Regeringskansliets rättsdatabaser

Dir. 2024:125 Kommittédirektiv Användning av vissa verktyg för att skydda EU:s finansiella intressen Beslut vid regeringssammanträde den 12 december 2024 Sammanfattning En särskild utredare ska undersöka de rättsliga förutsättningarna för svenska myndigheter att använda riskbedömningsverktyget Arachne och uppfylla kraven enligt den omarbetade budgetförordningen, bl.a. skyldigheterna inom ramen för systemet för tidig upptäckt och uteslutning (Edes), för att motverka felaktiga utbetalningar och bedrägerier i samband med hantering av EU-medel. Utredaren ska bl.a. * kartlägga vilka uppgifter myndigheterna skulle få tillgång till, registrera eller annars utbyta vid en användning av Arachne och inom ramen för Edes, samt vilken tillgång andra aktörer skulle få till uppgifterna, * kartlägga och bedöma vilka skyldigheter som svenska myndigheter skulle ha vid en användning av Arachne och inom ramen för Edes, * utifrån kartläggningen bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna använda Arachne och uppfylla sina skyldigheter inom ramen för Edes, * lämna nödvändiga författningsförslag. Uppdraget ska redovisas senast den 19 november 2025. Att motverka felaktiga utbetalningar, dubbelfinansiering och andra oegentligheter är centralt för skyddet av EU:s finansiella intressen Det är viktigt att de svenska myndigheter som deltar i genomförandet av EU:s budget har ändamålsenliga system för att säkerställa tillgång till den information som behövs för att göra riskbedömningar av stödsökande och slutliga stödmottagare, och för att i efterhand kontrollera dessa. Bristfälliga kontroller av de stödsökande riskerar att leda till felaktiga utbetalningar av EU-medel. I dagsläget saknar myndigheterna tillräckliga möjligheter att strukturerat och regelmässigt utbyta och samköra uppgifter om utbetalda medel och stödsökande respektive slutliga stödmottagare. Detta medför svårigheter att kontrollera riktigheten i vissa ingivna underlag som ligger till grund för beslut om stöd. Ett förbättrat informationsutbyte mellan myndigheterna kan därför bidra till att förebygga och motverka otillåten dubbelfinansiering och andra typer av bedrägerier. Riskbedömningsverktyget Arachne och systemet för tidig upptäckt och uteslutning (Edes) Arachne är ett verktyg för riskbedömning som Europeiska kommissionen har utvecklat för att hjälpa medlemsstaternas myndigheter att kontrollera och följa upp användningen och förvaltningen av EU-medel. För närvarande är användningen av Arachne frivillig, och tjänsten tillhandahålls kostnadsfritt av kommissionen. Systemet för tidig upptäckt och uteslutning (Edes) inrättades 2016 och syftar till att göra det lättare att tidigt upptäcka personer eller aktörer som konstaterats utgöra en risk för EU:s ekonomiska intressen, och utesluta dem från att ta del av EU-medel. En uteslutning kan gälla i upp till fem år. Systemet omfattar i dag hantering av EU-medel inom s.k. direkt och indirekt förvaltning, dvs. medel som EU-institutioner eller deras partnerorganisationer förvaltar. Reglerna om Edes finns i Europaparlamentets och rådets förordning (EU, Euratom) 2024/2509 av den 23 september 2024 om finansiella regler för unionens allmänna budget (budgetförordningen). Den omarbetade budgetförordningen innebär skärpta krav på rapportering av uppgifter och ett utökat tillämpningsområde för Edes Hösten 2024 trädde den omarbetade budgetförordningen i kraft. Enligt den ska Arachne i möjligaste mån kunna använda automatiskt registrerade uppgifter från relevanta nationella och europeiska databaser. Av artikel 36 i budgetförordningen framgår också att de organ som deltar i genomförandet av EU:s budget fr.o.m. nästa programperiod ska göra viss information tillgänglig för kommissionen i ett maskinläsbart format. Kommissionen ska därefter registrera uppgifterna i Arachne. Det finns också möjlighet att registrera ytterligare uppgifter i Arachne, utöver de obligatoriska, för en mer komplett riskvärdering. Av artikel 36 i budgetförordningen framgår också att kommissionen senast under 2027 ska presentera en utvärdering av Arachne. Kommissionen, ministerrådet och Europaparlamentet har gemensamt uttalat en avsikt att efter denna utvärdering överväga om det ska bli obligatoriskt för medlemsländerna att använda Arachne i sin handläggning och kontroll av EU-medel. Av budgetförordningen framgår vidare att Edes ska omfatta samtliga stöd som utbetalas under den nya programperioden. Edes ska därmed fr.o.m. 2028 omfatta även de EU-medel som hanteras inom ramen för delad förvaltning, dvs. medel som EU och medlemsstaterna förvaltar gemensamt. Det innebär bl.a. att förvaltande myndigheter och utbetalande organ ska kontrollera i Edes-databasen om en stödsökande är utesluten från att ta del av EU-medel, innan de beslutar om tilldelning eller utbetalning av sådana medel. Enligt artiklarna 36 och 38 i budgetförordningen ska medlemsstaterna tillhandahålla vissa uppgifter om stödmottagare och underleverantörer till kommissionen, som sedan ska publicera uppgifterna på en central webbplats på europeisk nivå. Även denna skyldighet gäller fr.o.m. nästa programperiod. Systemen har ansetts ändamålsenliga i en svensk kontext Regeringen gav den 3 november 2021 en särskild utredare i uppdrag att utreda hanteringen av EU-medel i Sverige (dir. 2021:109). I uppdraget ingick att analysera om det finns behov av en gemensam plattform för hantering av information om sådana medel. I betänkandet En ny organisation för förvaltning av EU-medel, som överlämnades till regeringen den 15 mars 2024, bedömer utredningen att myndigheter mer systematiskt än i dag behöver kunna dela information om EU-medel i syfte att uppfylla högt ställda krav på granskning och kontroll (SOU 2024:22 s. 23). Enligt utredningen skulle en svensk anslutning till Arachne kunna öka myndigheternas förmåga att på ett ändamålsenligt, effektivt och rättssäkert sätt dela information med varandra i syfte att motverka felaktiga utbetalningar och bedrägerier. Vidare bedömer utredningen att Edes är ändamålsenligt för att säkerställa att EU-medel inte utbetalas till uppenbart olämpliga aktörer. Utredningen anser dock att de rättsliga förutsättningarna behöver utredas närmare (SOU 2024:22 s. 448 och 455–457). Uppdraget att säkerställa att svenska myndigheter uppfyller kraven i den omarbetade budgetförordningen och har förutsättningar att använda Arachne Efter det att den omarbetade budgetförordningen har trätt i kraft behöver svenska myndigheter kunna uppfylla kraven i förordningen, bl.a. skyldigheterna inom ramen för Edes. Det finns därför behov av att utreda om det behövs ändrade regler för att uppfylla kraven. Även de rättsliga förutsättningarna för svenska myndigheter att registrera data i Arachne och använda verktyget för riskbedömning behöver utredas närmare. Kartlägga tillgången till uppgifter och skyldigheter vid användning av Arachne och Edes Arachne sammanställer information om aktörer i projekt från deltagande medlemsstaters nationella projektdatabaser med uppgifter i två kommersiella databaser som bl.a. innehåller information om ca 400 miljoner företag och 200 miljoner företagsägare från hela världen samt företag och individer som tilldömts sanktioner eller andra påföljder. Med hjälp av denna sammanställning genererar Arachne en riskbedömning som syftar till att hjälpa förvaltningsmyndigheter att identifiera de projekt, stödmottagare, leverantörer och avtal där det finns risk för bedrägerier, intressekonflikter eller andra oegentligheter. Uppgifter som utbyts inom ramen för Edes förvaras i en databas som inrättats och tillhandahålls av kommissionen (se artikel 144 i budgetförordningen). Edes-databasen innehåller uppgifter om personer och enheter som är uteslutna från möjligheten att motta EU-medel och som har ålagts ekonomiska sanktioner. Databasen är tillgänglig för personer och enheter som deltar i genomförandet av EU-budgeten, för att de ska kunna kontrollera dess uppgifter när de tilldelar kontrakt eller beslutar om stöd. Det behövs en kartläggning av vilken tillgång svenska myndigheter skulle ha till uppgifter i Arachne och vilka skyldigheter de skulle få vid hanteringen av sådana uppgifter. Motsvarande kartläggning bör göras för uppgifter som mottas eller annars hanteras inom ramen för Edes och vid användning av Edes-databasen. De svenska myndigheter som främst bedöms vara aktuella för att använda systemen är förvaltande och attesterande myndigheter i delad förvaltning, dvs. myndigheter som förvaltar medel tillsammans med kommissionen. Det kan innefatta utbetalande organ och myndigheter som deltar i genomförandet av Sveriges återhämtningsplan. Det behöver dock klarläggas om även andra myndigheter som deltar i genomförandet av EU:s budget kan komma att omfattas av de krav som gäller för Arachne respektive Edes-databasen enligt budgetförordningen. Utredaren ska därför * beskriva vilka myndigheter som kan komma att använda Arachne eller Edes-databasen, * kartlägga och beskriva vilken typ av åtkomst de aktuella myndigheterna, vid användning av Arachne eller inom ramen för Edes, skulle få till uppgifter i Arachne eller i Edes-databasen när dessa används som ett led i handläggningen av ärenden eller vid kontrollåtgärder, med beaktande av eventuella begränsningar avseende vilka sökningar som får göras i systemet eller för vilka ändamål personuppgiftsbehandling får ske, * kartlägga och beskriva vilka uppgifter som ska eller får registreras eller annars utbytas i Arachne och inom ramen för Edes, samt i vilken utsträckning som aktörer utanför den egna myndigheten skulle få tillgång till uppgifterna, * kartlägga vilka regler som styr användningen av Arachne och bedöma vilka skyldigheter som berörda myndigheter skulle få vid en användning av verktyget, och * kartlägga och bedöma vilka skyldigheter berörda myndigheter skulle få inom ramen för Edes, särskilt vid användning av Edes-databasen. Finns det behov av skydd för uppgifter vid användning av Arachne eller Edes? Enligt offentlighetsprincipen har allmänheten rätt att få insyn i statens och kommunens verksamhet, bl.a. genom rätten att ta del av allmänna handlingar hos myndigheter (se 2 kap. tryckfrihetsförordningen). Begränsningar av rätten att ta del av allmänna handlingar regleras i offentlighets- och sekretesslagen (2009:400), i det följande förkortad OSL, eller i lag som OSL hänvisar till. I betänkandet En ny organisation för förvaltning av EU-medel framhålls att uppgifter som finns tillgängliga i Arachne kan komma att klassificeras som allmänna handlingar hos myndigheter som använder riskbedömningsverktyget. Uppgifterna skulle därmed kunna begäras ut av externa aktörer, under förutsättning att de inte omfattas av sekretess. Utredningen noterar samtidigt att det av kommissionens stadga för införandet och tillämpningen av Arachnes riskbedömningsverktyg vid förvaltningskontroller, den s.k. Arachnestadgan, framgår att resultaten av riskberäkningar som görs i systemet omfattas av villkoren för skydd av personuppgifter och inte får offentliggöras (SOU 2024:22 s. 453). I betänkandet anges att liknande frågor kan uppstå i fråga om myndigheters hantering av uppgifter inom ramen för Edes. Förutsättningarna för offentliggörande av uppgifter ur Edes-databasen regleras i artikel 142 i budgetförordningen. Enligt denna reglering ska kommissionen som huvudregel offentliggöra viss information om uteslutningen och i tillämpliga fall om de ekonomiska sanktionerna, om det behövs för att förstärka uteslutningsbeslutets och de ekonomiska sanktionernas avskräckande verkan. Vidare framgår det av beskrivningen av integritetsskyddet inom Edes att uppgifter inte ska lämnas till en tredje part, om det inte finns någon rättslig skyldighet att göra detta (Privacy Statement for the database of the Early Detection and Exclusion System [EDES], DPR-EC-04410). Utredaren ska därför * utifrån sin kartläggning bedöma i vilken utsträckning mottagna eller tillgängliga uppgifter inom ramen för Arachne och Edes kommer att utgöra allmänna handlingar i Sverige, och i vilken mån uppgifterna i sådana fall omfattas av befintliga sekretessbestämmelser eller om det finns behov av nya sekretessbestämmelser för att säkerställa att uppgifterna får ett tillfredsställande skydd, och * lämna nödvändiga författningsförslag. Finns det förutsättningar för att registrera eller annars utbyta uppgifter i Arachne eller inom ramen för Edes? För att myndigheter ska kunna utbyta sekretessbelagda uppgifter krävs att en sekretessbrytande bestämmelse är tillämplig. I 10 kap. OSL finns ett antal sekretessbrytande bestämmelser och undantag från sekretess som gäller till förmån för såväl enskilda som myndigheter. Av 10 kap. 28 § OSL följer att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldigheten följer av lag eller förordning. I 8 kap. 3 § OSL finns en motsvarande reglering för uppgifter som lämnas till en utländsk myndighet. Av betänkandet En ny organisation för förvaltning av EU-medel framgår att vissa myndigheter är osäkra på om de skulle kunna registrera uppgifter i Arachne som omfattas av sekretess (SOU 2024:22 s. 456). I betänkandet anges att liknande frågor kan uppstå i fråga om myndigheters hantering av uppgifter som utbyts inom ramen för Edes. Det kan inte uteslutas att uppgifter om stödsökande eller stödmottagares projekt omfattas av försvarssekretess enligt 15 kap. 2 § OSL. Den typen av uppgifter bör inte förekomma i systemen. Utredaren ska därför * utifrån sin kartläggning utreda och analysera om det, bland den data som får eller ska registreras eller annars utbytas i Arachne eller inom ramen för Edes, finns uppgifter som skulle kunna omfattas av sekretess, och om det finns rättsliga förutsättningar för svenska myndigheter att registrera eller annars utbyta dessa, * analysera och bedöma vilket skydd eventuella sekretessbelagda uppgifter skulle ha i samband med andra medlemsstaters och EU-institutioners användning av Arachne och inom ramen för Edes, * utreda hur Arachnes funktionalitet och användning påverkas om eventuella sekretessbelagda uppgifter inte kan registreras, särskilt i fråga om uppgifter som inte är obligatoriska att registrera, * bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna registrera uppgifter i Arachne eller uppfylla kraven inom ramen för Edes, och * lämna nödvändiga författningsförslag. Kan svenska myndigheter uppfylla kraven i den omarbetade budgetförordningen? Enligt artikel 36.6 i budgetförordningen ska medlemsstaterna för program som beslutas under programperioden som löper fr.o.m. 2028 och framåt göra vissa uppgifter tillgängliga för kommissionen, som i sin tur ska registrera uppgifterna i Arachne. Enligt artikel 38 ska medlemsstaterna också göra vissa uppgifter tillgängliga för publicering på en av kommissionen tillhandahållen webbplats. Det behöver därför klarläggas om det finns några hinder för myndigheterna att uppfylla dessa skyldigheter. Utredaren ska därför * bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna uppfylla de krav som ställs i den omarbetade budgetförordningen, särskilt i fråga om rapportering av uppgifter för registrering i Arachne, och * lämna nödvändiga författningsförslag. Behovet av ytterligare regler om skydd för den personliga integriteten och personuppgiftsbehandling Ett utökat informationsutbyte kan innebära ett intrång i den enskildes personliga integritet. Regler om skydd för den personliga integriteten finns bl.a. i regeringsformen (2 kap. 6 § andra stycket), den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (artikel 8) och Europeiska unionens stadga om de grundläggande rättigheterna (artiklarna 7 och 8). Ett allmänt skydd för den personliga integriteten finns även i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i det följande förkortad EU:s dataskyddsförordning. Den information som svenska myndigheter skulle kunna behöva behandla vid användning av Arachne eller inom ramen för Edes kan innehålla personuppgifter. För personuppgiftsbehandling i allmänhet gäller EU:s dataskyddsförordning. Denna förordning kompletteras i olika avseenden av nationella författningar, t.ex. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Förutom dataskyddslagen finns även registerförfattningar som reglerar hur personuppgifter får behandlas i vissa offentliga verksamheter. Vidare finns ett dataskyddsombud på EU-nivå, som bl.a. ansvarar för att tillhandahålla information om de register som finns och validera de konsekvensbedömningar av uppgiftsskydd som görs av kommissionen. När vissa myndigheter behandlar personuppgifter i syfte att t.ex. förebygga, förhindra eller upptäcka brottslig verksamhet gäller i stället brottsdatalagen (2018:1177). Om det för en myndighet som bedriver verksamhet inom brottsdatalagens tillämpningsområde finns en författning med bestämmelser som avviker från brottsdatalagen, ska dock den författningen tillämpas. Den 1 januari 2025 träder lagen (2024:488) om personuppgiftsbehandling i vissa ärenden om stöd till civilsamhället i kraft. Lagen gäller för myndigheter och enskilda organ som handlägger ärenden om statligt reglerat stöd till civilsamhället, och syftar till att ge dessa möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och skydda människor mot att deras personliga integritet kränks vid sådan behandling. I förarbetena till lagen anför regeringen att den föreslagna, gemensamma regleringen av behandling av personuppgifter i ärenden om stöd syftar till att säkerställa ett enhetligt och tillräckligt säkert skydd för personuppgifter, oberoende av vilket organ som handlägger ärendet (prop. 2023/24:119 s. 138). När det gäller registerförfattningar har det också framhållits att bredare ändamålsbestämmelser kan skapa flexibilitet och förutsättningar att hålla jämna steg med samhällsutvecklingen (SOU 2023:100 s. 514). Om det finns behov av nya eller ändrade bestämmelser för att möjliggöra den personuppgiftsbehandling som en användning av Arachne medför eller som krävs för att uppfylla kraven inom ramen för Edes, finns det mot den bakgrunden skäl att överväga om regleringen bör samlas i en särskild lag och om den kan vara brett formulerad för att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt. Utredaren ska därför * kartlägga vilken personuppgiftsbehandling som en anslutning till Arachne och Edes skulle medföra, * kartlägga det skydd för personuppgifter som finns i Arachne och Edes-databasen, samt värdera eventuella risker som kommissionens dataskyddsombud har identifierat, * utreda om det finns behov av nya eller ändrade bestämmelser för att möjliggöra den personuppgiftsbehandling som en användning av Arachne medför eller som krävs för att uppfylla kraven inom ramen för Edes, * lämna nödvändiga författningsförslag. Konsekvensbeskrivningar Utredaren ska, i enlighet med förordningen (2024:183) om konsekvensutredningar, redovisa en konsekvensutredning. Utredaren ska särskilt redovisa vilka konsekvenser utredarens förslag innebär för skyddet av EU:s finansiella intressen, spridningen av personuppgifter inom och mellan myndigheter samt skyddet av den personliga integriteten. Kontakter och redovisning av uppdraget Utredaren ska hålla sig informerad om och beakta relevant arbete på området som pågår inom Regeringskansliet och EU. Vid genomförandet av uppdraget ska utredaren samråda med de delar av Regeringskansliet som ansvarar för hantering av EU-medel, samt övriga berörda myndigheter och organisationer. De myndigheter som deltar i genomförandet av Sveriges återhämtningsplan inom ramen för faciliteten för återhämtning och resiliens har fått i uppdrag att analysera sina respektive förutsättningar att använda Arachne (se t.ex. KN2024/01135). Utredaren ska beakta återrapporteringen från dessa uppdrag. Uppdraget ska redovisas senast den 19 november 2025. (Finansdepartementet)