Skatteverkets remissvar m.m.

S2022/04816

1 Sammanfattning

Skatteverket är mycket positivt till initiativet att modernisera Försäkringskassan och Pensionsmyndighetens särskilda dataskyddsreglering i 114 kap. SFB. Det är av yttersta vikt att den nationella kompletterande dataskyddsregleringen möjliggör att myndigheterna kan utföra sina uppdrag på ett effektivt sätt utan hinder av svårtolkade och obsoleta bestämmelser. Viktigt också att det tydliggörs hur den kompletterande regleringen ska tillämpas i förhållande till grundläggande bestämmelser i EU:s dataskyddsförordning.

Skatteverket avstyrker dock den föreslagna regleringen av ändamål och anser att en bred ändamålsbestämmelse är mer ändamålsenlig. En bred ändamålsbestämmelse kan även bidra till att tydliggöra tillämpningen av vissa grundläggande principer i EU:s dataskyddsförordning och därmed värna det skydd som den enskilde ska ha på ett bättre sätt.

Med anledning av Skatteverkets synpunkter om en bred ändamålsbestämmelse och behovet av att det rättsliga stödet för kontrollåtgärder är tydligt och tillämpningen förutsägbar, lämnas ytterligare synpunkter på hur kontrolländamålet kan utformas. Vissa övriga synpunkter lämnas summariskt i avsnitt 2.5.

Skatteverkets förhoppning är att de lämnade synpunkterna kan bidra till att Försäkringskassan och Pensionsmyndigheten får en modern och ändamålsenlig reglering som tillgodoser deras behov att kunna behandla personuppgifter och att det är väl avvägt i förhållande till det skydd enskilda bör ha vid sådan behandling.

2 Skatteverkets synpunkter

2.1 Föreslagen ändamålsbestämmelse (5.8.1)

Skatteverket avstryker den föreslagna regleringen av ändamål och förordar istället den breda ändamålsbestämmelse som Försäkringskassan och Pensionsmyndigheten har föreslagit i sin hemställan. Bedömningen är att en bred ändamålsbestämmelse är mer ändamålsenlig och skapar bättre förutsättningar för myndigheterna att utföra sina reglerade uppdrag. En ändamålsbestämmelse som anger att en myndighet får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter enligt lag eller förordning tydliggör att det i huvudsak är myndighetens materiella reglering som sätter de yttersta ramarna för myndighetens personuppgiftsbehandling. En sådan reglering är för alla myndigheter mer logisk med utgångspunkt i bestämmelserna om rättslig grund i kompletterande dataskyddslag som fastställer och tydliggör att det är den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen. EU:s dataskyddsförordning ställer inte ett krav på att själva behandlingen av personuppgifter måste regleras (jfr. prop. 2017/18:105, avsnitt 8.2). Det som redan framgår av lag och förordning behöver därför som utgångspunkt inte regleras ytterligare i en myndighets registerförfattning. Mot denna bakgrund menar Skatteverket att det finns goda skäl att ompröva bedömningen om att en bred ändamålsbestämmelse skulle medföra att det inte går att förutse konsekvenserna av myndigheternas behandling av personuppgifter. Tvärtom tydliggör en bred ändamålsbestämmelse att det är de materiella bestämmelserna som sätter gränserna för vilken behandling som är tillåten. En bred ändamålsbestämmelse ger heller inte myndigheterna någon utökad möjlighet att behandla personuppgifter i förhållande till vad som redan framgår av kompletterande dataskyddslag och befintliga materiella bestämmelser. De materiella bestämmelserna avgränsar således myndigheternas möjligheter att behandla personuppgifter.

En bred ändamålsbestämmelse tydliggör även att det är den personuppgiftsansvariga myndigheten som ska fastställa särskilda, uttryckliga angivna och berättigade ändamål enligt artikel 5.1 b EU:s dataskyddsförordning. Skatteverket anser att det är av yttersta vikt att detta inte är otydligt. I utkastet tydliggörs också betydelsen av att ändamål fastställs vid behandling av personuppgifter och att det är av betydelse för en adekvat tillämpning av de grundläggande principerna och andra bestämmelser i EU:s dataskyddsförordning. Utifrån ett mer preciserat ändamål blir det möjligt att avgöra vilka uppgifter som får behandlas, hur länge de får behandlas, vilken information den registrerade ska ha m.m. Med en bred ändamålsbestämmelse tydliggörs såldes att det är den personuppgiftsansvariga myndigheten och inte är lagstiftaren som fastställer särskilda, uttryckligt angivna och berättigade ändamål.

Ett skäl som framförs för den föreslagna ändamålsbestämmelsen är angelägenheten att det finns en förutsägbarhet och transparens avseende personuppgiftsbehandlingen. Skatteverket anser också att det är angeläget. Behovet av förutsägbarhet gäller dock för alla de åtgärder som myndigheterna vidtar oberoende om det är fråga om personuppgiftsbehandling eller inte. Denna förutsägbarhet finns i de materiella regler som myndigheterna tillämpar när de fullgör sina uppdrag och samma bestämmelser utgör även stödet för myndigheternas behandling enligt kompletterande dataskyddslag. En bred ändamålsbestämmelse ger förvisso en sammanfattning av tillåten behandling, men även med den föreslagna bestämmelsen behöver myndigheterna i fler fall fastställa mer preciserade ändamål. Myndigheterna ska enligt EU:s dataskyddförordning även informera om behandlingen av personuppgifter och de registrerade har möjligheten att begära ut s.k. registerutdrag. Allmän information om personuppgiftsbehandlingen finns även på respektive myndighets hemsida. Mot denna bakgrund anser Skatteverket att de materiella bestämmelserna ger en tillräcklig förutsägbarhet och att bestämmelserna i EU:s datasskyddsförordning säkerställer att behandlingen blir transparent i förhållande till den registrerade.

2.2 Risker med den föreslagna ändamålsbestämmelsen (5.8.1)

Skatteverket ser ett behov av att peka på de risker som finns med att föra ett gammalt arv vidare utan närmare bedömning av vilket faktiskt behov av nationella kompletterande bestämmelser som behövs i förhållande till EU:s dataskyddsförordning. Bedömningen är också att skälen till det som föreslås inte har sin grund i någon mer djupgående översyn av behovet av nationella ändamålsbestämmelser utan att det närmast förefaller vara en justering av befintliga ändamålsbestämmelser.

En av riskerna med den föreslagna ändamålsbestämmelsen är att principen om ändamålsbegränsning enligt artikel 5.1 b i EU:s dataskyddsförordning inte får avsedd effekt. Om ett ändamål inte fastställs i enlighet med artikel 5.1 b kan det medföra svårigheter för myndigheterna att tillämpa övriga bestämmelser i EU:s dataskyddsförordning. Denna fråga har särskilt behandlats i betänkandet Myndighetsdatalag SOU 2015:39 (se avsnitt 9.2.3). Så som Skatteverket förstår det kan förslaget utifrån de skäl som framförs tolkas som att ändamålen i bestämmelsen ska anses särskilda, uttryckligt angivna enligt artikel 5.1 b. Två av de angivna ändamålen i den föreslagna bestämmelsen är handlägga ärenden och kontrollåtgärder. Enligt Skatteverkets bedömning behöver ett ändamål preciseras mer för att det ska vara möjligt att exv. avgöra vilka uppgifter som får behandlas eller hur länge uppgifterna får behandlas. Det måste bl.a. anges vilken typ av ärende det är fråga om för att kunna bedöma vilka uppgifter som behövs vid handläggningen eller hur lång tid uppgifterna behöver vara tillgängliga med utgångpunkt i de olika tidsfrister som finns för handläggningen. På motsvarande sätt behöver det för en kontrollåtgärd anges vad kontrollen avser för att kunna bedöma vilka uppgifter som är nödvändiga och någon form av angivelse för hur länge kontrollen ska pågå för att kunna bedöma hur länge uppgifterna behövs. Med en bred ändamålsbestämmelse tydliggörs att myndigheterna behöver fastställa de närmare ändamålen med behandlingen vilket säkerställer en adekvat tillämpning av EU:s dataskyddsförordning.

Ytterligare en risk bestämmelserna medför är att skapa en osäkerhet för andra myndigheter om vilken reglering som faktiskt krävs för att personuppgifter ska få behandlas. I den föreslagna ändamålsbestämmelsen anges att myndigheterna får behandla personuppgifter om det är nödvändigt för att återsöka vägledande avgöranden. Även med vetskapen om att nationella ändamålsbestämmelser utifrån artikel 6.3 i EU:s dataskyddsförordning kan beskrivas som ändamålsbegräsningar uppstår frågan om det är ändamålsenligt eller nödvändigt att särskilt reglera en myndighets eftersökning av vägledande avgöranden? Enligt 3 § myndighetsförordningen (2007:515) framgår att myndighetens ledning har ett ansvar för att verksamheten följer gällande rätt. Enligt 2 § förordning (2009:1173) med instruktion för Pensionsmyndigheten ska myndigheten verka för lagenlighet och enhetlighet vid rättstillämpningen för bestämmande av pensionsgrundande inkomst. Enligt 2 § 6 förordningen (2009:1174) med instruktion för Försäkringskassan ansvar myndigheten för att en kvalificerad kunskapsuppbyggnad sker i fråga om de verksamhetsområden som myndigheten ansvarar för. I 5 § förvaltningslagen (2017:900) anges i första stycket att en myndighet får endast vidta åtgärder som har stöd i rättsordningen. Mot denna bakgrund undrar Skatteverket varför det särskilt behöver regleras att myndigheterna får eftersöka vägledande avgöranden, när det enligt angivna bestämmelser kan anses nödvändigt för att myndigheterna ska kunna följa gällande rätt. Vidare finns frågan om angivande av detta ändamål är konsekvent i förhållande till andra åtgärder som myndigheten vidtar, men som inte anges särskilt i den föreslagna bestämmelsen. Med en bred ändamålsbestämmelse uppstår inte onödig dubbelreglering och skapar heller ingen osäkerhet för andra myndigheter om de överhuvudtaget får eftersöka vägledande avgöranden om det inte finns angivet som ett särskilt ändamål i deras särskilda dataskyddsreglering.

En annan synpunkt rör behovet av ändamålsbestämmelser i förhållande till övriga bestämmelser som styr myndigheternas verksamheter och arbetsuppgifter. I förhållande till artikel 6.3 EU:s dataskyddsförordning beskrivs de nationella kompletterande ändamålsbestämmelserna ofta som ändamålsbegränsningar. I förarbetena för bestämmelser som rör några av Skatteverkets verksamheter beskrivs det som att de angivna ändamålen anger den yttersta ram inom vilken personuppgifterna får behandlas. I samband med anpassningen till EU:s dataskyddsförordning gjordes bedömningen att ändamålsbestämmelserna kunde behållas och att de tillsammans med finalitetsprincipen ger myndigheterna ändamålsenliga möjligheter att behandla personuppgifter och samtidigt minskar risken för obefogade intrång i den personliga integriteten (prop 2017/18:95, avsnitt 9.3). Som Skatteverket förstår det gjordes en liknande bedömning vid anpassningen av författningarna inom Socialdepartementets verksamhetsområde. Regeringens bedömning var bl.a. att ändamålsbestämmelser i registerförfattningar som tillåter behandling av personuppgifter kan och bör behållas. Vidare framfördes att ”[ä]ndamålsbestämmelser i registerförfattningar inom Socialdepartementets verksamhetsområde grundar sig ofta på arbetsuppgifter av allmänt intresse eller rättslig förpliktelse. Arbetsuppgifterna härrör mestadels från uppdrag och 82 åligganden som framgår av olika verksamhetsorienterade författningar, t.ex. hälso- och sjukvårdslagen (2017:30), läkemedelslagen (2015:315), socialtjänstlagen (2001:453), socialförsäkringsbalken och myndigheters instruktioner. Arbetsuppgifterna kan också anges i regeringsbeslut såsom regleringsbrev och andra regeringsuppdrag. Den rättsliga grunden för behandling av personuppgifter för arbetsuppgifter av allmänt intresse är således i de allra flesta fall fastställd genom någon annan rättsakt än registerförfattningen” (prop. 2017/18:171, s. 82f). Mot denna bakgrund kan ändamålsbestämmelserna även beskrivas som en sammanfattning av de materiella regler som styr myndigheternas verksamheter och anger deras arbetsuppgifter. En bred ändamålsbestämmelse som utgår från myndigheternas materiella regler medför mot denna bakgrund ingen egentlig utvidgning av myndigheternas möjligheter att behandla personuppgifter. Det är i första hand när de materiella bestämmelserna ändras på ett sådant sätt att det blir nödvändigt att behandla flera personuppgifter som det blir fråga om en utvidgning.

2.3 Kontrollåtgärder (5.8.2)

Skatteverket instämmer i de bedömningar som görs avseende myndigheternas behov att få utökade möjligheter till att vidta kontrollåtgärder i syfte att säkerställa att felaktiga utbetalningar inte görs, bidragsbrott motverkas och att det ska finnas ett uttryckligt stöd för sådana åtgärder. Med anledning av att Skatteverket förespråkar en bred ändamålsbestämmelse och förslaget om ändamålsbestämmelse har sin utgångspunkt i en äldre regelmodell lämnas ytterligare synpunkter.

I utkastet redogörs på ett förtjänstfullt sätt hur befintliga bestämmelser ofta har sin utgångspunkt i ärendehandläggning och att det finns ett behov av att tydliggöra att myndigheterna behöver kunna vidta kontrollåtgärder utan att det nödvändigtvis är en integrerad del av handläggningen av ett ärende. Behoven är desamma för Skatteverket vilket medfört justeringar av de kompletterande dataskyddsbestämmelserna för folkbokföringsverksamheten vilka träder ikraft den 1 september i år (jfr. förslag i prop. 2022/23:41). Vidare har frågan om analys och urval för kontroll särskilt uppmärksammats i det kommittédirektiv som avser en översyn av de kompletterande dataskyddsbestämmelserna för Skatteverket, Tullverket och Kronofogdemyndigheten (Dir. 2021:104). Vad som är av särskilt intresse är att den bestämmelse, som ska tydliggöra att uppgifter får behandlas för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten, utgör en enskild bestämmelse i förhållandet till övriga angivna ändamål (jfr. 1 kap. 4 a § förslag till lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, prop. 2022/23:41, s. 8). Ändamålsbestämmelsen utvidgar den möjlighet till behandling av uppgifter som får ske enligt 1 kap. 4 § samma lag. Mot denna bakgrund anser Skatteverket att en bestämmelse som avser att ge stöd för kontrollåtgärder som inte utgör en integrerad del av ärendehandläggning med fördel utgör en enskild bestämmelse i förhållande till den breda ändamålsbestämmelsen. Om samma utgångspunkt används i olika registerförfattningar medför det också en bättre enhetlighet när syftet är att tydliggöra stödet för denna typ av kontrollåtgärder.

Skatteverket har även tagit del av Integritetsmyndighetens (IMY) remissvar (IMY-2022–12134) och de synpunkter som avser avsnitt 5.8.3. samt synpunkterna om behovet av ytterligare bestämmelser som stärker skyddet för den personliga integriteten. Skatteverket instämmer i synpunkterna om att den rättsliga grunden (eller lagstiftningsåtgärd) bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den (skäl 41 i EU:s dataskyddsförordning) och att ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart (prop. 2017/18:105, s. 51). En bestämmelse som avser att tydliggöra att stöd för olika kontrollåtgärder som i vissa fall kan omfattas av skyddet i 2 kap. 6 § andra stycket RF bör därför var tydlig. Ett alternativ till IMY förslag kan vara en bestämmelse som lyder:

”Uppgifter får behandlas för att tillhanda information som behövs för att vidta kontrollåtgärder i syfte att förbygga, förhindra och upptäcka felaktiga uppgifter när förmåner och ersättningar beviljas och utbetalas i enlighet med tillämplig lagstiftning.”

Som IMY framför kan viss övrig reglering vara nödvändig för att säkerställa skyddet för den personliga integriteten när myndigheterna utför sina kontrollåtgärder. Vid bedömningen av detta behov bör de skyddsåtgärder som redan följer av EU:s dataskyddsförordning särskilt beaktas. Enligt Skatteverket bör det först vara när de allmänna skyldigheterna för myndigheterna bedöms otillräckliga eller otydliga som ytterligare bestämmelser behövs. De ytterligare regler som har föreslagits för Skatteverkets folkbokföringsverksamhet har sin utgångspunkt i andra specifika bestämmelser för folkbokföringsverksamheten och saknar motsvarighet i detta förslag. Skatteverket kan därför inte rekommendera ett liknande tillvägagångsätt för de berörda myndigheterna. Att föreskriva ett dokumentationskrav för de kontrollåtgärder som vidtas förefaller dock vara en skyddsåtgärd som förekommer i flera fall (jfr 3 kap. 4 § lag om behandling av personuppgifter vid Utbetalningsmyndigheten, prop. 2022/23:34 och 2 a kap. 5 § lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, prop. 2022/23:41). Skatteverket bedömning är att en sådan reglering kan utgöra ett adekvat och tillräckligt skydd då sådan dokumentation visar vilka åtgärder som vidtas, hur uppgifter används och möjliggör tillsyn och annan uppföljning. Skatteverkets bedömning är även att ett sådant krav gör särskild reglering om vilka uppgifter som får användas mindre nödvändig då dokumentationen även tydliggör på vilket sätt principen om uppgiftsminimering tillämpas.

2.4 EU:s dataskyddsförordning ger den enskilde ett bra skydd och medför omfattande skyldigheter för de personuppgiftsansvariga myndigheterna (3.3.2)

Skatteverket vill även understryka att enbart med utgångspunkt i EU:s dataskyddskyddförordning har de berörda myndigheterna långtgående skyldigheter och enskilda ett omfattande skydd. Skatteverkets uppfattning är att behovet av kompletterande nationell reglering i större utsträckning ska bedömas med utgångspunkt i denna bakgrund.

Vad som ytterligare skulle kunna tillföras i avsnitt 3.3.2 - utan att det blir uttömmande - är de allmänna skyldigheter myndigheterna har enligt artikel 24, 25, 30, 32, och 35 samma förordning. Enligt artikel 24 ska myndigheterna kontinuerligt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med bestämmelserna i EU:s dataskyddsförordning. Enligt artikel 25 ska myndigheterna beakta principerna om inbyggt dataskydd och dataskydd som standard som innebär att tillämpliga dataskyddsbestämmelser ska beaktas vid utformningen av IT-stöd och bl.a. att standardinställningar ska medföra att grundläggande principer som uppgiftsminimering och lagringsminimering efterlevs. Artikel 30 innebär att de personuppgiftsansvariga myndigheterna ska föra register över alla behandlingar och ange för vilka ändamål uppgifterna behandlas, beskriva vilka uppgifter som behandlas m.m. Enligt artikel 32 ska myndigheterna göra omfattande säkerhetsbedömningar och löpande vidta de tekniska och åtgärder som behövs för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de identifierade riskerna. Enligt artikel 35 ska myndigheterna dessutom göra särskilda konsekvensbedömningar om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Det är även mot denna bakgrund som bedömningen bör göras om vilka ytterligare kompletterande nationella bestämmelser som behövs när den enskildes rätt till skydd för sin personliga integritet vägs mot myndigheternas behov att behandla personuppgifter.

2.5 Vissa övriga synpunkter på förslaget till ett nytt 114 kap. SFB

5 § - Uppgifter om avlidna.

Skatteverket är tveksam till om den föreslagna regleringen är ändamålsenlig. Om bedömningen är att uppgifter om avlidna också ska ha ett skydd är det mer ändamålsenligt att ange vilka bestämmelser som ska vara tillämpliga även på dessa uppgifter, särskilt om bedömningen redan är att flera centrala bestämmelser inte är tillämpliga på avlidna personer.

11 § - Känsliga personuppgifter.

Skatteverkets anser att den föreslagna bestämmelsen är svåröverskådlig och en annan utformning bör övervägas.

15 § - Gallring.

Skatteverket anser att det bör övervägas att ändra denna reglering och använda sig av begreppet längsta tid för behandling i stället för gallring. Det bör göras en tydlig åtskillnad mellan dataskyddsregler och arkivreglering. Se exv. prop. 2022/23:34, avsnitt 9.9.