Överväganden kring reglering

Vi har i detta kapitel redovisat vår bedömning att genomförandet av direktivet om finansiell information kräver vissa författnings- ändringar. När det gäller informationsutbytet mellan olika staters FIU har vi i avsnitt 6.5 föreslagit att en ny sekretessbrytande bestämmelse införs i 17 e § penningtvättsförordningen. I det här avsnittet tar vi ställning till hur författningsändringarna i övrigt bör utformas.

De behov av reglering som vi har identifierat är huvudsakligen följande. Det bör i lag pekas ut vilka myndigheter som utses som behöriga enligt direktivets artikel 3.2 och som ska kunna begära och lämna vidare uppgifter enligt artiklarna 7 och 10 i direktivet. Rätten för de behöriga myndigheterna att begära och ta del av information, samt förutsättningarna för det, bör av tydlighetsskäl regleras. Vidare bör det införas en sekretessbrytande bestämmelse för sådana upp- gifter om enskildas personliga förhållanden som lämnas från FIU till de behöriga myndigheterna, även det av tydlighetsskäl, men också för att underlätta tillämpningen för myndigheterna och minska administrationen vid varje sådan begäran. Det krävs vidare reglering för att tillgodose direktivets krav på att uppgifter som lämnas ut från FIU till de utsedda behöriga myndigheterna inte, utan föregående godkännande av FIU, sprids vidare eller används för andra ändamål än de för vilka uppgifterna begärdes. Vi har också gjort bedömningen att utbytet av uppgifter inom EU enligt artikel 10 bör författnings- regleras. Även de användarbegränsningar som anges i direktivets artikel 10.1 andra och tredje stycket bör enligt vår bedömning uttryckligen framgå av författning. Slutligen menar vi att det behövs bestämmelser om dokumentation och statistik.

Det finns för närvarande en omfattande lagstiftning på området för uppgiftsutbyte mellan brottsbekämpande myndigheter, med flera nivåer av dataskyddsregelverk, specialregler för åtkomst till olika register, regler om offentlighet- och sekretess, ett antal special- regleringar avseende olika brottsområden och ett antal special- regleringar avseende internationellt samarbete. Den första fråga vi har ställt oss är om behovet av reglering i anledning av direktivet kan tillgodoses genom nya bestämmelser i något av de befintliga regel-

verken eller om det bör tillskapas en ny lag med anledning av direktivet om finansiell information.

Vi har först övervägt om det vore lämpligt att placera de nöd- vändiga bestämmelserna i penningtvättslagen. I den lagen pekas den svenska finansunderrättelseenheten ut och där framgår även vilken information som olika aktörer ska lämna till finansunderrättelse- enheten. På så sätt finns det en tydlig koppling till de frågor som bör regleras med anledning av det uppgiftsutbyte som föreskrivs i direktivet om finansiell information. Syftet med den aktuella lagen är dock i första hand att förebygga brott, inte utreda dem. Lagen riktar sig vidare främst till privata aktörer på den finansiella mark- naden och reglerar frågor som kundkännedom, rapportering och tillsyn. Lagen lämpar sig på så sätt mindre väl för att reglera det in- bördes uppgiftsutbytet mellan svenska brottsbekämpande myndig- heter. Det uppgiftsutbyte som ska regleras omfattar också alla allvarliga brott enligt bilaga I till Europolförordningen, medan penningtvättslagen omfattar endast penningtvätt och finansiering av terrorism. Även om det är fråga om information som har sitt ursprung i regelverket kring förebyggande av dessa brott, så handlar direktivet om finansiell information om hur denna information ska kunna spridas vidare och användas inom de brottsbekämpande myndigheternas arbete med att förebygga, upptäcka, utreda och lagföra också andra allvarliga brott. Vi anser därför inte att det är lämpligt att använda lagen om åtgärder mot penningtvätt och finansiering av terrorism för den reglering som nu krävs.

Vi har även övervägt om det vore lämpligt att använda LUS-lagen. Till skillnad från lagen om åtgärder mot penningtvätt och finansiering av terrorism är denna lag riktad till myndigheter och innehåller en sekretessbrytande bestämmelse vid uppgiftslämnande som innebär uppgiftsskyldighet i vissa fall för särskilt utpekade svenska myndigheter som samverkar på underrättelsestadiet. Lagens tillämpningsområde är dock begränsat till brottslig verksamhet som är av allvarlig eller omfattande karaktär, och bedrivs i organiserad form eller systematiskt. För att uppgifter ska kunna lämnas ut med stöd av LUS-lagen krävs ett föregående beslut om särskilt beslutad samverkan, medan direktivet om finansiell information förutsätter att information kan lämnas ut löpande på begäran. Lagen omfattar vidare endast utbyte av uppgifter mellan särskilt utpekade svenska myndigheter, medan direktivet även omfattar uppgiftslämnande från

behöriga svenska myndigheter till ett annat medlemsland i EU. Sammantaget är inte heller denna lag ett bra alternativ för den reglering som direktivet om finansiell information kräver.

En annan möjlighet är att placera den tänkta regleringen i förord- ningen (2008:1396) om förenklat uppgiftsutbyte mellan brotts- bekämpande myndigheter i Europeiska unionen. Förordningen inne- håller bestämmelser om tillämpning av rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och under- rättelseutbyte mellan de brottsbekämpande myndigheterna i Euro- peiska unionens medlemsstater, men är även tillämplig på infor- mationsutbyte enligt rådets beslut 2007/845/RIF av den 6 december 2007 om samarbete mellan medlemsstaternas kontor för återvinning av tillgångar när det gäller att spåra och identifiera vinning eller annan egendom som härrör från brott.

Förordningen innehåller bestämmelser om hur information ska lämnas på begäran från en svensk brottsbekämpande myndighet till en motsvarande myndighet i utlandet, men också om hur svenska myndigheter ska göra för att begära information från utlandet. Redan av detta skäl lämpar sig förordningen inte för den nu tänkta regleringen av de utsedda svenska myndigheternas möjlighet att få information från den svenska finansunderrättelseenheten. Men även i övriga delar finns det skillnader mellan förordningen om förenklat uppgiftsutbyte och direktivet som gör att den nu föreslagna regleringen inte utan vidare kan flyta in i nämnda förordning. Till att börja med kan konstateras att Skatteverket, en av myndigheterna som föreslås utses enligt artikel 3.2 i direktivet om finansiell information, inte är en svensk brottsbekämpande myndighet enligt denna förordning. Förordningen kräver vidare att begäran om upp- gifter görs med angivande av vissa minimiuppgifter och användandet av speciella formulär, bilagor till förordningen. Det finns angivna tidsfrister för när begäran om uppgift senast ska besvaras, och om begäran inte kan besvaras inom fristen ska den ansökande myndig- heten underrättas om detta enligt ett särskilt formulär. Om det uppgiftsutbyte som det är fråga om i direktivet om finansiell information inte ska tyngas av samma administrativa krav som anges i förordningen skulle uppgiftsutbytet behöva behandlas i en egen ordning. Förordningen har vidare en något avvikande brotts-

katalog12 _{jämfört med direktivet om finansiell information. Till stor} del är brotten överensstämmande med allvarliga brott enligt direktivet om finansiell information, dvs. bilaga I till Europol- förordningen, men förordningen omfattar ytterligare brott t.ex. våldtäkt, mordbrand, sabotage och kapning av flygplan eller fartyg. Det är vidare tveksamt om en användarbegränsning som innebär förbud för brottsbekämpande myndigheter att utan godkännande lämna vidare vissa uppgifter bör genomföras på annat sätt än genom lag. Sammantaget anser vi därför inte att förordningen utgör en lämplig placering för någon del av den tänkta regleringen.

Det finns ytterligare en författning om samarbete mellan brotts- bekämpande myndigheter i olika EU-medlemsländer att överväga, nämligen lagen om internationellt polisiärt samarbete. Denna lag tillämpas på polisiärt samarbete mellan Sverige och andra stater i den utsträckning Sverige i en internationell överenskommelse har gjort åtaganden som avses i lagen och den omfattar såväl operativt sam- arbete som uppgiftsutbyte. Det ligger nära till hands att tänka att det uppgiftsutbyte mellan utsedda behöriga myndigheter i andra med- lemsländer som avses i direktivets artikel 10 har en naturlig plats i denna lag. En fördel med en sådan placering är också att de regler avseende användarbegränsningar av information som utbyts enligt direktivets artikel 10 redan skulle ha en reglering genom lagens 6 kap. 3 och 4 §§. Det polisiära uppgiftsutbyte som regleras i lagen skiljer sig dock från uppgiftsutbytet enligt direktivet om finansiell information genom att det avser möjligheten att i vissa situationer ge direktåtkomst till register eller informationssystem för att genomföra egna sökningar. Det uppgiftsutbyte som regleras i direk- tivet om finansiell information innebär i stället att utsedda behöriga myndigheteter i olika medlemsländer kan vända sig till varandra med en begäran om uppgifter. Den myndighet som tar emot en sådan begäran ska kunna, men är inte skyldig att, lämna vidare finansiell information eller analys som den erhållit från FIU. Det är med andra ord fråga om en prövning av ett utlämnande av uppgifter från fall till fall, inte en komplettering till en registerlag som reglerar hur registret får användas i internationellt polisiärt samarbete. Även om det uppgiftsutbyte som avses här delvis har en annan karaktär 12 _{Denna brottskatalog är hämtad ur artikel 2.2 i rambeslut 2002/584/RIF av den 13 juni 2002}

om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna, samt inkluderar brott som enligt svensk rätt motsvarar de brott som avses i den artikeln.

behöver det inte hindra att lagen om internationellt polisiärt sam- arbete används för den här nödvändiga regleringen av artikel 10. Däremot låter sig den reglering som aktualiseras i anledning av artikel 7 i direktivet om finansiell information svårligen inrymmas i denna lag. I denna artikel handlar det om svenska brottsbekämpande myndigheters rätt att begära och ta del av information från den svenska finansunderrättelseenheten. Att en sådan reglering skulle placeras i en lag om internationellt polisiärt samarbete är inte rimligt. Inte heller de begränsningar av vidare användning eller spridning av information som hör ihop med artikel 7 avser internationella för- hållanden. Därför träffas de inte heller på samma sätt som uppgifts- utbyte med utsedda behöriga myndigheter i andra medlemsländer av 6 kap. 3 och 4 §§ lagen om internationellt polisiärt samarbete. Om regleringen av artikel 7 och artikel 10 delas upp i olika regelverk bedömer vi att regleringen som hör ihop med artikel 10 med fördel kan placeras i lagen om internationellt polisiärt samarbete.

Enligt vår mening finns det dock goda skäl att hålla samman den reglering som genomför artikel 7 och 10 i direktivet om finansiell information. Ett sådant skäl är att de nödvändiga definitioner som krävs för att avgränsa direktivets område inte mer än nödvändigt bör tynga regleringen, vilket är svårt att undvika med en uppdelad reglering. Detsamma gäller utseendet av de svenska behöriga myndigheterna enligt artikel 3.2, som gäller för uppgiftsutbyte enligt båda dessa artiklar. På så sätt underlättas också förståelsen för hur finansiell information och analys från finansunderrättelseenheten kan begäras, lämnas ut och användas för brottsbekämpande ändamål, med viss bibehållen kontroll av vidare spridning och användning enligt direktivet. Den överblick detta ger torde underlätta för finansunderrättelseenheten vid bedömningen av om begärda upp- gifter kan lämnas ut utan t.ex. skada för den egna underrättelse- verksamheten. Det finns också krav i direktivet som är gemensamma för uppgiftsutbyte enligt artikel 7 och 10, såsom krav på dokumenta- tion och insamlande av uppgifter för statistiska ändamål. En samlad reglering gör att bestämmelser om detta inte behöver upprepas och gör det också tydligare för myndigheterna vilka krav som ställs på dem. Sammantaget anser vi att regleringen som svarar mot direktivets artikel 7 och 10 lämpligen bör samlas i en författning och att lagen om internationellt polisiärt samarbete därmed inte är lämplig för ändamålet.

Vi har ställt oss frågan om man kan tillgodose behovet av reglering genom att införa nya bestämmelser i dataskyddsregelverket. Man skulle kunna tänka sig att i den befintliga regleringen om person- uppgiftsbehandling införa bestämmelser som tillåter utlämnande av uppgifter i de situationer som direktivet aktualiserar, begränsningar i möjligheten att använda uppgifterna för vissa ändamål enligt direk- tivets krav och även den önskvärda sekretessbrytande bestämmelsen för uppgifter om enskildas personliga förhållanden, i de specifika situationer som avses. Liknande bestämmelser, t.ex. om brotts- bekämpande myndigheters möjlighet att ta del av varandras infor- mation och sekretessbrytande bestämmelser finns i dessa regelverk i dag. Exempelvis finns i 35 kap. 10 § fjärde punkten OSL en bestäm- melse som bryter sekretess enligt 35 kap. 1 § OSL för uppgiftsutbyte enligt uppräknade författningar, däribland de brottsbekämpande myndigheternas respektive brottsdatalag och brottsdataförordning. Vi anser emellertid inte att BDL är lämplig för detta, eftersom den är generellt tillämplig för alla myndigheter som behandlar person- uppgifter för vissa angivna ändamål. Den reglering som är aktuell ska endast omfatta tre utpekade myndigheter och så specifika regleringar finns normalt i respektive myndighets brottsdatalag. Myndigheternas respektive brottsdatalag innehåller generella regler om myndighetens behandling av personuppgifter i brottsbekämpande verksamhet. Det som behöver regleras är inte direktåtkomst eller systematisk tillgång till uppgifter, vilket gjort placeringen mer naturlig i de myndig- hetsspecifika lagarna, utan begärande och utlämnade från fall till fall. En ytterligare komplikation är att Polismyndigheten kommer att vara både utlämnande (genom FIU, Finanspolissektionen) och begärande och mottagande myndighet. I polisens brottsdatalag är finansunderrättelseenheten inte ett begrepp som används. I den tillhörande förordningen har i stället en organisatorisk konstruktion valts för att avgränsa finansunderrättelseenhetens informations- tillgång, genom att endast tjänstemän vid Finanspolissektionen får ta del av uppgifter i penningtvättsregistret. Vi ser det därför inte som en framkomlig väg att i polisens och Skatteverkets respektive brotts- datalag föra in bestämmelser som på ett tydligt sätt genomför de krav direktivet ställer på begärande av information från FIU, besvarande av en sådan begäran, utlämnande av uppgifter samt vidarehantering av dessa. Det kan inte heller uteslutas att det finns finansiell information och analys, som inte innehåller person-

uppgifter och därför inte omfattas av brottsdatalagarna, men som ändå omfattas av direktivets krav. Även detta talar mot en reglering i de nämnda lagarna.

Efter att ha övervägt ett antal olika alternativ gör vi samman- fattningsvis bedömningen att de författningsregleringar som bedöms nödvändiga för att genomföra främst artikel 7 och 10 i direktivet om finansiell information bör genomföras genom en ny lag. Att uppgiftslämnandet framgår av lag innebär ett tydligt stöd för den personuppgiftsbehandling som utbytet av uppgifter innebär, och det förenklar därmed myndigheternas hantering. Vidare kan lagen underlätta myndigheternas hantering genom att inrymma en sekretessbrytande bestämmelse avseende 35 kap. 1 § OSL samt att utlämnade av sekretessreglerad information till utländsk myndighet framgår av lag. De begränsningar av vidare användning eller sprid- ning av information utan finansunderrättelseenhetens godkännande som direktivet kräver kan också tydligt regleras i ett sammanhang. Sammantaget anser vi därför, trots att detta innebär ytterligare en speciallag om uppgiftsutbyte i brottsbekämpande verksamhet, att det bästa sättet att genomföra de nödvändiga regleringarna är genom en ny lag.

6.8.2 En ny lag om finansiell information i brottsbekämpning