Det behövs ny lagstiftning

59 Prop. 2016/17:91 teknisk tillgång till upptagningar som avses i 2 kap. 3 §

tryckfrihetsför-ordningen. Detta innebar enligt Högsta förvaltningsdomstolen att förfarandet inte var att betrakta som direktåtkomst enligt socialförsäk-ringsbalken.

I begreppet direktåtkomst ligger också att den som är personuppgifts-ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av de uppgifter som den som har direkt-åtkomst tar del av i varje enskilt fall. I stället måste som angetts ovan en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Den faktiska begränsningen av direkt-åtkomsten görs sedan med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Det är den personuppgifts-ansvariga myndigheten som ska se till att åtkomsten rent faktiskt begränsas på det sätt som föreskrivs.

Vid författningsreglering av direktåtkomst till uppgifter anges ofta att någon får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna, utan att den myndighet som innehar informationen får medge sådan åtkomst om den vill det och inte annan lagstiftning, t.ex. om sekretess, hindrar det, se närmare i avsnitt 15.5.3. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt.

7 En ny lag om behandling av uppgifter i Tullverkets brottsbekämpande

verksamhet

7.1 Det behövs ny lagstiftning

Regeringens förslag: En ny lag ska införas som ersätter lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Promemorians förslag: Överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans har några invändningar mot förslaget. Sveriges advokatsamfund anser dock att det borde tas ett samlat grepp avseende myndigheters hantering av personuppgifter, t.ex. genom en gemensam lag. Samfundet hänvisar härvid till de synpunkter av samma slag som det framförde vid remissbehandlingen av polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145).

Prop. 2016/17:91

60

Skälen för regeringens förslag Allmänt om reformbehovet

Enligt Tullverkets regleringsbrev från regeringen ska brottsbekämp-ningen inriktas mot att begränsa den organiserade och storskaliga brottsligheten. Tullverket ska bidra till att minska antalet kriminella nätverk som ägnar sig åt narkotika-, alkohol- eller tobakssmuggling eller ekonomisk brottslighet (se t.ex. Regleringsbrev för budgetåret 2016 avseende Tullverket, dnr Fi2015/05629/S3).

Informationshantering utgör en central del i Tullverkets brottsbekäm-pande verksamhet. En väl utnyttjad informationsteknik är av stor bety-delse och en förutsättning för myndighetens möjligheter att bedriva sin brottsbekämpande verksamhet på ett effektivt sätt. Samtidigt måste informationshanteringen ske med respekt för enskildas personliga inte-gritet.

Ett effektivt brottsbekämpande arbete förutsätter att de brottsbekäm-pande myndigheterna har goda möjligheter att samla in, bearbeta och utbyta information av olika slag. Tullverket behöver liksom andra myn-digheter medverka i den samverkan mellan brottsbekämpande myndig-heter som grundar sig på uppdrag från regeringen.

Den ökade samverkan mellan framför allt brottsbekämpande myndig-heter underlättas kraftigt av att dessa myndigmyndig-heters registerförfattningar stämmer överens när det gäller hur personuppgifter får behandlas och lämnas ut. Den allmänna utgångspunkten bör vara att hanteringen av personuppgifter inom det brottsbekämpande området i Sverige är enhet-lig oavsett på vilken myndighet detta arbete ankommer. På det sättet blir det också enklare för myndigheterna att samarbeta i fråga om informa-tionsteknik och på ett kostnadseffektivt sätt tillgodogöra sig de fördelar som tekniken kan ge.

I dag finns det en diskrepans mellan reglerna i den nuvarande lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, kallad tullbrottsdatalagen, och de modernare reglerna i polisdatalagen och kustbevakningsdatalagen, som försvårar för Tull-verket att samverka fullt ut i sin brottsbekämpande verksamhet. Trenden att även allt fler icke brottsbekämpande myndigheter deltar i den brotts-bekämpande samverkan ställer också nya krav på den lagstiftning som styr behandlingen av personuppgifter i Tullverkets brottsbekämpande verksamhet.

För att myndighetsöverskridande samverkan mot brott ska fungera och vara effektiv krävs därför enligt regeringens mening att den nuvarande tullbrottsdatalagen anpassas till den utveckling som har skett och den lagstiftning på motsvarande område som nu finns för andra myndigheter med brottsbekämpande verksamhet.

Den nuvarande tullbrottsdatalagen har även medfört en del tillämp-ningsproblem och är generellt i behov av kompletteringar och modernise-ringar för att skapa förutsättningar för en effektiv brottsbekämpning. Det föreligger t.ex. skillnader i begreppsanvändning, såsom att begreppet databas som återfinns i tullbrottsdatalagen i de modernare registerför-fattningarna har ersatts av uttrycket ”gemensamt tillgängliga uppgifter”

(se avsnitt 14.1). Vidare gäller t.ex. inte den s.k. finalitetsprincipen som regleras i 9 d § personuppgiftslagen (1998:204) vid tillämpning av

61 Prop. 2016/17:91 tullbrottsdatalagen, i motsats till de flesta andra registerförfattningar.

Tullbrottsdatalagen innehåller också detaljerade bestämmelser om den interna hanteringen av uppgifter som inte har någon motsvarighet i t.ex.

polisdatalagen eller kustbevakningsdatalagen, och som regeringen anser behöver ses över.

Regeringen har sedan tidigare ansett det angeläget att Tullverket har samma möjligheter som andra brottsbekämpande myndigheter att behan-dla personuppgifter, se t.ex. propositionen Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete (prop. 2012/13:73 s. 63).

I detta sammanhang finns också anledning att nämna arbetet med att digitalt sammanlänka rättskedjan (RIF-arbetet). Rättsväsendets myndig-heter bedriver på uppdrag från regeringen ett omfattande arbete för att utveckla brottmålshanteringen, framför allt genom att skapa möjligheter att utbyta information elektroniskt. Involverade myndigheter är Polis-myndigheten, ÅklagarPolis-myndigheten, Domstolsverket, Kriminalvården, Ekobrottsmyndigheten, Skatteverket, Brottsförebyggande rådet, Tull-verket, Kustbevakningen, Rättsmedicinalverket och Brottsoffermyndig-heten. Arbetet syftar till att skapa ett elektroniskt informationsflöde genom hela rättskedjan. Den pågående utvecklingen skapar alltså goda möjligheter att ytterligare effektivisera myndigheternas verksamheter.

Även detta arbete främjas av en modernisering av regelverket.

Den moderniserade polisdatalagen har på senare tid fått utgöra modell i fråga om innehåll, systematik och struktur när författningsförslag om behandling av personuppgifter i andra delar av rättsväsendet utarbetats. I avsnitt 7.2 behandlas frågan om polisdatalagen bör utgöra modell även för nu aktuell ny lagstiftning.

Det behövs en lag

Personuppgiftslagen gäller generellt för all behandling av personupp-gifter, såvida det inte finns avvikande regler i lag eller förordning. I lagstiftningsärendet som föregick personuppgiftslagen uttalade rege-ringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får till-godoses genom andra författningar, se propositionen Personuppgiftslag (prop. 1997/98:44 s. 40 f.). Sådan författningsreglering, främst i form av s.k. registerförfattningar, har skett utifrån det principiella ställnings-tagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag.

Enligt 2 kap. 6 § andra stycket regeringsformen ska var och en gent-emot det allmänna vara skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet mot intrång får begränsas i lag och bara i den ordning som föreskrivs i 2 kap.

regeringsformen. Bestämmelsen trädde i kraft den 1 januari 2011. Av-görande för om en åtgärd ska anses innebära övervakning eller kart-läggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har, se propositionen En reformerad grundlag (prop. 2009/10:80 s. 250). Som exempel på åtgärder som kan anses innebära kartläggning anges i propo-sitionen som ligger till grund för bestämmelsen bl.a. registrering i polisens register (s. 180). Vid bedömningen av vad som kan anses utgöra

Prop. 2016/17:91

62

ett betydande intrång ska vägas in uppgifternas karaktär och omfattning samt ändamålet med behandlingen och omfattningen av utlämnandet av uppgifter till andra (s. 184).

Regeringen bedömer att en stor del av den behandling av personupp-gifter som måste ske i Tullverkets brottsbekämpande verksamhet kan vara av sådan karaktär att den faller under det förbud mot integritets-intrång som följer av 2 kap. 6 § andra stycket regeringsformen. Det krävs enligt 2 kap. 20–22 §§ regeringsformen reglering i lag för att begränsa skyddet mot integritetsintrång och tillåta den behandling av person-uppgifter som måste ske i Tullverkets brottsbekämpande verksamhet.

Därför föreslår regeringen att den huvudsakliga behandlingen av person-uppgifter i Tullverkets brottsbekämpande verksamhet, liksom i dag, regleras i lag.

Enligt 2 kap. 21 § regeringsformen får sådana begränsningar i lag göras endast för att tillgodose ändamål som är godtagbara i ett demo-kratiskt samhälle och aldrig gå utöver vad som är nödvändigt med hän-syn till det ändamål som har föranlett den. Det är därmed av stor vikt att de förslag som läggs fram i detta avseende uppfyller de nämnda kraven, vilket regeringen bedömer att de gör. I följande avsnitt och vid de enskilda förslagen redovisas närmare de bedömningar av bl.a. integritets-aspekter och proportionalitet som har gjorts.

Sveriges advokatsamfund anser att det borde tas ett samlat grepp avse-ende myndigheters hantering av personuppgifter, t.ex. genom en gemen-sam lag. Regeringen har inte för avsikt att i detta lagstiftningsärende föreslå något sådant. Frågor av detta slag behandlas i betänkandet Myndighetsdatalag (SOU 2015:39). I betänkandet föreslås en myndig-hetsdatalag som kan gälla generellt för alla statliga och kommunala myndigheters personuppgiftsbehandling, dock inte brottsbekämpande verksamhet. Betänkandet har remitterats och bereds för närvarande i Regeringskansliet.

Förslag

Regeringen bedömer således sammanfattningsvis att det finns behov av ändrade regler på området för behandlingen av personuppgifter i Tullverkets brottsbekämpande verksamhet och föreslår att den nuvarande tullbrottsdatalagen ska ersättas av en ny lag.