32
Enligt lagen är det vidare förbjudet att till tredjeland föra över personuppgifter om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller inte stater som har anslutit sig till dataskyddskonventionen. Förbudet gäller både uppgifter som är under behandling och uppgifter som ska undergå behandling. När det gäller att avgöra om skyddsnivån är adekvat ska alla omständigheter kring överföringen beaktas, varvid särskild vikt ska läggas vid bl.a.
uppgifternas art, ändamålet med behandlingen och de regler som finns för behandlingen i det tredjelandet. I vissa fall får dock överföring av personuppgifter till tredjeland ske även om det aktuella landet inte har en sådan adekvat skyddsnivå som avses i personuppgiftslagen, t.ex. om den registrerade har lämnat sitt samtycke eller för att rättsliga anspråk ska kunna fastställas. I lagen har också regeringen getts möjlighet att under vissa förutsättningar meddela föreskrifter om undantag från förbudet.
Efter en lagändring som trädde i kraft den 1 januari 2007 är de flesta av personuppgiftslagens detaljerade handlingsregler inte tvingande tillämp-liga vid behandling av personuppgifter i ostrukturerat material, t.ex.
löpande text och enstaka ljud- och bildupptagningar, se propositionen Översyn av personuppgiftslagen (prop. 2005/06:173). Sådan behandling får dock inte innebära att den registrerades personliga integritet kränks.
Med anledning av att dataskyddsförordningen ska börja tillämpas i maj 2018 kommer personuppgiftslagen att upphävas, se avsnitt 5.2.
5.4 Begreppsbildningen vid elektroniskt utlämnande
5.4.1 Olika former av elektroniskt utlämnande av uppgifter
I många författningar om behandling av personuppgifter regleras frågor om sättet för utlämnande av personuppgifter i elektronisk form genom särskilda bestämmelser. Enligt gängse begreppsbildning kan person-uppgifter lämnas ut i elektronisk form antingen på s.k. medium för automatiserad behandling eller genom direktåtkomst.
Utlämnande på medium för automatiserad behandling innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om uppgifter kan lämnas ut och vilka uppgifter som ska lämnas. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet. Utlämnande av uppgifter kan även ske genom direktåtkomst. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Sekretessprövningen hos den utlämnande myndigheten måste därför ske redan då uppgifterna görs tillgängliga för direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem.
Av dessa olika varianter av elektroniskt utlämnande är direktåtkomst den mest känsliga. Denna fråga kommer därför att beröras mer ingående i det följande.
33
5.4.2 Begreppet direktåtkomst
Det finns ingen legaldefinition av begreppet direktåtkomst. Den grundläggande innebörden av begreppet är att någon har direkt tillgång till någon annans uppgiftssamling och på egen hand kan söka efter information, men utan att kunna påverka innehållet i uppgiftssamlingen.
Högsta förvaltningsdomstolen har i ett avgörande (HFD 2015 ref. 61) som gällde socialnämndernas åtkomst till uppgifter i socialförsäkrings-databasen, ansett att gränsdragningen mellan vad som är direktåtkomst i socialförsäkringsbalkens mening och annat utlämnande på medium för automatiserad behandling beror på om den aktuella upptagningen kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § tryckfrihetsförordningen, dvs. om den är tillgänglig för myndigheter med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. I det aktuella fallet förutsatte ett utlämnande att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut.
Försäkringskassan fick därigenom anses förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Högsta förvaltningsdomstolen ansåg därför att socialnämnderna inte kunde anses ha någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § tryckfrihets-förordningen. Detta innebar enligt Högsta förvaltningsdomstolen att förfarandet inte var att betrakta som direktåtkomst enligt social-försäkringsbalken.
I begreppet direktåtkomst ligger också att den som är personuppgifts-ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av de uppgifter som den som har direkt-åtkomst tar del av i varje enskilt fall. I stället måste som angetts ovan en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Det är den personuppgiftsansvariga myndigheten som ska se till att åtkomsten rent faktiskt begränsas på det sätt som föreskrivs.
Vid författningsreglering av direktåtkomst till uppgifter anges ofta att någon får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna, utan att den myndighet som innehar informationen får medge sådan åtkomst om den vill det och inte annan lagstiftning, t.ex. om sekretess, hindrar det. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt.
34
6 Lagen om behandling av personuppgifter vid Skatteverkets medverkan i
brottsutredningar
Bestämmelser om behandling av personuppgifter i skattebrottsenhetens verksamhet finns i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Lagen innehåller endast de särbestämmelser som har ansetts nödvändiga för Skatteverkets brottsbekämpande verksamhet. I övrigt gäller personuppgiftslagen (1998:204). Enligt 1 § gäller lagen vid behandling av personuppgifter i Skatteverkets verksamhet för att bedriva spaning och utredning i fråga om brott som avses i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar och för att förebygga sådana brott.
Lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar innehåller vissa allmänna bestämmelser om behandling av personuppgifter. Det finns också vissa särskilda bestäm-melser om när personuppgifter får behandlas i underrättelseverksamhet.
Personuppgifter får behandlas i underrättelseverksamhet endast om en särskild undersökning som avser brott som anges i lagen om Skatteverkets medverkan i brottsutredningar har inletts eller i ett sådant underrättelseregister som regleras särskilt i lagen. För att uppgifter ska få behandlas i underrättelseverksamheten krävs vidare att det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas (11 §). Med allvarlig brottslighet avses verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver (2 §).
En särskild undersökning är en undersökning i underrättelseverksamhet som innebär insamling, bearbetning och analys av uppgifter i syfte att ge underlag för beslut om förundersökning eller om särskilda åtgärder för att förebygga förhindra eller upptäcka brott (2 §). Ett underrättelse-register får föras för att ge underlag för beslut om särskilda under-sökningar avseende allvarlig brottslig verksamhet, eller underlätta tillgången till allmänna uppgifter med anknytning till underrättelse-verksamhet (8 §). Ett underrättelseregister får innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslig verksamhet utövats eller kan komma att utövas och den som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva den allvarliga brottsliga verk-samheten. Uppgifter om transportmedel eller varor som kan antas ha samband med allvarlig brottslig verksamhet eller om hjälpmedel som kan antas ha använts i samband med sådan verksamhet får registreras, även om uppgifterna kan hänföras till en enskild person som det inte finns någon misstanke mot. Uppgifterna ska då förses med en upplysning om att det inte finns någon misstanke mot denne person (9 §). Vidare ges en uttömmande uppräkning över det slag av uppgifter som får ingå i registret (10 §).
Lagen innehåller också bl.a. bestämmelser om personuppgiftsansvar, behandling av känsliga personuppgifter, utlämnande av uppgifter,
35 handling av uppgifter om kvarstående misstankar efter nedlagd
förundersökning och gallring.
Förordningen (1999:105) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar innehåller bestämmelser som kompletterar lagen. Bland annat finns bestämmelser som begränsar vilka personer inom Skatteverket som får ha direkt åtkomst till vissa av de behandlade personuppgifterna och bestämmelser om till vilka andra myndigheter uppgifter kan lämnas ut. De myndigheter som omfattas av bestämmelserna om utlämnande är Polismyndigheten, Säkerhetspolisen, Tullverket och Ekobrottsmyndigheten. Skatteverket får, efter samråd med Datainspektionen, meddela de ytterligare verkställighetsföreskrifter som behövs.