Direktivets krav på loggar

Förslag: Det ska i lagen om konto- och värdefackssystem införas en specialbestämmelse för loggning av sökningar som görs för brotts-bekämpande ändamål.

Skäl för förslaget

Direktivet om finansiell information ställer krav på att loggning ska ske varje gång utsedda behöriga myndigheter får åtkomst till och söker i uppgifter i det nationella centraliserade bankkontoregistret.

I direktivets artikel 6.1 anges också vissa uppgifter som särskilt ska ingå i loggarna.

Konto- och värdefackssystemet används både för sådana ändamål som omfattas av EU:s dataskyddsförordning och som faller inom tillämpningsområdet för dataskyddsdirektivet. Den användning av konto- och värdefackssystemet som berörs av direktivet om finansiell information rör sig emellertid uteslutande på dataskyddsdirektivets område. Inom brottsdatalagens område gäller, enligt lagens 3 kap. 5 §, att det vid personuppgiftsbehandling i automatiserade behandling-system ska föras loggar. Med automatiserade behandlingbehandling-system avses sådana särskilt för verksamheten utformade eller anpassade it-system där personuppgifter behandlas mer eller mindre strukturerat, såsom dokument- och ärendehanteringssystem och olika typer av register och databaser. Konto- och värdefackssystemet är ett sådant automatiserat behandlingsystem och i systemet behandlas person-uppgifter.

Skyldigheten att föra loggar preciseras vidare i 3 kap. 4 § brotts-dataförordningen (2018:1202) till att omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredje-land eller internationella organisationer, sammanföring och radering av personuppgifter. Det framgår av samma paragraf att loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen

och, så långt det är möjligt, vem som har läst eller lämnat ut person-uppgifterna och vem som har fått ta del av personperson-uppgifterna. De krav som uppställs i direktivet om finansiell information på vad loggarna ska omfatta går dock längre än så och omfattar även referensnummer för akten eller ärendet, den uppgift som användes för att söka, uppgift om svar, vilken myndighet som genomfört sökningen samt en unik användaridentitet för den som gjorde sökningen. Det finns mot denna bakgrund ett behov av en kom-pletterande reglering avseende loggning av sökningar i systemet för att motsvara direktivets krav.

Att Skatteverket som systemansvarig myndighet ska se till att det förs loggar över de personuppgifter som behandlas i konto- och värdefackssystemet framgår av 7 § lagen om konto- och värde-fackssystem. I lagens förarbeten framhålls att Skatteverkets nya verksamhet som systemansvarig myndighet för konto- och värde-fackssystemet endast utgör ett led i en teknisk bearbetning eller teknisk lagring för någon annans räkning, dvs. de myndigheter som ska få tillgång till uppgifter i systemet. Skatteverket har dock, som systemansvarig myndighet, en skyldighet att se till att bara behöriga befattningshavare har tillgång till konto- och värdefackssystemet vilket innebär att verket ska se till att myndigheternas sökningar i systemet kan kontrolleras samt att obehöriga personer inte får tillgång till systemet. Skatteverket är därför – i den utsträckning en sådan skyldighet inte redan följer av brottsdatalagen – skyldigt att föra loggar som visar så detaljerad information som behövs för att kunna utreda eventuell obehörig tillgång till eller sökningar i systemet. Denna loggning har bedömts vara en osjälvständig del av den tekniska förvaltningen av systemet, vilken inte ger upphov till allmänna handlingar. Det kan ifrågasättas om loggningsskyldigheten hos den systemansvariga myndigheten kan utökas på sätt som krävs enligt direktivet om finansiell information utan att Skatteverket tar del av de sökande myndigheternas verksamhetsinformation i en om-fattning som inte är önskvärd av vare sig de sökande myndigheterna eller av Skatteverket som systemansvarig myndighet. En hantering som innebär att den systemansvariga myndigheten för detaljerade loggar, som sedan antingen kontrolleras av myndighetens personal eller som lämnas ut till respektive sökande myndighet för kontroll, skulle med stor sannolikhet också innebära att loggarna utgör all-männa handlingar.

Syftet med de detaljerade krav på loggning av sökningar som uppställs i direktdrivet är övervakning av dataskyddet, inbegripet kontroll av om en begäran är tillåten och om uppgifter har behandlats på ett lagligt sätt. Information om behörigheter och den verksamhetskännedom som krävs för att kunna följa upp tillåtlig-heten av en viss sökning finns inom respektive sökande myndighet.

Inom respektive myndighet finns också personuppgiftsansvaret avseende den behandling som myndighetens sökningar i systemet och efterföljande hantering av uppgifterna innebär. Den uppföljning och kontroll som kan behövas för att säkerställa tillåtligheten av sökningar och laglighet i personuppgiftsbehandlingen bör alltså ske inom respektive myndighet. Med den utgångspunkten är det inte lämpligt att utöka den systemansvariga myndighetens loggnings-ansvar för sökningar för att uppfylla direktivets krav. Denna skyldig-het bör i stället ligga på respektive myndigskyldig-het som använder systemet för att genomföra sökningar.

BDL och BDF (eller i undantagsfall lagen om Säkerhetspolisens behandling av personuppgifter, med tillhörande förordning) är tillämpliga i de sökande myndigheternas respektive verksamhet.

Eftersom de tillämpliga bestämmelserna i dessa regelverk inte fullt ut motsvarar direktivets krav behöver de kompletteras. Detta skulle kunna ske genom införandet av en specialbestämmelse i respektive sökberättigad myndighets registerförfattning inom brottsdatalagens område. Tidigare har framhållits vikten av ett sammanhållet och överskådligt regelverk avseende hanteringen av uppgifter i konto- och värdefackssystemet. Det finns redan i lagen om konto- och värdefack en bestämmelse om sådan loggning som den system-ansvariga myndigheten är skyldig att utföra. För att på ett samman-hållet sätt reglera hanteringen av uppgifter i konto- och värdefacks-systemet finns därför skäl att i stället införa en sådan bestämmelse där, i anslutning till myndigheternas rätt att söka och ta del av uppgifter. Vi anser därför att det i lagen om konto- och värdefacks-system bör införas en specialbestämmelse för loggning av sådana sökningar som görs för brottsbekämpande ändamål enligt den före-slagna nya paragrafen.

Brottsdatalagen är subsidiär till annan lag, vilket framgår av 1 kap.

5 § BDL. En specialbestämmelse om loggning av sökningar i lagen om konto- och värdefackssystem hade kunnat komplettera regleringen genom att ange vilka uppgifter som ska loggas utöver det

som redan gäller enligt BDL och BDF. Med hänsyn till vad som tidigare framhållits om fördelarna med ett samlat och överskådligt regelverk anser vi dock att specialbestämmelsen om sökloggar i lagen om konto- och värdefackssystemet samlat bör ange alla de uppgifter som loggarna måste omfatta.

Vidare ställs i direktivet, artikel 6.2, krav på att loggarna regel-bundet ska kontrolleras av dataskyddsombuden vid de centraliserade bankkontoregistren samt göras tillgängliga för behöriga tillsyns-myndigheter i enlighet med artikel 41 i direktiv (EU) 2016/680. I en svensk kontext, med den tekniska lösning som valts i konto- och värdefackssystemet, kommer viss loggning att ske genom Skatte-verkets försorg och viss loggning att ske hos de myndigheter som genomför sökningar i systemet. Regelbunden kontroll av loggarna får vid dessa förhållanden göras av dataskyddsombuden vid respek-tive myndighet. Med hänsyn till de undersökningsbefogenheter som tillsynsmyndigheten har enligt 5 kap. 5 § BDL, respektive 7 kap. 3 § lagen om Säkerhetspolisens behandling av personuppgifter, krävs inget ytterligare för att tillgodose direktivets krav på att loggarna ska kunna göras tillgängliga för tillsynsmyndighet.

De myndigheter som förvaltar centraliserade bankkontoregister ska, enligt direktivets artikel 6.4, vidta lämpliga åtgärder för att göra personalen medveten om tillämpliga regelverk, inklusive data-skyddsbestämmelser, inbegripet program för särskild utbildning.

Skatteverket är en svensk myndighet med erfarenhet av behandling av personuppgifter och dataskydd avseende stora uppgiftsmängder.

Myndigheten pekades ut som en lämplig systemansvarig myndighet för konto- och värdefackssystemet just mot bakgrund av dess erfarenhet av att administrera omfattande och komplexa it-system och hantera stora mängder information⁶. Att den systemansvariga myndigheten ser till att personal som hanterar konto- och värde-fackssystemet har fått tillräcklig kunskap om tillämpliga regelverk är en del av det uppdrag som åvilar myndigheten i egenskap av person-uppgiftsansvarig för den behandling som sker i systemet. Genom den svenska modellen för myndighetsstyrning och den befintliga regleringen avseende dataskydd, får de krav som uppställs i direktivets artikel 6.4 anses tillgodosedda.

6 Prop. 2019/20:83, s. 30

5 Bakgrund – utbyte av finansiell