Regeringskansliets rättsdatabaser

Beslut vid regeringssammanträde den 26 januari 2023 Utvidgning av uppdraget Regeringen beslutade den 28 april 2022 kommittédirektiv om förbättrade möjligheter att utbyta information med brottsbekämpande myndigheter (dir. 2022:37). Enligt direktiven ska en särskild utredare lämna förslag på förbättrade möjligheter till informationsutbyte mellan brottsbekämpande myndigheter och vissa andra statliga och kommunala myndigheter samt enskilda huvudmän för fristående skolor. Syftet är att arbetet med att förebygga och bekämpa brott ska effektiviseras genom att möjligheterna att utbyta information förbättras i så stor utsträckning det är möjligt utan att det medför ett oproportionerligt intrång i enskildas personliga integritet. Det behövs mönsterbrytande åtgärder för att förebygga och bekämpa brottsligheten. Utredaren ska därför, utöver vad som framgår av de ursprungliga direktiven • ta ställning till hur det kan inrättas en huvudregel i sekretesslagstiftningen som innebär att de myndigheter och andra aktörer som omfattas av uppdraget ska kunna utbyta information med brottsbekämpande myndigheter när det behövs för att förebygga och bekämpa brott, • oavsett bedömning i sak, lämna författningsförslag som innebär en sådan ny huvudregel, • identifiera vilka rättsliga begränsningar som finns för ett elektroniskt informationsutbyte mellan de aktörer som omfattas av uppdraget och som berörs av utredningens förslag, och • ta ställning till om begränsningarna bör tas bort och, oavsett bedömning i sak, lämna författningsförslag som innebär att informationsutbytet kan ske elektroniskt. Utredningstiden ligger fast. Uppdraget ska alltså redovisas senast den 31 oktober 2023. Förslag som innebär en ny huvudregel i sekretesslagstiftningen Regeringens offensiv mot organiserad brottslighet innebär bland annat att det ska införas en ny huvudregel i sekretesslagstiftningen. Myndigheter måste kunna dela information med brottsbekämpande myndigheter när det behövs för att förebygga och bekämpa brott. Ett sätt att inrätta en ny huvudregel i sekretesslagstiftningen är genom en separat reglering om uppgiftsskyldighet vid sidan av offentlighets- och sekretesslagen (2009:400). Lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet är ett exempel på en sådan typ av reglering. Den lagen reglerar en uppgiftsskyldighet för de myndigheter som framgår av 2 § förordningen (2016:775) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Utredaren ska, utöver vad som framgår av de ursprungliga direktiven • ta ställning till hur det kan inrättas en huvudregel i sekretesslagstiftningen som innebär att de myndigheter och andra aktörer som omfattas av uppdraget ska kunna utbyta information med brottsbekämpande myndigheter när det behövs för att förebygga och bekämpa brott, och • oavsett bedömning i sak, lämna författningsförslag som innebär en sådan ny huvudregel. Utredarens förslag om en ny huvudregel ska som utgångspunkt innebära en uppgiftsskyldighet för de myndigheter och andra aktörer som omfattas av de ursprungliga direktiven. Om utredaren bedömer att en uppgiftsskyldighet inte är lämplig för någon eller några av myndigheterna eller aktörerna får utredaren lämna alternativa förslag på hur dessa ska kunna utbyta information med brottsbekämpande myndigheter när det behövs för att förebygga och bekämpa brott. Bättre förutsättningar för ett effektivt informationsutbyte Elektroniskt utlämnande En välfungerande samverkan mellan myndigheter för att förebygga och bekämpa brott förutsätter att det finns ett regelverk som gör det möjligt att utbyta information på ett effektivt sätt. Även om sekretesslagstiftningen medger att information utbyts krävs att formerna för informationsutbytet kan ordnas på ett ändamålsenligt sätt. Att uppgifter kan utbytas elektroniskt är i princip en förutsättning för ett effektivt informationsutbyte. Om en myndighet ska eller får lämna ut uppgifter är det normalt upp till myndigheten att avgöra på vilket sätt det ska göras (se t.ex. prop. 2000/01:33 s. 112). När det gäller elektroniskt utlämnande skiljer man i regel mellan direktåtkomst och annat elektroniskt utlämnande (ibland kallat utlämnande på medium för automatiserad behandling). Den tekniska utformningen av en myndighets system för utlämnande av uppgifter kan bli avgörande för om utlämnandet rättsligt är att betrakta som direktåtkomst eller som annat elektroniskt utlämnande. Det finns i dag tekniskt större likheter än skillnader mellan de två olika lösningarna. Begreppet direktåtkomst definieras inte i någon lag eller annan författning. Det som vanligtvis avses är dock att en myndighet har direkt tillgång till en annan myndighets register eller databas och på egen hand kan söka efter information, men utan att kunna påverka innehållet. Begreppet brukar också anses innefatta att den som ansvarar för databasen eller registret inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Om en myndighet ges direktåtkomst till uppgifter i en annan myndighets databas eller register, innebär det att alla uppgifterna redan i och med tillgängliggörandet kan betraktas som allmänna handlingar hos den mottagande myndigheten. Detta skapar ofta en mängd överskottsinformation som kan medföra merarbete för den mottagande myndigheten, t.ex. genom att uppgifterna begärs ut från den mottagande myndigheten. Uppgifterna kan också få ett sämre sekretesskydd hos den mottagande myndigheten. Möjligheten till direktåtkomst ökar riskerna för intrång i den personliga integriteten eftersom det typiskt sett innebär att uppgifter blir tillgängliga för fler personer och att den utlämnande myndighetens möjligheter att kontrollera hur uppgifterna används minskar. Elektroniskt utlämnande av uppgifter på annat sätt än genom direktåtkomst kan exempelvis ske genom att uppgifterna lämnas ut genom filöverföring mellan it-system eller per e-post. Informationsutbytet kan också ske automatiskt, exempelvis genom en s.k. fråga-svarstjänst i en app. Det finns flera fördelar med att uppgifter utbyts på annat sätt än genom direktåtkomst, inte minst att det innebär mindre integritetsrisker. Dessutom minskar risken för att överskottsinformation uppstår hos den mottagande myndigheten och ingen annan information än den som faktiskt lämnas över till mottagaren kan betraktas som allmän handling där. Elektroniskt utlämnade av uppgifter från en myndighet till en annan sker därför allt oftare på annat sätt än genom direktåtkomst. Ett exempel på detta är brottsbekämpande myndigheters åtkomst till uppgifter i beskattningsdatabasen. Det är sannolikt att en stor del av myndigheternas behov kan tillgodoses genom annat elektroniskt utlämnande än direktåtkomst. Programmet eSam, som är ett samverkansprogram mellan 34 myndigheter, rekommenderar också att nya system utformas för annat elektroniskt utlämnande än direktåtkomst. Förslag som skapar förutsättningar för automatiserat informationsutbyte För att uppgifter ska få lämnas ut elektroniskt krävs inget särskilt lagstöd. I den EU-rättsliga dataskyddslagstiftningen finns det heller inget uttryckligt hinder mot att personuppgifter lämnas ut elektroniskt. Den personuppgiftsansvarige är dock skyldig att säkerställa en lämplig säkerhetsnivå i förhållande till de risker som en sådan digital hantering kan medföra (jfr artikel 5.1 f och artikel 32 i dataskyddsförordningen samt artikel 4.1 f och artikel 29 i brottsdatadirektivet). För många myndigheter, däribland Polismyndigheten, gäller att personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Det anses normalt inte olämpligt att lämna ut personuppgifter elektroniskt till myndigheter. För vissa myndigheter finns dock mer restriktiva bestämmelser som begränsar möjligheten att lämna ut personuppgifter elektroniskt till vissa situationer. Detta gäller t.ex. Försäkringskassan, Pensionsmyndigheten och Centrala studiestödsnämnden. Sådana bestämmelser har tidigare motiverats av den risk som ett elektroniskt utlämnande skulle kunna innebära för otillbörligt intrång i enskildas integritet. Den aktör som tar emot uppgifter har dock inte rättsligt stöd för att behandla uppgifterna annat än i enlighet med gällande dataskyddsreglering. Riskerna för att mottagande myndigheter ska behandla personuppgifter som hämtas in elektroniskt på ett sätt som inte är avsett ska därför inte överdrivas. Det kan således ifrågasättas om bestämmelser som begränsar möjligheterna att lämna ut uppgifter elektroniskt till vissa situationer bör finnas kvar. Mot denna bakgrund ska utredaren, utöver vad som framgår av de ursprungliga direktiven • identifiera vilka rättsliga begränsningar som finns för ett elektroniskt informationsutbyte mellan de myndigheter och andra aktörer som omfattas av uppdraget och brottsbekämpande myndigheter, och • ta ställning till om begränsningarna bör tas bort och, oavsett bedömning i sak, lämna författningsförslag som innebär att informationsutbytet kan ske elektroniskt. För att elektroniskt utlämnande ska kunna ske automatiserat krävs förutom rättsliga förutsättningar att myndigheterna träffar överenskommelser och att tekniska lösningar utvecklas. Sådana frågor omfattas inte av utredarens uppdrag. Redovisning av uppdraget Utredningstiden ligger fast. Uppdraget ska alltså redovisas senast den 31 oktober 2023. (Justitiedepartementet)