 kap. 3 § tullagen.
Som en följd av vårt förslag i denna del bör även 27 kap. 7 § OSL ändras, se avsnitt 13.2.3.
991
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
13.7.3Visst utlämnande till Skatteverket
Vårt förslag: Nuvarande bestämmelser i tulldatabasförordningen om uppgiftslämnande till Skatteverket ska med vissa justeringar motsvaras av bestämmelser i den nya förordningen.
Skälen för vårt förslag
I 4 § TDF anges att uppgifter som avses i 2 kap. 3 § första stycket 1, 2,
Av 2 kap. 7 § första stycket TDL framgår att Skatteverket får ha direktåtkomst till samma uppgifter, dvs. de som avses i 2 kap. 3 § första stycket 1, 2,
I avsnitten 13.5.4 och 13.5.6 ovan har vi redogjort för våra förslag om hur det uppgiftslämnande från beskattningsverksamheten som i dag avgränsats till att avse särskilda personer ska regleras i framtiden. De överväganden som redogjorts för där är också tillämpliga i fråga om Tullverkets utlämnande till Skatteverket som i dag regleras i tull- databasförordningen. Vi anser därmed att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehandläggning, där utlämnandet i dag enbart får omfatta uppgifter om personer som förekommer i ärenden, inte innebär att bestämmelsens omfattning utökas.
Vad gäller personer som inte förekommer i ärenden men som annars är föremål för Skatteverkets kontrollverksamhet avseende mer- värdesskatt vid import går det dock inte att i den nya regleringen av- gränsa utlämnandet till ärendehandläggning. Om det befintliga ut- lämnandet skulle avse personer som förekommer i ett ärende om kontroll avseende mervärdesskatt vid import skulle det nämligen redan täckas av bestämmelsens första led. Det innebär att om den nya regler-
992
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
ingen skulle föreskriva att uppgifter enbart får lämnas ut för sådana ärenden skulle omfattningen av det nuvarande utlämnandet begrän- sas. Vi anser därför att den nya bestämmelsen endast ska föreskriva att Tullverket ska lämna ut uppgifter om de behövs i Skatteverkets kontrollverksamhet avseende mervärdesskatt vid import. Enligt vår mening blir innebörden av den nya bestämmelsen i princip oföränd- rad vid jämförelse med dagens reglering.
Vi föreslår därför att Skatteverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Skatteverkets kon- trollverksamhet avseende mervärdesskatt vid import, eller handlägg- ning av ärenden.
13.8Kronofogdemyndigheten
13.8.1Utlämnande av uppgifter från Kronofogdemyndigheten ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgifts- lämnande som i dag regleras i registerförfattningarna för Krono- fogdemyndigheten ska föras in i en ny förordning kallad förord- ningen om utlämnande av uppgifter från Kronofogdemyndigheten.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Kronofogdemyndighetens utläm- nande av uppgifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som om- fattas av den föreslagna kronofogdedatalagen.
I den nya förordningen ska införas bestämmelser som mot- svarar de bestämmelser som i dag reglerar Kronofogdemyndig- hetens möjligheter att ta ut avgifter vid utlämnande från dagens databaser.
Skälen för vårt förslag
En ny förordning om utlämnande av uppgifter
Som framgår av avsnitt 13.3.6 föreskrivs i kronofogdedatabasförord- ningen i dag en skyldighet för Kronofogdemyndigheten att lämna ut vissa uppgifter i utsöknings- och indrivningsdatabasen till Skatte-
993
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
verkets beskattningsverksamhet, Tullverket och Säkerhetspolisen. Kronofogdemyndigheten har även en skyldighet att lämna vissa sär- skilt angivna uppgifter till Skatteverkets folkbokföringsverksamhet. Några sekretessbrytande bestämmelser som avser utlämnande till en- skilda finns dock inte i registerförfattningarna för Kronofogdemyndig- heten.
Vi har övervägt om dagens bestämmelser kan motsvaras av nya bestämmelser som förs in i någon annan befintlig författning. Mot bakgrund av att de sekretessbrytande bestämmelserna i dag huvud- sakligen avser utlämnande från utsöknings- och indrivningsdatabasen har det framstått som lämpligast att undersöka om de nya bestäm- melserna kan införas i befintliga författningar inom det området, före- trädelsevis utsökningsbalken och utsökningsförordningen (1981:981). I de författningarna saknas dock i dag helt bestämmelser om sådan uppgiftsskyldighet som här är i fråga. I utsökningsförordningen finns visserligen vissa bestämmelser som reglerar Kronofogdemyndighetens skyldighet att lämna upplysningar om utmätning i vissa fall, exempel- vis till Polismyndigheten om ett skjutvapen utmätts.116 De bestäm- melsernas karaktär är dock närmast att likna med förfaranderegler i samband med utmätning, och har få likheter med den uppgiftsskyl- dighet som i dag regleras i kronofogdedatabasförordningen. Utsök- ningsbalkens och utsökningsförordningens karaktär i övrigt, med i huvudsak materiella bestämmelser och förfarandebestämmelser, talar mot att införa mer generella bestämmelser om uppgiftslämnande i dessa.
De nya dataskyddsförfattningarna för Kronofogdemyndigheten föreslås dessutom tillämpas i flera olika sammanhang, och inte bara i verksamhet med utsökning och indrivning. Eftersom det inte kan uteslutas att nya bestämmelser om uppgiftsskyldighet eller andra sekretessbrytande bestämmelser kan komma att införas avseende upp- gifter som behandlas i Kronofogdemyndighetens verksamhet fram- står det som olämpligt att föra in de nya bestämmelserna i utsöknings- balken eller utsökningsförordningen.
Vi har inte funnit någon annan författning som framstår som lämplig att föra in de nya bestämmelserna i. Vi föreslår därför att de bestämmelser om utlämnande av uppgifter som i dag finns i krono- fogdedatabasförordningen ska motsvaras av bestämmelser i en ny förordning.
1166 kap. 24 § utsökningsförordningen.
994
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
Förordningens namn och portalparagraf
Liksom för övriga nya förordningar om utlämnande anser vi inte att den nya förordningens namn endast bör avse uppgiftsskyldigheter. Det kan nämligen inte uteslutas att även upplysningsbestämmelser vid ett senare skede kan komma att tas in i förordningen, eller att nya sekretessbrytande bestämmelser i förhållande till enskilda in- förs. Förordningens namn bör därför vara förordningen om utläm- nande av uppgifter från Kronofogdemyndigheten.
Eftersom bestämmelser som möjliggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upp- lysa om att den innehåller bestämmelser om utlämnande av uppgifter från Kronofogdemyndigheten i vissa fall, men att regleringen i för- ordningen inte är uttömmande.
Förordningens struktur
Förordningen bör innehålla allmänna bestämmelser och bestämmel- ser om avgifter. Förordningen bör även innehålla bestämmelser om Kronofogdemyndighetens skyldighet att lämna ut uppgifter.
Tillämpningsområde
Vi har i avsnitten 13.5.1, 13.6.1 och 13.7.1 ovan lämnat förslag med innebörden att de nya förordningarna om uppgiftslämnande från beskattningsverksamheten, folkbokföringsverksamheten och Tull- verket ska ha samma materiella tillämpningsområde som de föreslagna nya datalagarna. Som vi redan påpekat avser dock dagens sekretess- brytande bestämmelser för Kronofogdemyndigheten främst uppgifter som i dag får registreras i utsöknings- och indrivningsdatabasen. Det går därför att ifrågasätta om den nya förordningens tillämpnings- område bör vara lika brett som den föreslagna kronofogdedatalagens materiella tillämpningsområde.
Eftersom den nya förordningen kan komma att få en samlande funktion bör dock tillämpningsområdet enligt vår mening inte be- gränsas. I likhet med vad vi redogjort för bl.a. i avsnitt 13.5.1 om be- skattningsverksamheten kan den nya förordningen komma att rymma fler bestämmelser i framtiden än den föreslås göra i dag. Mot bak-
995
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
grund av att vi i stycket nedan föreslår att dagens bestämmelser om Kronofogdemyndighetens rätt att ta ut avgifter för utlämnande ska motsvaras av bestämmelser i den nya förordningen blir betydelsen av att tillämpningsområdet inte formuleras för snävt än större. Vi an- ser därför att den nya förordningens tillämpningsområde bör motsvara den föreslagna kronofogdedatalagens materiella tillämpningsområde.
Bestämmelser om Kronofogdemyndighetens rätt att ta ut avgifter
Som framgår av bl.a. avsnitt 13.5.1 får en myndighet bara ta ut av- gifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen. En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.117 I dag ges Kronofogde- myndigheten rätt att ta ut avgifter för utlämnande av uppgifter från sina olika databaser enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i lag som återfinns i 2 kap. 30 § första stycket KFMdbL. I bestämmelsens andra stycke anges att rätten att ta ut avgifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän hand- ling enligt tryckfrihetsförordningen, eller en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Krono- fogdemyndighetens rätt att ta ut avgifter vid utlämnande motsvaras av nya bestämmelser. Kronofogdemyndigheten har dessutom upp- gett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter, något som sker i stor utsträckning till exempelvis kreditupplysningsföretag. Dessa nya be- stämmelser bör enligt vår mening finnas i samma sammanhang som de nya bestämmelser som reglerar utlämnandet i sak, dvs. den nya förordningen om Kronofogdemyndighetens utlämnande av uppgifter.
En bestämmelse som motsvarar bestämmelsen i 2 kap. 30 § första stycket KFMdbL bör därför införas i den nya förordningen om ut- lämnande av uppgifter. Även bestämmelsen om hur möjligheten att ta ut avgifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör ha en
1173 och 5 §§ avgiftsförordningen (1992:191).
996
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
motsvarighet i den nya förordningen. Däremot bör tillägget i nuvar- ande 2 kap. 30 § första stycket KFMdbL, som anger att avgifterna får tas ut enligt de närmare föreskrifter som meddelas av regeringen, inte införas i den nya förordningen eftersom regleringen i sin helhet kommer finnas på förordningsnivå.
Av 18 § KFMdbL framgår i dag att Kronofogdemyndigheten fast- ställer avgifter för utlämnande av uppgifter ur databaserna. Avgift ska dock inte tas ut vid utlämnande av uppgifter till annan myndig- het när utlämnandet följer av en skyldighet i lag eller förordning. En bestämmelse med motsvarande innebörd bör också föras in i den nya förordningen om uppgiftslämnande från Kronofogdemyndigheten.
13.8.2Utlämnande till Skatteverket
Vårt förslag: Bestämmelserna om uppgiftslämnande till Skatte- verket i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser samt visst utökat uppgiftslämnande som behövs för dataanalyser och urval.
Skälen för vårt förslag
Personer som förekommer i ett ärende
Av 7 § KFMdbF framgår att uppgifter som avses i 2 kap. 5 §
Av 2 kap. 27 § första stycket andra meningen KFMdbL framgår att Skatteverket i dess beskattningsverksamhet och i verkets hand- läggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter får ha direktåtkomst till samma uppgifter, dvs. uppgifter som anges i 2 kap. 5 §
I avsnitten 13.5.4 och 13.5.6 ovan har vi redogjort för våra förslag om hur det uppgiftslämnande från beskattningsverksamheten som i dag avgränsats till att avse särskilda personer ska regleras i framtiden. De överväganden som redogjorts för där är också tillämpliga i fråga
997
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
om Kronofogdemyndighetens utlämnande till Skatteverket. Vi anser därmed att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehandläggning, där utlämnandet i dag enbart får om- fatta uppgifter om personer som förekommer i ärenden, innebär att bestämmelsens omfattning inte utökas. Vi anser därför att den nya bestämmelsen endast ska föreskriva att Kronofogdemyndigheten ska lämna ut uppgifter om de behövs i Skatteverkets handläggning av ärenden.
Vi föreslår därför att Skatteverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Skatteverkets handlägg- ning av ärenden.
En utökad uppgiftsskyldighet – dataanalyser och urval
I avsnitt 14.10 om dataanalyser och urval gör vi bedömningen att Skatteverket bör ges tillgång till vissa uppgifter i Kronofogdemyndig- hetens verksamhet som dagens reglering inte omfattar. Övervägan- den och bedömningar i fråga om den föreslagna utökningen framgår av det kapitlet.
Utlämnande till folkbokföringsverksamheten
Av 7 a § KFMdbF framgår att uppgifter om adress och andra kon- taktuppgifter, genomförd avhysning, utmätning och delgivning, och tillgångar i utlandet på begäran ska lämnas ut till Skatteverket om det behövs för handläggning av ärenden eller kontroll av uppgifter i folk- bokföringsverksamheten. Bestämmelsen är inte begränsad till att av- se personer som förekommer i den angivna verksamheten. Däremot är bestämmelsen i dag förenad med ett krav på att utlämnandet ska ske på begäran.
Vi föreslår därför att Skatteverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Skatteverkets hand- läggning av ärenden eller kontroll av uppgifter i folkbokförings- verksamheten.
998
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
13.8.3Utlämnande till Tullverket
Vårt förslag: Bestämmelserna om uppgiftslämnande till Tull- verket i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser.
Skälen för vårt förslag
Av 7 § KFMdbF framgår att uppgifter som avses i 2 kap. 5 §
Som vi redogjort för i avsnitt 13.8.2 anser vi att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehand- läggning, där utlämnandet i dag enbart får omfatta uppgifter om per- soner som förekommer i ärenden, inte innebär att bestämmelsen om- fattning utökas.
Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Tullverkets handläggning av ärenden.
13.8.4Utlämnande till Säkerhetspolisen
Vårt förslag: Bestämmelserna om uppgiftslämnande till Säker- hetspolisen i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser.
999
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
Skälen för vårt förslag
Av 8 § KFMdbF framgår att uppgifter som avses i 2 kap. 5 §
Som vi redogjort för i avsnitt 13.8.2 anser vi att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehand- läggning, där utlämnandet i dag enbart får omfatta uppgifter om per- soner som förekommer i ärenden, inte innebär att bestämmelsen omfattning utökas.
Vi föreslår därför att Säkerhetspolisen i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Säkerhetspolisens handläggning av ärenden om särskild personutredning enligt 3 kap. 17 § säkerhetsskyddslagen (2018:585).
13.9Skyddet för den personliga integriteten
Vår bedömning: Förslagen om nya bestämmelser om uppgifts- lämnande är förenliga med skyddet för den personliga integri- teten.
Skälen för vår bedömning
De språkliga justeringar vi föreslår
I avsnitten ovan har vi redogjort för våra förslag till nya bestämmelser om utlämnande av uppgifter för Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverket och Kronofogdemyndig- heten. De nuvarande bestämmelserna behöver enligt våra bedöm- ningar förändras bl.a. på grund av komplexiteten i befintliga bestäm-
1000
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
melser (främst när det gäller beskattningsverksamheten) och på grund av den nya struktur som vi har föreslagit ska gälla den komplette- rande dataskyddsregleringen.
Våra förslag utgår dock från att omfattningen av informations- utbytet så långt som möjligt ska vara oförändrat. Vi har därför före- slagit nya bestämmelser som huvudsakligen motsvarar vad som gäller i dag i fråga om vilka uppgifter som avses, vem som får ta del av vilka uppgifter, samt vilka behov som ska föreligga hos mottagaren i detta sammanhang. De faktiska förändringar som föreslås i dessa avseen- den är rent språkliga. Skyddet för den personliga integriteten bör därför inte vare sig förbättras eller försämras av våra förslag i dessa avseenden.
Uppgiftsskyldighet som inte utgår från en personkrets
I syfte att kompensera för bortfallet av den särskilda regleringen av direktåtkomst har vi föreslagit att de sekretessbrytande bestämmel- ser som i dag avser en särskild personkrets hos mottagaren ska mot- svaras av nya bestämmelser som i stället utgår från mottagarens behov. Det innebär också att bestämmelserna utformas i enlighet med övriga sekretessbrytande bestämmelser. Vår bedömning är att det är tvek- samt om fortsatt utlämnande genom direktåtkomst skulle vara möj- ligt om en sådan justering inte görs.
Vi har föreslagit att bestämmelser som i dag avser en viss person- krets i stället ska utgå från de behov som föreligger i den mottagande myndighetens verksamhet, antingen med eller utan angivande av ären- dehandläggning. I de flesta fall är det enligt vår bedömning tydligt att de föreslagna nya bestämmelserna inte kan anses utgöra en föränd- ring av omfattningen av uppgiftsskyldigheten. Det gäller exempelvis för uppgiftslämnande som i dag avser en person som förekommer i ett ärende som i stället föreslås avse behov i mottagarens ärende- handläggning. Vad gäller visst utlämnande från beskattningsverksam- heten till Kronofogdemyndigheten finns det dock skäl att i det här sammanhanget närmare beröra de överväganden vi gjort.
I enlighet med vår målsättning att inte förändra omfattningen av det nuvarande informationsutbytet har vi i vissa fall bedömt att ut- lämnande i den utsträckning det behövs för mottagarens ärendehand- läggning inte är en lämplig lösning. Det rör de fall där nuvarande be-
1001
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
stämmelser inte kan uppfattas vara begränsande avseende för vilka ändamål mottagaren får hämta in uppgifterna, utan där det som är avgörande för utlämnandet är om en person ingår i den utpekade personkretsen eller inte. Så är fallet när utlämnande av beskattnings- uppgifter får ske avseende en person som har ansökt om skuldsaner- ing eller
Vi har bedömt att omfattningen av det nuvarande utlämnandet i detta sammanhang inte förändras av vårt förslag. Vår bedömning base- rar sig dels på att Kronofogdemyndigheten är skyldig att tillämpa bestämmelserna i EU:s dataskyddsförordning, dels på utformningen av den materiella verksamhetsregleringen av de olika formerna av skuldsanering samt myndighetens verksamhet med utsökning och indrivning. Enligt dataskyddsförordningen får Kronofogdemyndig- heten inte samla in uppgifter som inte är berättigade i förhållande till de ändamål de behandlas och den materiella verksamhetsregleringen styr de ändamål för vilka Kronofogdemyndigheten får samla in upp- gifter.
Mot bakgrund av den materiella regleringens utformning avse- ende myndighetens uppgifter i de respektive verksamheterna, bl.a. avseende vilken kontroll som ska utföras av myndigheten samt vilka förhållanden som är avgörande vid olika förfaranden som regleras, bedömer vi att myndigheten inom angivna verksamheter även i fort- sättningen kommer att sakna rättslig grund för att samla in beskatt- ningsuppgifter om andra personer än de som registreras som gälde- närer inom verksamheten med utsökning och indrivning och personer som ansökt om någon form av skuldsanering, samt make eller mot- svarande. I sammanhanget kan även uppmärksammas att Krono- fogdemyndigheten har uppgett till utredningen att myndighetens behov av att ta del av beskattningsuppgifter inom angiven verksam- het blir tillgodosett genom nuvarande reglering.
Det skulle dock kunna ifrågasättas om inte verksamhetsbegreppet trots allt kan anses innebära en utökad omfattning av utlämnandet av beskattningsuppgifter till Kronofogdemyndigheten. Som vi nyss nämnt har dock Kronofogdemyndigheten uppgett att myndigheten för angivna verksamheter saknar behov av att ta del om beskattnings-
1002
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
uppgifter om andra personer än de som anges i dagens reglering, dvs. andra personer än personer som ansökt om någon form av skuldsan- ering eller personer som är registrerade som gäldenär hos myndigheten, samt make eller motsvarande till dessa personer. De förändringar vi föreslår är därmed inte motiverade av att Kronofogdemyndigheten gett uttryck för att dagens reglering är för begränsande i förhållande till de behov som finns i verksamheterna. Förslagen är i stället moti- verade av den förändring vi föreslagit avseende att ingen särreglering av olika former av elektroniskt utlämnande ska förekomma. Vår sam- mantagna bedömning i det avseendet är att en teknikneutral regler- ing är en förutsättning för en ändamålsenlig dataskyddsreglering som också medför ett adekvat skydd för enskildas personliga integritet.
Förändringar i den materiella verksamhetsregleringen skulle dock kunna få till följd att det inom Kronofogdemyndigheten uppstår ett behov av att ta del av beskattningsuppgifter om andra personer än i dag. Det kan inte uteslutas att det i sammanhanget även uppstår ett behov av att meddela föreskrifter som närmare preciserar Skatte- verkets möjligheter att lämna ut personuppgifter elektroniskt till Kronofogdemyndigheten. En konsekvens av vårt förslag om hur elektroniskt utlämnande ska regleras är dock att direktåtkomst eller andra former av elektroniskt utlämnande endast bör regleras särskilt i författning om sådan åtkomst behöver begränsas, och sådana be- stämmelser kan meddelas med stöd av regeringens restkompetens.
Ien situation där ny reglering av Kronofogdemyndighetens verksam- het medför ett utökat behov av beskattningsuppgifter, dvs. om andra personer än i dag, finns det utrymme för regeringen eller den myn- dighet regeringen bestämmer att vid behov meddela föreskrifter som begränsar Skatteverkets möjlighet att lämna ut uppgifter elektro- niskt till Kronofogdemyndigheten.
Sammanfattningsvis anser vi därför att våra förslag avseende utläm- nande av uppgifter från beskattningsverksamheten till Kronofogde- myndigheten är förenliga med skyddet för den personliga integriteten.
Uppgiftsskyldighet som inte kräver en begäran
Vi har genomgående föreslagit att bestämmelser som avser utläm- nande till andra myndigheter inte ska ske på begäran.
Sekretessbrytande bestämmelser som inte kräver en begäran från mottagaren förekommer i dag bl.a. för folkbokföringsverksamheten
1003
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
och Tullverket i form av bestämmelser som anger att den utlämnande myndigheten har en skyldighet att underrätta vissa andra offentliga aktörer om vissa förhållanden som den utlämnande myndigheten får kännedom om eller som i övrigt förekommer inom verksamheten. Våra förslag innebär dock inte att dagens bestämmelser om upp- giftsskyldighet förändras till sådana om underrättelseskyldighet.
Sekretessbrytande bestämmelser som inte kräver en begäran finns också i rättsliga sammanhang som ligger utanför ramen för vårt upp- drag. De exempel vi tagit upp i avsnitt 13.4.1 är de skyldigheter olika verksamhetsgrenar inom Skatteverket har att lämna uppgifter inom myndigheten redan när det i den utlämnande verksamheten kan antas att en uppgift har betydelse hos mottagaren. Våra förslag inne- bär dock inte att dagens uppgiftsskyldighet förändras så att den in- träder redan när den utlämnande myndigheten kan anta att uppgif- terna har en betydelse i mottagarens verksamhet.
Sekretessbrytande bestämmelser som inte kräver en begäran finns i dag även i skattedatabasförordningen. Dessa bestämmelser är dock utformade på så sätt att utlämnandet endast ska ske i den utsträckning det behövs i mottagarens verksamhet. En förutsättning för att upp- giftsskyldigheterna ska föreligga är att beskattningsverksamheten har kännedom om sådana omständigheter som medför att det är klarlagt att uppgifterna behövs hos mottagaren. Avseende några av dessa be- stämmelser har regeringen uttalat att i praktiken kommer ett utläm- nande i samtliga fall att föregås av en ursprunglig begäran om att få ut uppgifter av ett visst slag. Vi har tidigare noterat att det går att ifråga- sätta på vilket sätt en sådan möjlighet till utlämnande på eget initiativ i praktiken skiljer sig från utlämnande efter en begäran exempelvis om avisering av ändringar eller en stående begäran om utfående av uppgifter med vissa intervall.
Vår motivering till att föreslå att uppgifter inte längre ska kräva en begäran från mottagaren är inte att uppgiftslämnandet i fortsätt- ningen ska kunna ske spontant eller redan vid ett antagande om att mottagaren kan behöva uppgifterna. Motiveringen är i stället att inte hindra uppgiftslämnande genom olika tekniska lösningar, se avsnit- tet nedan.
För att det inte ska råda några tvivel om att uppgiftsskyldighet som i dag förutsätter en begäran från mottagaren även fortsättnings- vis kräver att den mottagande myndigheten i någon form begärt att få ta del av uppgifterna har vi föreslagit ett förbud mot utlämnande
1004
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
på initiativ av den utlämnande myndigheten. Förbudet är avsett att hindra spontanutlämnande eller utlämnande som enbart baserar sig på ett antagande hos den utlämnande myndigheten om att uppgif- terna kan ha betydelse för mottagarens verksamhet. Förbudet måste enligt vår mening anses utgöra en tillräcklig åtgärd för att hindra att information som inte är efterfrågad av mottagaren ska kunna lämnas ut med stöd av de nya bestämmelserna. Den ändring som vi föreslår i fråga om att utlämnande inte längre behöver ske på begäran måste därför anses utgöra en mindre revidering av redan föreliggande skyl- digheter att lämna ut uppgifter. Vår bedömning är därför att förslagen i detta avseende är förenliga med målsättningen om ett adekvat skydd för den personliga integriteten.
Ett utökat utlämnande genom direktåtkomst?
Bestämmelser som särskilt reglerar sekretessgenombrott för direkt- åtkomst är motiverade av integritetsskäl. Genom bestämmelserna begränsas den utlämnande myndighetens möjlighet att lämna ut infor- mation genom direktåtkomst. Även utformningen av sekretessbryt- ande bestämmelser, dvs. om ett utlämnande ska ske på begäran eller inte, är i många fall motiverade av en avvägning mellan behov, effek- tivitet och integritetsskydd. Vi har dock föreslagit att sekretess- brytande bestämmelser som avser direktåtkomst ska upphävas och inte ha någon motsvarighet i den nya regleringen. Vi har även lämnat vissa övriga förslag i syfte att möjliggöra olika former av elektroniskt utlämnande, med innebörden att uppgiftslämnande inte enbart får ske på begäran, och att de uppgifter som avses inte ska begränsas till vissa personer. Frågan är då i vilken utsträckning våra förslag om att justera och anpassa regleringen av utlämnande av uppgifter för att ge myndigheterna utökade möjligheter till elektroniskt utlämnande är förenligt med skyddet för den personliga integriteten.
All automatiserad behandling av stora mängder personuppgifter kan på ett generellt plan medföra risker från integritetssynpunkt. Ett omfattande elektroniskt utlämnande av personuppgifter kan inne- bära att uppgifterna får en större spridning, vilket förhöjer riskerna. Utöver de bestämmelser om uppgiftsskyldighet som föreslås avse- ende dataanalyser och urval (se avsnitt 14.10) samt en kodifiering av sådant utlämnande som i dag delvis sker med stöd av generalklausu-
1005
Ny reglering av uppgiftslämnande |
SOU 2023:100 |
len i 10 kap. 27 OSL (se avsnitt 13.5.5) föreslår vi dock inte att upp- gifter som i dag inte får lämnas ut ska få göra det. Våra förslag avser i stället i huvudsak sådant elektroniskt uppgiftslämnande som redan förekommer.
Uppgiftslämnande genom direktåtkomst har under en lång tid ansetts utgöra en särskilt integritetskänslig form av utlämnande, vilket
viutvecklar närmare i avsnitt 11.2.2 och därför inte återger här. Reger- ingen har dock nyligen, i ett lagstiftningsärende avseende i vilken form uppgifter ska lämnas elektroniskt mellan olika aktörer inom vården, uttalat att det inte [längre] är en stor skillnad mellan direktåtkomst och en elektronisk
I avsnitt 11.7.2 har vi dessutom gjort bedömningen att det är av stor vikt att myndigheterna ges möjlighet att utnyttja den form av informationsöverföring som ger det bästa integritetsskyddet och de största effektivitetsvinsterna i det enskilda fallet. Vi har även bedömt att det inte kan uteslutas att utlämnande genom direktåtkomst ger
118Prop. 2021/22:177, Sammanhållen vård och omsorgsdokumentation, s. 79.
1006
SOU 2023:100 |
Ny reglering av uppgiftslämnande |
fördelar ur integritetshänseende som inte med självklarhet kan upp- nås med andra former av elektronisk informationsöverföring.
I avsnitt 11.7.5 har vi dessutom föreslagit att elektroniskt utläm- nande av uppgifter endast ska få ske om det inte är olämpligt. En rättslig möjlighet för myndigheterna att medge en annan myndighet direktåtkomst eller elektroniskt utlämnande av uppdaterad informa- tion medför därmed inget krav på myndigheten att medge sådan åtkomst eller tillgång. Det går därför inte att med säkerhet säga om, och i sådant fall när och i vilken omfattning, ett utökat uppgifts- lämnande genom direktåtkomst från Skatteverket, Tullverket eller Kronofogdemyndigheten, faktiskt kommer att ske, trots att våra för- slag i detta kapitel bl.a. syftar till att möjliggöra sådant utlämnande, när det är lämpligt. Mot bakgrund av de stora krav som ställs på myn- digheter på båda sidor vid upprättandet av ett system för direkt- åtkomst, och som följer av dataskyddsförordningen, förefaller det nämligen troligt att uppgiftslämnande i första hand kommer ske genom andra former av elektronisk informationsöverföring.
Vår bedömning är att en väl analyserad och förberedd direkt- åtkomst, där de inblandade myndigheterna övervägt och löst frågor som bl.a. rör sekretesskydd och dataskydd på båda sidor, vidtagit behövliga säkerhetsåtgärder samt begränsat eventuell överskotts- information, inte behöver innebära större risker för den enskildes integritet än vid ett annat elektroniskt utlämnande av personuppgif- ter. I vissa fall kan det i stället medföra ett förhöjt integritetsskydd. Genom dataskyddsförordningens bestämmelser, som redogörs för i avsnitt 11.7.3, bör det enligt vår mening finnas en tillräcklig garanti för att eventuella nya system för utlämnande genom direktåtkomst analyseras och förbereds väl, och inte införs om det finns lämpligare tillvägagångsätt. I avsnitt 11.7.6 har vi även föreslagit ett krav på myndigheterna att ansvara för att det finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Vår sammantagna bedömning är att våra förslag om justeringar och ändringar i förhållande till dagens reglering av uppgiftslämnande är förenliga med målsättningen om ett adekvat skydd för den per- sonliga integriteten.
1007
14 Dataanalyser och urval
14.1Inledning
Vårt uppdrag innefattar att se över förutsättningarna för Skatte- verket, Tullverket och Kronofogdemyndigheten att använda data- analyser och urval som verktyg för en effektivare kontrollverksamhet. I uppdraget ingår att analysera och bedöma lämpligheten och ut- formningen av en reglering som innebär en utökad möjlighet att göra dataanalyser och urval för respektive myndighet. Vi ska också kart- lägga vilken information som behövs för att möjliggöra adekvata analyser och urval och föreslå hur tillgång till sådan information bör ges. Det ingår även i uppdraget att bedöma om det finns behov av ändringar i sekretessbestämmelserna eller nya sekretessbestämmelser och då även beakta insynsintresset. Vidare ska vi bedöma vilka regler kring bevarande och gallring som ska gälla för de uppgifter som be- handlas, och hur gjorda analyser och urval ska dokumenteras för att till- godose såväl myndigheternas verksamhetsbehov som behovet av att möjliggöra kontroller av arbetet med analyser och urval i efterhand. Därutöver ska vi säkerställa behovet av skydd för den personliga in- tegriteten och att EU:s dataskyddslagstiftning följs samt lämna nöd- vändiga författningsförslag.
Uppdraget avseende myndigheternas möjligheter att använda data- analyser och urval omfattar samma verksamheter som uppdraget att göra en översyn av de berörda myndigheternas registerlagstiftningar tar sikte på. Det innebär att även Skatteverkets verksamheter enligt lagen (1998:527) om det statliga personadressregistret med tillhör- ande förordning (1998:1234) och lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteck- ningsverksamheter med tillhörande förordning (2015:905) omfattas av uppdraget i denna del. Skatteverket har dock till utredningen upp- gett att det inte finns något behov av utökade möjligheter att använda
1009
Dataanalyser och urval |
SOU 2023:100 |
dataanalyser och urval inom dessa verksamheter. Det innebär att det inte finns något underlag för utredningen i dessa delar. Vi kommer därför inte att lämna förslag avseende dataanalyser och urval som rör Skatteverkets verksamheter med det statliga personadressregistret (SPAR) eller äktenskapsregister- och bouppteckningsverksamheterna.
Vidare ligger det enligt direktivet inte inom ramen för uppdraget att se över lämpligheten av en ny reglering och lämna författnings- förslag som rör Skatteverkets folkbokföringsverksamhet till den del det omfattas av förslagen i betänkandet Om folkbokföring, samord- ningsnummer och identitetsnummer (SOU 2021:57). Om utred- ningens överväganden i övrigt får följder även på de förslag som lämnats i det betänkandet ska dock förslag lämnas även på folkbok- föringsområdet. Förslagen i nämnda betänkande har omhändertagits och lagändringarna trätt i kraft den 1 maj 2023 (prop. 2022/23:41, bet. 2022/23:SkU8, rskr. 2022/23:156). Våra överväganden till följd av översynen av registerförfattningarna innebär att vi föreslår att den nuvarande folkbokföringsdatabaslagen upphävs och ersätts med en ny lag. Det innebär att våra förslag får följder även på dessa änd- ringar. Vi kommer därför lämna förslag avseende dataanalyser och urval även på folkbokföringsområdet.
I kapitlet gör vi bedömningen att Skatteverket, Tullverket och Kronofogdemyndigheten bör ges utökade möjligheter att använda dataanalyser och urval som verktyg för en effektivare kontrollverksam- het. Vi anser att den rättsliga grunden för behandlingen av person- uppgifter för att göra dataanalyser och urval för kontrolländamål ska tydliggöras i den föreslagna beskattningsdatalagen, folkbokförings- datalagen, tulldatalagen och kronofogdedatalagen. Detsamma gäller dataanalyser och urval för att motverka överskuldsättning i Krono- fogdemyndighetens verksamhet. I lagarna föreslås därför en reglering av för vilka ändamål uppgifter får behandlas och vilka uppgifter som får behandlas för sådana dataanalyser och urval. Därutöver föreslår
viatt vissa uppgiftsskyldigheter gentemot Skatteverket och Tull- verket ska utökas.
Vi föreslår även att det ska införas särskilda bestämmelser om krav på dokumentation i lagarna samt bestämmelser i de tillhörande förordningarna om särskilda rutiner som ska gälla vid dataanalyser och urval. Vidare gör vi bedömningen att den föreslagna generella bestämmelsen om att personuppgifter inte får behandlas under längre
1010
SOU 2023:100 |
Dataanalyser och urval |
tid än vad som behövs med hänsyn till ändamålet med behandlingen även bör gälla vid dataanalyser och urval.
Våra överväganden och förslag i fråga om det finns behov av änd- ringar i sekretessbestämmelserna eller av nya sekretessbestämmelser finns i avsnitten 15.3 och 15.4.
Slutligen gör vi en samlad bedömning av om den behandling av personuppgifter som förslagen ger upphov till är proportionerlig i förhållande till riskerna för den personliga integriteten. Vi gör också en bedömning av förslagens förenlighet med kraven i EU:s dataskydds- förordning1 och annan reglering till skydd för enskildas personliga integritet.
14.2Myndigheternas kontrollverksamhet
14.2.1Något om myndigheternas uppdrag och uppgifter
I kapitel 4 finns en översiktlig redogörelse för Skatteverkets, Tull- verkets och Kronofogdemyndighetens olika uppdrag och uppgifter. Uppdragen samt de krav på styrning av respektive myndighet som finns innebär att myndigheterna måste vidta olika typer av kontroller för att bedriva verksamheterna på ett korrekt sätt. Myndigheternas uppdrag samt de krav som ställs framgår av ett flertal olika författ- ningar och regeringsbeslut, bl.a. regeringsformen, RF, förvaltnings- lagen (2017:900), FL, myndighetsförordningen (2007:515), förord- ningar med myndigheternas instruktioner,
Skatteverkets specifika uppgifter framgår bl.a. av förordningen (2017:154) med instruktion för Skatteverket, skatteförfarandelagen (2011:1244), SFL, inkomstskattelagen (1999:1229), IL, mervärdes- skattelagen (2023:200), folkbokföringslagen (1991:481), FOL, och lagen (2022:1697) om samordningsnummer. Skatteverket ansvarar en- ligt förordningen med instruktion för Skatteverket för att fastställa och ta ut skatter, socialavgifter och andra avgifter så att en riktig upp- börd kan säkerställas. Skatteverket ska också fastställa rättvisande taxeringsvärden på fastigheter så att korrekt underlag finns för skatte- beräkning och andra ändamål. Vidare ansvarar Skatteverket för frågor
1Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
1011
Dataanalyser och urval |
SOU 2023:100 |
om folkbokföring och personnamn. Uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Skatteverket ska också förebygga och mot- verka ekonomisk brottslighet och delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.2
Tullverkets uppgifter framgår bl.a. av förordningen (2016:1332) med instruktion för Tullverket, EU:s tullagstiftning och tullagen (2016:253), TL. Tullverket ansvarar enligt förordningen med in- struktion för Tullverket för att fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas. Tullverket ska även övervaka och kontrollera trafiken till och från Sverige så att bestäm- melser om in- och utförsel av varor följs. Vidare ska Tullverket före- bygga och motverka brottslighet i samband med in- och utförsel av varor och delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.3
När det gäller Kronofogdemyndigheten framgår de specifika upp- gifterna bl.a. av förordningen (2016:1333) med instruktion för Krono- fogdemyndigheten, utsökningsbalken, UB, lagen (1990:746) om be- talningsföreläggande och handräckning, BfL, skuldsaneringslagen (2016:675) och konkurslagen (1987:672). Myndighetens huvudsak- liga uppgifter enligt förordningen med instruktion för Kronofogde- myndigheten är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Kronofogdemyndigheten ska också verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas. Även Kronofogdemyndigheten ska förebygga och mot- verka ekonomisk brottslighet och delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.4
Av de årliga särskilda regleringsbrev som regeringen beslutar för respektive myndighet framgår vissa ytterligare uppdrag som myn- digheterna ska genomföra och redovisa. Det rör inte sällan olika for- mer av kontrollåtgärder och krav på effektivisering. Många krav och mål återkommer år efter år.
Avseende Skatteverket anges i regleringsbrevet för budgetåret 2023 bl.a. att skillnaden mellan de teoretiskt riktiga och de fastställda
21, 2 och 6 §§ förordningen med instruktion för Skatteverket.
3
41, 2 och 4 §§ förordningen med instruktion för Kronofogdemyndigheten.
1012
SOU 2023:100 |
Dataanalyser och urval |
beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt.5
Vidare har Skatteverket enligt regleringsbrevet vissa mål och rapporteringskrav om folkbokföringsfelet. Uppgifterna i folkbok- föringen ska hålla en hög kvalitet och folkbokföringsfelet ska vara så litet som möjligt. Skatteverket ska bedöma folkbokföringsfelets stor- lek och redovisa vilka åtgärder som har vidtagits för att öka kvali- teten i folkbokföringen. Skatteverket ska särskilt beskriva hur fel förebyggs och vilka åtgärder som vidtagits för att stärka möjligheterna att utifrån riskbedömningar prioritera arbetet med att minska felen.
Skatteverket ska även generellt redovisa hur resurserna i huvud- sak har prioriterats till olika områden där kontrollerna kan uppnå bästa möjliga effekt och områden där risk för fel och fusk är hög. Därtill ska Skatteverket redovisa de viktigaste verksamhets- och it- utvecklingsinsatserna som har genomförts under året.
Även i Tullverkets regleringsbrev för budgetåret 2023 anges bl.a. att skillnaden mellan de teoretiskt riktiga och de fastställda beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt.6 När det gäller Tullverkets kontrollverksamhet ska ambitionsnivån en- ligt regleringsbrevet öka avseende att förhindra smuggling av narko- tika, vapen och explosiva varor liksom att förhindra storskalig eller frekvent illegal införsel av alkohol och tobak. Samtidigt måste insat- serna balanseras mot myndighetens ansvar inom samtliga risk- och restriktionsområden. Även Tullverket ska redovisa de viktigaste verk- samhets- och
I Kronofogdemyndighetens regleringsbrev för budgetåret 2023 anges bl.a. att myndigheten ska bidra till att säkerställa finansier- ingen av den offentliga sektorn och bidra till ett väl fungerande sam- hälle för allmänhet och företag samt motverka brottslighet. Vidare framgår att myndigheten har tillförts tillfälliga medel under 2021– 2023 för att digitalisera och automatisera verksamheten. Myndigheten ska även redovisa de viktigaste verksamhets- och
5Regeringsbeslut
6Regeringsbeslut
7Regeringsbeslut
1013
Dataanalyser och urval |
SOU 2023:100 |
14.2.2Allmänt om myndigheternas utrednings- och kontrollverksamhet
Skatteverket, Tullverket och Kronofogdemyndigheten arbetar med kontroll på flera olika sätt och för olika syften. Det kan t.ex. handla om extern kontroll i den operativa verksamheten som grundar sig på materiella bestämmelser om befogenheter för kontroll, eller om intern kontroll av mer administrativ karaktär för att följa upp och planera verksamheten. Den externa kontrollen kan exempelvis avse uppgif- ter i ett ärende under handläggningens gång eller olika former av efterhandskontroller när ett ärende har avslutats.
Begreppet kontrollverksamhet kan leda tanken till kontroller som sker i efterhand för att ta reda på om ett visst utfall har blivit korrekt eller inte. I likhet med bedömningar som har gjorts av tidigare utred- ningar där bl.a. frågor om myndigheters kontrollverksamhet varit aktuella anser vi att kontroll ska ges en vid definition i detta sam- manhang. Kontroll bör ses som en aspekt av myndigheternas arbete genom hela ärendehanteringen eller beslutsprocessen. Det avser där- med åtgärder som myndigheterna vidtar från det att information lämnas till enskilda, genom hela beslutsprocessen, fram till dess att eventuella efterhandskontroller sker. Med andra ord avses kontroller som sker före, under eller efter handläggnings- eller beslutsproces- sen.8 Genom denna definition finns större möjligheter att se över myndigheternas förutsättningar att använda dataanalyser och urval såväl preventivt som reaktivt för att upprätthålla en effektiv kon- trollverksamhet.
För att utföra sina uppgifter, fatta korrekta beslut och minska risken för och förekomsten av fel i respektive verksamhet har Skatte- verket, Tullverket och Kronofogdemyndigheten vissa myndighets- specifika utrednings- och kontrollbefogenheter som regleras i olika materiella författningar. Förutsättningarna för myndigheternas kon- troll skiljer sig åt eftersom deras respektive uppdrag ser olika ut. Exempelvis har Skatteverket och Tullverket en mer omfattande kon- trollverksamhet än Kronofogdemyndigheten.
Av relevans i sammanhanget är även vissa generella föreskrifter i myndighetsförordningen. Enligt 3 § myndighetsförordningen ansvarar
8SOU 2014:16, Det ska vara lätt att göra rätt – Åtgärder mot felaktiga utbetalningar inom den arbetsmarknadspolitiska verksamheten, s.
1014
SOU 2023:100 |
Dataanalyser och urval |
en myndighets ledning inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktel- ser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndig- heten hushållar väl med statens medel. Av 6 § första stycket myndig- hetsförordningen följer att myndigheterna fortlöpande ska utveckla verksamheten.
Vidare ska myndigheterna enligt 23 § FL se till att ett ärende blir utrett i den omfattning som dess beskaffenhet kräver. Bestämmelsen innebär bl.a. att kraven på omfattningen av myndighetens utrednings- åtgärder kan variera med hänsyn till ärendets karaktär. Exempelvis behöver en myndighet i praktiken inte vara lika aktiv om ärendet avser en enskilds begäran om att få en förmån av det allmänna, som i ett ärende som avser myndighetens ingripanden mot någon enskild.9 Enligt 9 § första stycket FL ska ett ärende handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts. Mer specifika regler om utredningsansvar kan också finnas i vissa specialförfattningar, t.ex. 40 kap. 1 § SFL.
14.2.3Myndigheternas specifika utrednings- och kontrollverksamhet
Skatteverkets beskattningsverksamhet
Allmänt om kontroll inom beskattningsverksamheten
För att Skatteverket ska kunna uppfylla sitt uppdrag att bl.a. säker- ställa en riktig uppbörd är myndighetens arbete med skattekontroll ett viktigt verktyg. Arbetet bidrar också till att upprätthålla privat- personers och företags vilja att göra rätt, vilket är av grundläggande betydelse för ett väl fungerande samhälle. Skattekontroll bidrar även till minskad illojal konkurrens. Målet med skattekontrollen är att rätt skatt ska betalas. Kontrollen kan därför resultera i ett beslut om att den skattskyldige har betalat in såväl för mycket som för lite skatt.
Skatteverket arbetar med kontroll på flera olika sätt. Som exem- pel kan nämnas att alla deklarationer som lämnas in till myndigheten, både från privatpersoner och företag, kontrolleras inledningsvis maski- nellt. Utifrån resultatet av de maskinella kontrollerna väljs sedan
9Prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, s. 308.
1015
Dataanalyser och urval |
SOU 2023:100 |
vissa deklarationer ut för ytterligare kontroll. Vid dessa kontroller kan Skatteverket t.ex. ställa frågor om uppgifter som finns eller sak- nas i deklarationen eller begära klargöranden om underlag till dekla- rationen. Inom vissa områden, där risken för skattefel är särskilt stor, gör Skatteverket s.k. riktade kontroller. Det kan handla om svart- arbete, oredovisade inkomster och olika former av skatteupplägg. Skatteverket kombinerar ofta kontrollverksamheten med informa- tionsåtgärder, branschsamverkan eller andra åtgärder. Erfarenheterna från kontrollerna ger myndigheten kunskap om vilka fel som ofta förekommer, och denna kunskap kan sedan användas för att exempel- vis förbättra myndighetens informations- och kontrollinsatser.
Skatteverkets arbete med att bedöma skattefelet utvecklas över tid och vissa metoder och områden har tillkommit. Skatteverket upp- gav i årsredovisningen 2022 att arbetet med att bedöma det totala skattefelet fortfarande var under uppbyggnad och de bedömningar som myndigheten redovisade för 2022 utgjorde därför endast delar av det totala skattefelet. Resultatet är därmed inte direkt jämförbart med de bedömningar som gjordes i Skatteverkets årsredovisning 2021. Totalt bedömde dock Skatteverket att det kontrollerbara skattefelet för inkomst av tjänst och näringsverksamhet för privatpersoner till 12,1 miljarder kronor, vilket utgjorde 1,5 procent av den fastställda skatten 2022.10
Den huvudsakliga regleringen av Skatteverkets kontrollbefogen- heter inom beskattningsverksamheten finns i skatteförfarandelagen. Ytterligare materiella regler av betydelse för Skatteverkets kontroll- verksamhet finns bl.a. i inkomstskattelagen, mervärdesskattelagen, socialavgiftslagen (2000:980) och de olika punktskattelagarna, såsom lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter, LPK.
Utöver skattekontrollen utför Skatteverket även kontrollverksam- het inom ramen för andra författningar som i dag omfattas av tillämp- ningsområdet för lagen (2001:181) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet, skattedatabaslagen (SdbL). Det rör sig bl.a. om verksamhet enligt lagen (2013:948) om stöd vid kort- tidsarbete och lagen (2020:548) om omställningsstöd.
10Skatteverkets årsredovisning 2022, s. 29.
1016
SOU 2023:100 |
Dataanalyser och urval |
Skatteförfarandelagen
Förfarandet vid uttag av skatter och avgifter regleras i huvudsak i skatteförfarandelagen. Lagen innehåller bestämmelser om bl.a. Skatte- verkets kontroll av deklarationer och om revisioner. Skatteverkets kontroll inom detta område utgår från den uppgiftsskyldighet enskilda har gentemot myndigheten samt myndighetens kontrollbefogenheter.
I
I
Viss särskild reglering om analys av relevans för skattekontroll finns i 33 b kap. SFL. I 33 b kap. 2 § anges att uppgifter om rapporter- ingspliktiga arrangemang ska lämnas som underlag för Skatteverkets utbyte av upplysningar enligt 12 d § lagen (2012:843) om admini- strativt samarbete inom Europeiska unionen i fråga om beskattning. Uppgifterna ska även lämnas som underlag för skattekontroll och analys av risker i skattesystemet. Med skattekontroll avses t.ex. att göra riskbaserade urval för skatterevisioner eller andra utrednings- åtgärder för kontroll i enskilda fall eller att kontrollera att andra upp- gifter som ska lämnas till ledning för beskattningen faktiskt lämnas och är korrekta. Med analys av risker i skattesystemet avses mer all- männa analyser av skattesystemet som kan leda t.ex. till rättsliga ställ- ningstaganden från myndigheten eller att myndigheten uppmärksam- mar lagstiftaren på att det kan behöva göras en viss ändring.13 Den nu gällande skattedatabaslagen har kompletterats med en ändamåls- bestämmelse i 1 kap. 4 § 6 e till följd av bestämmelserna i 33 b kap. SFL.
1137 kap. 2 § första stycket SFL.
1240 kap. 1 § SFL.
13Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 206.
1017
Dataanalyser och urval |
SOU 2023:100 |
Några övriga författningar
Ytterligare regler om Skatteverkets kontroll som inte direkt avser skattekontroll finns som anges ovan i ett flertal andra författningar. Exempelvis finns regler om uppgiftslämnande, föreläggande och kon- trollbesök i
Skatteverkets folkbokföringsverksamhet
Allmänt om kontrollen av uppgifter inom folkbokföringsverksamheten
Skatteverket vidtar en rad olika åtgärder för att minska folkbokför- ingsfelet, dvs. förekomsten av fel i folkbokföringen i förhållande till lagstiftningens krav. För att säkra en korrekt folkbokföring genom- för Skatteverket kontrollåtgärder. Det görs i olika delar av ärende- hanteringen, såväl innan som efter registrering av uppgifter. Skatte- verket har valt att dela in ärendehanteringen i ärendegrupperna ”Flytta till Sverige”, ”Bosättning” och ”Övrigt”.14
Den preventiva kontrollen innebär att en inkommande anmälan granskas innan beslut tas. Den aktualiseras såväl vid flyttningsanmäl- ningar inom och till Sverige som vid anmälningar som avser flytt- ningar till utlandet. Kontrollen i efterhand handlar om att granska om en befintlig uppgift i folkbokföringsdatabasen är korrekt, exem- pelvis efter att Skatteverket mottagit en underrättelse om felaktig adress. Kontrollerna kan även vara initierade av Skatteverket.15
Folkbokföringen har tagit fram en kontrollinriktning där Skatte- verket inom givna förutsättningar utvecklar kontrollarbetet mot de områden där risken för fel och fusk är högst. I kontrollinriktningen ingår bl.a. att arbeta förebyggande i olika kommunikationskanaler för att sprida kunskap i samhället om vikten av att vara rätt folkbok- förd. De förebyggande åtgärderna riktas mot områden där risken för fel är hög eller kan innebära allvarlig skada för individ eller samhälle.16
Under 2022 har Skatteverkets hantering av inkomna underrättel- ser om felaktig folkbokföring förenklats med maskinella avslut och
14Skatteverkets årsredovisning 2022, s. 64 och 71.
15Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 17.
16Skatteverkets årsredovisning 2022, s. 69.
1018
SOU 2023:100 |
Dataanalyser och urval |
fördelningsregler utifrån bl.a. risk. Användning av AI som stöd för risk och urval har även utvecklats. Det totala folkbokföringsfelet har av Skatteverket skattats till cirka 200 000 individer eller 1,9 procent av Sveriges befolkning år 2020.17
Sedan den 1 maj 2023 har folkbokföringsverksamheten genom ändringar i bl.a. lagen (2001:182) om behandling av personuppgifter
iSkatteverkets folkbokföringsverksamhet, folkbokföringsdatabas- lagen (FdbL), fått utökade möjligheter att göra dataanalyser och ur- val för att förebygga, förhindra och upptäcka felaktiga uppgifter.
De uppgifter som registrerats i folkbokföringen bygger i stor ut- sträckning på den enskildes egna anmälningar och uppgifter.18 Det finns även möjligheter för Skatteverket att vidta egna utrednings- och kontrollåtgärder genom bestämmelser i bl.a. folkbokföringslagen.
Folkbokföringslagen
Enligt 1 § första stycket FOL innebär folkbokföring enligt den lagen fastställande av en persons bosättning samt registrering av de upp- gifter om personen som enligt folkbokföringsdatabaslagen får före- komma i folkbokföringsdatabasen. Särskilda regler om utredning och kontroll finns huvudsakligen i
Enligt 31 § får Skatteverket förelägga en person som kan antas vara skyldig att göra en anmälan enligt lagen, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som be- hövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt folk- bokföringslagen eller för kontroll eller komplettering av andra upp- gifter om en person som får föras in i folkbokföringsdatabasen enligt folkbokföringsdatabaslagen.
Skatteverket får också enligt 32 § förelägga en fastighetsägare eller innehavare av bostadslägenhet, som upplåter en bostad åt någon annan, att uppge till vem bostaden upplåts och om denne med fastighets- ägarens eller lägenhetsinnehavarens medgivande upplåter bostaden åt någon annan samt vilka personer som enligt fastighetsägarens eller lägenhetsinnehavarens kännedom bor i fastigheten respektive lägen-
17Skatteverkets årsredovisning 2022, s. 14.
18Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 18.
1019
Dataanalyser och urval |
SOU 2023:100 |
heten. Om någon inte följer ett sådant föreläggande kan Skatteverket besluta om ett nytt föreläggande förenat med vite (37 §). Vidare kan Skatteverket i vissa fall besluta om kontrollbesök för att kontrollera en persons bosättning, om det behövs för bedömningen av frågan om folkbokföring. Om det finns skäl för det får Skatteverket också besluta om kontrollbesök på en fastighet eller i en lägenhet för att kontrollera vilka som kan anses bosatta där (32 a och 32 b §§). Skatte- verkets kontrollbefogenheter i folkbokföringen är alltså som utgångs- punkt kopplade till handläggning av ärenden.
Tullverket
Allmänt om Tullverkets kontrollverksamhet
Den svenska kontroll som genomförs vid Sveriges gränser utförs av Tullverket, Polismyndigheten och Kustbevakningen. Tullverket an- svarar för kontrollen av varor, Polismyndigheten har huvudansvaret för kontrollen av personer och Kustbevakningen kontrollerar sjö- trafiken avseende såväl varor som personer. Tullverkets kontroll- befogenheter finns reglerade i ett flertal olika författningar och syftar i huvudsak till att kontrollera att lagstiftningen på de olika områdena följs.19
Inom ramen för Tullverkets ansvar för att övervaka och kontrol- lera trafiken till och från landet så att bestämmelser om in- och ut- försel av varor följs, samt för att fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas får Tullverket och tulltjänstemän utföra olika typer av kontroller. För att säkerställa en korrekt uppbörd arbetar Tullverket med tillståndsgivning, klarering och efterkontroll i enlighet med Europaparlamentet och rådets för- ordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (ombearbetning), härefter benämnd tullkod- exen, och övrig tullagstiftning. Efterkontroller genomförs i form av revisioner och eftergranskningar. Företag kan ansöka om olika tillstånd för att förenkla sin tullhantering, vilka prövas av Tullverket. Klarering är den tullhantering som görs när en vara förs in eller ut över EU:s gräns för att säkerställa att deklarations- och uppgiftsskyldigheten enligt tullagstiftningen följs. Vid klareringen beslutar Tullverket om bl.a. tull och andra avgifter och om en vara ska frigöras på den inre
19SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s.
1020
SOU 2023:100 |
Dataanalyser och urval |
marknaden. Under 2022 lämnades nästan 14 miljoner tulldeklaratio- ner till Tullverket. Mer än 94 procent klarerades automatiskt i dekla- rationssystemen.20 Med hjälp av spärrar i systemet väljs de deklara- tioner ut som behöver kontrolleras manuellt.
Tullverkets kontroller ska primärt vara baserade på underrättelse- och riskinformation. Det totala flödet av varor är mycket stort och därför prioriterar Tullverket sina kontroller utifrån riskbedömningar. I underrättelsearbetet inhämtas och analyseras information som lämnas vidare till kontrollverksamheten. Underlagen omfattar över- gripande inriktningar av kontroller och kontrollarbetet i stort samt underrättelser som är riktade mot specifika kontrollobjekt. Tull- verket arbetar datadrivet genom att analysera deklarationsdata för att identifiera mönster eller avvikelser främst för uppbördsbortfall. Tull- verket kan genom detta arbete identifiera möjliga fel i varuflödet som tidigare varit okända. Tullverket utför olika typer av kontroller för att säkerställa att deklarations- och anmälningsskyldigheten är upp- fylld, både ur ett restriktions- och ett uppbördsperspektiv, samt att ingenting otillåtet förs in i landet.21
Skattefelet är skillnaden mellan den uppbörd som fastställs av Tullverket och den uppbörd som skulle ha fastställts om alla upp- gifter hade redovisats korrekt i samband med införseln till Sverige. Skattefelet uppstår till följd av den handel som inte har deklarerats eller som har deklarerats felaktigt. Tullverkets uppbörd består av flera olika avgifter, främst tullmedel, mervärdesskatt och andra nationella skatter som exempelvis alkoholskatt och tobaksskatt. Det skattade tullfelet, alltså skillnaden mellan de fastställda och de teoretiskt rik- tiga beloppen tull, avseende mörkertal i deklarationer uppgick under år 2022 till 180 686 tkr.22
En central reglering i sammanhanget är tullkodexen som ger ramen för kontrollverksamheten vid den yttre gränsen, dvs. vid gränsen mot tredjeland. Vid den inre gränsen, dvs. vid Sveriges gräns mot en annan
20Tullverkets årsredovisning 2022, s. 12.
21Tullverkets årsredovisning 2022, s.
22Tullverkets årsredovisning 2022, s. 61 och 63.
1021
Dataanalyser och urval |
SOU 2023:100 |
heten, bl.a. tullagen och lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter.23
Tullkodexen
Tullkodexen innehåller de allmänna regler och förfaranden som ska tillämpas på varor som förs in i eller ut ur EU:s tullområde.24 Tull- kodexen är omfattande och utgör endast en del av det regelsystem som styr EU:s tullrätt.25 Vid införsel av varor i EU:s tullområde är huvudregeln att varorna ska deklareras. Alla varor som förs in i EU:s tullområde ska ha tullstatus som antingen unionsvaror eller icke- unionsvaror.26 Unionsvaror är varor som framställts i EU och varor som är i fri omsättning i unionen, vilket innebär att de får befordras utan tullformaliteter inom EU. En icke unionsvara är en vara som inte är en unionsvara. Alla varor som befinner sig i unionens tullområde ska antas ha tullstatus som unionsvaror, såvida det inte fastställs att de inte har tullstatus som unionsvaror (artikel 153.1). Varor som ska föras in i eller ut ur EU:s tullområde omfattas av tullövervakning och får underkastas tullkontroller. Varorna ska kvarstå under tullövervak- ning under den tid som krävs för att fastställa deras tullstatus. Icke- unionsvaror ska kvarstå under tullövervakning till dess att deras tull- status ändras eller de förs ut ur unionens tullområde eller förstörs. (artikel 134.1). I syfte att kontrollera riktigheten av uppgifterna i en godtagen tulldeklaration får tullmyndigheterna granska deklarationen och de styrkande handlingarna, begära att deklaranten lämnar andra handlingar, undersöka varorna och ta prover för analys eller för för- djupad undersökning av varorna (artikel 188). De resultat som tull- myndigheten får vid en kontroll av en tulldeklaration ska användas vid tillämpningen av bestämmelserna om det tullförfarande till vilket varorna hänförs (artikel 191.1). Resultatet av tullmyndigheternas kon- troll ska ha samma bevisvärde i hela unionens tullområde (arti-
23SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s. 263.
24Artikel 1 i tullkodexen.
25SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s. 264. Två ytterligare rättsakter som har antagits av
26SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s. 264.
1022
SOU 2023:100 |
Dataanalyser och urval |
kel 191.3). Om villkoren för att hänföra varorna till förfarandet i fråga är uppfyllda och förutsatt att eventuella restriktioner har till- lämpats och att varorna inte är föremål för några förbud, ska tull- myndigheterna frigöra varorna så snart uppgifterna i tulldeklaratio- nen har kontrollerats eller godtagits utan kontroll (artikel 194.1). Detsamma gäller om kontroll inte kan slutföras inom rimlig tid och varorna inte längre behöver vara tillgängliga för kontrolländamål. Vidare ska varor som ska föras ut ur EU:s tullområde omfattas av tullövervakning och får underkastas tullkontroller (artikel 267.1).
Varor som förs in i eller ut ur EU:s tullområde omfattas alltså av tullövervakning och får underkastas tullkontroller. Enligt artikel 46.1 får tullmyndigheterna genomföra alla tullkontroller som de anser nödvändiga. Tullkontrollerna kan enligt samma artikel särskilt bestå i att undersöka varor, utföra provtagning, kontrollera att de uppgif- ter som lämnas i en deklaration eller en anmälan är riktiga och full- ständiga, kontrollera att dokument finns och är äkta, riktiga och giltiga, granska ekonomiska aktörers räkenskaper och annan bok- föring eller undersöka transportmedel, bagage och andra varor som personer för med sig eller bär på sig samt utföra officiella undersök- ningar och andra liknande handlingar. Andra tullkontroller än slump- visa kontroller ska enligt artikel 46.2 främst baseras på riskanalys som görs med hjälp av elektronisk databehandlingsteknik i syfte att, på grundval av kriterier som utarbetats på nationell nivå, unionsnivå och, i förekommande fall, internationell nivå, identifiera och bedöma risker och utarbeta nödvändiga motåtgärder. Tullkontroller ska ut- föras inom en gemensam ram för riskhantering som grundar sig på utbyte av riskinformation och riskanalysresultat mellan tullförvalt- ningar och genom vilken det fastställs gemensamma riskkriterier och standarder, kontrollåtgärder och prioriterade kontrollområden (arti- kel 46.3). Riskhanteringen ska enligt artikel 46.4 innefatta aktiviteter som insamling av uppgifter och information, riskanalys och risk- bedömning, föreskrifter om och vidtagande av åtgärder samt regel- bunden övervakning och översyn av denna process och dess resultat, baserat på internationella och nationella källor och strategier, källor i unionen och unionsstrategier. Vidare ska tullmyndigheterna under vissa förutsättningar utbyta riskinformation och resultat av riskanalys (artikel 46.5). Tullkontroller får även genomföras efter det att varor har frigjorts (artikel 48).
1023
Dataanalyser och urval |
SOU 2023:100 |
ställa en enhetlig tillämpning av tullkontroller, inkluderande utbyte av resultaten av riskinformation och riskanalys.
Varje person som direkt eller indirekt är involverad i fullgörandet av tullformaliteter eller i tullkontroller ska, på tullmyndigheternas begäran och inom föreskriven tid, tillhandahålla dessa myndigheter alla nödvändiga dokument och uppgifter i lämplig form, och ge dem all nödvändig hjälp för att fullgöra dessa formaliteter eller kontroller (artikel 15.1).
Vidare ska medlemsstaterna samarbeta med kommissionen för att utveckla, underhålla och använda elektroniska system för utbyte av uppgifter mellan olika tullmyndigheter och med kommissionen och för lagring av sådan information i enlighet med kodexen (artikel 16.1).
Tullagen
Tullagen innehåller bestämmelser som kompletterar tullkodexen. I 3 kap. finns regler om tullövervakning och 4 kap. reglerar Tullverkets kontrollverksamhet. Med tullövervakning avses de allmänna åtgärder som vidtas av tullmyndigheterna i syfte att sörja för att främst tull- lagstiftningen följs (artikel 5.27 i tullkodexen). Några av de åtgärder som Tullverket får vidta är att förbjuda en förare av eller befälhavare på ett transportmedel som omfattas av tullövervakning att utan Tullverkets medgivande ankomma eller avgå med transportmedlet (3 kap. 5 och 17 §§) eller tillfälligt ta hand om en
Med tullkontroll avses de särskilda åtgärder som vidtas av tull- myndigheterna för att säkerställa efterlevnad av tullagstiftningen och annan lagstiftning om bl.a. införsel och utförsel av varor (artikel 5.3 i tullkodexen). I 4 kap. finns en rad bestämmelser som reglerar Tull- verkets tullkontroller. Tullverket får exempelvis begära att ett trans- portföretag som befordrar varor, passagerare eller fordon till eller från Sverige ska lämna de aktuella uppgifter om ankommande och avgå- ende transporter som företaget har tillgång till (4 kap. 6 § första stycket). För kontroll av att deklarations- och uppgiftsskyldighet enligt tullagstiftningen har fullgjorts får Tullverket bl.a. undersöka transportmedel, containrar, lådor och andra utrymmen där varor kan förvaras (4 kap. 16 §). Vidare finns i 4 kap.
1024
SOU 2023:100 |
Dataanalyser och urval |
företag. Tullverket får även förelägga den som är eller kan antas vara deklarations- eller uppgiftsskyldig enligt tullagstiftningen att lämna uppgift som verket behöver för kontroll av att deklarations- eller uppgiftsskyldigheten har fullgjorts (4 kap. 24 § första stycket). Före- läggande får också riktas mot den som bedriver verksamhet i vilken uppgift av betydelse för kontrollen av en annan persons deklara- tions- eller uppgiftsskyldighet enligt tullagstiftningen kan hämtas ur handlingar som rör verksamheten, att lämna uppgift om en rätts- handling med någon annan (4 kap. 25 §).
I fråga om revision får Tullverket enligt 4 kap. 26 § besluta om en sådan för att kontrollera att alla nödvändiga dokument och uppgifter har tillhandahållits enligt artikel 15.1 i tullkodexen och att dokumen- ten och uppgifterna är riktiga och fullständiga, och för att göra så- dana kontroller som avses i artikel 48 i tullkodexen (kontroll efter frigörande). Om den reviderade inte samverkar på ett sådant sätt att den inte onödigt hindrar verksamheten hos denne, kan Tullverket förena ett föreläggande med vite (4 kap. 29 §). Bestämmelserna i 4 kap. om föreläggande och revision och om uppgifter och handlingar som ska undantas för kontroll har utformats med SFL som förebild.27 Vidare finns i 4 kap. regler om bl.a. bevissäkring, uppgifter och hand- lingar som ska undantas från kontroll samt regler om tullkontroll av kontanta medel.
Inregränslagen
Regler om kontroll finns även i inregränslagen. Lagen innehåller be- stämmelser om Tullverkets befogenheter vid införsel eller utförsel över Sveriges gräns mot ett annat land inom Europeiska unionen
27Prop. 2015/16:79, En ny tullag, s. 185.
281 § inregränslagen.
1025
Dataanalyser och urval |
SOU 2023:100 |
avses sammanställningar av olika kriterier eller förhållanden och metoder som har noterats vid den brottslighet som har upptäckts.29 Inregränslagen är endast tillämplig på vissa uppräknade varor.30 I 5–
18§§ inregränslagen finns regler om Tullverkets kontrollverksamhet inom lagens tillämpningsområde. Regleringen innefattar bl.a. vad en tulltjänsteman får undersöka, när Tullverket får omhänderta en vara för att utföra en kontroll samt föreskriver en rätt för Tullverket att göra kontrollbesök och revisioner.
Lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter
LPK har sin grund i punktskattedirektivet31 och reglerar flyttning av punktskattepliktiga varor samt kontroll avseende punktskatteplik- tiga varor vid vägtransporter och vid försändelser med post. I LPK finns även bestämmelser om kontroll av upplagshavare inom upp- skovsförfarandet. Bestämmelserna har sin grund delvis i rådets direktiv (EU) 2020/262 av den 19 december 2019 om allmänna regler för punkt- skatt, i den ursprungliga lydelsen (1 kap. 1 §). Med punktskatte- pliktig vara avses tobaksvara, alkoholvara och energiprodukt (1 kap. 2 §). I 1 kap. 5 § andra stycket anges att kontroller enligt LPK inte får utformas på sådant sätt att urvalet av vad och vem som kontrol- leras sker slumpmässigt. Enligt 1 kap. 6 § får en punktskattepliktig vara flyttas endast om bl.a. de krav i fråga om elektroniskt admini- strativt dokument, administrativ referenskod, elektroniskt förenklat administrativt dokument, förenklad administrativ referenskod, ersätt- ningsdokument samt säkerhet och anmälningsskyldighet och regi- strering är uppfyllda. Om en vara som transporterats i strid med bestämmelsen har omhändertagits ska Tullverket i vissa fall besluta om skatt på varan (2 kap. 13 § och 3 kap. 5 §). En särskild avgift (trans- porttillägg) kan påföras den som gör sig skyldig till överträdelser av lagens administrativa bestämmelser (4 kap. 1 §).32
Tullverket får enligt 2 kap. 1 § i fråga om punktskattepliktiga varor i vägtransporter som är eller kan antas vara omfattade av 1 kap. 6 § kontrollera att varorna transporteras i enlighet med den bestämmel-
29Prop. 1995/96:166, Tullens befogenheter vid den inre gränsen, s.
303 § inregränslagen.
31Rådets direktiv (EU) 2020/262 av den 19 december 2019 om allmänna regler för punktskatt.
32Jfr SOU 2022:49, s.
1026
SOU 2023:100 |
Dataanalyser och urval |
sen (transportkontroll). Enligt 2 kap. 2 § har Tullverket vid kontrol- len bl.a. rätt att undersöka transportmedel, lådor, behållare eller andra utrymmen i transportmedel, containrar eller tankar där punktskatte- pliktiga varor kan förvaras under transport. Vid transportkontroll i lokal får även utrymmen i lokalen där punktskattepliktiga varor för- varas eller kan antas förvaras undersökas. Enligt 2 kap. 3 § får Tullverket vid genomförande av transportkontroll bl.a. öppna transportmedel, containrar och andra utrymmen som är låsta eller har tillslutits på annat sätt eller bereda sig tillträde till områden som inte är tillgäng- liga för allmänheten. Enligt 3 kap. 1 § får Tullverket undersöka post- försändelser, såsom paket och brev, för att kontrollera om de inne- håller alkohol- eller tobaksvaror.
Pågående lagstiftningsarbete
En särskild utredare har nyligen haft i uppdrag att genomföra en samlad översyn av reglerna om Tullverkets befogenheter inom kon- trollverksamheten och den brottsbekämpande verksamheten. Syftet har varit att skapa en överskådlig, ändamålsenlig och enhetlig regler- ing av Tullverkets befogenheter och därmed bättre förutsättningar för Tullverket att utföra sitt uppdrag på ett effektivt sätt. Utredningen har i september 2022 lämnat ett delbetänkande i vilket det bl.a. före- slås att en ny samlad lag, tullbefogenhetslagen, ska införas med be- stämmelser om vilka befogenheter som Tullverket och en tulltjänste- man har vid kontrollverksamhet och vid brottsbekämpning.33 Förslagen innebär att befogenhetsregleringen i ett flertal lagar, bl.a. tullagen och inregränslagen flyttas till den nya lagen.34
Kronofogdemyndigheten
Allmänt om Kronofogdemyndighetens kontroll
Kronofogdemyndigheten har ett flertal arbetsuppgifter. Myndigheten driver bl.a. in skulder genom utmätning av lön och andra ersättningar och genom utmätning av egendom. Under 2022 drev Kronofogde- nmyndigheten in 14,7 miljarder kr, varav drygt en miljard kronor i ett
33SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid.
34Betänkandets förslag har vid tiden för vårt betänkande remissbehandlats.
1027
Dataanalyser och urval |
SOU 2023:100 |
enskilt indrivningsärende. Av det indrivna beloppet avsåg hälften skulder till staten och offentlig sektor. Vid utgången av 2022 fortsatte privatpersoners (394 000. Den totala skulden hos myndigheten var vid samma tid 173 miljarder kr. Inom den summariska processen ökade antalet ansökningar om betalningsföreläggande, vilka uppgick till 1,3 miljoner.35
Kronofogdemyndigheten har under 2022 genomfört utvecklings- insatser för att bl.a. öka den interna effektiviteten. Det har handlat om att förenkla och automatisera arbetet med tillgångsutredningar samt ersätta ett systemstöd för försäljning av fast egendom i syfte att underlätta handläggningen. Även ett nytt verksamhetsstöd för skuldsanering har påbörjats i syfte att effektivisera handläggningen av skuldsaneringsärenden, vilka under 2022 uppgick till 28 000 in- komna ärenden.36
Kronofogdemyndighetens möjligheter att bedriva effektiva pro- cesser och utföra kontroller är viktiga för att förebygga och mot- verka ekonomisk brottslighet. Under 2022 resulterade myndighetens arbete för att upptäcka felaktigheter bl.a. i en bedömning av att 761 an- sökningar om betalningsföreläggande saknade grund. Dessa mot- svarade ett kapitalvärde om 27,4 miljoner kr. Under samma år avslog myndigheten också ansökningar om skuldsanering med koppling till organiserad brottslighet.37
Materiell reglering av Kronofogdemyndighetens huvudsakliga verksamhetsområden summarisk process, verkställighet, konkurs- tillsyn och skuldsanering finns i ett flertal olika författningar. Den materiella regleringen tar sin huvudsakliga utgångspunkt i handlägg- ningen av sådana enskilda ärenden eller mål och innefattar bestäm- melser om utrednings- och kontrollbefogenheter.
Utsökningsbalken
Inom området verkställighet finns ett flertal författningar med mate- riella regler som Kronofogdemyndigheten har att tillämpa.38 Den huvudsakliga regleringen finns i utsökningsbalken. Utsökningsbalken
35Kronofogdemyndighetens årsredovisning 2022, s. 9, 20 och
36Kronofogdemyndighetens årsredovisning 2022, s. 32, 35 och 37.
37Kronofogdemyndighetens årsredovisning 2022, s. 44.
38Se t.ex. utsökningsbalken, lag (1993:891) om indrivning av statliga fordringar m.m., lag (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter samt lag (2014:836) om näringsförbud.
1028
SOU 2023:100 |
Dataanalyser och urval |
är tillämplig i fråga om verkställighet av dom eller annan exekutions- titel, som innefattar betalningsskyldighet eller annan förpliktelse, samt i fråga om verkställighet av beslut om kvarstad eller annan lik- nande säkerhetsåtgärd.
Verkställighet åvilar Kronofogdemyndigheten. Ansökningar om verkställighet ska göras skriftligen eller muntligen hos Kronofogde- myndigheten. Om en ansökan är så bristfällig att den inte kan läggas till grund för prövning i sak och om sökanden inte följer ett före- läggande att avhjälpa bristen, ska ansökan avvisas.
Skulder drivs in av myndigheten genom utmätning av lön och andra ersättningar, samt genom utmätning av egendom. Kronofogdemyn- digheten har möjlighet att hålla förhör med svaranden, om det be- hövs. Även sökanden kan kallas till sådant förhör och förhör kan också hållas med tredje man. Myndigheten kan förelägga om inställelse till förhör vid vite. Myndigheten får även använda vissa tvångsmedel, t.ex. genomsöka hus, rum eller förvaringsställe vid förrättning.
Vid utmätning ska Kronofogdemyndigheten i den utsträckning som det behövs med hänsyn till ansökans innehåll, tillkommande upp- gifter, gäldenärens förhållanden och omständigheterna i övrigt utreda gäldenärens anställnings- och inkomstförhållanden och undersöka om gäldenären har utmätningsbar egendom. Kronofogdemyndigheten får vidta de utredningsåtgärder som är befogade. Myndigheten kan bl.a. ålägga gäldenären att inge förteckning över sina tillgångar eller bestämma inom vilken tid tredje man ska lämna vissa upplysningar.39
Vidare finns i utsökningsbalken ett stort antal detaljerade bestäm- melser om förfarandet vid bl.a. utmätning av lön och andra ersätt- ningar samt försäljning av lös eller fast egendom.
Lagen om betalningsföreläggande och handräckning
Inom summarisk process prövar Kronofogdemyndigheten yrkanden om att någon ska åläggas att fullgöras en förpliktelse enligt lagen om betalningsföreläggande och handräckning. Sådana yrkanden kan avse betalningsföreläggande, vanlig handräckning eller särskild handräck- ning.40 Om en ansökan är så bristfällig att den inte kan läggas till grund för handläggning av målet, ska Kronofogdemyndigheten före-
391 kap. 1 och 3 §§, 2 kap. 1, 5, 10, 11 och 17 §§, 4 kap. 9 §, 4 kap. 14 § andra stycket samt
4kap. 15 § UB.
401 § BfL.
1029
Dataanalyser och urval |
SOU 2023:100 |
lägga sökanden att avhjälpa bristen.41 Om ansökningen tas upp av Kronofogdemyndigheten, ska svaranden föreläggas att till myndig- heten yttra sig inom viss tid.42 För det fall en ansökan om betalnings- föreläggande eller vanlig handräckning inte bestrids, ska Kronofogde- myndigheten snarast meddela utslag i enlighet med ansökningen.43 Ett utslag meddelas alltså i dessa fall närmast automatiskt utan några ytterligare kontroller från myndighetens sida, om övriga förutsätt- ningar är uppfyllda. När det gäller särskild handräckning ska Krono- fogdemyndigheten meddela utslag om ansökan inte bestritts i den ut- sträckning den är lagligen grundad och de omständigheter som ska läggas till grund för prövningen utgör skäl för att bevilja åtgärden.44
Skuldsaneringslagen
Bestämmelser om skuldsanering finns i skuldsaneringslagen. Enligt 1 § skuldsaneringslagen innebär skuldsanering att en gäldenär helt eller delvis befrias från ansvar för betalningen av de skulder som om- fattas av skuldsaneringen.
Det är Kronofogdemyndigheten som prövar ärenden om skuld- sanering och ärenden om omprövning av ett beslut om skuldsaner- ing.45 Kronofogdemyndigheten ska även lämna upplysningar om skuld- sanering till svårt skuldsatta fysiska personer som är eller har varit föremål för verkställighet enligt utsökningsbalken.46 Om en ansökan om skuldsanering är bristfällig kan Kronofogdemyndigheten före- lägga gäldenären att avhjälpa bristen. Myndigheten ska också i den utsträckning det behövs kontrollera i sina register att uppgifterna i ansökan är korrekta och inhämta upplysningar från andra myndig- heter om gäldenärens personliga och ekonomiska förhållanden.47 Om myndigheten har beslutat att inleda skuldsanering ska myndigheten se till att ärendet blir så utrett som dess beskaffenhet kräver.48
4120 § BfL.
4225 § BfL.
4342 § BfL.
4443 § BfL.
454 § skuldsaneringslagen.
462 § skuldsaneringslagen.
4713 och 15 §§ skuldsaneringslagen.
4820 § skuldsaneringslagen.
1030
SOU 2023:100 |
Dataanalyser och urval |
Några övriga författningar
Regler av relevans för tillsyn i konkurs och över rekonstruktörer finns bl.a. i konkurslagen, lagen (1996:764) om företagsrekonstruktion samt i lönegarantilagen (1992:497). Vidare finns regler om Kronofogde- myndighetens tillsyn över meddelade näringsförbud i lagen (2014:836) om näringsförbud, vilket också är en verksamhet som innehåller inslag av kontroll.
14.2.4Gränsdragningen mellan kontrollverksamhet och brottsbekämpning
Den kontrollverksamhet vi redogör för i detta sammanhang avser uteslutande sådan kontrollverksamhet som inte utgör brottsbekäm- pande verksamhet.49 Vid sidan av Skatteverkets skatte- och avgifts- kontroll och Tullverkets kontrollverksamhet är dessa myndigheter också behöriga myndigheter inom ramen för dataskyddsdirektivet50 och brottsdatalagen (2018:1177).51 Skatteverkets och Tullverkets verksamheter som inte utgör brottsbekämpande verksamhet omfat- tas av EU:s dataskyddsförordning och lagen (2018:218) med kom- pletterande bestämmelser till EU:s dataskyddsförordning, dataskydds- lagen.
Gränsdragningen mellan kontrollverksamhet och brottsbekämp- ning är även av materiell betydelse eftersom enskildas skyldighet att medverka skiljer sig mycket åt beroende på om det är fråga om kon- trollverksamhet eller brottsutredning. Vid kontrollverksamhet kan myndigheterna tvinga enskilda att t.ex. lämna korrekta och fullstän- diga uppgifter, att lämna över handlingar eller att bereda kontrollan- ten tillträde till olika utrymmen såsom fordon eller lokaler. När myndigheterna arbetar med brottsbekämpning får den som är miss- tänkt för brott aldrig tvingas att bidra till utredningen eller till bevis- ning. Detta eftersom han eller hon därmed riskerar att belasta sig
49Enligt utredningens direktiv ligger det inte inom ramen för vårt uppdrag att analysera be- hovet av ändringar i de registerförfattningar som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter. Samma avgränsning gäller för vårt uppdrag att se över förut- sättningarna för myndigheterna att göra dataanalyser och urval för en effektivare kontroll- verksamhet.
50Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fys- iska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.
51Jfr SOU 2017:29, Brottsdatalag, s. 198.
1031
Dataanalyser och urval |
SOU 2023:100 |
själv på ett sätt som strider mot rätten till en rättvis rättegång enligt artikel 6.1 i Europakonventionen.52
Det är inte alltid enkelt att dra en tydlig gräns mellan Skatteverkets och Tullverkets kontrollverksamhet respektive brottsbekämpande verksamhet. När Tullverket exempelvis utför tullkontroller för att klarera varor och transportmedel kan det leda till ett beslut om att genomföra en fysisk kontroll, som i sin tur kan leda till att misstanke om brott uppstår.
Kontrollverksamhet kan alltså i sig leda till att brott upptäcks eller förhindras. Det gäller för både Skatteverkets och Tullverkets kon- trollverksamhet. Ett grundläggande krav för att brottsdatalagen ska vara tillämplig är att den som behandlar personuppgifterna är en be- hörig myndighet och i egenskap av behörig myndighet behandlar per- sonuppgifter för något av de i lagen angivna syftena.53 Sådan kontroll som här avses utförs dock inte av myndigheterna i brottsbekämpande syfte, även om sådan kontrollverksamhet kan anses ha brottsförebyg- gande inslag i vissa delar och att myndigheternas verksamhet kan ha effekter på brottsligheten.54 Verksamheten avser i stället att i första hand stödja författningsenlig tillämpning av lagstiftningen och att upptäcka olika avvikelser. All offentligrättslig kontrollverksamhet bör därför inte ses som ett sätt att direkt förebygga brott. Det är först när det i kontrollverksamhet finns anledning att anta att ett konkret brott har begåtts eller att någon utövar viss brottslig verksamhet som verksamheten övergår till att bli brottsbekämpande.55 I de fall en myn- dighet är skyldig att anmäla om det uppstått misstanke om brott, medför det inte att anmälaren ska betraktas som behörig myndighet i brottsdatalagens mening, om anmälaren varken har ett brottsbekäm- pande uppdrag eller utövar myndighet för de syften som brottsdata- lagen omfattar.56 Av förarbetena till brottsdatalagen framgår vidare att kontrollverksamhet ligger utanför dess tillämpningsområde.57
Mot bakgrund av detta ska den behandling av personuppgifter som föranleds av Skatteverkets och Tullverkets kontrollverksamhet i det sammanhang som här är aktuellt enligt vår bedömning ske i enlighet med bestämmelserna i EU:s dataskyddsförordning, dataskyddslagen
52SOU 2017:29, Brottsdatalag, s. 198.
53Jfr 1 kap. 6 § brottsdatalagen. Se även prop. 2017/18:232, Brottsdatalag, s.
54Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 113.
55SOU 2017:29, Brottsdatalag, s.
56Prop. 2017/18:232, Brottsdatalag, s. 111.
57Prop. 2017/18:232, Brottsdatalag, s. 113.
1032
SOU 2023:100 |
Dataanalyser och urval |
och de sektorspecifika författningarna om dataskydd. Den aktuella personuppgiftsbehandlingen kommer därmed inte medföra att data- skyddsdirektivet, brottsdatalagen eller de sektorspecifika register- författningarna på brottsdatalagens område blir tillämpliga.
14.2.5Behovet av en effektiv kontrollverksamhet
Förekomsten av felaktigheter i myndigheternas verksamheter kan leda till olika konsekvenser för samhället. Skatteundandraganden leder till att skatten blir lägre vilket gör att den som medvetet undandrar medel från beskattning får en högre disponibel inkomst. Det innebär också att samhället går miste om skattemedel, vilket får negativa effekter på de offentliga finanserna. Det leder i sin tur till en svagare utveckling av statens och kommunernas inkomster. Minskade skatte- intäkter drabbar i slutänden de skattebetalande medborgarna efter- som de antingen får betala mer i skatt för att kompensera uteblivna skatteinkomster eller får en sämre välfärd. I förlängningen kan skatte- undandraganden leda till ett minskat förtroende för och tillit till skattesystemet och välfärdsstaten. Det kan också försämra seriösa företags konkurrenskraft i förhållande till de företag som undandrar skatt.58 Skatteverket har vidare i en rapport konstaterat att det finns stark empirisk evidens för att skattekontroll i sig samt högre sanno- likhet för att bli kontrollerad leder till bättre regelefterlevnad.59
Att uppgifterna i folkbokföringen speglar befolkningens bosätt- ning, identitet och familjerättsliga förhållanden är bl.a. en förutsätt- ning för Skatteverkets fastställande av skatter och även för att andra samhällsfunktioner ska ha ett korrekt underlag för beslut och åtgär- der. Uppgifter i folkbokföringen ligger till grund för bl.a. ersättningar och bidrag men även för samhällsplanering och forskning. Om upp- gifter i folkbokföringen är felaktiga kan det riskera att exempelvis leda till att befolkningsstatistiken för vissa geografiska områden blir missvisande eller att bidragsutbetalningar och beskattning sker på fel grunder.60
58SOU 2017:37, Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s.
59Skatteverket, Rapport
60Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 18.
1033
Dataanalyser och urval |
SOU 2023:100 |
En effektiv kontrollverksamhet inom Tullverket innebär att mer uppbörd kan tas in till de offentliga finanserna, att konkurrensen mellan företag blir mer rättvis, ett ökat skydd för skyddsvärda växter, djur och kulturföremål, säkrare konsumentprodukter och att farliga varor hindras från att spridas på EU:s inre marknad. Det innebär även att laglig och korrekt in- och utförsel i mindre utsträckning störs av onödiga kontroller. I ett större perspektiv kan det stärka allmän- hetens förtroende för myndigheten och i förlängningen tilltron till rättsstaten som helhet.
Kronofogdemyndigheten har en viktig roll att se till att välfärds- staten inte utnyttjas som verktyg av personer och företag för att tillskansa sig medel på felaktiga grunder. Kronofogdemyndigheten har konstaterat att myndigheten används i brottslig verksamhet för att fastställa, driva in och sanera oriktiga fordringar. Inom verksam- heten med betalningsföreläggande förekommer falska ansökningar och ansökningar som grundar sig på brott. Felaktigt fastställda ford- ringar riskerar att senare hamna för verkställighet av gäldenären. Då finns det små möjligheter att invända mot ett lagakraftvunnet utslag. Vidare kan falska skulder föras fram i ett ärende om skuldsanering och senare omfattas av ett beslut om skuldsanering.
Sammanfattningsvis är det enligt vår uppfattning viktigt att be- rörda myndigheter ges adekvata och nödvändiga förutsättningar att motverka felaktigheter i respektive verksamhet, inte minst för att upprätthålla legitimiteten och förtroendet för myndigheternas skatte- finansierade verksamhet.
14.3Vad är dataanalyser och urval?
14.3.1En övergripande beskrivning
I likhet med Utredningen om samordning av statliga utbetalningar från välfärdssystemen väljer vi att använda begreppet dataanalyser i betydelsen att använda digitala verktyg och tekniker för att analysera stora mängder data. Dataanalyser kan bl.a. användas för att upptäcka avvikelser, mönster, samband och andra riskindikatorer.61
Urval avser processen genom vilken urvalsträffar tas fram. För att få fram en urvalsträff används urvalsmodeller som har utformats ut-
61SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp- täcka felaktiga utbetalningar från välfärdssystemen, s. 110.
1034
SOU 2023:100 |
Dataanalyser och urval |
ifrån avvikelser, mönster, samband och andra indikatorer som har iden- tifierats med hjälp av dataanalyser. Med andra ord kan urvalsmodeller tillämpas på data som tillgängliggjorts för ett visst ändamål för att upp- täcka exempelvis uppgifter som det kan finnas anledning att anta är felaktiga, dvs. urvalsträffar.62 Sedan granskas och utvärderas urvals- träffarna för att avgöra vilka som bör kontrolleras närmare samt vilka övriga åtgärder som bör vidtas innan ett eventuellt ärende inleds.
Dagens tekniska verktyg ger myndigheter en möjlighet att an- vända dataanalyser på ett mer avancerat sätt än vad som var möjligt vid ikraftträdandet av Skatteverkets, Tullverkets och Kronofogde- myndighetens nu gällande registerförfattningar. Vid myndigheter är det ofta dataanalytiker som arbetar med att genomföra dataanalyser och utveckla urvalsmodeller som sedan kan användas i en verksamhet. Dataanalytiker kan arbeta med olika metoder som inbegriper arti- ficiell intelligens (AI), men så behöver inte nödvändigtvis vara fallet.
14.3.2Något om AI och maskininlärning
För att genomföra dataanalyser och utveckla urvalsmodeller kan myndigheterna använda sig av artificiell intelligens (AI). Det är tro- ligt att sådana tekniker kommer att bli alltmer intressanta för myn- digheter att använda i olika delar av deras verksamheter ju mer sådana verktyg utvecklas. AI är en teknik som är under snabb utveckling och den kan användas på en mängd olika sätt inom olika delar av sam- hället. Genom tekniken kan stora effektivitetsvinster uppnås, sam- tidigt som den också kan ge upphov till olika risker. Myndigheten för digital förvaltning, DIGG, har uppskattat att det ekonomiska värdet av ett fullständigt införande av nuvarande
Det finns ingen enhetlig definition av AI. Europeiska kommis- sionen har definierat AI som att det avser system som uppvisar intelligent beteende genom att analysera sin miljö och vidta åtgärder
62SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp- täcka felaktiga utbetalningar från välfärdssystemen, s. 110.
63Myndigheten för digital förvaltning (DIGG), Främja den offentliga förvaltningens förmåga att använda AI, delrapport i regeringsuppdraget I2019/01416/DF och I2019/01020/DF (del- vis), s. 9.
1035
Dataanalyser och urval |
SOU 2023:100 |
–med viss grad av självständighet – för att uppnå specifika mål.64 I kommissionens förslag till en ny
Det som utmärker AI från andra metoder för automation är AI- teknikens förmåga att lära sig och bli smartare över tid.66 Inom AI finns flera olika delområden. Hit hör bl.a. maskininlärning, där logi- ken inte längre är exakt programmerad på förhand, utan tränas på stora datamängder med syfte att själv förstå samband mellan data- punkter. Ju mer processorkraften ökar, desto mer komplexa tillämp- ningar kan göras med AI.67
Ett moment som tillkommer med maskininlärda algoritmer är att den behöver tränas under en viss period innan den tas i drift. Det finns inget motsvarande moment vid programmering av traditionella algoritmer. När AI och maskininlärda algoritmer tränas hanteras olika former av indata i en stor mängd och det kan ske i olika lager. Om- rådet för system som hanterar många olika lager av indata och som med hjälp av maskininlärning uppdaterar sina algoritmer kallas djup- inlärning. Systemen i sig kallas neurala nätverk.68 Djupinlärning är en form av maskininlärning.69
När en maskininlärd algoritm tränas krävs att den har tillgång till stora mängder data för att den ska kunna förbättra sig själv. Mäng- den data som används vid träningen av en modell kan i sig vara en nödvändig faktor för att kunna garantera rättssäkra förfaranden. Av rättssäkerhetsskäl krävs även att träningen har ägt rum med just den typ av data som sedan ska användas i skarpa fall. Om så inte görs ökar
64European Commission, A definition of AI: main capabilities and disciplines, Independent High- level Expert Group on Artificial Intelligence set up by the European Commission in June 2018.
65Artikel 3.1 i förslag till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unionslag- stiftningsakter, COM(2021) 206 final.
66Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 4. Informationsmaterial, N2018.14.
67SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 149.
68SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s.
69Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 6.
1036
SOU 2023:100 |
Dataanalyser och urval |
risken för fel och rättsosäkerhet om dataunderlaget varit bristfälligt under
14.3.3Skatteverkets, Tullverkets och Kronofogdemyndighetens arbete med dataanalyser och urval i dag
Skatteverkets beskattningsverksamhet
En grundläggande del i Skatteverkets uppdrag är att säkerställa en korrekt uppbörd. En del i det uppdraget är att myndigheten ska genom- föra olika typer av kontroller. Riskhantering fungerar då som en metod för att säkerställa att Skatteverket riktar sina resurser dit de behövs som mest. I dag arbetar Skatteverket brett med riskhantering i verk- samheten enligt en särskild riskhanteringsmodell.74 Urvalsarbetet är en del av riskhanteringsarbetet och handlar om att planlägga ärenden för kontroll eller andra åtgärder. Urvalsarbetet inleds med ett iden- tifierat behov av urval och avslutas när en urvalsträff skickas till pro- cessen för ärendehantering.
När t.ex. en deklaration avseende inkomstskatt, arbetsgivardeklara- tion, ansökan om godkännande för
70SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 212.
71Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 10. Informationsmaterial, N2018.14.
72Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 11.
73Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 11. Informationsmaterial, N2018.14.
74Riskmodellen utgår från parametrarna identifiera, analysera, värdera och prioritera, utföra samt utvärdera.
1037
Dataanalyser och urval |
SOU 2023:100 |
medför att komplettering krävs eller om mer utredning behöver före- tas. Inom detta arbete är dataanalyser och urval verktyg som Skatte- verket använder för att effektivisera kontrollverksamheten. Exem- pelvis gör myndigheten maskinella urval som bygger på riskanalyser för att välja ut deklarationer för vidare kontroll. Riskerna kan bl.a. identifieras utifrån myndighetens tidigare erfarenheter eller från om- världsanalyser. Urvalet kan ske både innan och efter handläggningen av ett visst ärende. Ytterligare områden där Skatteverket använder dataanalyser och urval i dag är bl.a. yrkanden om rot- och rutavdrag och internprissättning. I dag arbetar myndigheten ofta på ett sätt som innebär att urval görs när det skett en viss händelse i ett ärende- flöde, t.ex. genom att en ansökan om godkännande för
Skatteverket använder olika typer av modeller för urval. Det kan handla om manuella modeller eller modeller som är baserade på AI- metoder, såsom maskininlärning. Skatteverkets ambition är att öka användningen av AI inom urvalsarbetet, som i nuläget till stor del bygger på erfarenhetsdrivna urvalsmodeller.
Urvalsmodeller kan tillämpas både vid handläggningen av ärenden eller vid kontroll i efterhand. I det förstnämnda fallet tillämpas model- lerna ärende för ärende. Skatteverket har uppgett att urvalsmodellerna tillämpas mer sällan för att göra kontroller i efterhand eftersom det är bättre att upptäcka fel inför beslut och eventuella utbetalningar. Analyser och urval utgör enligt myndigheten kärnan i kontrollverksam- heten för att på ett resurseffektivt sätt kunna identifiera kontroll- objekt bland den stora mängd ärenden som hanteras.
Skatteverkets folkbokföringsverksamhet
I folkbokföringsverksamheten arbetar Skatteverket för närvarande med att uppdatera riskanalyser och implementera den riskhanterings- modell som redan används inom beskattningsverksamheten. Arbetet med analyser och urval har inte kommit lika långt inom folkbokför- ingsverksamheten som beskattningsverksamheten. En del i detta är att arbetet med folkbokföringen har varit mer av registrerande karak- tär, och det är först på senare tid som de vidare samhällskonsekven- serna av en felaktig folkbokföring har börjat diskuteras.
1038
SOU 2023:100 |
Dataanalyser och urval |
I dagsläget försöker Skatteverket bedöma risken för felaktigheter om uppgifter i ett nytt ärende skulle registreras. Detta görs för att identifiera vilka ärenden som behöver utredas närmare. Riskanalyser sker även för efterhandskontroller, ofta baserat på underrättelser från enskilda och andra myndigheter. De parametrar som används för att identifiera vilka ärenden där det finns högst risk för fel tas fram manu- ellt, dvs. inte genom maskinella dataanalyser, baserat på myndighetens erfarenheter.
Skatteverkets folkbokföringsverksamhet har den 1 maj 2023 fått utökade möjligheter att göra dataanalyser och urval genom en ny reglering i folkbokföringsdatabaslagen och förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet, folkbokföringsdatabasförordningen (FdbF). Syftet med den nya regleringen är att ge Skatteverket bättre möjligheter att minska fel i folkbokföringsverksamheten.75 Den nya regleringen innebär att folkbokföringsdatabaslagen har kompletterats med en ny ändamåls- bestämmelse som innebär att uppgifter får behandlas för att tillhanda- hålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokför- ingsverksamheten.76 Det har även införts bestämmelser om att det i folkbokföringsverksamheten ska finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § angivna ändamålen (analys- och ur- valsdatabas).77 I analys- och urvalsdatabasen får vissa angivna upp- gifter behandlas om vissa personkretsar.78 Det rör sig framför allt om uppgifter som i dag får finnas i folkbokföringsdatabasen. Regeringen har även föreskrivit i folkbokföringsdatabasförordningen att i data- basen får sådana uppgifter behandlas som ska lämnas av andra myn- digheter till Skatteverket för kontroll av uppgifter i folkbokförings- verksamheten. Uppgifter om fastigheter, byggnader, lagfarter och tomträtter får också behandlas.79 Vidare finns i lagen vissa särskilda bestämmelser om sökbegrepp, krav på dokumentation och längsta tid för behandling.80 I förordningen finns en bestämmelse som anger
75Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok- föringsverksamheten, s. 1.
761 kap. 4 a § FdbL.
772 a kap. 1 § FdbL.
782 a kap.
795 c § FdbF.
80
1039
Dataanalyser och urval |
SOU 2023:100 |
att Skatteverket ska ha rutiner för utformningen av urvalsmodeller och användandet av sökbegrepp i analys- och urvalsdatabasen.81
Tullverket
Tullverket har till följd av sitt uppdrag omfattande kontrollverksam- het som innefattar utförande av riskanalyser för att välja ut exempelvis vilka transporter av varor som särskilt bör kontrolleras. Det görs också för att granska tulldeklarationer i efterhand för att säkerställa en riktig uppbörd, vilket t.ex. kan leda till att revisioner inleds. För att möjliggöra urval till riskbaserade kontroller gör myndigheten analy- ser av olika slag. En sådan typ av analys är mer övergripande analyser där olika data bearbetas för att exempelvis upptäcka trender som tull- kontrollerna kan inriktas på. Utifrån resultaten av analyserna och nationella och
Den data som bearbetas kan exempelvis bestå av samtliga upp- gifter som lämnas av ekonomiska aktörer enligt tullkodexen med kompletterande lagstiftning, underrättelseinformation eller tips från ekonomiska aktörer eller andra tullmyndigheter. Myndigheten har i dag ett särskilt verksamhetsstöd för att underlätta utförandet av analys- och urvalsverksamheten. Till verksamhetssystemet görs en selektiv överföring av olika data till en separat lagringsyta för att möj- liggöra analyser skilt från de skarpa verksamhetssystemen. Data från den brottsbekämpande verksamheten hålls logiskt separerad från data inom den övriga tullverksamheten. Samma tjänstemän kan dock arbeta med analyser och urval vad gäller såväl illegala och farliga varor som uppbörd och restriktioner.
815 b § FdbF.
82En spärr innebär att myndigheten inom sina system lägger in olika parametrar som när de är uppfyllda innebär att de deklarationer som uppfyller parametrarna hindras från att klareras. En riskprofil fungerar på motsvarande sätt, men används inom området säkerhet och skydd.
1040
SOU 2023:100 |
Dataanalyser och urval |
De urval som Tullverket i dag gör är regelbaserade, dvs. det finns tydliga kriterier för urvalen som går att uttrycka. Myndigheten an- vänder sig inte i så stor utsträckning av prediktiva analyser83 i dag, men avser att arbeta mer med sådana analysmetoder i framtiden.
Exempel på analyser som myndigheten utför är mönsteranalyser. Syftet med dessa är att identifiera vissa företeelser. Det kan röra sig om fysiska eller juridiska personer som kan misstänkas för felaktig- heter inom områdena uppbörd och restriktioner, organiserad brotts- lighet eller annan kriminalitet och lagöverträdelser, varusändningar (tulldeklarationer) innehållande felaktigheter som kan leda till upp- bördsbortfall eller restriktionsbrott samt varusändningar som inte har blivit tullbehandlade.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att myndigheten för närvarande har begränsade tekniska verktyg för att genomföra dataanalyser i verk- samheten, men att det finns en ambition om att utveckla dessa. I dag arbetar myndigheten med manuell hantering för att t.ex. upptäcka otillbörliga eller brottsliga ansökningar om betalningsförelägganden. Detsamma gäller arbetet för att upptäcka felaktiga beslut om löne- garanti inom konkurstillsynen.
Analysverktyg används inom Kronofogdemyndighetens arbete med att motverka överskuldsättning. Det handlar om att ta fram sam- manställningar för att t.ex. göra skuldanalyser över kön och ålder. Myndigheten gör också vissa prediktiva analyser i syfte att förutse eller bedöma sannolikheten för vissa skeenden baserat på den data som myndigheten har tillgång till.
Ett exempel på analysarbete som bedrivs vid Kronofogdemyndig- heten är att ta fram en prediktionsmodell över återkommande gälde- närer. Myndigheten kan genom användning av sådana verktyg bli mer effektiv i sitt arbete med att motverka överskuldsättning genom t.ex. särskilda och riktade informationsinsatser.
Kronofogdemyndigheten har även utforskat förutsättningarna för att använda s.k. nätverksanalyser inom verksamheten med verkstäl- lighet. Genom sådana analyser skulle myndigheten kunna identifiera fler utmätningsbara tillgångar hos dem som kan men inte vill betala.
83Vid prediktiva analyser används data och algoritmer för att förutse vad som sannolikt kom- mer att hända, se vidare avsnitt 14.6.2.
1041
Dataanalyser och urval |
SOU 2023:100 |
14.3.4Dataanalyser och urval i andra sammanhang
Försäkringskassan
Försäkringskassan har i en promemoria från 2018 beskrivit hur myn- dighetens kontrollarbete ser ut. I promemorian anges att Försäkrings- kassan under de senaste åren har utvecklat s.k. urvalsprofiler inom flera förmåner. Dessa bygger på dataanalyser av mönster och samband i hur förmånerna används. Urvalsprofilerna används i stor utsträck- ning för att styra handläggningen, t.ex. för att prioritera ärenden för uppföljning och förnyad utredning. Urvalsprofiler kan även användas för att identifiera ärenden med hög risk för felaktigheter, som väljs ut för ytterligare kontroll innan eller efter utbetalning. Riskbaserad urvalsprofilering har framför allt använts av Försäkringskassan för att välja ut ärenden för kontroll efter utbetalning, men
Försäkringskassan ska enligt myndighetens instruktion bl.a. säker- ställa att felaktiga utbetalningar inte görs och motverka bidragsbrott.85 Bestämmelser om myndighetens personuppgiftsbehandling finns i 114 kap. socialförsäkringsbalken (SFB).86 I regleringen av ändamål finns ingen särskild bestämmelse som omfattar analys- och kontroll- verksamhet.87 I 114 kap. 10 § SFB finns emellertid en bestämmelse som ger uttryck för finalitetsprincipen.
Centrala studiestödsnämnden
Den 1 juli 2020 trädde vissa nya bestämmelser i studiestödsdatalagen (2009:287) i kraft. Regeringen gjorde i förarbetena bedömningen att testverksamhet generellt sett är en sådan administrativ åtgärd som krävs för att Centrala studiestödsnämnden, CSN, ska kunna utföra studiestödsverksamheten. Det ansågs därför inte krävas något ytter-
84Försäkringskassan, Försäkringskassans kontrollarbete – kartläggning och förslag på fortsatt arbete, PM 2018:3, s. 31.
852 § 3 förordningen (2009:1174) med instruktion för Försäkringskassan.
86För närvarande pågår ett lagstiftningsarbete avseende en översyn av dataskyddsregleringen för Försäkringskassan och Pensionsmyndigheten. Förslag har lämnats av regeringen i prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet. Lagändringarna före- slås träda i kraft den 15 februari 2024.
87Se 114 kap. 7 § SFB.
1042
SOU 2023:100 |
Dataanalyser och urval |
ligare författningsstöd, utöver myndighetens materiella verksamhets- reglering, i form av t.ex. en ny ändamålsbestämmelse för att CSN ska kunna behandla personuppgifter för att testa nya system.88
Vidare bedömde regeringen att finalitetsprincipen skulle utgöra den yttersta ramen för behandling av personuppgifter i studiestöds- verksamheten. Mot denna bakgrund infördes en bestämmelse som anger att personuppgifter som behandlas enligt ändamålsbestämmel- serna i lagen får behandlas även för andra ändamål, under förutsätt- ning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (4 a §). Ett syfte med detta var att ge CSN möjlighet att kunna använda personuppgifter för att ta fram s.k. prediktiva analyser för att motverka felaktiga ut- betalningar.89
Utbetalningsmyndigheten
Den nya Utbetalningsmyndigheten ska inleda sin verksamhet den 1 januari 2024. Myndigheten ska förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Som ett led i detta ska myndigheten bl.a. göra dataanalyser och urval (1 och 2 §§ förord- ningen [2023:461] med instruktion för Utbetalningsmyndigheten).
I samband med att Utbetalningsmyndigheten inleder sin verk- samhet träder lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten i kraft. I denna lag regleras bl.a. den person- uppgiftsbehandling som myndigheten kommer utföra vid dataanalyser och urval. I 1 kap. 6 § första stycket föreskrivs att Utbetalnings- myndigheten får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter att administrera ett system med transaktionskonto, och förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Vidare anges i lagen att person- uppgifter som behandlas enligt 6 § även får behandlas för andra ända- mål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för (1 kap. 8 §). Känsliga personuppgifter får behandlas, om det är nöd- vändigt med hänsyn till ändamålet med behandlingen (1 kap. 9 §).
88Prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s.
89Prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 22.
1043
Dataanalyser och urval |
SOU 2023:100 |
Vidare finns vissa särskilda bestämmelser om sökbegränsningar, till- gång till personuppgifter och elektroniskt utlämnande av person- uppgifter (1 kap.
I lagen anges även att för att göra dataanalyser och urval, i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar från väl- färdssystemen, ska det vid Utbetalningsmyndigheten finnas en upp- giftssamling, benämnd uppgiftssamlingen för dataanalyser och urval (3 kap. 1 §). Endast de personuppgifter som behövs för att göra data- analyser och urval får behandlas i uppgiftssamlingen. Personuppgif- terna som behandlas för att göra dataanalyser och urval får inte be- handlas någon annanstans än i uppgiftssamlingen (3 kap. 2 §). Sökning och annan behandling i uppgiftssamlingen för dataanalyser och urval ska genomföras med respekt för enskildas personliga integritet (3 kap. 3 §). Metoder för att ta fram urval och de sökbegrepp som används vid sökningar i uppgiftssamlingen ska dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand. Utbetalningsmyndigheten ska regelbundet följa upp de sökningar som har gjorts i uppgiftssamlingen (3 kap. 4 §). Personuppgifter får som huvudregel inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med be- handlingen (4 kap. 1 §).
I 8 § förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten finns en särskild bestämmelse om vilka uppgifter som får behandlas i uppgiftssamlingen för dataanalyser och urval. Bestämmelsen har följande lydelse.
I uppgiftssamlingen för dataanalyser och urval får det behandlas upp- gifter som omfattas av
I uppgiftssamlingen får det vidare behandlas uppgifter om
1.en fysisk persons identitet, medborgarskap, uppehållsrätt, bosätt- ning, familjeförhållanden, adress och andra kontaktuppgifter samt upp- gifter om ombud,
2.en juridisk persons identitet, säte, ägarförhållanden, firmatecknare och andra företrädare, kontaktpersoner samt kontaktuppgifter,
3.en utbetalning som avser en ekonomisk förmån, ett ekonomiskt stöd eller en återbetalning av ett överskott på skattekontot samt upp- gifter om enskildas kontouppgifter,
4.företag och andra juridiska personer, företrädare och huvudmän som finns i Bolagsverkets register,
5.skulder hos Kronofogdemyndigheten för företag och andra juri- diska personer samt deras företrädare,
6.fastigheter, byggnader och lagfarter från fastighetsregistret, och
1044
SOU 2023:100 |
Dataanalyser och urval |
7.urvalsträffar samt resultatet av en inledande eller en fördjupad gransk- ning enligt lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetalningar.
I uppgiftssamlingen får det även behandlas en uppgift av liknande slag som anges i första och andra styckena och som är nödvändig för myn- dighetens dataanalyser och urval.
I 7 § förordningen om behandling av personuppgifter vid Utbetal- ningsmyndigheten anges att Utbetalningsmyndigheten ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas i uppgiftssamlingen för dataanalyser och urval.
14.3.5Utgör dataanalyser och urval ärendehandläggning eller faktiskt handlande?
Förvaltningslagen skiljer på myndigheters verksamhet som inne- fattar ärendehandläggning och annan förvaltningsverksamhet (jfr 1 § FL). Enligt förarbetena till förvaltningslagen är gränsen mellan vad som är ärendehandläggning och vad som är annan förvaltnings- verksamhet, dvs. det som vanligen brukar betecknas faktiskt hand- lande, i många fall förhållandevis tydlig. En principiell skillnad mellan åtgärder av det ena och det andra slaget är att handläggningen av ett ärende avslutas med ett beslut av något slag, medan ett faktiskt hand- lande karaktäriseras av att myndigheten i praktiken vidtar en viss fak- tisk åtgärd. Åtgärder av typen köra spårvagn, hämta sopor och under- visa är exempel på faktiskt handlande som tydligt illustrerar denna form av förvaltningsverksamhet, medan debitering av biljettkostnad eller avfallsavgifter och betygssättning är exempel på verksamhet som innefattar handläggning av ett ärende.
I vissa fall kan det vara något svårare att avgöra om en åtgärd inne- fattar ärendehandläggning eller enbart ett faktiskt handlande. I gräns- zonen märks t.ex. åtgärder som kännetecknas av att de innebär ett ingripande som till synes inte föregåtts av någon handläggning och där det finns ett mycket nära tidsmässigt samband mellan myndig- hetsföreträdarens ställningstagande att ingripa och den faktiska åtgär- den. Ett exempel som illustrerar en sådan situation är polismannens ingripande med våldsanvändning mot ordningsstörande verksamhet. En sådan åtgärd får vidtas bara om vissa rättsliga förutsättningar är
1045
Dataanalyser och urval |
SOU 2023:100 |
uppfyllda och det krävs därför ett aktivt ställningstagande, dvs. ett beslut av den myndighetsperson som handlar innan åtgärden vidtas.90 Myndigheternas användning av dataanalyser och urval som verk- tyg för kontroll innebär att de vidtar en åtgärd. Denna åtgärd innebär inte i sig att myndigheterna ingriper i enlighet med materiell verk- samhetsreglering. Det är i stället åtgärder som myndigheterna vidtar för att välja ut vilka ärenden eller subjekt som särskilt ska kontrol- leras.91 Användningen av verktygen förutsätter att uppgifter, där- ibland personuppgifter, behandlas. Innan personuppgifter behandlas gör myndigheterna visserligen en bedömning av om uppgifterna får behandlas. Personuppgiftsbehandlingen kräver nämligen att vissa rätts- liga förutsättningar är uppfyllda. Användningen av dataanalyser och urval – och därmed den personuppgiftsbehandling som då kan komma att utföras – avslutas dock inte i sig med något beslut. Åtgärden måste inte heller avslutas med ett beslut. En annan sak är att utfallet av åt- gärden, urvalsträffarna, kan innebära att myndigheten i nästa led initie- rar ett ärende. Verktygen kan därför beskrivas som att användningen av dem är ett hjälpmedel vid myndigheternas handläggning av ärenden. Mot denna bakgrund är vi av uppfattningen att när myndigheterna utför dataanalyser och urval är det inte fråga om ärendehandläggning i förvaltningsrättslig mening. Det bör i stället anses utgöra det som
brukar betecknas som faktiskt handlande.
14.4Myndigheternas behov
14.4.1Behovet av att använda dataanalyser och urval som verktyg för kontroll
Skatteverkets beskattningsverksamhet
Skatteverket har till utredningen uppgett att användningen av data- analyser och urval effektiviserar kontrollverksamheten och därmed också den faktiska handläggningen av ärenden. Om analys- och ur- valsverksamheten får bedrivas mer maskinellt än vad som är möjligt
idag anser myndigheten även att det är möjligt att arbeta mer enhet- ligt och ytterligare effektivisera processen. Möjligheten att utföra ut-
90Prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, s.
91Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 20.
1046
SOU 2023:100 |
Dataanalyser och urval |
ökade analyser och urval innebär också ett ökat stöd för verksam- heten. Skatteverket kontrollerar alla deklarationer maskinellt men har inte resurser för att genomföra fördjupade kontroller i alla fall. Genom utökade dataanalyser och urval vill Skatteverket kunna styra kontrollerna mot de områden där de största riskerna för fel finns. Med andra ord har myndigheten ett behov av att välja ut ett antal deklarationer som innehåller en typ av risk.
Skatteverket har vidare uppgett att hela urvalsprocessen fram till att handläggningen av ett ärende tar vid inte är särskilt reglerad i dag. Frånvaron av särskild reglering av hur uppgifter får behandlas under en sådan process innebär enligt myndigheten att det är allmänna regler för myndighetens verksamhet som kan tillämpas, och den rättsliga grunden för behandlingen av personuppgifter utgörs huvudsakligen av kontrollbefogenheterna när det är fråga om urval för kontroll.
Skatteverkets informationshantering har enligt myndigheten för- ändrats avsevärt i förhållande till hur det såg ut vid införandet av skatte- databaslagen då bl.a.
Skatteverket har uppgett att när uppgifter behandlas som i dag inte får ingå i beskattningsdatabasen, behöver behandlingen ske i enlighet med 1 kap. SdbL. För att det ska vara fråga om behandling utanför databasen, ska det vara fråga om tillfällig behandling och tillgången till uppgifterna måste vara begränsad så effekten inte blir att uppgif- terna kan användas gemensamt i verksamheten. Uppgifterna kan allt- så inte hanteras på samma sätt som uppgifter som får registreras i ett ärendehanteringssystem. Mot bakgrund av dagens befintliga
1047
Dataanalyser och urval |
SOU 2023:100 |
Skatteverket har vidare uppgett att det i vissa fall är oklart om den nuvarande regleringen av behandling av personuppgifter kan utgöra ett tillräckligt stöd för mer omfattande analys- och urvalsarbete för kontroll. Visst rättsligt stöd finns enligt myndigheten i förordningen med instruktion för Skatteverket. Om behandlingen omfattas av regeringsformens skydd för den personliga integriteten i 2 kap. 6 § andra stycket RF krävs dock lagstöd. Vidare är det ett problem att en stor del av den nuvarande regleringen utgår från handläggning av ärenden och det är oklart i vilken utsträckning befintliga ändamåls- bestämmelser ger stöd för sådan behandling som ligger utanför ett ärende. Mot denna bakgrund anser Skatteverket att det behövs ett förtydligande av den rättsliga grunden för behandlingen. Om myndig- heten exempelvis utför mer omfattande prediktiva analyser kan det vara svårt att hitta rättsligt stöd för detta. Det hade enligt myndig- heten underlättat med någon form av förtydligande reglering, t.ex. en ändamålsbestämmelse som samtidigt förtydligar den rättsliga grun- den. Det skulle också göra det enklare att bedöma proportionaliteten i en åtgärd, t.ex. i fråga om den mängd uppgifter som får användas i förhållande till ett visst ändamål.
Av bestämmelsen om gallring i 1 kap. 8 § SdbL framgår i dag att uppgifter som behandlas automatiserat i ett ärende ska gallras senast ett år efter det att ärendet har avslutats om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att uppgifter skall gallras vid en annan tidpunkt eller att uppgifter ska bevaras. Det får enligt Skatteverket till följd att om uppgifter inte behandlas inom ramen för ett ärende finns ingen bestämmelse om gallring. Fråga uppstår då enligt myndigheten om avsikten över huvud taget har varit att det ska vara möjligt att hantera uppgifter utanför ett ärende.
Skatteverkets folkbokföringsverksamhet
Uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunk- tioner får ett korrekt underlag för beslut och åtgärder. Vissa fel kan få större samhällskonsekvenser än andra. I regleringsbrevet anges att Skatteverket ska prioritera de områden där risken för fel och fusk är
1048
SOU 2023:100 |
Dataanalyser och urval |
som störst, vilket innebär att myndigheten vill utföra kontroller där de ger störst effekt.
I dag har Skatteverket t.ex. långa handläggningstider inom folk- bokföringsverksamheten avseende personer som flyttar till Sverige. När myndigheten använder sig av dataanalyser och urval kan de som har angett korrekta uppgifter identifieras snabbare och deras ären- den därmed handläggas snabbare, vilket bl.a. leder till kortare hand- läggningstider. Vidare kan samhällskostnaderna även minska då Skatte- verkets analyser har visat att många personer som fått avslag senare återkommer med en ny anmälan om inflyttning till Sverige och då får bifall och blir folkbokförda.
Urval som verktyg ger Skatteverket möjligheter att identifiera folkbokföringsfelet på en strukturell nivå, bli mer proaktiva och för- hindra fel innan de orsakar problem. Det ger dessutom myndigheten möjlighet att kunna samköra data för att hitta de största riskerna och få högre träffsäkerhet.
Skatteverket vill kunna använda information för att ta korrekta beslut om vilka åtgärder som ska vidtas för kontroll, utan att det är fråga om ärendehandläggning. Vidare finns det önskemål om att kunna arbeta datadrivet med nya tekniker, t.ex. artificiell intelligens, samt att kunna fatta datadrivna beslut om hur verksamheten kan styras och planeras på ett sätt som maximerar resursanvändandet.
Skatteverket har nyligen fått utökade möjligheter att göra data- analyser och urval inom folkbokföringsverksamheten genom änd- ringar i bl.a. folkbokföringsdatabaslagen och folkbokföringsdatabas- förordningen.
Tullverket
Tullverket har uppgett att myndigheten har ett behov av att kunna behandla uppgifter för att utföra riskanalyser i enlighet med myndig- hetens uppdrag. Tullverket utför framför allt kontroller vid gräns mot tredjeland (yttre gräns), men får även utföra kontroller vid gräns mot annat
1049
Dataanalyser och urval |
SOU 2023:100 |
underrättelsebaserat och utför riskbaserade eller misstankebaserade kontroller vid samtliga gränsövergångar. Analys- och urvalsverksam- heten syftar bl.a. till att identifiera juridiska eller fysiska personer som kan misstänkas för felaktigheter inom områdena uppbörd och restriktioner, till att identifiera organiserad brottslighet eller varu- sändningar innehållande felaktigheter som kan resultera i uppbörds- bortfall eller restriktionsbrott.
I den nuvarande lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), finns en särskild bestämmelse om att Tullverket får behandla personuppgifter för analys- eller kontrollverksamhet.92 I författningen finns också reglerat att uppgifter som får behandlas för bl.a. analys- eller kontrollverk- samhet även får behandlas för att tillhandahålla information som be- hövs i författningsreglerad verksamhet hos någon annan än Tull- verket för bl.a. revision och annan analys- eller kontrollverksamhet.93 Motsvarande reglering finns även om uppgifterna behövs för att Tull- verket ska kunna bekämpa brott. Tullverket bedömer att myndig- heten har en tydlig rättslig grund för sin behandling genom den mate- riella tullagstiftningen. Vilka uppgifter som sedan behandlas måste bestämmas utifrån syftet med analysen, med en proportionalitets- bedömning och beaktande av allmänna principer.
Ett hinder mot genomförande av analyser är enligt Tullverket den nuvarande utformningen av sökbegränsningar samt om behandling av uppgifter om vissa lagöverträdelser i tulldatabaslagen. Det är ofta svårt för myndigheten att förhålla sig till regleringen om tillåtna sök- begrepp samtidigt som analyser måste kunna ske utifrån samtliga uppgifter som anges i exempelvis en deklaration. Bestämmelserna för- svårar arbetet med riskanalyser och hindrar möjligheten att kartlägga mönster och tillvägagångssätt som använts för att hitta andra risker, fel och överträdelser. Sökförbud i lagen kan också innebära att lika- behandlingsprincipen sätts ur spel. Nuvarande bestämmelse om sök- begränsningar hindrar vissa riskanalyser som förutsätter jämförelser och sökningar utifrån alla tillgängliga uppgifter. Bara en tulldeklara- tion kan innehålla avsevärt många fler uppgifter än de tillåtna sök- begreppen, såsom uppgifter om berörda aktörer, varor, färdmedel och färdvägar m.m. I vissa fall kan sådana uppgifter utgöra känsliga personuppgifter. Tullverket anser att myndigheten borde få använda
921 kap. 4 § 2 TDL.
931 kap. 5 § 1 b TDL.
1050
SOU 2023:100 |
Dataanalyser och urval |
samtliga tillgängliga uppgifter som lämnats i en tulldeklaration för sina riskanalyser. Den nuvarande databasregleringen kan också hindra myndighetens behov av att arbeta med analys- och urvalsverksamhet till följd av uppgifter som får göras gemensamt tillgängliga eller inte.
Tullverket anser också att det finns behov av en tydlig rättslig grund för att myndigheten ska kunna utveckla mer avancerade analysverktyg baserade på artificiell intelligens. För sådana analyser är det enligt myndigheten även oklart vilka uppgifter som får behandlas och hur de får behandlas. Sådana mer avancerade verktyg skulle enligt myn- digheten öka möjligheterna att göra mer träffsäkra urval. För att Tullverket ska kunna bibehålla effektiviteten i ett ständigt ökande informationsflöde anser myndigheten att möjlighet att använda arti- ficiell intelligens som stöd vid sökning och filtrering av information behövs. Till exempel skulle en urvalsmodell utvecklad med hjälp av maskininlärning kunna hitta avvikande deklarationer genom att upp- täcka mönster som myndigheten inte tidigare har sett. För att utveckla en sådan modell behöver systemet dock tränas på en stor mängd deklarationer för att generera godtagbara resultat.
Tullverket har också uppgett att det inom analysverksamheten finns ett stort behov av samverkan och uppgiftsutbyte med andra nationella myndigheter.
För att Tullverket ska kunna fullgöra sitt uppdrag på ett effektivt sätt behöver tulldatabaslagen enligt myndigheten anpassas till de för- ändringar i rättsakter som reglerar Tullverkets uppdrag, digitaliser- ing, teknisk utveckling och samhället i övrigt som skett sedan lagen kom till. Den nya regleringen behöver även utformas så att den skapar förutsättningar för Tullverkets verksamhet att möta ytterligare för- ändringar framöver.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att det finns goda förutsättningar för att effektivisera myndighetens verksamhet med analyser och ur- val samt att det är viktigt att lagstiftningen är tydlig i detta avseende.
Kronofogdemyndigheten har enligt myndigheten ett behov av att inom kärnverksamheten kunna titta på vilka samband det finns mellan olika personer. Det kan t.ex. handla om uppgifter om vilka bolag en person ingår i eller på vilka adresser personer bor. En urvalsmodell som
1051
Dataanalyser och urval |
SOU 2023:100 |
utvecklats med hjälp av artificiell intelligens skulle kunna upptäcka samband som är svåra att identifiera vid manuella kontroller. En tyd- ligare möjlighet att behandla personuppgifter utanför ärendehandlägg- ning kan enligt Kronofogdemyndigheten förbättra resultaten avse- värt. Generellt anser myndigheten att användningen av dataanalyser och urval kan leda till mycket träffsäkrare analyser i verksamheten. Det kan bl.a. effektivisera uppföljningen i handläggningen av ären- den genom att identifiera avvikelser som kan bero på tekniska eller mänskliga fel, oavsiktliga eller avsiktliga. Till exempel kan felaktiga utbetalningar eller ansökningar identifieras.
Kronofogdemyndigheten vill ha möjlighet att kunna använda analysverktyg inom verksamheten för att t.ex. kunna prioritera ären- den eller analysera olika typer av samband för att hitta ärenden som innefattar olika risker, och sedan återföra resultatet till den operativa verksamheten. Som regleringen i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet, kronofogde- databaslagen (KFMdbL), med tillhörande förordning (2001:590)94 ser ut i dag bedömer myndigheten att det inte är möjligt att dela alla uppgifter de skulle vilja mellan de olika databaserna utan att göra en finalitetsprövning i varje sådant fall, vilket tar tid. En registerförfatt- ning som innehåller detaljerade bestämmelser om vilka uppgifter som får användas kan vidare skapa problem i framtiden för denna typ av analysverksamhet.
Kronofogdemyndigheten har bl.a. till uppgift att förebygga och motverka ekonomisk brottslighet. Myndigheten ska också delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.95 Det finns önskemål om att Kronofogdemyndigheten i högre utsträckning ska arbeta med dataanalyser och urval och andra tekniska verktyg för att på ett mer effektivt sätt t.ex. identifiera de bolag som det finns anledning att utreda eller kontrollera närmare. Genom maskinella analyser av data kan olika parametrar och möns- ter hittas som typiskt sett medför ökad risk för felaktigheter och oegentligheter. Utifrån sådana identifierade mönster, eller riskindi- katorer, skulle urvalsmodeller kunna utformas för att upptäcka före- teelser som t.ex. tyder på undandragande av tillgångar och som det därför kan finnas anledning att utreda eller kontrollera närmare. Det kan också användas för att identifiera företag med s.k. riskbeteenden
94Härefter kronofogdedatabasförordningen, även förkortad KFMdbF.
954 § förordningen med instruktion för Kronofogdemyndigheten.
1052
SOU 2023:100 |
Dataanalyser och urval |
vilket skulle kunna vara effektivt i arbetet med att förebygga och motverka ekonomisk brottslighet.
Inom verksamheten med verkställighet vill Kronofogdemyndig- heten kunna använda analysverktyg för att bedöma vilka utrednings- åtgärder som är lämpliga i olika situationer, givet framtagna kriterier i kombination med registeruppgifter om en gäldenärs tillgångssitua- tion. Med förfinade urvalsmetoder bedömer Kronofogdemyndig- heten att den kommer att kunna bedriva effektivare utredningsarbete och få bättre träffsäkerhet i syfte att hitta och utmäta fler tillgångar så att fler borgenärer får mer betalt och fler gäldenärer minskar sina skulder.
Vidare är det enligt Kronofogdemyndigheten i dag ett förekom- mande problem att det skickas in ansökningar om betalningsföre- läggande mot personer som befinner sig i utsatta situationer och som inte förväntas agera i ärendet, exempelvis avseende fordringar som redan omfattas av en pågående skuldsanering. Ett betalningsföreläg- gande leder automatiskt till ett utslag om det inte bestrids. Den som ansökt om betalningsföreläggandet kan sedan begära verkställighet och företeelsen upptäcks av myndigheten först när utslaget redan är lagakraftvunnet. Myndigheten ser att sådana ageranden skulle kunna upptäckas med hjälp av dataanalyser och urval.
Ytterligare uppdrag som Kronofogdemyndigheten har är tillsyn i konkurs och tillsyn över rekonstruktörer.96 Myndigheten har identi- fierat minst två områden inom tillsynsverksamheten där det kan finnas behov av dataanalyser, nämligen tillsyn över konkursförvaltares och rekonstruktörers arbete med lönegaranti samt arvodeshantering.
Det är konstaterat att det sker relativt omfattande lönegaranti- bedrägerier.97 En förklaring till detta som har anförts är brister i eller avsaknad av erforderlig kontroll.98 Inom ramen för sitt tillsynsupp- drag granskar Kronofogdemyndigheten lönegarantibeslut genom stickprovskontroller. Det fattas varje år omkring 100 000 beslut om lönegaranti vilket innebär att myndigheten inte kan göra ingående
961 § förordningen med instruktion för Kronofogdemyndigheten.
97Riksrevisionen har granskat den statliga lönegarantin bedömer sammantaget att
98Regionala underrättelsecentret Stockholm, Strategisk rapport: Samhällshotande bedrägerier mot den statliga lönegarantin, dnr
1053
Dataanalyser och urval |
SOU 2023:100 |
granskningar av samtliga beslut. Mot bakgrund av att lönegaranti- systemet är omfattande och att det är känt att det inom detta område förekommer missbruk av systemet, ser Kronofogdemyndigheten att dataanalyser och urval kan bidra till en effektivare kontrollverksam- het inom detta område. Myndigheten har även uppgett att samkör- ning av vissa uppgifter skulle kunna underlätta arbetet. Myndigheten vill på ett effektivt sätt t.ex. ha möjlighet att identifiera de fall där en person beviljats lönegaranti för en period samtidigt som personen har haft en annan heltidsinkomst under samma period.
Arvodet till förvaltare i konkurser bestäms av rätten och rätten inhämtar yttrande i arvodesfrågan från Kronofogdemyndigheten innan arvodesframställningen prövas.99 Under senare tid har det enligt Kronofogdemyndigheten skett en kraftig ökning av andelen ärenden där myndigheten har synpunkter på arvodet. Myndigheten har upp- gett att den bedömer att en arvodesframställning innefattar oskäligt högt arvode i ungefär 5 procent av fallen. I denna verksamhet har Kronofogdemyndigheten identifierat att det finns en utmaning i att se till att lika fall bedöms lika samt att det finns utrymme för att effektivisera arbetet. En arbetsredogörelse som ligger till grund för beräkningen i arvodesfrågan är mycket omfattande i jämförelse med andra domstolsmål vilket innebär att det är en tidskrävande uppgift för myndigheten. Mot denna bakgrund bedömer Kronofogdemyndig- heten att dataanalyser skulle kunna effektivisera arbetet. Exempelvis hade myndigheten kunnat analysera en stor mängd arvodesräkningar och ta fram någon form av normalarvode, eller riktarvode, för varje enskild åtgärd, förvaltarberättelse, inledande åtgärder m.m., klassi- ficerat utifrån andra parametrar såsom hur omfattande en viss kon- kurs är. Om det är möjligt att identifiera ett sådant normalarvode kan det underlätta för att få signaler om en viss arvodesräkning av- viker från detta. Det krävs en handläggare för att fastställa om ett arvode är oskäligt högt, men med hjälp av dataanalys och urval skulle myn- digheten på ett mer effektivt sätt kunna identifiera de ärenden som behöver granskas närmare.
9914 kap. 4 och 8 §§ konkurslagen.
1054
SOU 2023:100 |
Dataanalyser och urval |
14.4.2Uppgifter myndigheterna behöver behandla för att göra dataanalyser och urval
Utredningens kartläggning
Utredningen har haft omfattande kontakt med Skatteverket, Tull- verket och Kronofogdemyndigheten för att kartlägga vilken informa- tion som behövs för att göra adekvata dataanalyser och urval. Utifrån den information vi har fått går det inte att på ett detaljerat och ut- tömmande sätt redogöra för vilka uppgifter som respektive myndig- het behöver. Myndigheterna har på ett generellt plan uppgett att det är mycket svårt att i förväg svara på vilka uppgifter som behövs efter- som det i så hög grad beror på ändamålet med respektive analys- och urvalsprojekt, dvs. vad som ska uppnås i det enskilda fallet. Vilka upp- gifter som är nödvändiga att behandla förändras även över tid i takt med att ny lagstiftning införs.
Det har också kommit fram att det som t.ex. inom Skatteverkets beskattningsverksamhet beskrivits hindra utförandet av dataanalyser och urval utan koppling till ärendehandläggning inte främst rör vilken information myndigheten har tillgång till. Det handlar i stället fram- för allt om det rättsliga stödet för behandlingen när det inte avser ärendehandläggning samt de oklarheter som finns avseende hur omfat- tande personuppgiftsbehandling som får ske vid användning av sådana verktyg, bl.a. mot bakgrund av skyddet i 2 kap. 6 § andra stycket RF.
Skatteverkets beskattningsverksamhet
Den information som i dag används vid dataanalyser och urval inom Skatteverkets beskattningsverksamhet kommer bl.a. från Skatteverkets olika verksamhetssystem, Bolagsverket, Transportstyrelsen, tredje man m.m. De uppgifter som används tillgängliggörs centralt i ett s.k. informationslager. Omfattande analyser sker enligt myndigheten både i och utanför beskattningsdatabasen.
Skatteverket har till utredningen uppgett att det generellt är svårt att på förhand bestämma vilka typer av uppgifter som det kan finnas behov av att använda vid dataanalyser och urval. Vilka uppgifter som behövs beror bl.a. på syftet med ett visst analys- och urvalsprojekt och på vilken typ av metod för urval som används. För att få ett kor- rekt och träffsäkert resultat behöver den data som används vid t.ex.
1055
Dataanalyser och urval |
SOU 2023:100 |
träning av en urvalsmodell även avspegla verkligheten på ett så nära sätt som möjligt samt vara relevant för vad som ska uppnås genom analyserna och urvalen.
Skatteverket har vidare uppgett att den nuvarande detaljregler- ingen i skattedatabaslagen av vilka uppgifter som får behandlas i be- skattningsdatabasen upplevs som föråldrad i sammanhanget. Den har sitt ursprung i en tidigare registerlagstiftning då i princip enbart upp- gifter från deklarationer och kontrolluppgifter fick behandlas. Skatte- verket anser att myndigheten själv bör få avgöra vilka uppgifter som är nödvändiga att behandla för ett visst ändamål, även vid data- analyser och urval, med utgångspunkt i principerna för behandling av personuppgifter och den materiella verksamhetsregleringen.
I dag finns vissa bestämmelser i skattedatabaslagen som innebär att uppgifter endast får behandlas i beskattningsdatabasen om det be- hövs för handläggningen av ett ärende. Sådana uppgifter kan enligt Skatteverket inte behandlas utanför ärendehandläggningen, t.ex. för att initiera ett kontrollärende. Det är först när det är fråga om plane- rad, beslutad, pågående eller avslutad revision och annan kontroll av skatter, avgifter och stöd som sådana uppgifter får utgöra en del av beskattningsdatabasen (jfr 2 § första stycket 2 förordningen [2001:588] om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen [SdbF]). Innan dess måste uppgifterna han- teras på ett sätt som gör att de inte betraktas som gemensamt tillgäng- liga, vilket enligt Skatteverket är ett betydande hinder för hur de får hanteras i en automatiserad miljö.
Skatteverket vill kunna behandla alla de uppgifter som i dag får behandlas för ärendehandläggning även för dataanalyser och urval i kontrollverksamheten. Sådana uppgifter behöver enligt myndigheten kunna användas i t.ex. jämförelsesyfte för att upptäcka om det finns motsägelser och för att kunna utreda felaktigheter.
Skatteverket har även uppgett att det finns ett behov av att kunna behandla känsliga personuppgifter och personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott (härefter uppgifter om lagöverträdelser) när uppgifterna är hänförliga till en om- ständighet som är relevant för myndighetens uppdrag. Ett exempel är uppgifter om avgiftsskyldighet till ett registrerat trossamfund och medlemskap i fackförening. Behovet av att kunna behandla känsliga personuppgifter vid dataanalyser och urval är alltså kopplat till om dessa uppgifter har någon materiell betydelse för tillämpningen av
1056
SOU 2023:100 |
Dataanalyser och urval |
den reglering som styr verksamheterna som faller inom ramen för SdbL. Det finns också ett behov av att kunna behandla känsliga per- sonuppgifter vid dataanalyser och urval för att kunna utvärdera om en framtagen modell ger ett skevt resultat. Sådana utvärderingar kan också behöva göras innan en modell faktiskt tillämpas. En konse- kvens kan annars enligt myndigheten bli att det finns en påtaglig risk att modellen diskriminerar vissa grupper. Det behövs vidare en möj- lighet för Skatteverket att kunna behandla uppgifter om administra- tiva sanktioner, såsom skattetillägg.
Skatteverkets folkbokföringsverksamhet
Som nämns i avsnitt 14.3.3 ovan har Skatteverket genom vissa lag- ändringar nyligen fått utökade möjligheter att göra dataanalyser och urval inom folkbokföringsverksamheten. Behoven av ny reglering för att kunna behandla personuppgifter i syfte att göra dataanalyser och urval för kontroll är därför inte lika stora inom Skatteverkets folk- bokföringsverksamhet som i övriga verksamheter. Med anledning av vårt förslag till en ny lag om dataskydd inom folkbokföringsverksam- heten bör vissa av de behov Skatteverket har redogjort för till utred- ningen ändå redovisas. Det finns också skäl att redogöra för de delar där Skatteverket anser att det finns behov av ändringar utöver de ut- ökade möjligheter som myndigheten redan har fått.
Skatteverket har uppgett att en allt för detaljerad beskrivning av vilka uppgifter som kan användas för analys och urval skulle riskera att leda till att myndigheten inte kan förbättra urvalen, vilket i sin tur leder till sämre förutsättningar för proportionerliga åtgärder. Att på förhand veta vilken information som krävs är enligt myndigheten svårt, och till en början kommer folkbokföringsverksamheten i stor utsträckning att förlita sig på beprövad erfarenhet. Utgångspunkten är dock att alla uppgifter som har koppling till det materiella uppdraget är av betydelse.
Skatteverket har vidare uppgett att myndigheten behöver kunna behandla alla uppgifter som i dag får behandlas för handläggning av ärenden eller för kontroll av uppgifter i folkbokföringsdatabasen även för att göra dataanalyser och urval. Urvalsmöjligheter behövs såväl när det finns ett folkbokföringsärende som när det inte finns ett ärende. Uppgifterna behövs av de skäl som framgår av betänkandet
1057
Dataanalyser och urval |
SOU 2023:100 |
SOU 2021:57. I grunden kan folkbokföringsverksamheten givet de ändrade uppgiftsskyldigheterna100 hämta in mycket information som kan ge stor effekt.
Vidare har Skatteverket uppgett att de personkretsar som folk- bokföringsverksamheten i dag får behandla uppgifter om bör utvid- gas på ett sätt som innebär att uppgifter om personer får behandlas för att göra dataanalyser och urval om det behövs inom verksamheten. Skatteverket vill för att göra dataanalyser och urval kunna behandla personuppgifter även om personer som aldrig har varit folkbokförda redan innan ett eventuellt förvaltningsrättsligt ärende startas för att kunna förebygga fel på ett effektivt sätt. Det kan t.ex. röra sig om uppgifter om
Därutöver har Skatteverket uppgett att det finns ett behov av att även kunna använda vissa känsliga personuppgifter vid dataanalyser och urval, vilket inte är möjligt i dag. Vissa sådana kategorier av upp- gifter är enligt myndigheten av direkt materiell betydelse, och där- med av betydelse även för dataanalyser och urval. Ett exempel är upp- gifter om fysiska personers hälsa vid bedömning av uppehållsrätt (4 § FOL och 3 a kap. 2 § 4 utlänningslagen [2005:716]). Därtill finns det ett behov av att kunna behandla biometriska uppgifter för att utföra analyser i syfte att upptäcka försök till att erhålla multipla iden- titeter. Skatteverket har vidare uppgett att om känsliga personuppgif- ter som är nödvändiga för ändamålet inte får behandlas blir analys- underlaget inte komplett eller tillförlitligt. Det skulle också innebära att uppgifter som lämnas i fritext inte kan användas för att göra dataanaly- ser och urval eftersom det inte är möjligt att skilja ut sådana uppgif- ter som lämnats i fritext.
Tullverket
Som tidigare nämnts i avsnitt 14.4.1 anser Tullverket att det i den be- fintliga materiella regleringen redan finns stöd för analys- och urvals- verksamheten som sådan. När det gäller vilka uppgifter myndigheten använder i sådan verksamhet rör det sig om flera olika typer av upp- gifter från Tullverkets verksamhet som inte utgör brottsbekämpande verksamhet. Det handlar t.ex. om information om olika aktörer vid
100Se bl.a.
1058
SOU 2023:100 |
Dataanalyser och urval |
import eller export, uppgifter om varor eller uppgifter kopplade till tullproceduren eller deklarationsförfarandet. Uppgifterna kombineras och analyseras för att identifiera objekt där risken för undandragen uppbörd eller brott mot restriktioner föreligger. Det rör sig alltså om samtliga uppgifter som har samlats in, men också komplettering i form av uppgifter från externa källor såsom internet, andra myndigheter eller Tullverkets verksamhet inom brottsdatalagens tillämpnings- område.
Tullverket vill fortsatt kunna behandla alla de uppgifter som i dag får behandlas inom tulldatabasen samt inom ramen för ett ärende för dataanalyser och urval. Myndigheten bedömer att samtliga uppgifter behövs för att bedriva analysverksamheten och att det inte är möjligt att förutse vilka uppgifter som kan komma att behövas i framtiden. Det beror bl.a. på att handelsmönster skiftar och att nya tillvägagångs- sätt, företeelser och restriktionsområden tillkommer. Det bör enligt myndigheten vara principerna om proportionalitet och uppgiftsmini- mering som ska styra vilka uppgifter som får användas.
Idag får uppgifter behandlas i tulldatabasen om personer som om- fattas av verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, övervakning, revision och annan analys- eller kontrollverksamhet och fullgörande av ett ålig- gande som följer av ett för Sverige bindande internationellt åtagande. Uppgifter om andra personer får endast behandlas om det behövs för handläggningen av ett ärende, vilket enligt myndigheten är begrän- sande (2 kap. 2 § och 1 kap. 4 §
Tullverket har vidare uppgett att det fortsättningsvis finns ett be- hov av att behandla sådan information som anges i 2 kap. 4 § TDL även för analyser och urval, dvs. handlingar som kommit in i eller upp- rättats i ett ärende, då alla uppgifter som får behandlas i ett ärende är intressanta för analyser och urval.
Även när det gäller uppgifter som i dag får hämtas in från andra myndigheter har Tullverket fortsättningsvis ett behov av att också kunna behandla dessa för analys och urval i de fall det är lämpligt och rättsligt möjligt utifrån den materiella regleringen. Det finns också ett behov av att fortsatt kunna behandla uppgifter från gemensamma
1059
Dataanalyser och urval |
SOU 2023:100 |
för en mängd olika syften. Dessa utbyten bidrar till att viktig risk- information delges Tullverket som möjliggör effektiva kontroller.
Även Tullverket har uppgett att myndigheten har ett behov av att kunna behandla känsliga personuppgifter vid dataanalyser och urval. Enligt myndigheten varierar omfattningen av behovet, men sett till den totala andelen uppgifter som Tullverket behandlar är det en obe- tydlig mängd känsliga uppgifter som behöver behandlas. I dagsläget behandlar Tullverket sådana uppgifter främst i syfte att skydda EU- medborgarnas liv och hälsa genom att motverka terrorism eller annan författningshotande verksamhet. Enligt Tullverket skulle varukoder vid
För det fall känsliga personuppgifter inte skulle få behandlas be- dömer Tullverket att myndigheten inte kan uppfylla de skyldigheter som åligger den. Myndigheten har uppgett att om den t.ex. ska kon- trollera att inte potentiellt farliga läkemedel importeras behöver sök- ningar och analyser på uppgifter utifrån läkemedel och de inblandade aktörerna göras. Sådana uppgifter kan avslöja något om en fysisk per- sons hälsa och därmed utgöra känsliga personuppgifter i de fall impor- ten görs av en fysisk person. Utan uppgiften om läkemedel går det enligt myndigheten inte att göra en analys eftersom varan är utgångs- punkten i analysen. Om nödvändiga känsliga personuppgifter inte får användas anser Tullverket vidare att myndigheten inte kan upp- fylla skyldigheten att skydda medborgarnas hälsa och liv, bl.a. genom att motverka terrorism. Detta eftersom vissa personers hälsa och liv kan vara hotade på grund av etnisk, religiös, politisk eller facklig till- hörighet. För att kunna analysera och göra urval av försändelser till sådana mottagare är det i vissa fall nödvändigt att behandla sådana kategorier av känsliga personuppgifter kopplade till mottagare. Exem- pelvis kan flödet av varor till ett religiöst eller politiskt samfund analy- seras för att se vad som är en normal försändelse och därigenom hitta försändelser som avviker. Om inte Tullverket kan behandla sådana uppgifter om företrädarna när det är nödvändigt går det enligt myn- digheten inte att göra sådana analyser. Det ökar risken för att t.ex. människor kommer till skada.
1060
SOU 2023:100 |
Dataanalyser och urval |
Tullverket har vidare uppgett att dagens reglering av behandling av känsliga personuppgifter i 1 kap. 7 § och 2 kap. 4 § TDL kan ut- göra ett hinder när myndigheten utför behandling som inte har kopp- ling till ett ärende, som t.ex. vid dataanalyser och urval. Det beror dock enligt myndigheten på hur vitt begreppet ärende tolkas.
Kronofogdemyndigheten
I dag behandlar Kronofogdemyndigheten inte andra uppgifter för analys och urval än de uppgifter som redan behandlas i de befintliga databaserna. Kronofogdemyndigheten har uppgett att myndigheten har ett behov av att kunna behandla alla de uppgifter som i dag får behandlas inom databaserna även för dataanalyser och urval. För att hitta relevanta avvikelser och samband som leder till ett träffsäkert ur- val av t.ex. företag som används som brottsverktyg, grupper av per- soner som är på väg in i överskuldsättning eller bedrägliga ansök- ningar om betalningsförelägganden är det enligt myndigheten svårt att begränsa behandlingen till en viss typ av uppgifter. Vid träning och validering av
Myndigheten har även uppgett att begränsningen av personkrets i den nu gällande kronofogdedatabaslagen utgör ett hinder mot ana- lysverksamhet. Exempelvis kan uppgifter om fysiska personer som inte omfattas av grundverksamheten användas vid tillgångsutredningar för att hitta tillgångar som har överförts till andra i syfte att undandra egendomen från utmätning. Sådana uppgifter kan också användas för att identifiera bedrägerier med lönegarantin, t.ex. målvakter som an- vänds i flera konkurser. Här kan även databasregleringen vara hind- rande. Det kan alltså finnas behov av att behandla uppgifter om
1061
Dataanalyser och urval |
SOU 2023:100 |
personer som inte omfattas av kärnverksamheten trots att uppgif- terna inte behövs för handläggningen av ett specifikt mål.
Vidare ser myndigheten ett behov av att kunna använda uppgifter som får inhämtas från andra myndigheter även för dataanalyser och urval. Det handlar t.ex. om uppgifter från Bolagsverket gällande status för bolag och huvudmän, uppgifter från Skatteverket om folkbokför- ing och inkomstkälla samt uppgifter från Lantmäteriet om fastigheter. Det finns även ett behov av att kunna hämta in vissa uppgifter från andra myndigheter enbart för att använda vid dataanalyser och urval för kontrolländamål. Det rör sig t.ex. om uppgifter som myndigheten har tillgång till om de behövs inom ärendehandläggning men som inte rent faktiskt har behandlats inom ärendehandläggningen. Myndigheten har i dagsläget inte något behov av att kunna behandla uppgifter som finns i gemensamma
Även Kronofogdemyndigheten har uppgett att det vid vissa data- analyser och urval kan finnas ett behov av att behandla känsliga per- sonuppgifter, även om det inte rör sig om ett stort behov. Det kan t.ex. handla om uppgifter om hälsa, såsom utbetalningar av ersättning kopplade till sjukdom vid analyser inom verksamheten med motver- kande av överskuldsättning. Kronofogdemyndigheten har vidare upp- gett att tillgången till data för dataanalyser inte bör begränsas utifrån om det handlar om känsliga personuppgifter eller inte. En sådan be- gränsning skulle enligt Kronofogdemyndigheten leda till en nedsatt förmåga att förse verksamheten med relevanta analyser eftersom analysunderlaget i sådana fall skulle baseras på annan data än den som finns tillgänglig i verksamheten.
1062
SOU 2023:100 |
Dataanalyser och urval |
14.5Nuvarande möjligheter att behandla personuppgifter för att göra dataanalyser och urval
Vår bedömning: Den nuvarande regleringen innebär i vissa fall oklarheter i fråga om i vilken utsträckning dataanalyser och urval kan användas som verktyg i myndigheternas kontrollverksamheter. Regleringen kan även vara ett hinder för en effektiv användning av sådana verktyg för att göra mer övergripande analyser och urval.
Skälen för vår bedömning
Inledande anmärkningar
Som framgår av avsnitt 14.3.3 använder Skatteverket, Tullverket och Kronofogdemyndigheten redan, i varierande utsträckning, dataanaly- ser och urval som verktyg i kontrollverksamhet. I dag finns det dock begränsningar i hur myndigheterna kan behandla personuppgifter för kontrolländamål. Begränsningarna ser olika ut till följd av utform- ningen av de nuvarande registerförfattningarna samt den materiella verksamhetsregleringen. I avsnitt 3.2.8 finns generella redogörelser för hur regleringen av de respektive myndigheternas personuppgifts- behandling ser ut i de nuvarande registerförfattningarna.
Skatteverkets, Tullverkets och Kronofogdemyndighetens uppfatt- ningar om de nuvarande registerförfattningarnas utformning i förhål- lande till möjligheterna att använda dataanalyser och urval redogörs för i avsnitt 14.4 ovan.
Ändamålsbestämmelser
Det kan konstateras att de primära ändamål som finns i de gällande registerlagarna är direkt anpassade till den verksamhet som bedrivs av myndigheterna och utgör den yttersta ram inom vilken person- uppgifter får behandlas i den egna verksamheten. Ändamålsbestäm- melserna omfattar all behandling som utförs inom ramen för register- lagarna. Det innebär att ändamålsbestämmelserna styr för vilka syften
1063
Dataanalyser och urval |
SOU 2023:100 |
behandling får ske såväl utanför databaserna som inom dessa.101 Bland de uppräknade primära ändamålen finns bestämmelser som uttryck- ligen anger att behandling får ske om det behövs för handläggning av mål eller ärenden. Vidare finns det ändamålsbestämmelser som inte uttryckligen anger att behandling får ske om det behövs för handlägg- ning av ärenden, men som avser sådan verksamhet. Dataanalyser och urval sker dock utanför ärendehandläggningen, även om det kan vara en integrerad del av t.ex. ett verksamhetsstöd för ärendehandlägg- ning. Frågan är vilket stöd som finns för att myndigheterna ska kunna behandla personuppgifter för kontrolländamål i vidare bemärkelse än i ärendehandläggning.
Samtliga myndigheter har en möjlighet att behandla uppgifter för tillsyn, kontroll, uppföljning och planering av verksamheterna.102 Ut- ifrån förarbetsuttalanden ger dessa bestämmelser dock enbart stöd för behandling av uppgifter som görs för intern kontroll och tillsyn över myndigheternas egna verksamheter.103 Det finns för Skatteverkets beskattningsverksamhet även ett särskilt ändamål som innebär att upp- gifter får behandlas för att tillhandahålla information som behövs hos Skatteverket för revision och annan analys- eller kontrollverksam- het.104 En liknande ändamålsbestämmelse finns för Tullverket.105 Som redan nämnts finns nu även en särskild ändamålsbestämmelse för data- analyser och urval i kontrollverksamhet för Skatteverkets folkbok- föringsverksamhet.106
I förarbetena som rör Skatteverkets behandling av uppgifter i beskattningsverksamheten uttalade regeringen att de dåvarande skatte- myndigheterna som en förberedande åtgärd inför revisioner eller andra kontroller tog fram olika riskprofiler med hjälp av dataprogram, dvs. analyser av vilka skattesubjekt som skulle granskas. Regeringen an- gav även att skattemyndigheterna hade en skyldighet att utföra kon- troller som kanske endast utmynnade i påpekanden om att exempel- vis ett företag sannolikt skulle komma att anses som arbetsgivare med åtföljande skyldighet att betala preliminär skatt och arbetsgivar- avgifter. Det förutsattes även att skattemyndigheterna måste behandla
101Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
1021 kap. 4 § 10 SdbL, 1 kap. 4 § 7 FdbL, 1 kap. 4 § 4 TDL samt 2 kap. 2 § 7, 2 kap. 8 § 4, 2 kap.
14§ 4 och 2 kap. 20 § 3 KFMdbL.
103Se bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124, 140, 159 och 177.
1041 kap. 4 § 4 SdbL.
1051 kap. 4 § 2 TDL.
1061 kap. 4 a § FdbL.
1064
SOU 2023:100 |
Dataanalyser och urval |
uppgifter för kontroll av personer eller företag som inte var registre- rade hos myndigheterna trots att de möjligen borde betala skatter eller avgifter.107 Mot denna bakgrund, samt genom den nya ändamåls- bestämmelsen för folkbokföringsverksamheten, bedömer vi att de ändamål som i dag föreskrivs i 1 kap. 4 § SdbL och 1 kap. 4 a § FdbL redan tillåter att Skatteverket behandlar uppgifter för att tillhanda- hålla information som behövs för analys- och kontrolländamål. Efter- som ändamålsregleringen har sin utgångspunkt i den materiella verk- samhetsregleringen och inte enskilt utgör rättslig grund för den be- handling som är nödvändig, och den materiella verksamhetsregleringen har en stark koppling till ärendehandläggning, kan det dock ändå uppkomma situationer då det är oklart i vilken mån dataanalyser och urval får användas i syfte att förebygga fel, dvs. innan det finns ett ärende.
Avseende ändamålet som reglerar behandling för analys- eller kon- trollverksamhet för Tullverket finns inga särskilda förarbetsuttalan- den som exemplifierar användningen av analys för olika kontroller. Den aktuella ändamålsbestämmelsen fördes endast över från den tidi- gare tullregisterlagen (1990:137) med vissa redaktionella ändringar.108 I tullregisterlagen angavs inte analys i ändamålsbestämmelsen om myndighetens kontrolluppgifter. Det kan dock konstateras att ut- formningen av 1 kap. 4 § TDL redan i dag tillåter att Tullverket får behandla uppgifter för att tillhandahålla information som behövs för analys- eller kontrollverksamhet. I likhet med vad som anförs ovan om Skatteverket kan det dock också för Tullverket tänkas uppstå situationer då det är oklart i vilken utsträckning personuppgifter får behandlas för att göra analyser och urval utan koppling till ett ärende, bl.a. till följd av den materiella verksamhetsregleringens utformning. Kopplingen till ärendehandläggning är dock inte lika stark i Tull- verkets materiella verksamhetsreglering.
Kronofogdemyndighetens registerlag innehåller inget särskilt ända- mål om analys- och kontrollverksamhet eller liknande. Myndigheten har dock när det gäller behandling av uppgifter i alla fyra databaser ett ändamål som anger att Kronofogdemyndigheten får behandla upp- gifter i databaserna för att tillhandahålla uppgifter som behövs för förebyggande av överskuldsättning. Enligt förarbetena riktar myn- dighetens förebyggande verksamhet in sig på att försöka identifiera
107Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.
108Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.
1065
Dataanalyser och urval |
SOU 2023:100 |
skuldfällor och andra företeelser som kan leda till att enskilda ham- nar i skuld och att finna lösningar. Verksamheten bevakar och analy- serar omvärlden i samverkan med övriga processer. Enligt regeringen bygger detta mycket på analyser av uppgifter i databaserna för att se om myndigheten kan identifiera nya skuldfällor eller tendenser kring skulder och skuldutveckling. Det rör sig enligt regeringen i huvud- sak om behandling av uppgifter av närmast statistiskt slag.109
För Kronofogdemyndighetens del kan det i högre grad sägas vara oklart i vilken mån ändamålsbestämmelserna ger stöd för behandling av personuppgifter för mer övergripande kontroll- och analysverk- samhet.
Databasregleringen
De befintliga registerförfattningarna omfattar särskilda bestämmelser om uppgifter som behandlas gemensamt inom respektive verksamhet, dvs. uppgifter som behandlas i myndigheternas respektive databaser. Skatteverket har nyligen även fått möjlighet att föra en ny databas, analys- och urvalsdatabasen, inom folkbokföringsverksamheten.110 I myndigheternas databaser får uppgifter behandlas gemensamt för samtliga angivna primära ändamål. Vilka uppgifter som får behandlas inom databaserna anges särskilt i registerlagarna samt i förekom- mande fall tillhörande förordningar. Regleringen är ofta detaljerad och vilka personkretsar som uppgifter får behandlas om är begränsad.
Av avsnitt 14.4 framgår att myndigheterna till viss del uppfattar databasregleringen på olika sätt i förhållande till möjligheterna att behandla uppgifter för att göra dataanalyser och urval för kontroll, även när det inte finns ett ärende.
Vi kan konstatera att i de fall regleringen innebär att vissa upp- gifter får behandlas i databaserna om det behövs vid myndigheternas handläggning av ärenden, kan det uppstå oklarheter om samma upp- gifter får behandlas för att göra dataanalyser och urval också när det inte finns ett ärende. För Skatteverkets beskattningsverksamhet an- ges även i skattedatabasförordningen att det i beskattningsdatabasen får behandlas uppgifter som inhämtats från andra myndigheter, så- som t.ex. aktiebolagsregistret, Arbetsförmedlingen och Försäkrings-
109Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 25.
1102 a kap. FdbL.
1066
SOU 2023:100 |
Dataanalyser och urval |
kassan.111 Motsvarande detaljreglering som anger att uppgifter från andra myndigheter får behandlas i de andra databaserna finns inte, trots att även Tullverket och Kronofogdemyndigheten har möjlighet att inhämta uppgifter från andra myndigheter genom olika uppgiftsskyl- digheter som är reglerade i lag eller förordning. Det kan därmed upp- stå oklarheter i vilken mån regleringarna tillåter behandling av sådana inhämtade uppgifter från andra myndigheter i de fall det inte uttryck- ligen anges att de får finnas i databaserna. Exempelvis finns för Tull- verket ingen reglering i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF), av vilka uppgifter som får finnas i tulldatabasen. Däremot anges i tull- databaslagen att, utöver vissa specificerade kategorier av uppgifter, även andra uppgifter får behandlas i databasen som behövs för full- görande av ett åliggande som följer av ett för Sverige bindande in- ternationellt åtagande.112
För beskattningsverksamheten verkar regeringen vid införandet av den nuvarande skattedatabaslagen ha förutsatt att uppgifter får samlas in och därefter på annat sätt behandlas även utanför beskatt- ningsdatabasen genom t.ex. sambearbetning med andra register för urvals- eller kontrollprojekt.113 Liknande uttalanden finns dock såvitt
vihar funnit inte för Tullverket eller Kronofogdemyndigheten varför det även av den anledningen kan uppstå oklarheter i vilken mån upp- gifter får behandlas för dataanalyser och urval.
Samma oklarheter finns dock inte för folkbokföringsverksamheten sedan den nya regleringen i 2 a kap. FdbL trädde i kraft.
Generellt sett bör inte regleringen av personkretsarna för vilka uppgifter får behandlas i databaserna i sig anses innebära några större hinder mot att behandla uppgifter för dataanalyser och urval, även när det inte finns ett ärende. Regleringen tillåter nämligen att myndig- heterna behandlar uppgifter om personer där det är relevant för utför- andet av sina uppgifter, däribland de ändamål för analys och kontroll som finns i vissa av registerlagarna. I vilken utsträckning regleringen utgör ett problem i dag kan dock skilja sig mellan de olika verksam- heterna, se exempelvis nedan angående regleringen i folkbokförings- databaslagen.
1112 kap. 2 § SdbF.
1122 kap. 3 § andra stycket TDL.
113Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
1067
Dataanalyser och urval |
SOU 2023:100 |
Att olika regler gäller för uppgifter som behandlas i eller utanför en databas, och som därmed avgör vilka uppgifter som får göras gemen- samt tillgängliga, kan innebära att myndigheterna behöver göra tids- krävande bedömningar som inte alltid har direkt betydelse för en- skildas integritet. Redan av dataskyddsförordningen följer nämligen att även om uppgifter är tillåtna att behandla i databaserna får inte samtliga tjänstemän vid myndigheterna ha tillgång till samtliga upp- gifter (se bl.a. artikel 25 i dataskyddsförordningen). Uppgifter som inte får vara gemensamt tillgängliga behöver även i regel behandlas i en särskild
Viss övrig reglering
I de nuvarande registerlagarna finns särskild reglering av känsliga per- sonuppgifter och uppgifter om lagöverträdelser.114 Generellt gäller för Skatteverket, Tullverket och Kronofogdemyndigheten att käns- liga personuppgifter och uppgifter om lagöverträdelser som innefat- tar brott, domar i brottmål, straffprocessuella tvångsmedel eller admi- nistrativa frihetsberövanden endast får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I annat fall får sådana uppgifter endast behandlas om det särskilt anges i de kapitel som reglerar innehållet i databaserna.115 I vilken mån sådana kategorier av uppgifter får behandlas för att göra mer omfat- tande och övergripande dataanalyser och urval kan därmed komma att bero på om de uppgifter som används görs gemensamt tillgäng- liga eller inte. Det kan också konstateras att möjligheterna för myn- digheterna att behandla sådana särskilda kategorier av personupp- gifter är mer begränsande i förhållande till dataskyddsförordningen och dataskyddslagen när det gäller behandling som är nödvändig av hänsyn till bl.a. ett viktigt allmänt intresse eller som krävs enligt lag.116
Vidare kan de nu gällande bestämmelserna om sökbegrepp inne- bära obefogade hinder mot att behandla personuppgifter för data- analyser och urval då endast vissa angivna begrepp får användas vid sökningar. Generellt utesluter även dessa bestämmelser att känsliga
114Se avsnitten 10.2 och 10.3 för en närmare redogörelse av vad som gäller vid behandling av sådana särskilda kategorier av uppgifter.
1151 kap. 7 § SdbL, 1 kap. 6 § FdbL, 1 kap. 7 § TDL och 1 kap. 6 § KFMdbF.
116Artikel 9 i dataskyddsförordningen och 3 kap. 3 § dataskyddslagen.
1068
SOU 2023:100 |
Dataanalyser och urval |
personuppgifter och uppgifter om lagöverträdelser används som sök- begrepp.117 Det gäller däremot inte folkbokföringsverksamhetens analys- och urvalsdatabas.118 I praktiken finns det dock begränsningar för hur känsliga personuppgifter och uppgifter får behandlas även i folkbokföringsverksamhetens analys- och urvalsdatabas, vilka går längre än dataskyddsförordningen (se nedan).
Utöver detta gäller i dag enligt registerförfattningarna olika gall- ringsbestämmelser beroende på om uppgifter behandlas inom eller utanför en databas. De gallringsbestämmelser som generellt gäller vid behandling utanför databaserna avser enligt ordalydelserna endast uppgifter som behandlas automatiserat i ett ärende.119 För folkbok- föringsverksamheten finns nya bestämmelser om längsta tid för be- handling för uppgifter som behandlas i analys- och urvalsdatabasen.120
Särskilt om den nya regleringen i folkbokföringsdatabaslagen med tillhörande förordning
Skatteverkets folkbokföringsverksamhet har fått tydligare och i viss mån större möjligheter att använda uppgifter, även från andra myn- digheter, för analyser och urval.121 Även den nya regleringen för Skatteverkets folkbokföringsverksamhet innebär dock att det finns vissa obefogade hinder mot att kunna behandla uppgifter som behövs för att göra effektiva analyser och urval. Till exempel får inte alla upp- gifter som får behandlas i folkbokföringsdatabasen behandlas i analys- och urvalsdatabasen. Myndigheten får över huvud taget inte behandla känsliga personuppgifter eller uppgifter om lagöverträdelser som finns i handlingar i folkbokföringsdatabasen i analys- och urvalsdatabasen.122
Myndigheten har överlag små möjligheter att behandla känsliga personuppgifter i analys- och urvalsdatabasen. Sådana uppgifter kan dock behövas, dels för att få ett effektivt urval, dels för att säkerställa att urvalet ger ett rättvisande och korrekt resultat. Det är vidare prak- tiskt svårt för Skatteverket att kunna separera ut vilka handlingar som får finnas i analys- och urvalsdatabasen med utgångspunkt i dess innehåll.
1172 kap. 10 § SdbL, 2 kap. 9 § TDL och 2 kap. 29 § KFMdbL.
1182 a kap. 4 § FdbL.
1191 kap. 8 § SdbL, 1 kap. 8 § TDL och 1 kap. 7 § KFMdbL.
1202 a kap. 6 § FdbL.
121Se bl.a. 1 kap. 4 a §, 2 a kap. 3 § andra stycket FdbL och 5 c § FdbF.
122Se 2 a kap. 3 § jämförd med 1 kap. 6 § samt 2 kap.
1069
Dataanalyser och urval |
SOU 2023:100 |
Utöver detta finns det i dag begränsningar av vilka personkretsar Skatteverket får behandla uppgifter om. Genom den nuvarande regler- ingen får endast uppgifter om personer som har tilldelats person- nummer eller samordningsnummer behandlas. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.123 Att Skatteverket inte får behandla uppgifter för övergri- pande analyser om personer som myndigheten t.ex. beslutat att inte tilldela personnummer eller samordningsnummer kan innebära be- gränsningar i myndighetens möjligheter att göra jämförelser av om- ständigheter som har lett till att vissa personer tilldelats personnum- mer eller samordningsnummer och de som inte har det. Detta trots att myndigheten till följd av den materiella regleringen har rättslig grund för att behandla uppgifter även om personer vars ärenden avslutas med att de inte tilldelas personnummer eller samordningsnummer.
Vår sammantagna bedömning
Av redogörelserna ovan gör vi bedömningen att den nuvarande regler- ingen avseende myndigheternas personuppgiftsbehandling i vissa fall innebär att det är oklart i vilken omfattning personuppgifter får be- handlas för att göra dataanalyser och urval för kontroll utan kopp- ling till ärendehandläggningen, såsom för förebyggande syften och i samband med utveckling, testning och utvärdering av analysmetoder och urvalsmodeller. Regleringen innebär även att det i vissa fall kan vara oklart vilka bestämmelser som ska tillämpas i vilka situationer. Utöver detta bedöms den nuvarande regleringen ställa upp vissa omotiverade hinder för att kunna använda dataanalyser och urval som ett verktyg för att effektivisera kontrollverksamheten. Vissa skillna- der bedöms även finnas mellan myndigheternas möjligheter att be- handla personuppgifter för att använda dataanalyser och urval. Detta gäller särskilt för Skatteverkets folkbokföringsverksamhet som nyligen getts bättre möjligheter att använda sådana verktyg för kontroll.
I vilken mån vi anser att de oklarheter och hinder som finns genom den nuvarande regleringen bör ändras för att ge myndigheterna ut- ökade möjligheter att göra dataanalyser och urval framgår i följande avsnitt som behandlar olika frågor hänförliga till myndigheternas dataanalyser och urval. Våra förslag till reglering av myndigheternas
1232 a kap. 2 § jämförd med 2 kap. 2 § FdbL.
1070
SOU 2023:100 |
Dataanalyser och urval |
personuppgiftsbehandling vid dataanalyser och urval påverkas också i hög grad av den nya reglering vi i övrigt föreslår i beskattningsdata- lagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedata- lagen.
14.6Utökade möjligheter att göra dataanalyser och urval
14.6.1Myndigheterna bör ges utökade möjligheter att göra dataanalyser och urval
Vår bedömning: Skatteverket, Tullverket och Kronofogdemyn- digheten bör ges utökade möjligheter att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet.
Skälen för vår bedömning
Dataanalyser och urval är ett effektivt verktyg i myndigheternas verksamheter
Myndigheter har vissa generella krav på sig som kan uppfattas vara sinsemellan svårförenliga. De har å ena sidan ett utredningsansvar, och å andra sidan finns lagstadgade krav på effektivitet i handlägg- ningen. Detta kan få konsekvenser för myndigheters kontrollverk- samhet genom att kontroll ibland kan få stå tillbaka i förhållande till kraven på effektiv och snabb handläggning, eftersom kontrollåtgär- der kan vara resurskrävande.124 Ju större möjligheter myndigheterna har att rikta sina (kontroll)resurser rätt, dvs. till de ärenden som karaktäriseras av hög risk för felaktigheter, desto enklare låter sig de synbart motstridiga kraven på utredning och effektivitet förenas.
Dataanalyser och urval har i ett flertal rapporter, betänkanden och propositioner ansetts kunna bidra till att effektivisera olika myndig- heters kontrollverksamhet genom att exempelvis underlätta arbetet
124SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 128.
1071
Dataanalyser och urval |
SOU 2023:100 |
med att identifiera felaktigheter.125 Regeringen har nyligen uttalat att dataanalyser och urval är en naturlig del i myndigheters kontroll- verksamhet, och samtidigt konstaterat att under de senaste åren har Arbetsförmedlingen, CSN, Försäkringskassan och Pensionsmyndig- heten i viss mån använt denna typ av verktyg för att upptäcka felak- tiga utbetalningar.126
Enligt vår bedömning är det tydligt att även Skatteverket, Tull- verket och Kronofogdemyndigheten har behov av att använda data- analyser och urval för att kunna bedriva en resurseffektiv kontroll- verksamhet.127 Vi anser att även dessa myndigheter bör ges goda förutsättningar att på ett adekvat sätt kunna behandla personuppgif- ter för att göra sådana dataanalyser och urval. Samtliga dessa myn- digheter ansvarar för att utföra sina uppgifter på ett korrekt sätt. För att kunna uppfylla detta har myndigheterna getts olika kontroll- och utredningsbefogenheter inom respektive ansvarsområde. I kontroll- verksamheten ingår att myndigheterna gör kontroller av uppgifter innan beslut fattas samt att göra efterhandskontroller för att säker- ställa att korrekta beslut har fattats. Dataanalyser och urval måste, i enlighet med regeringens nyss refererade uttalanden, anses utgöra en naturlig del i sådan kontrollverksamhet. Genom att samköra upp- gifter som myndigheterna har tillgång till som en följd av bl.a. ärende- handläggning samt uppgifter som myndigheterna har möjlighet att begära in från exempelvis andra myndigheter blir det möjligt att identifiera områden där det finns störst risk för fel och fusk. I för- längningen leder det till att myndigheterna på ett effektivt sätt kan förhindra att felaktiga beslut fattas eller åtgärda tidigare fattade fel- aktiga beslut.
Exempelvis kan Skatteverket ta fram ett urval av deklarationer för ytterligare kontroll i vilka avdrag för vissa specifika kostnader har yrkats. Ett sådant urval kan med hjälp av dataanalyser baseras på högst risk för fel till följd av olika identifierade riskfaktorer utifrån den materiella regleringen om rätt till avdrag i inkomstskattelagen. Tull-
125Se t.ex. rapport från Riksrevisionen, Folkbokföringen – ett kvalitetsarbete i uppförsbacke, RiR 2017:23, s. 45, rapport från Inspektionen för socialförsäkringen, Profilering som urvals- metod för riktade kontroller – En granskning av träffsäkerheten, effektiviteten och rättssäkerheten i Försäkringskassans modeller för riskbaserade kontroller, ISF 2018:5, s. 119, SOU 2020:35, Kon- troll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetal- ningar från välfärdssystemen, s. 213 och prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s.
126Prop. 2022/23:34, Utbetalningsmyndigheten, s. 46.
127Jfr avsnitt 14.4 om myndigheternas uppgivna behov av att använda sådana verktyg.
1072
SOU 2023:100 |
Dataanalyser och urval |
verket kan t.ex. använda sig av dataanalyser och urval för att på ett effektivt och träffsäkert sätt identifiera försändelser där det finns en hög risk för att de innehåller varor med importrestriktioner som inte följer de särskilda krav som finns för införsel av sådana varor. När det gäller Kronofogdemyndigheten kan myndigheten använda sådana verktyg för att exempelvis identifiera ansökningar om betalnings- förelägganden som grundar sig på oriktiga fakturor.
Skatteverket har till utredningen gett exempel på hur vissa be- drägliga förfaranden kan gå till. Nedan görs en kort beskrivning av ett sådant exemplifierande scenario samt hur dataanalyser och urval kan förhindra sådana förfaranden.
Exempel på hur Skatteverket kan använda dataanalyser och urval för att effektivisera kontrollverksamheten
Scenario
Ett företag bildas genom förvärv av ett befintligt företag. Ungefär samtidigt anmäler en person att denne har flyttat till Sverige och ska arbeta i företaget. Personen folkbokförs av Skatteverket efter anmälan och myndighetens kontakt med dennes arbetsgivare. Personen tilldelas även ett personnummer och lämnar sedan Sverige. Det rör sig dock om en skenanställning. Det otillbörliga förfaran- det kan på olika sätt resultera i oriktiga skatteavdrag, återbetal- ningar av mervärdesskatt, oriktiga företagskrediter och förmån- liga lån. Vidare kan det leda till att den ”anställde” får felaktiga utbetalningar från andra myndigheter, såsom Försäkringskassan och
Genom olika former av bedrägliga upplägg kan flera felaktiga utbetalningar från välfärdssystemen hinna göras innan Skatteverket upptäcker att redovisade belopp inte stämmer. Utsikterna att genom återbetalningskrav och andra borgenärsåtgärder återvinna någon större del av sådana medel kan vara små.
1073
Dataanalyser och urval |
SOU 2023:100 |
Möjligt scenario med utökade förutsättningar att göra dataanalyser och urval
Genom användningen av dataanalyser och urval har Skatteverket utvecklat en riskvärderingsmodell för anmälningar om flytt till Sverige. Modellen kan flagga för att en anmälan behöver genomgå en fördjupad granskning. En sammanställning visar flera olika indikatorer som pekar ut risker för att anmälan är felaktig eller bedräglig. Modellen kan baseras på folkbokföringsuppgifter samt uppgifter från bl.a. beskattningsverksamheten, skattebrottsenheten och andra myndigheter som har bedömts relevanta för att upp- täcka fel och fusk i samband med flytt till Sverige.
Genom att modellen flaggar för vissa risker med anmälan om flytt till Sverige av personen som beskrivits ovan begär Skatte- verket komplettering av uppgifter och handlingar som visar att det som anges i anmälan om flytt är korrekt. Vid uteblivet eller otillfredsställande svar kan Skatteverket besluta att personen inte ska folkbokföras. Det minskar i sig risken för att t.ex. felaktiga utbetalningar även sker från andra myndigheter. Riskvärderings- modellen kan sedan uppdateras med resultatet av utredningen för att utveckla och förstärka myndighetens förmåga att upptäcka liknande upplägg. Vissa uppgifter som kommit fram vid en sådan utredning kan även lämnas till andra verksamheter inom Skatte- verket eller till andra myndigheter som behöver uppgifterna i sin verksamhet.
Med hjälp av uppgifterna kan även beskattningsverksamheten i sin tur uppdatera de riskvärderingsmodeller som tillämpas vid t.ex. företagsregistrering, återbetalning av mervärdesskatt samt redovisning av arbetsgivaravgifter med tillhörande individuppgif- ter. Nya riskindikatorer i modellerna kan öka träffsäkerheten för urval som indikerar avsiktligt fusk.
Sammantaget kan Skatteverket genom att använda dataanaly- ser och urval t.ex. öka förmågan att tidigt upptäcka registreringar av företag som ska användas som brottsverktyg, oriktiga redo- visningar av individuppgifter samt felaktiga utbetalningar.
När det gäller Tullverket ska myndigheten kontrollera transporter med varor som kommer landvägen, järnvägen, via sjöfarten och i flyg- flödet. Under år 2022 hanterades knappt 14 miljoner
1074
SOU 2023:100 |
Dataanalyser och urval |
genom ett automatiserat beslutsfattande.128 Utöver detta tillkommer andra typer av deklarationer och anmälningar som ska göras i tull- proceduren. De stora trafik- och varuflödena gör det omöjligt att kontrollera varje in- och utförsel. Personer som ägnar sig åt brottslig verksamhet och andra medvetna överträdelser hittar nya vägar och metoder för att transportera illegala varor eller undanhålla tull m.m. Det ställer krav på riskbaserade och underrättelsebaserade tullkon- troller.129
En importör kan undvika att betala korrekt tull genom att med- vetet deklarera ett lägre värde än det faktiska för de importerade varorna vilket ofta kombineras med att förfalskade handelsdokument visas upp. Tull kan även undandras genom att felaktiga uppgifter om ursprungsland anges för varorna, eller genom att varorna klassificeras felaktigt för att få en lägre tullsats. Ett undandragande kan även göras genom en kombination av ovanstående åtgärder eller genom att en importör utnyttjar en tullbefrielse genom att begära undantag för varor som inte är berättigade till det.130 Om den debiterade uppbörden är lägre än vad som skulle vara fallet om varan hade deklarerats kor- rekt ger det sämre förutsättningar för offentliga verksamheter och samhällsekonomin i stort. Under år 2022 debiterade Tullverket sam- manlagt 252 964 tkr efter tullkontroller, exklusive tulltillägg. Skatte- bortfall utifrån alkohol- och tobaksbeslag, beräknad på beslagtagen mängd, var samma år 36 004 tkr. Mörkertalet gällande bortfall av tull till följd av fel i deklarationer uppskattades till 180 686 tkr.131
Felaktig uppbörd bidrar även till att snedvrida konkurrensen. Företag som betalar för låg tull, annan skatt eller avgifter får en kon- kurrensfördel i förhållande till företag som lämnar korrekta upp- gifter. Vidare omfattas många varutyper av förbud eller krav på licen- ser eller särskilda tillstånd, s.k. restriktionsvaror. Det finns mer än 60 olika restriktionsområden. En restriktion kan ha sin grund i hän- syn till handelspolitiska skäl, miljöskydd, skydd för människors hälsa eller säkerhet, skydd för nationalskatter eller för att förhindra sprid- ning av djur- och växtsjukdomar.132 Exempel på restriktionsvaror är gränsöverskridande avfallstransporter, skydd för utrotningshotade
128Tullverkets årsredovisning 2022, s. 30.
129Tullverkets årsredovisning 2021, s. 26.
130Tullverkets årsredovisning 2021, s. 59.
131Tullverkets årsredovisning 2022, s. 57, 145 och 148.
132
1075
Dataanalyser och urval |
SOU 2023:100 |
djur och växter (cites)133, kulturföremål, kemiska produkter, livs- medel, läkemedel, narkotika och skjutvapen. Handel med restriktions- varor, som exempelvis kulturföremål, kan också ske för att tvätta pengar i brottslig verksamhet och för att finansiera terrorism. Över- trädelser av restriktionsregler kan därmed utgöra ett allvarligt hot mot samhället i en vidare bemärkelse.
För att kontrollverksamheten ska fungera effektivt behöver Tull- verket ha förmåga att identifiera komplicerade mönster i handelsflödet, strukturer och företeelser som utgör risker för fel, regelöverträdelser och säkerhet. Det förutsätter att myndighetens underrättelseverksam- het utvecklar sin förmåga att arbeta med datadrivna och predikativa analyser genom att använda nya metoder och ny teknik. Förmågan att se sammanhang och mönster är viktig för att kunna prioritera hur resurser kan användas på bästa sätt och på så sätt bidra till störst samhällsnytta. Det bidrar till en högre träffsäkerhet vid urval för kon- troll och att Tullverket kan fullgöra sitt uppdrag effektivt. Enligt Riksrevisionen är en effektiv resursanvändning beroende av att det finns möjlighet till en ändamålsenlig uppföljning av arbetet.134
Kronofogdemyndigheten har konstaterat att myndigheten används i brottslig verksamhet för att fastställa, driva in och sanera oriktiga fordringar. Inom verksamheten med betalningsföreläggande före- kommer enligt myndigheten falska ansökningar och ansökningar som grundar sig på brott. Mot bakgrund av att det årligen kommer in unge- fär 1,3 miljoner ansökningar om betalningsföreläggande till Krono- fogdemyndigheten är det svårt för myndigheten att i den manuella hanteringen upptäcka otillbörliga ansökningar. De krav som inte upp- täcks riskerar att fastställas i utslag, vilket kan leda till ekonomisk skada för enskild och förtroendeskada för myndigheten.
Inom verksamheten med betalningsföreläggande har Kronofogde- myndigheten under längre tid arbetat aktivt med att manuellt söka efter otillbörliga eller brottsliga ansökningar om betalningsföreläg- ganden. Om myndigheten hade haft större möjligheter att använda analys och urval hade detta arbete enligt myndigheten kunnat för- bättras och effektiviseras. Som ett exempel granskade myndigheten 897 mål under år 2022, varav 761 mål identifierades och kunde stoppas
133Cites står för Convention on International Trade in Endangered Species of Wild Fauna and Flora. Cites, även kallad
134Riksrevisionens rapport, Tullverkets kontroll – en träffsäker verksamhet?, RIR 2019:12, s. 54.
1076
SOU 2023:100 |
Dataanalyser och urval |
i vilka yrkade belopp samlat uppgick till cirka 14 miljoner kr. Felaktigt fastställda fordringar riskerar att senare hamna för verkställighet av gäldenären. Då finns det små möjligheter att invända mot ett laga- kraftvunnet utslag.
Även inom skuldsaneringen förekommer brottsupplägg, exem- pelvis falska fordringar, där dataanalyser kan förbättra möjligheterna att upptäcka sådana.
Dataanalyser och urval skulle också med framgång kunna användas inom Kronofogdemyndighetens tillsyn av konkurser och närings- förbud. Med hjälp av bättre verktyg skulle det vara möjligt att på ett mer effektivt sätt upptäcka lönegarantibedrägerier och brott mot näringsförbud. Riksrevisionen har tidigare konstaterat att det före- kommer missbruk av den statliga lönegarantin.135 Kronofogdemyn- digheten är en av få offentliga instanser som i sin handläggning kan upptäcka enskilda bedrägerier.
Utökade möjligheter att göra dataanalyser och urval
Skatteverkets, Tullverkets och Kronofogdemyndighetens behov av att kunna göra dataanalyser och urval skiljer sig i vissa delar åt till följd av myndigheternas olika uppdrag. Samtliga myndigheter har dock uttryckt att det finns ett behov av att använda sådana verktyg för att på olika sätt effektivisera kontrollverksamheten (se avsnitt 14.4).
Vi konstaterar ovan att användningen av dataanalyser och urval är effektiva verktyg i Skatteverkets, Tullverkets och Kronofogdemyndig- hetens verksamheter. För att dataanalyser och urval faktiskt ska fun- gera effektivt i kontrollverksamhet krävs att det är möjligt att använda sådana verktyg även för att förebygga och förhindra felaktigheter redan innan de uppstår i verksamheterna. En sådan möjlighet kan även minska antalet kostsamma efterhandskontroller och domstolsproces- ser. Det har exempelvis konstaterats att sambehandling av uppgifter från flera myndigheter är effektivt för att upptäcka och förhindra felaktiga utbetalningar.136
I avsnitt 14.5 framgår vissa av de begränsningar som den nu gällande sektorspecifika regleringen av berörda myndigheters personuppgifts-
135Se Riksrevisionens rapport, Den statliga lönegarantin – förekomst av missbruk och myndig- heternas kontrollarbete, RIR 2022:4.
136SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s.
1077
Dataanalyser och urval |
SOU 2023:100 |
behandling kan medföra i förhållande till att använda dataanalyser och urval. En förutsättning för att myndigheterna ska kunna bedriva en effektiv och rättssäker kontrollverksamhet är att det är möjligt att på ett adekvat sätt automatiserat behandla personuppgifter för kon- trolländamål.137 Regleringen tillsammans med myndigheternas materi- ella verksamhetsreglering (se avsnitt 14.2), vilka i flera fall är kopp- lade till ärendehandläggning, kan enligt vår uppfattning i vissa fall innebära att det i dag är oklart i vilken omfattning myndigheterna får behandla personuppgifter för att använda verktygen, särskilt för att förebygga felaktigheter. En del i detta är också det faktum att exem- pelvis utveckling, testning och utvärdering av analysmetoder och ur- valsmodeller kräver att personuppgiftsbehandling utförs på ett sätt som ligger utanför ärendehandläggningen. Redan i förarbetena till de nuvarande registerlagarna nämns dock att Skatteverket ska ges stöd för att kunna behandla personuppgifter i analysverksamhet som syftar till att ta fram olika riskprofiler, dvs. analyser av vilka skatte- subjekt som ska granskas, även avseende personer eller företag som inte är registrerade hos myndigheten.138 Även Tullverket gavs ett pri- märt ändamål som omfattar analys- och kontrollverksamhet.139 I dag ställer dock dataskyddsförordningen krav på att den rättsliga grun- den för behandlingen enligt bl.a. artikel 6.1 e, dvs. uppgiften av all- mänt intresse eller myndighetsutövningen, ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt (artikel 6.3 i dataskyddsförordningen).140 Den rättsliga grunden ska vidare vara tydlig och precis och dess tillämpning bör vara förutsägbar för per- soner som omfattas av den (se vidare avsnitt 14.7 nedan).141 Den rätts- liga grunden kan sedan även innehålla bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas och ändamålsbegränsningar (artikel 6.3 andra stycket i dataskyddsförordningen). Dataskyddsförordningen ställer därmed upp vissa krav som inte 1995 års dataskyddsdirektiv142 gjorde, vilken gällde när de berörda myndigheternas nuvarande register-
137Jfr SOU 2017:37, Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 378.
138Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.
139Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.
140Prop. 2017/18:105, Ny dataskyddslag, s.
141Skäl 41 till dataskyddsförordningen.
142Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
1078
SOU 2023:100 |
Dataanalyser och urval |
författningar infördes. Utöver detta innebär regeringsformens skydd mot betydande intrång i den personliga integriteten att vissa åtgärder som utgör sådana intrång måste regleras i lag för att vara tillåtna (2 kap. 6 § andra stycket och 2 kap. 20 och 21 §§ RF). Någon uttryck- lig eller särskild reglering av Skatteverkets, Tullverkets eller Krono- fogdemyndighetens möjligheter att använda digitala verktyg som kräver behandling av uppgifter även utanför ärendehandläggning, så- som dataanalyser och urval, i syfte att effektivisera kontrollverksam- heten finns inte i svensk rätt i dag. Ett undantag är dock den nyligen införda regleringen i folkbokföringsdatabaslagen som gäller i Skatte- verkets folkbokföringsverksamhet.
Vi gör bedömningen att Skatteverket, Tullverket och Kronofogde- myndigheten bör ges utökade möjligheter att använda dataanalyser och urval i sina verksamheter för kontrolländamål. Syftet ska vara att förebygga, förhindra och upptäcka fel inom Skatteverkets beskatt- ningsverksamhet och folkbokföringsverksamhet samt inom Tull- verkets och Kronofogdemyndighetens respektive verksamheter som omfattas av vårt uppdrag. Det ska alltså vara möjligt för myndig- heterna att behandla personuppgifter för att använda sådana verktyg även när det saknas koppling till ett visst ärende. Myndigheterna ges då bättre förutsättningar att utföra sina uppdrag och minska felak- tigheter i respektive verksamhet. Vår utgångspunkt är att regleringen ska möjliggöra sådan behandling samtidigt som skyddet för den per- sonliga integriteten upprätthålls. Generellt bör myndigheterna ges möjlighet att utföra den personuppgiftsbehandling som behövs för att de ska kunna utföra sina uppdrag på ett effektivt och rättssäkert sätt även när dataanalyser och urval används.
I den del av vårt uppdrag som avser en översyn av befintliga register- författningar har vi valt att föreslå genomgripande förändringar i för- hållande till hur regleringen ser ut i dag. Vi bedömer att det i sig inne- bär att vissa av de osäkerheter och omotiverade begränsningar kring personuppgiftsbehandling som dagens registerförfattningar innebär vid myndigheternas analys- och urvalsarbete inte längre kommer att finnas kvar. Det handlar bl.a. om slopad reglering av personkrets, databaser och handlingar samt ändrad reglering av tillåtna ändamål, sökbegränsningar, behandling av känsliga personuppgifter och upp- gifter om lagöverträdelser samt gallring av personuppgifter. Till följd av hur myndigheternas materiella verksamhetsreglering är utformad i vissa fall kommer dock enligt vår mening vissa tveksamheter att kvar-
1079
Dataanalyser och urval |
SOU 2023:100 |
stå i fråga om analyser och urval som görs utan koppling till ett enskilt ärende (se vidare avsnitt 14.7 nedan).
14.6.2Närmare om myndigheternas dataanalyser och urval
Olika analysmetoder
Myndigheterna kan komma att använda olika typer av analysmeto- der i arbetet med dataanalyser beroende på vad som mer specifikt ska uppnås. Det är varken möjligt eller vår avsikt att här uttömmande ange vilka metoder som kan komma att bli aktuella för Skatteverket, Tullverket och Kronofogdemyndigheten att använda. Det är ytterst upp till myndigheterna att avgöra vilka metoder som är möjliga att använda inom ramen för tillåten behandling av personuppgifter. Här ges några exempel på analysmetoder som kan komma att bli aktuella.
Deskriptiva analyser använder data för att beskriva något som redan har skett.143 Sådana analyser kan användas för att upptäcka avvikel- ser, dvs. anomalier.144 Ett exempel på deskriptiv analys kan vara att uppgifter om stora skulder från Kronofogdemyndighetens verksam- het med utsökning och indrivning analyseras för att upptäcka över- skuldsättning hos en viss samhällsgrupp.
Prediktiva analyser använder data och algoritmer för att förutse vad som sannolikt kommer att hända, ofta genom användning av maskininlärning.145 Sådana analyser kan användas för att se mönster och samband som sedan kan ligga till grund för urvalsmodeller. Pre- diktiva analyser använder historiska data och utgår på så sätt från tidigare konstaterade fel. Utifrån tidigare fall kan prediktiva analyser upptäcka mönster eller andra typer av indikatorer som kan indikera vad som kan vara korrekt respektive felaktigt. Det kan också användas för att uppskatta omfattningen av fel och bedrägerier146, eller för att identifiera vissa återkommande omständigheter i ärenden där felak- tiga utbetalningar har konstaterats.147 Prediktiva analyser kan t.ex.
143OECD (2019), A
144SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 217.
145OECD (2019), A
146SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 217.
147Prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 11.
1080
SOU 2023:100 |
Dataanalyser och urval |
användas av Tullverket för att förutse riskerna för att en viss sändning innehåller en restriktionsvara, eller av Skatteverket för att förutse risken för felaktiga momsåterbetalningar.
Nätverksanalyser utgår från samband, exempelvis mellan bolags- företrädare, telefonnummer, familjeförhållanden, adresser, tidpunk- ter, fastigheter, fordon, m.m. Sådana analyser kan vara effektiva för att upptäcka organiserade upplägg, där flera personer samarbetar eller på olika sätt delar med sig av upplägg för att missbruka systemen. Nätverksanalyser kan ge hög precision och bidra till att fel upptäcks tidigt.148 Kronofogdemyndigheten har exempelvis genom syntetiska data, dvs. datorgenererad data149, utforskat förutsättningarna för att använda nätverksanalys inom verkställighet med målet att öka indrivet belopp från de som kan men inte vill betala. Genom sådana analyser kan egendom som kopplar ihop flera gäldenärer identifieras.
Vad sker med urvalsträffarna?
Genom användningen av dataanalyser och urval får myndigheterna urvalsträffar. Myndigheterna granskar och bedömer vilka av urvals- träffarna som bör leda till närmare kontroller eller andra åtgärder utifrån de risker för felaktigheter som har identifierats. Vissa av ur- valsträffarna kan ge myndigheterna anledning att anta att det före- ligger en felaktighet som oupptäckt hade kunnat leda till att t.ex. beslut fattas på felaktiga grunder. Andra urvalsträffar kommer ut- mynna i att ingen ytterligare åtgärd vidtas med anledning av dessa.
I de fall urvalsträffar bedöms kräva närmare kontroller har myn- digheternas handläggare möjlighet att använda de författningsreglerade kontrollbefogenheter som finns tillgängliga för respektive myndighet. Det kan ske i redan befintliga ärenden som valts ut till följd av ur- valsträffen eller i ärenden som öppnats till följd av en urvalsträff. Så- dana närmare kontroller innebär även att myndigheterna exempelvis kan hämta in mer uppgifter från andra myndigheter om den som
148SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 217.
149Se Integritetsskyddsmyndigheten, Vi guidar dig – Vi hanterar bara anonymiserade per- sonuppgifter, då kan vi väl bortse från GDPR?,
1081
Dataanalyser och urval |
SOU 2023:100 |
särskilt ska kontrolleras, eller andra uppgifter av betydelse för kon- trollen, på samma sätt som vid andra kontroller som inte inletts på grundval av dataanalyser och urval. Den behandling av uppgifter som då sker är tillåten enligt bestämmelserna om tillåten behandling för att myndigheterna ska kunna utföra sina uppgifter.
Ytterligare andra urvalsträffar kommer inte att leda till att myn- digheterna använder sina kontrollbefogenheter mot enskilda för att fullgöra sina uppgifter utan kanske endast utmynnar i särskilda in- formationsinsatser eller identifiering av generella risker. Att iden- tifiera sådana generella risker, eller trender, kan i sig hjälpa myndig- heterna att fördela resurser och veta vad kontrollverksamheten bör riktas in på. Det kan också leda till att Skatteverket identifierar före- tag som inte är registrerade hos myndigheten trots att de kanske borde betala skatter och avgifter i Sverige, s.k.
Användning av AI och maskininlärning i analys- och urvalsverksamheten
AI och dess risker i förhållande till dataskyddsregleringen m.m.
Om de datamängder som är nödvändiga för att träna en
150Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
151SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s.
152Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 4. Informationsmaterial, N2018.14.
1082
SOU 2023:100 |
Dataanalyser och urval |
användningen av data. Personuppgifter bör dessutom endast behand- las om syftet med behandlingen inte kan uppnås genom andra medel.153 Begreppet personuppgift är brett definierat i dataskyddsförord- ningen. Dataskyddsförordningen kommer därför i de flesta fall att vara tillämplig på myndigheternas insamling och delning av data som används för dataanalyser, såsom maskininlärning.154 En risk som brukar nämnas i samband med vissa former av maskininlärning är bristande förklarbarhet, eller ”the black box”; svarta lådan. Det innebär att det inte alltid går att säga hur en modell har kommit fram till ett visst resultat.155 Detta kan sättas i relation till dataskyddsförordningens krav på öppenhet i artikel 5.1 a. ”Svarta lådan” kan också diskuteras i förhållande till 32 § FL som anger att ett beslut som kan antas på- verka någons situation på ett inte obetydligt sätt ska innehålla en klargörande motivering, om det inte är uppenbart obehövligt. Om utfallet i slutändan innebär att ett beslut fattas till nackdel för en enskild blir det nyss sagda särskilt aktuellt. Det kan alltså vara nöd- vändigt att kunna förklara och motivera vilken data som har legat till grund för vilken del av de olika övervägandena i ett beslut.156 Det kan inte uteslutas att detta kommer bli aktuellt för myndigheterna att beakta även när dataanalyser och urval används, t.ex. om en urvals-
träff ligger till grund för en del av ett övervägande i ett beslut. Resultatet som kommer ur en modell baserad på maskininlärning
kan vidare vara felaktigt och diskriminerande om den data som har använts för att träna modellen återger en partisk bild av verkliga för- hållanden eller om den inte är av relevans för det resultat som ska åstadkommas. Användning av sådana personuppgifter kan därför stå i strid med dataskyddsförordningens princip om korrekthet i arti- kel 5.1 a.157
För att minska behovet av att använda och dela personuppgifter på ett sätt som är problematiskt enligt dataskyddslagstiftningen kan syntetiska data användas.158 Ett problem som då kan uppstå vid myn- digheters tillämpning av maskininlärda algoritmer är att det kan upp-
153Skäl 39 till dataskyddsförordningen.
154Jfr Westman, D., Dataskyddet som hinder mot maskininlärning och samhällsnyttig analys?, Lov och data, nr 150, september 2022, nr 3/2022, s. 2.
155Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 12.
156Arvidsson, M., (2021), Maskininlärning och rättsligt beslutsfattande, Noll, G. (Red.), AI, digitalisering och rätten – en lärobok, 1:a upplagan, s. 132.
157Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 16.
158Westman, D., Dataskyddet som hinder mot maskininlärning och samhällsnyttig analys?, Lov och data, nr 150, september 2022, nr 3/2022, s. 3.
1083
Dataanalyser och urval |
SOU 2023:100 |
komma risker för fel och rättsosäkerhet om ”träningsdatan” inte motsvarar just den typ av data som sedan ska användas i skarpa fall.
Den nationella regleringen måste utformas i enlighet med data- skyddsförordningen och det är ytterst dessa regler som styr hur personuppgifter får behandlas i ett analys- och urvalsprojekt som in- kluderar
Profilering och diskriminering
Profilering
Profilering definieras i dataskyddsförordningen som varje form av automatisk behandling av personuppgifter som består i att dessa per- sonuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.159 Profilering är inte otillåtet enligt dataskyddsförord- ningen. Vissa krav ställs dock upp vid automatiserat individuellt be- slutsfattande som inbegriper profilering.160 Den registrerade har rätt att inte bli föremål för ett beslut som enbart grundas på automatise- rad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.161 Ett beslut är automatiserat om det enbart grun- das på automatiserad behandling som inbegriper profilering, dvs. bedömning av personliga egenskaper. Är det en eller flera människor som fattat själva beslutet, är det inte automatiserat även om män- niskorna har utnyttjat automatiserad behandling, som inbegriper profilering, för att komma fram till sitt beslut.162
Myndigheternas arbete med dataanalyser och urval innebär i nu- läget inte att myndigheterna fattar ett beslut som enbart grundas på sådant automatiserat individuellt beslutsfattande som avses i data- skyddsförordningen. Användningen av sådana verktyg är i stället ett
159Artikel 4.4 i dataskyddsförordningen.
160Artikel 22 i dataskyddsförordningen.
161Artikel 22.1 i dataskyddsförordningen.
162Öman, S., Dataskyddsförordningen (GDPR) m.m., (1 juli 2022, JUNO), kommentaren till artikel 22.
1084
SOU 2023:100 |
Dataanalyser och urval |
slags beslutsstöd för myndigheterna i kontrollverksamheten.163 Även om profilering inte är förbjuden enligt dataskyddsförordningen bör försiktighet iakttas eftersom det finns integritetsrisker med behand- ling vid dataanalyser och urval. Sådan behandling kan komma att innehålla vissa inslag av profilering trots att analys- och urvalsverk- samheten primärt inte syftar till att hitta en viss enskild individ baserat på exempelvis uppgifter om hans eller hennes ekonomiska situation. Myndigheterna bör därför noga överväga dessa frågor när olika ur- valsmodeller tas fram.164
Diskriminering
Vid användning av exempelvis maskininlärda algoritmer kan det finnas en risk för diskriminerande resultat om inte ”rätt” typ av data används. Det är därför av stor vikt att de urvalsmodeller som har tagits fram utvärderas och granskas kontinuerligt. Det allmänna har ett ansvar för att motverka diskriminering av människor på grund av kön, hud- färg, nationellt eller etniskt ursprung, språklig eller religiös tillhörig- het, funktionshinder, sexuell läggning, ålder eller andra omständig- heter som gäller den enskilde som person.165 Möjligheten att göra sammanställningar av uppgifter begränsas alltså av diskriminerings- lagstiftningen.166 Myndigheterna måste se till att upprätthålla kravet på likabehandling även vid dataanalyser och urval. Diskriminerings- grunderna bör därför undvikas som grund för urval om det inte tyd- ligt kan motiveras.167
163Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 222.
164Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s.
1651 kap. 2 § femte stycket RF.
166Se även diskrimineringslagen (2008:567).
167Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 223.
1085
Dataanalyser och urval |
SOU 2023:100 |
14.7Rättslig grund för behandling av personuppgifter för att göra dataanalyser och urval
Vår bedömning: Skatteverkets, Tullverkets och Kronofogde- myndighetens rättsliga grund för behandling av personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel inom sina verksamheter bör tydliggöras.
Skälen för vår bedömning
Vid användning av dataanalyser och urval behöver Skatteverket, Tull- verket och Kronofogdemyndigheten kunna analysera och utvärdera olika datamängder, däribland personuppgifter. För att dataanalyser och urval ska kunna användas på ett effektivt sätt i Skatteverkets, Tull- verkets och Kronofogdemyndighetens kontrollverksamheter behöver alltså personuppgifter kunna behandlas på ett ändamålsenligt sätt. För att en behandling av personuppgifter över huvud taget ska vara laglig krävs att något av villkoren i artikel 6.1 i dataskyddsförord- ningen är tillämpligt. Dataskyddsförordningen utgår nämligen från att varje behandling av personuppgifter måste vila på någon av de rätts- liga grunder som räknas upp i artikel 6.1. Flera rättsliga grunder kan vara tillämpliga avseende en och samma behandling.168 I avsnitt 3.2.5 och 3.2.6 finns närmare redogörelser för den generella dataskydds- regleringen.
För Skatteverkets, Tullverkets och Kronofogdemyndighetens del är det den rättsliga grunden i artikel 6.1 e som främst är aktuell att tillämpa vid behandling av personuppgifter vid dataanalyser och ur- val.169 Enligt den artikeln är behandling endast laglig om den är nöd- vändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Regeringen har uttalat att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse.170 I normal- fallet utgör en myndighets uppdrag enligt författning, instruktion eller regleringsbrev en rättslig grund för behandling av personupp- gifter enligt artikel 6.1 e.171 Vidare har
168Prop. 2017/18:105, Ny dataskyddslag, s.
169Jfr prop. 2017/18:105, Ny dataskyddslag, s. 57.
170Prop. 2017/18:105, Ny dataskyddslag, s. 56.
171Prop. 2022/23:34, Utbetalningsmyndigheten, s. 114.
1086
SOU 2023:100 |
Dataanalyser och urval |
börd av skatt och bekämpning av skatteundandragande ska betraktas som uppgifter av allmänt intresse.172 Det unionsrättsliga begreppet nödvändigt ska inte anses utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. I dagsläget bör det mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informa- tionshantering inte utgör ett realistiskt alternativ för vare sig myndig- heter eller företag.173
Generellt är de uppgifter som Skatteverket, Tullverket och Krono- fogdemyndigheten utför till följd av uppdrag i myndigheternas in- struktioner, regleringsbrev, specifika regeringsuppdrag, myndighets- förordningen och verksamhetsspecifika materiella författningar, t.ex. skatteförfarandelagen, inkomstskattelagen, folkbokföringslagen, tull- lagen och utsökningsbalken, uppgifter av allmänt intresse.
I avsnitt 14.6.1 konstaterar vi att myndigheterna bör ges utökade möjligheter att göra dataanalyser och urval i syfte att förebygga, för- hindra och upptäcka fel inom de verksamheter som omfattas av de föreslagna nya dataskyddslagarna. Med andra ord anser vi att det ska vara tillåtet att behandla personuppgifter för att använda sådana verk- tyg även när det inte finns någon koppling till ett visst ärende. Vi bedömer att myndigheterna därmed ges bättre förutsättningar att säkerställa att de författningsreglerade uppgifterna kan fullgöras på ett effektivt, korrekt och rättssäkert sätt. Det rör sig alltså om upp- gifter av allmänt intresse. Vidare är det nödvändigt att Skatteverket, Tullverket och Kronofogdemyndigheten behandlar personuppgifter elektroniskt för att utföra det kontrollarbete, vilket dataanalyser och urval är en del av, som krävs vid fullgörandet av uppgifterna. Sam- mantaget bedömer vi att den personuppgiftsbehandling som är nöd- vändig för att myndigheterna ska kunna utföra sina uppgifter ryms inom den rättsliga grunden uppgift av allmänt intresse eller som ett led i myndighetsutövning.
Vidare ska enligt artikel 6.3 första stycket i dataskyddsförord- ningen den grund för behandlingen som avses i artikel 6.1 e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt. Dataskyddsförordningen kräver inte att det finns en lag för varje en-
172
173Prop. 2017/18:105, Ny dataskyddslag, s.
1087
Dataanalyser och urval |
SOU 2023:100 |
skild behandling, utan det kan räcka med en lag som grund för flera behandlingar.174 Det krävs inte heller en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av den rättsliga grunden i artikel 6.1 e. Det som måste ha stöd i rätts- ordningen är uppgiften av allmänt intresse eller rätten att utöva myn- dighet.175 Vidare måste inte den rättsliga grunden fastställas i en lag- stiftningsakt antagen av ett parlament.176
Skatteverket, Tullverket och Kronofogdemyndigheten har alla en skyldighet enligt sina instruktioner att bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och företag som respektive myndighet.177 Dataanalyser och urval är ett verktyg som innebär att myndigheterna kan rikta sina resurser där de behövs som mest, dvs. där det t.ex. finns störst risk för fel eller fusk.
När det gäller Skatteverkets beskattningsverksamhet finns det, med något enstaka undantag178, inget uttryckligt stöd i den materi- ella verksamhetsregleringen för övergripande dataanalyser och urval. Detsamma gäller för Skatteverkets folkbokföringsverksamhet. Som framgått av avsnitt 14.2 utgår de bestämmelser som reglerar Skatte- verkets utrednings- och kontrollbefogenheter från åtgärder som myn- digheten kan vidta i enskilda ärenden i form av exempelvis föreläg- ganden, vitesförelägganden, kontrollbesök och revision.
Av förarbetena till den nu gällande skattedatabaslagen och folk- bokföringsdatabaslagen framgår att Skatteverket inom båda dessa verksamheter ska ha möjlighet att göra riskanalyser med hjälp av automatiserad databehandling för att välja ut ärenden, skattesubjekt eller uppgifter som särskilt ska kontrolleras.179 Särskilda ändamåls- bestämmelser som omfattar sådan behandling finns därför i de nu gällande registerlagarna. Det har dock inte tillförts någon bestämmelse i materiell rätt som ger Skatteverket i uttrycklig uppgift att utföra sådana riskanalyser. Detta trots att de befintliga primära ändamåls- bestämmelserna är direkt anpassade till respektive verksamhet180, vars
174Skäl 45 till dataskyddsförordningen.
175Prop. 2017/18:105, Ny dataskyddslag, s. 49.
176Skäl 41 till dataskyddsförordningen.
17710 § förordningen med instruktion för Skatteverket, 7 § förordningen med instruktion för Tullverket och 5 § förordningen med instruktion för Kronofogdemyndigheten.
178Se t.ex. regleringen i 33 b kap. SFL.
179Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s.
180Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 99.
1088
SOU 2023:100 |
Dataanalyser och urval |
reglering alltså har en stark koppling till handläggning av enskilda ärenden.
Skatteverket har dock nyligen fått en utökad möjlighet att göra dataanalyser och urval inom folkbokföringsverksamheten genom nya bestämmelser i folkbokföringsdatabaslagen med tillhörande förord- ning. I den proposition som föregick de nya bestämmelserna be- dömde regeringen att det ingår i Skatteverkets uppgifter enligt 2 § för- ordningen med instruktion för Skatteverket att myndigheten måste kunna kontrollera uppgifternas riktighet och utföra analyser och ur- val för att fullgöra den uppgift som ålagts myndigheten. I bestäm- melsen anges att Skatteverket ansvarar för frågor om folkbokföring och personnamn samt att uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Regeringen ansåg mot denna bakgrund att Skatteverket redan i dag har stöd för att använda sig av analyser och urval i folk- bokföringsverksamheten. Något behov ansågs därför inte finnas att av den anledningen ändra i instruktionen eller i folkbokföringslagen.181 Vi har inte funnit någon anledning att nu frångå den bedömningen.
I Skatteverkets instruktion finns ytterligare bestämmelser som vi bedömer är av relevans för beskattningsverksamhetens möjligheter att utföra dataanalyser och urval. Enligt 1 § förordningen med in- struktion för Skatteverket ska Skatteverket fastställa och ta ut skatter, socialavgifter och andra avgifter så att en riktig uppbörd kan säker- ställas. Skatteverket ska även fastställa rättvisande taxeringsvärden på fastigheter så att korrekt underlag finns för skatteberäkning och andra ändamål. Enligt 7 § ansvarar Skatteverket för vissa borgenärs- uppgifter och enligt 8 § ska myndigheten fastställa pensionsgrundande inkomst.
Vi anser att för att Skatteverket ska kunna utföra dessa uppgifter i enlighet med de krav på effektivitet och korrekthet som finns måste myndigheten även inom beskattningsverksamheten få göra dataanaly- ser och välja ut vilka ärenden, skattesubjekt eller uppgifter som ska kontrolleras närmare.
Tullverkets materiella reglering som är av relevans för dataanaly- ser och urval för kontroll skiljer sig från Skatteverkets. Enligt 1 kap. 2 § tullförordningen (2016:287) ska Tullverket utföra de uppgifter
181Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s.
1089
Dataanalyser och urval |
SOU 2023:100 |
som en tullmyndighet eller en behörig myndighet har enligt förord- ning (EU) nr 952/2013, dvs. tullkodexen, och de förordningar som meddelas med stöd av den förordningen om inget annat sägs i lag eller förordning. Av artikel 46 i tullkodexen framgår att Tullverket får genomföra alla tullkontroller som anses nödvändiga. Vidare anges att andra tullkontroller än slumpvisa kontroller främst ska baseras på riskanalys som görs med hjälp av elektronisk databehandlings- teknik i syfte att, på grundval av kriterier som utarbetats på nationell nivå, unionsnivå och, i förekommande fall, internationell nivå, iden- tifiera och bedöma risker och utarbeta nödvändiga motåtgärder.182 Det framgår även att tullkontroller ska utföras inom en gemensam ram för riskhantering som grundar sig på utbyte av riskinformation och riskanalysresultat mellan tullförvaltningar och genom vilken det fastställs gemensamma riskkriterier och standarder, kontrollåtgärder och prioriterade kontrollområden. Vidare framgår det av artikel 227 i kommissionens genomförandeförordning till tullkodexen183 att när tulldeklarationen inges i enlighet med artikel 171 i kodexen184 ska tullmyndigheterna behandla de uppgifter som inlämnas före anmälan av varornas ankomst särskilt för riskanalysändamål. För riskhanter- ing och tullkontroller ska ett gemensamt elektroniskt system an- vändas för bl.a. utbyte och lagring av uppgifter.185 I kompletterings- förordningen till tullkodexen finns mycket detaljerade regler om bl.a. gemensamma uppgiftskrav för utbyte och lagring av uppgifter.186 Ytterligare regler som är hänförliga till riskanalys och kontroller finns
itullkodexen samt genomförandeförordningen och kompletterings- förordningen till tullkodexen.187
Genom den unionsrättsliga materiella verksamhetsregleringen har Tullverket enligt vår mening stöd för att göra analyser och urval, även mer övergripande sådana utan koppling till ärenden, i syfte att utföra tullkontroller inom de områden som omfattas av tullkodexen.
182En definition av risk finns i artikel 5.7 i tullkodexen.
183Kommissionens genomförandeförordning (EU) 2015/2447 av den 24 november 2015 om närmare regler för genomförande av vissa bestämmelser i Europaparlamentets och rådets för- ordning (EU) nr 952/2013 om fastställande av en tullkodex för unionen. I fortsättningen be- nämnd genomförandeförordningen.
184I artikel 171 i tullkodexen anges att en tulldeklaration för inges innan varornas ankomst väntas anmälas till tullen. Om varorna inte anmäls inom 30 dagar efter ingivandet av tull- deklarationen ska den anses inte ha ingetts.
185Artikel 16 i tullkodexen och artikel 36 i genomförandeförordningen.
186Kommissionens delegerade förordning (EU) 2015/2446 av den 28 juli 2015 om komplettering av Europaparlamentets och rådets förordning (EU) nr 952/2013 vad gäller närmare regler avseende vissa bestämmelser i unionens tullkodex.
187Se t.ex. artiklarna 128 och 264 i tullkodexen och artikel 186 i genomförandeförordningen.
1090
SOU 2023:100 |
Dataanalyser och urval |
Det finns vissa andra områden inom Tullverkets verksamhet där det inte är lika tydligt att den materiella verksamhetsregleringen ut- tryckligen ger det stöd som krävs. Det handlar exempelvis om de uppgifter Tullverket utför enligt inregränslagen och lagen om punkt- skattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter. Urval för sådan kontroll får enligt dessa lagar inte göras slumpmässigt (2 § inregränslagen och 1 kap. 5 § andra stycket LPK). I motiven till dessa bestämmelser anges dock att Tullverket får göra det selektiva urvalet för kontroll på grundval av t.ex. risk- profiler eller information som finns tillgänglig hos Tullverket.188 Även sådan reglering kan därmed anses ge stöd för analys- och urvalsverk- samheten. Att det inte på samma sätt framgår av bestämmelsernas ordalydelser bör inte ha betydelse i detta sammanhang.189
Vidare ska Tullverket enligt 1 § förordningen med instruktion för Tullverket fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas. Enligt 2 § ska Tullverket övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs. Även denna reglering bedöms ge stöd för Tullverkets arbete med analyser och urval för att kunna fullgöra de uppgifter som ålagts dem.
Kronofogdemyndighetens materiella verksamhetsreglering utgår från utrednings- och kontrollbefogenheter som kan vidtas i enskilda mål eller ärenden, såsom förelägganden, vitesförelägganden eller för- hör. Till skillnad från Skatteverket finns det inga särskilda uttalanden i propositionen till den nu gällande kronofogdedatabaslagen om myn- dighetens behandling av personuppgifter för att göra analyser och ur- val. Enligt 1 § förordningen med instruktion för Kronofogdemyndig- heten är Kronofogdemyndighetens huvudsakliga uppgifter indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsaner- ing samt tillsyn i konkurs och tillsyn över rekonstruktörer. Enligt 2 § ska Kronofogdemyndigheten verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas. Krono- fogdemyndighetens uppdrag har därmed inte lika omfattande inslag av kontrollverksamhet som Skatteverkets eller Tullverkets. Krono- fogdemyndighetens generella uppdrag är i stället av mer verkställande och rådgivande art genom att den ska bistå borgenärer som inte fått
188Prop. 1995/96:166, Tullens befogenheter vid den inre gränsen, s.
189Jfr prop. 2017/18:105, Ny dataskyddslag, s. 188.
1091
Dataanalyser och urval |
SOU 2023:100 |
betalt och ge stöd och råd till gäldenärer. Det kan här nämnas att flertalet av de analyser som Kronofogdemyndigheten utför görs för att nå högre kunskap om skuldsättningens effekter i samhället. Kronofogdemyndigheten har eller planerar dock för att börja arbeta mer med dataanalyser och urval även för att hitta de områden där det finns högre risk för fel eller fusk eller för att identifiera vilken slags egendom som det typiskt sett finns högre risk för kan komma att undandras.
Trots att kontrolluppdraget inte är lika framträdande för Krono- fogdemyndigheten har även den myndigheten ett ansvar för att se till att utföra de uppgifter som ålagts den på ett effektivt och korrekt sätt. Hänsyn ska inte heller enbart tas till en bestämmelses ordalyd- else för att avgöra om något följer av t.ex. lagtext i dataskyddsför- ordningens mening.190 Vi menar att även Kronofogdemyndigheten måste anses ha stöd för att utföra analyser och urval i syfte att före- bygga, förhindra och upptäcka fel. Det kan exempelvis göras för att identifiera ansökningar om betalningsförelägganden där det finns högre risk för att de grundar sig på oriktiga fakturor eller för att hitta var i samhället risken för överskuldsättning är som störst i syfte att vidta förebyggande åtgärder inom dessa samhällsgrupper.
En rättslig grund för behandling av personuppgifter måste upp- fylla kraven på tydlighet, precision och förutsebarhet i dataskydds- förordningen för att den behandling som stödjer sig på den aktuella grunden ska vara laglig.191 Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Ett mer kännbart intrång, t.ex. behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer pre- ciserad och därmed gör intrånget försvarbart.192
Skatteverket, Tullverket och Kronofogdemyndigheten är tre myn- digheter som alla behandlar personuppgifter i sina respektive verksam- heter. Skatteverket behandlar personuppgifter inom beskattningsverk- samheten och folkbokföringsverksamheten i mycket större omfattning än vad Tullverket och Kronofogdemyndigheten gör i sina respektive verksamheter. Även Tullverkets och Kronofogdemyndighetens verk-
190Prop. 2017/18:105, Ny dataskyddslag, s. 188.
191Artikel 6.2 och skäl 41 till dataskyddsförordningen.
192Prop. 2017/18:105, Ny dataskyddslag, s. 51 och 188.
1092
SOU 2023:100 |
Dataanalyser och urval |
samheter är dock sådana att inte oväsentliga mängder personuppgif- ter behandlas. Dataanalyser och urval inom myndigheternas verksam- heter i syfte att förebygga, förhindra och upptäcka fel innebär för samtliga berörda myndigheter att egna verksamhetsuppgifter sam- körs på ett sätt som inte sker när uppgifterna behandlas för att hand- lägga enskilda ärenden. Vidare kan sådana uppgifter komma att sam- bearbetas med uppgifter som myndigheterna har inhämtat från andra myndigheter, antingen som ett led i ärendehandläggning eller pri- märt för att göra dataanalyser och urval. Det kan även förekomma behandling av känsliga personuppgifter. De urval som tas fram med hjälp av dataanalyserna kommer i förekommande fall att leda till att myndighetsutövning vidtas mot enskilda. Den personuppgiftsbehand- ling som myndigheternas dataanalyser och urval ger upphov till är därmed sammantaget av sådan karaktär och omfattning att intrånget i den personliga integriteten kan bli kännbart. Vi anser därför att den rättsliga grunden behöver ha en relativt hög grad av tydlighet, preci- sion och förutsebarhet för att uppfylla kraven i dataskyddsförord- ningen.
I avsnitt 8.4.3 föreslås att de nya lagarna ska innehålla brett formu- lerade ändamålsbestämmelser. Innebörden av bestämmelserna är att myndigheterna får behandla personuppgifter om det är nödvändigt för att utföra de verksamheter som omfattas av lagarnas tillämpnings- områden. Den föreslagna regleringen tillåter därmed att person- uppgifter behandlas om det är nödvändigt för att Skatteverket, Tull- verket och Kronofogdemyndigheten ska kunna utföra sina uppgifter, i vilka ingår att vidta de åtgärder för kontroll som krävs. Vidare kommer finalitetsprincipen även att ge stöd för viss behandling. Som anges ovan framgår av den materiella verksamhetsregleringen på ett tydligt sätt att Tullverket har i uppgift att utföra olika typer av riskanalyser genom att behandla uppgifter automatiserat för att bl.a. göra tull- kontroller. De författningar som fastställer den uppgift av allmänt intresse som ger stöd för den aktuella behandlingen vid Skatteverket och Kronofogdemyndigheten, samt vissa andra delar i Tullverkets verksamhet, får dock sägas inbegripa mer allmänt hållna bestämmel- ser. Vidare är den övriga materiella verksamhetsreglering som ger myndigheterna befogenheter i hög grad kopplad till åtgärder som kan vidtas i enskilda ärenden.
Mot bakgrund av den karaktär personuppgiftsbehandlingen kan ha vid dataanalyser och urval för kontrolländamål finns det enligt vår
1093
Dataanalyser och urval |
SOU 2023:100 |
mening skäl att tydliggöra den rättsliga grunden för behandlingen. På detta sätt ges myndigheterna även tydligare ramar för hur verktyget får användas i verksamheterna.193 Det kan underlätta för berörda myn- digheter att avgöra i vilken omfattning de får göra dataanalyser och urval. Det gör det även enklare för enskilda fysiska personer att få en uppfattning om vad som är tillåtet för myndigheterna i detta sam- manhang, vilket är viktigt bl.a. mot bakgrund av de kontrollåtgärder som framtagandet av urvalsträffar kan leda till. Av artikel 5.1 a i data- skyddsförordningen framgår dessutom att personuppgiftsbehandling ska ske på ett öppet sätt i förhållande till den registrerade.
Vidare kan myndigheternas personuppgiftsbehandling vid data- analyser och urval för kontroll innebära kartläggning av enskildas personliga förhållanden på ett sätt som utgör betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket RF (se av- snitten 6.2 och 14.12). Behandlingar som innebär begränsningar i regeringsformens skydd för den personliga integriteten kan endast tillåtas genom bestämmelser i lag (2 kap. 20 § första stycket 2 RF). Det innebär att en tydliggörande reglering av behandling av personu- ppgifter vid dataanalyser och urval bör slås fast i lag. I avsnitten 6.2 och 14.12 finns en bedömning av om förutsättningarna för att be- sluta om en sådan rättighetsinskränkande reglering i enlighet med våra förslag är uppfyllda.
Sammanfattningsvis gör vi bedömningen att den rättsliga grunden för myndigheternas användning av dataanalyser och urval som verk- tyg för en effektiv kontrollverksamhet bör tydliggöras genom ytter- ligare reglering i lag. Våra överväganden och förslag till sådan regler- ing finns nedan i avsnitten 14.8 och 14.9.
193Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk- bokföringsverksamheten, s. 22.
1094
SOU 2023:100 |
Dataanalyser och urval |
14.8Nya särskilda ändamålsbestämmelser som avser dataanalyser och urval
Vårt förslag: Det ska finnas bestämmelser i beskattningsdata- lagen, folkbokföringsdatalagen, tulldatalagen och kronofogde- datalagen som föreskriver att myndigheterna får behandla per- sonuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksam- het som omfattas av lagarnas tillämpningsområden.
I kronofogdedatalagen ska det även föreskrivas att Krono- fogdemyndigheten får behandla personuppgifter om det är nöd- vändigt för att göra dataanalyser och urval i syfte att motverka överskuldsättning.
Skälen för vårt förslag
Det bör inte införas särskilda bestämmelser om dataanalyser och urval i befintlig eller ny materiell verksamhetsreglering
Ett sätt för att tydliggöra att Skatteverket, Tullverket och Krono- fogdemyndigheten har rättslig grund