Skatteverkets remissvar m.m.

Ju2021/00584

1 Sammanfattning

Skatteverket tillstyrker i allt väsentligt de föreslagna bestämmelserna. Skatteverket anser dock att den föreslagna bestämmelsen om loggning i 3 a § andra och tredje stycket lagen (2020:272) om konto- och värdefackssystem ska gälla även för de sökningar som görs med stöd av den föreslagna lydelsen i 3 § samma lag.

Skatteverket lämnar vidare synpunkter på några av förslagen. Synpunkterna gäller förslag till ändringar, förtydliganden m.m.

2 Skatteverkets synpunkter

2.1.1 Avsnitt 4.5.4 ang. krav på loggar

Utredningen lämnar förslag om utökat krav på förande av logg avseende dataskydd för anslutande brottsbekämpande myndigheter med anledning av det detaljerade krav på loggning som följer av direktivet. Skatteverket anser att motsvarande krav ska omfatta alla myndigheter som är anslutna eftersom samtliga ges samma tekniska möjlighet att söka i konto- och värdefackssystemet (Mekanismen) och få tillgång till uppgifter om enskilda personer och deras ekonomiska förhållanden. Det föreligger ingen skillnad i det intrång en sökning medför för enskilda och möjligheten att kontrollera användningen av Mekanismen vid respektive myndighet ska därför inte skilja sig åt. Att behandlingen av personuppgifter vid anslutande myndigheter ska loggas får anses som en självklarhet även i de fall det inte är fråga om brottsbekämpande myndigheter med utgångspunkt i de överväganden personuppgiftsansvarig ska göra om säkerhet enligt EU:s dataskyddsförordning. Vidare är det dataskyddsombudet vid respektive myndighet eller myndigheten själv som vid behov har att följa upp och kontrollera behörigas behandling av personuppgifter. Skatteverket anser därför att det inte finns skäl till att kraven ska skilja sig åt mellan anslutande myndigheter och anser därför att utredningens förslag på förande av loggar avseende dataskydd ska omfatta samtliga anslutande myndigheter.

Förslagsvis kan bestämmelsen om förande av logg göras till en egen paragraf (3 b §) som avser de sökningar som myndigheterna gör enligt 3 § och den föreslagna 3 a §.

2.1.2 Avsnitt 4.5.4 ang. Skatteverkets ansvar för att personal som hanterar Mekanismen har fått tillräcklig kunskap om tillämpliga regelverk

Utredningen framför att den systemansvariga myndigheten bör se till att personal som hanterar Mekanismen har fått tillräcklig kunskap om tillämpliga regelverk, detta eftersom det utgör en del av det uppdrag som åvilar myndigheten i egenskap av personuppgiftsansvarig för den behandling som sker i systemet. Skatteverket har bara sådant ansvar när det rör de behandlingar som myndigheten själv utför. Skatteverket är personuppgiftsansvarig för förmedlingen av frågor och svar och de sökningar som myndigheten i egenskap av behörig myndighet genomför. När det gäller övrig behandling av personuppgifter är Skatteverket inte personuppgiftsansvarig.

I avsnitt 4.5.4 anger utredningen följande. ”Information om behörigheter och den verksamhetskännedom som krävs för att kunna följa upp tillåtligheten av en viss sökning finns inom respektive sökande myndighet. Inom respektive myndighet finns också personuppgiftsansvaret avseende den behandling som myndighetens sökningar i systemet och efterföljande hantering av uppgifterna innebär.” Med utgångspunkt i den lösning som har valts för Sverige får det, enligt Skatteverkets mening, anses som självklart att respektive myndighet ska sörja för den utbildning som avses i artikel 6.4 i direktivet. Syftet med bestämmelsen kan fullt ut uppnås genom åtgärder av respektive myndighet och inte vara Skatteverkets ansvar.

Skulle uppfattningen trots allt vara att Skatteverket ska säkerställa att sådan utbildning sker måste det tydliggöras att Skatteverket genom sitt bemyndigande kan besluta föreskrifter om att anslutande myndigheter ska ta fram och genomföra adekvat utbildning om hur deras anställda får använda Mekanismen.

2.2 Tystnadsplikt/meddelandeförbud

När en sökning görs i Mekanismen inom ramen för brottsbekämpning ska enligt förslaget till 3 a § lagen om konto- och värdefackssystem rätten att göra en sökning inte avgöras av om det enligt annan författning finns en s.k. frågerätt. Rätten att göra en sökning i Mekanismen ska således framgå direkt av den nyss nämnda bestämmelsen och har således frikopplats från frågerätten. Genom utvidgningen kommer Säkerhetspolisen, till skillnad från vad som nu är fallet, att kunna använda Mekanismen vid brottsutredningar och vid den myndighetens underrättelseverksamhet begränsas inte behörigheten till penningtvätt och terrorismfinansiering. Flera myndigheter får också genom förslaget tillgång till Mekanismen i sin underrättelseverksamhet.

I 4 kap. 9 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism finns en bestämmelse om tystnadsplikt i anslutning till den frågerätt som framgår av 6 § i nämnda kapitel. Vidare finns i 1 kap. 12 § lagen (2004:297) om bank- och finansieringsrörelse en möjlighet för en undersökningsledare att besluta om meddelandeförbud vid utövandet av den frågerätt som framgår av 11 § i samma kapitel.

Genom att rätten till en sökning i Mekanismen inte längre ska vara beroende av en frågerätt kan det ifrågasättas om ovan nämnda bestämmelser om tystnadsplikt och meddelandeförbud är tillämpliga när en sökning har gjorts i Mekanismen av Säkerhetspolisen, Finanspolisen eller en undersökningsledare i en förundersökning. När det gäller underrättelseverksamhet som inte bedrivs av Säkerhetspolisen eller Finanspolisen finns över huvud taget inget förbud för ett institut att meddela en kund om att en sökning har gjorts i Mekanismen.

Enligt Skatteverkets mening bör det övervägas om det i lagen om konto- och värdefackssystem ska tas in en bestämmelse som innebär att ett institut är förhindrat att meddela sin kund om att en sökning har gjorts i Mekanismen. Intresset av en sådan bestämmelse kan i och för sig sägas väga olika tungt beroende på vem som har ställt frågan. Skatteverket förespråkar dock att ett sådant förbud bör gälla för alla sökningar som görs i Mekanismen.

Förslagsvis kan en bestämmelse tas in i en ny 3 c § enligt följande.

Ett institut samt dess styrelseledamöter och anställda får inte röja för kunden eller för någon utomstående att en myndighet har gjort en sökning i konto- och värdefackssystemet.

2.3 Förebygga, upptäcka och utreda

I direktivet fastställs bl.a. åtgärder för att underlätta behöriga myndigheters åtkomst till och användning av uppgifter om bankkonton för att förebygga, upptäcka, utreda och lagföra allvarliga brott (artikel 1). I avsnitt 3.2 i promemorian anges att det finns skäl att skilja på dels utredande och lagförande verksamhet (förundersökningsverksamhet), dels verksamhet som syftar till att förebygga och upptäcka brott (underrättelseverksamhet). I den nu föreslagna 3 a § i lagen om konto- och värdefackssystem regleras förundersöknings­verksamhet i punkten 1 medan punkten 2 avser underrättelseverksamhet. I punkten 2 anges dock ”[…]förebygga, upptäcka och utreda sådan brottslighet […]”. Eftersom ordet utreda får anses avse något annat än underrättelseverksamhet uppfattar Skatteverket att det ordet bör lyftas ut från punkten 2.

2.4 Skattebrott

Medan punkten 1 i den föreslagna 3 a § i lagen om konto- och värdefackssystem avser förundersökning i brottmål finns det en begränsning i punkten 2 eftersom möjligheten att söka i Mekanismen begränsas till underrättelseverksamhet avseende brott som finns upptagna i en bilaga till den s.k. Europolförordningen (i direktivet betecknas dessa brott som ”allvarliga brott”). I den aktuella bilagan finns ett stort antal brott omnämnda, dock inte skattebrott. Detta skulle kunna tala för att Mekanismen inte får användas för att förebygga och upptäcka skattebrott. Som anges i promemorian (s. 53) är skattebrott det mest centrala brottet för Skatteverkets underrättelseverksamhet. Skatteverket får dock bedriva underrättelseverksamhet gällande penningtvättsbrott, vilket är en brottstyp som finns upptagen i bilagan. På s. 79 i promemorian sägs att Skatteverket har en särställning inom underrättelseverksamhet avseende skattebrott, att skattebrott inte sällan utgör förbrott till penningtvätt och att det därför finns ett värde i att även Skatteverkets underrättelse­verksamhet ges möjlighet att söka i systemet avseende brott som faller inom direktivets område. Lite längre ned på samma sida anges att det förtjänar att upprepas att Skatteverkets möjlighet att söka i och ta del av uppgifter för underrättelseändamål kommer att vara begränsad till sådana allvarliga brott som omfattas av direktivet. Skatteverket uppfattar att avsikten är att Skatteverkets underrättelse­verksamhet genom förslaget ges möjlighet att söka i Mekanismen för att förebygga och upptäcka skattebrott, detta eftersom skattebrott är så nära kopplat till brott enligt lagen (2014:307) om straff för penningtvättsbrott. Skatteverkets uppfattning är också att så bör vara fallet och det framstår som önskvärt att detta klargörs på ett tydligare sätt under det fortsatta beredningsarbetet.

2.5 Förtydligande av hur den tekniska plattformen och den verksamhet den medför förhåller sig till övrig verksamhet hos Skatteverket

Skatteverket har utvecklat en teknisk plattform som ger anslutande myndigheter tillgång till information hos institut. För att tillmötesgå de krav som framförts i förarbetena om loggning, förtydligande om att logg inte förs för annans räkning och önskemål från anslutande myndigheter om skydd av verksamhetsinformation, loggas relevanta aktiviteter av Skatteverket. Däremot loggas inte frågors innehåll eller svar. Fullständig logg avseende innehåll erhålls genom kompletterande logg hos anslutande myndighet och institut. Det bör i sammanhanget även tydliggöras att förande av logg kan ske för olika syften. Utöver logg för behandlingen av personuppgifter förs logg bl.a. för att säkerställa att kommunikationen i plattformen är säker och sker utan påverkan. En fullständig logg innehållande verksamhetsinformation från myndighet och uppgifter från institut hade hos Skatteverket utgjort allmänna handlingar.

Vad gäller den verksamhet förmedlingen av frågor och svar innebär utgör innehållet i fråga och svar inte en allmän handling vid Skatteverket, jfr 2 kap. 13 § tryckfrihetsförordningen. Vidare har det i förarbetena framförts att den nya verksamheten (systemansvarig myndighet) ska vara organisatoriskt åtskild från sådan verksamhet inom myndigheten som ska få tillgång till uppgifter i systemet, jfr prop. 2019/20:83 sid. 30. Loggningen som sker enligt 7 § lagen om konto- och värdefackssystem beskrivs också vara en osjälvständig del av den tekniska förvaltningen av systemet, jfr det som sägs på sid. 96 i promemorian. Verksamheten innebär också att vissa handlingar upprättas för exempelvis information om plattformen jämte nödvändig administration vid anslutning av myndigheter och institut. Som Skatteverket förstår det kan den verksamhet som systemansvarig myndighet utgör betraktas som en egen verksamhetsgren. Skatteverket önskar att det tydliggörs i den fortsatta beredningen av detta lagstiftningsärende hur verksamheten ska förhålla sig till övriga verksamhetsgrenar vid Skatteverket då det är svårt att göra en säker bedömning med utgångspunkt i de uttalanden som tidigare har gjorts i förarbetena.

2.6 Skatteverkets bemyndigande att besluta föreskrifter måste tydliggöras

Skatteverket har genom lagen om konto- och värdefackssystem fått ansvaret att tillhandahålla en teknisk plattform som ger myndigheter tillgång till uppgifter om innehavare av konton och värdefack hos institut. Som Skatteverket förstår sitt ansvar som systemansvarig innebär det att verket ska utveckla och driftsätta en plattform för kommunikation där samtliga tre parter (anslutande myndighet, systemansvarig myndighet och institut) i olika utsträckning, men sammantaget tar fram det faktiska it-stöd som krävs för att realisera den tekniska plattformen. Den tekniska plattformen i sin helhet utgörs således inte enbart av det it-stöd som Skatteverket självt utvecklat och administrerar. Skatteverket har fått ett bemyndigande om att meddela föreskrifter som vid behov kan tillämpas för att tydliggöra krav på funktionalitet och åtgärder som institut och anslutande myndigheter måste uppfylla och vidta för att den tekniska plattformen ska vara fullständig (exempelvis krav på format, drift och adekvat säkerhet). Skatteverket får följaktligen besluta om föreskrifter som rör förhållanden hos institut eller myndigheter för att möjliggöra en teknisk plattform för kommunikation mellan myndigheter och institut.

I samband med remisshanteringen av föreskrifter har det inkommit synpunkter som har ifrågasatt Skatteverkets möjligheter att utfärda föreskrifter om krav på loggar i instituts och myndigheters it-stöd för att plattformens säkerhet ska kunna kontrolleras vid behov. För att tydliggöra Skatteverkets bemyndigande och säkerställa att myndigheten har den rådighet över omständigheter som systemansvaret kräver önskar Skatteverket att innebörden av myndighetens bemyndigande förtydligas i den fortsatta beredningen av detta lagstiftningsärende.

2.7 Skatteverkets beskattningsverksamhet måste kunna lämna ut uppgifter på medium för automatiserad behandling i större omfattning än för närvarande

Utredningens uppdrag har varit att överväga hur direktivet bör genomföras i svensk rätt. Skatteverkets beskattningsverksamhets användning av Mekanismen medför dock ett behov av ytterligare regelförändring som avser ledet efter att en sökning har gjorts när fler uppgifter behöver begäras in inom ramen för ett s.k. tredjemansföreläggande. Nuvarande reglering utgör ett hinder i nästkommande led för Skatteverkets beskattningsverksamhet att använda sig av it-lösningar som effektiviserar handläggningen av ärenden i sin helhet. Skatteverket lämnar därför ett förslag i detta remissvar i syfte att möjliggöra effektivare och säkrare handläggning för samtliga parter i den fortsatta handläggningen av ett ärende.

I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet anges att uppgifter i beskattningsdatabasen får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det, jfr 2 kap. 6 §. I förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet anges ett antal fall när uppgifter få lämnas ut i sådan form, jfr 9-13 §§.

Skatteverket har ett mycket stort behov av att få lämna ut uppgifter på medium för automatiserad behandling i större omfattning. Detta behov är direkt kopplat till de skäl som framförs med anledning av införandet av Mekanismen, som ska syfta till att möjliggöra en effektiv och säker hantering av information. För att Skatteverket efter en sökning i Mekanismen ska kunna fortsätta använda sig av it-lösningar vid sin kommunikation med institut behövs ytterligare föreskrifter. Det är ineffektivt och inte tidsenligt att tvingas kommunicera med berörda parter brevledes när it-lösningar finns tillgängliga som är effektivare och säkrare.

För att möjliggöra utlämnande i angiven form och skapa en effektivare och säkrare hantering för samtliga parter föreslår Skatteverket att en ny bestämmelse införs i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Av 9 § samma förordning framgår redan att utlämnande bara får ske om det inte finns hinder enligt någon författning.

Förslagsvis kan en bestämmelse utformas få följande sätt.

Uppgifter om en enskild får lämnas ut till en annan enskild vid utredningen av ett ärende enligt skatteförfarandelagen (2011:1244) om utlämnandet kan ske på ett säkert sätt.