Regeringskansliets rättsdatabaser

Regeringens proposition 2025/26:88 Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten Prop. 2025/26:88 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 16 december 2025 Elisabeth Svantesson Niklas Wykman (Finansdepartementet) Propositionens huvudsakliga innehåll Regeringen föreslår att de registerlagar som i dag tillämpas av Skatteverket, Tullverket och Kronofogdemyndigheten ska ersättas med varsin ny lag om personuppgiftsbehandling. De nya lagarna syftar till att ge berörda myndigheter möjlighet att behandla personuppgifter på ett modernt och ändamålsenligt sätt. Lagarna skyddar samtidigt enskilda mot att deras personliga integritet kränks. De nya lagarna har i huvudsak samma materiella tillämpningsområden som de nu gällande lagarna. De kompletterar EU:s dataskyddsförordning. Regeringen föreslår även att Skatteverket, Tullverket och Kronofogde-myndigheten ska få ett uttryckligt rättsligt stöd för att använda data-analyser och urval för en ännu mer effektiv kontrollverksamhet. Lagändringarna föreslås träda i kraft den 2 april 2026. Innehållsförteckning 1Förslag till riksdagsbeslut7 2Lagförslag9 2.1Förslag till beskattningsdatalag9 2.2Förslag till folkbokföringsdatalag13 2.3Förslag till tulldatalag16 2.4Förslag till kronofogdedatalag19 2.5Förslag till lag om ändring i lagen (2025:803) om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet23 2.6Förslag till lag om det statliga personadressregistret24 2.7Förslag till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter27 2.8Förslag till lag om ändring i kreditupplysningslagen (1973:1173)29 2.9Förslag till lag om ändring i lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter30 2.10Förslag till lag om ändring i folkbokföringslagen (1991:481)32 2.11Förslag till lag om ändring i lagen (1991:483) om fingerade personuppgifter35 2.12Förslag till lag om ändring i lönegarantilagen (1992:497)36 2.13Förslag till lag om ändring i sametingslagen (1992:1433)38 2.14Förslag till lag om ändring i lagen (1994:692) om kommunala folkomröstningar39 2.15Förslag till lag om ändring i lagen (1994:1776) om skatt på energi40 2.16Förslag till lag om ändring i lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m.42 2.17Förslag till lag om ändring i lagen (1999:291) om avgift till registrerat trossamfund44 2.18Förslag till lag om ändring i studiestödslagen (1999:1395)45 2.19Förslag till lag om ändring i vallagen (2005:837)47 2.20Förslag till lag om ändring i lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar49 2.21Förslag till lag om ändring i lagen (2006:939) om kvalificerade skyddsidentiteter50 2.22Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)52 2.23Förslag till lag om ändring i skatteförfarandelagen (2011:1244)60 2.24Förslag till lag om ändring i lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter61 2.25Förslag till lag om ändring i tullagen (2016:253)62 2.26Förslag till lag om ändring i kommunallagen (2017:725)63 2.27Förslag till lag om ändring i lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område64 2.28Förslag till lag om ändring i lagen (2022:155) om tobaksskatt65 2.29Förslag till lag om ändring i lagen (2022:156) om alkoholskatt67 2.30Förslag till lag om ändring i lagen (2022:856) om omställningsstudiestöd69 2.31Förslag till lag om ändring i lagen (2022:1697) om samordningsnummer70 3Ärendet och dess beredning72 4Regleringen av dataskydd72 4.1Allmänt om dataskydd72 4.2Innehållet i en registerförfattning73 4.3Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar75 5Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten86 6Allmänna bestämmelser om personuppgiftsbehandling i de nya dataskyddslagarna93 6.1Inledning93 6.2Lagarnas syfte94 6.3Lagarnas tillämpningsområde96 6.3.1Lagarnas allmänna tillämpningsområde96 6.3.2Uppgifter om juridiska och avlidna personer97 6.3.3Behandling av personuppgifter i EU:s gemensamma informationssystem98 6.4Beskattningsdatalagens tillämpningsområde99 6.5Folkbokföringsdatalagens tillämpningsområde103 6.5.1Särskilt om folkbokföringslagen105 6.5.2Särskilt om lagen om samordningsnummer110 6.6Tulldatalagens tillämpningsområde113 6.6.1Särskilt om utlämnande av uppgifter enligt tullagen114 6.7Kronofogdedatalagens tillämpningsområde115 6.8Lagarnas förhållande till annan reglering118 6.8.1Lagarna ska komplettera den allmänna dataskyddsregleringen118 6.8.2Kronofogdedatalagens förhållande till EU:s kvarstadsförordning119 6.9Personuppgiftsansvar120 6.10Tillgången till personuppgifter121 6.10.1Ingen särskild databasreglering bör införas122 6.11Enskildas rättigheter124 6.11.1Rätten att göra invändningar ska inte gälla124 6.11.2Rätten till information i Skatteverkets beskattningsverksamhet125 6.11.3Rättelse och överklagande vid Kronofogdemyndigheten126 6.12Längsta tid för behandling129 7Ändamålsbestämmelser130 7.1En brett formulerad primär ändamålsbestämmelse130 7.2Sekundära ändamålsbestämmelser133 7.3Finalitetsprincipen134 7.4Särskilt om uppgifter från betaltjänstleverantörer134 8Känsliga personuppgifter137 8.1Känsliga personuppgifter137 8.2Sökbegränsningar139 8.2.1En huvudregel om sökförbud139 8.2.2Undantag från sökförbudet för Skatteverket141 8.2.3Undantag från sökförbudet för Tullverket144 8.2.4Undantag från sökförbudet för Kronofogdemyndigheten145 8.3Behandling av personuppgifter om lagöverträdelser146 9Dataanalyser och urval147 9.1Ändamålsbestämmelser om dataanalyser och urval147 9.2Personuppgifter som får behandlas för dataanalyser och urval149 9.3Särskilda skydds- och säkerhetsåtgärder151 9.3.1Krav på dokumentation151 10Elektroniskt utlämnande av personuppgifter154 10.1Elektroniskt utlämnande154 10.2Formerna för elektroniskt utlämnande156 11Offentlighet- och sekretessfrågor158 11.1Vissa uppgifter i Skatteverkets folkbokföringsverksamhet158 11.2Sekretess till skydd för enskildas intressen vid dataanalyser och urval162 11.2.1Uppgifter om enskildas personliga eller ekonomiska förhållanden ska omfattas av sekretess162 11.2.2Sekretess i mål hos domstol, vissa internationella avtal och vissa konkurssituationer168 11.3Sekretess till skydd för vissa allmänna intressen vid dataanalyser och urval172 12Statens personadressregister175 12.1En ny lag175 12.2Ändamålen med SPAR176 12.3Lagens dubbla syften ska tydliggöras177 12.4Ansvarig myndighet och personuppgiftsansvar178 12.5Misstanke om oriktig eller ofullständig uppgift179 12.6Längsta tid för behandling181 12.7Redaktionella ändringar182 13Skatteverkets äktenskapsregister- och bouppteckningsverksamheter184 13.1En ny lag184 13.2Redaktionella och systematiska ändringar185 13.3Uppgifter om avlidna bör inte omfattas av lagens tillämpningsområde186 13.4Ändamålsbestämmelserna ska utformas i överensstämmelse med övrig dataskyddsreglering187 13.5Känsliga personuppgifter188 13.6Sökbegränsningar189 13.7Tillgången till personuppgifter ska begränsas190 13.8Elektroniskt utlämnande191 13.9Längsta tid för behandling191 14Ikraftträdande- och övergångsbestämmelser192 15Konsekvenser194 15.1Ekonomiska konsekvenser194 15.2Övriga konsekvenser195 16Författningskommentar196 16.1Förslaget till beskattningsdatalag196 16.2Förslaget till folkbokföringsdatalag208 16.3Förslaget till tulldatalag218 16.4Förslaget till kronofogdedatalag229 16.5Förslaget till lag om det statliga personadressregistret242 16.6Förslaget till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter247 16.7Förslaget till lag om ändring i kreditupplysningslagen (1973:1173)253 16.8Förslaget till lag om ändring i folkbokföringslagen (1991:481)254 16.9Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)257 16.10Förslaget till lag om ändring i lagen (2022:1697) om samordningsnummer268 16.11Övriga lagförslag270 Sammanfattning av SOU 2023:100272 Betänkandets lagförslag287 Förteckning över remissinstanserna347 Lagrådsremissens lagförslag348 Lagrådets yttrande411 Utdrag ur protokoll vid regeringssammanträde den 16 december 2025424 Förslag till riksdagsbeslut Regeringens förslag: Riksdagen antar regeringens förslag till beskattningsdatalag. Riksdagen antar regeringens förslag till folkbokföringsdatalag. Riksdagen antar regeringens förslag till tulldatalag. Riksdagen antar regeringens förslag till kronofogdedatalag. Riksdagen antar regeringens förslag till lag om ändring i lagen (2025:803) om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Riksdagen antar regeringens förslag till lag om det statliga personadressregistret. Riksdagen antar regeringens förslag till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Riksdagen antar regeringens förslag till lag om ändring i kreditupplysningslagen (1973:1173). Riksdagen antar regeringens förslag till lag om ändring i lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter. Riksdagen antar regeringens förslag till lag om ändring i folkbokföringslagen (1991:481). Riksdagen antar regeringens förslag till lag om ändring i lagen (1991:483) om fingerade personuppgifter. Riksdagen antar regeringens förslag till lag om ändring i lönegarantilagen (1992:497). Riksdagen antar regeringens förslag till lag om ändring i sametingslagen (1992:1433). Riksdagen antar regeringens förslag till lag om ändring i lagen (1994:692) om kommunala folkomröstningar. Riksdagen antar regeringens förslag till lag om ändring i lagen (1994:1776) om skatt på energi. Riksdagen antar regeringens förslag till lag om ändring i lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. Riksdagen antar regeringens förslag till lag om ändring i lagen (1999:291) om avgift till registrerat trossamfund. Riksdagen antar regeringens förslag till lag om ändring i studiestödslagen (1999:1395). Riksdagen antar regeringens förslag till lag om ändring i vallagen (2005:837). Riksdagen antar regeringens förslag till lag om ändring i lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar. Riksdagen antar regeringens förslag till lag om ändring i lagen (2006:939) om kvalificerade skyddsidentiteter. Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400). Riksdagen antar regeringens förslag till lag om ändring i skatteförfarandelagen (2011:1244). Riksdagen antar regeringens förslag till lag om ändring i lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter. Riksdagen antar regeringens förslag till lag om ändring i tullagen (2016:253). Riksdagen antar regeringens förslag till lag om ändring i kommunallagen (2017:725). Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Riksdagen antar regeringens förslag till lag om ändring i lagen (2022:155) om tobaksskatt. Riksdagen antar regeringens förslag till lag om ändring i lagen (2022:156) om alkoholskatt. Riksdagen antar regeringens förslag till lag om ändring i lagen (2022:856) om omställningsstudiestöd. Riksdagen antar regeringens förslag till lag om ändring i lagen (2022:1697) om samordningsnummer. Lagförslag Regeringen har följande förslag på lagtext. Förslag till beskattningsdatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Lagen gäller även vid behandling av personuppgifter i Skatteverkets verksamhet enligt 1. lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, 2. lagen (2013:948) om stöd vid korttidsarbete, 3. lagen (2020:548) om omställningsstöd, 4. lagen (2023:230) om förfarande för elstöd till företag, 5. lagen (2024:404) om skattefrihet och förfarande för kompensation till personer födda 1957 på grund av höjd åldersgräns för förhöjt grundavdrag, 6. 5 kap. 3 § lagen (2024:782) om förfarandet vid förverkande av egendom och åläggande av företagsbot, och 7. lagen (2024:1300) om uppgiftsskyldighet i fråga om frånvaro på grund av vård av barn. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. 3 §    Skatteverkets beskattningsverksamhet enligt 2 § första stycket avser 1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, 2. bestämmande av pensionsgrundande inkomst, 3. fastighetstaxering, 4. revision och annan kontroll eller analys, 5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 6. fullgörande av förpliktelser som följer av internationella åtaganden, och 7. någon annan liknande uppgift som Skatteverket ska utföra. 4 §    Denna lag gäller inte vid Skatteverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Förhållandet till annan reglering 5 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 6 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 7 §    Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. Detta omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 8 §    Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 9 §    Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 10 §    Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 11 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Särskilda bestämmelser om dataanalyser och urval 12 §    För att göra dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel får följande personuppgifter behandlas: 1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 13 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 14 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 15 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 16 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Begränsning av information till den registrerade 17 §    Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning, ska artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning inte tillämpas om det är nödvändigt att begränsa informationen till den registrerade med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. Begränsning av rätten att göra invändningar 18 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Förslag till folkbokföringsdatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet med 1. folkbokföring, 2. handläggning av ärenden om samordningsnummer, 3. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, 4. framställning av personbevis och andra registerutdrag, 5. aktualisering, komplettering och kontroll av personuppgifter, 6. uttag av urval av personuppgifter, och 7. någon annan liknande uppgift som Skatteverket ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 4 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 5 §    Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. Detta omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 6 §    Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 7 §    Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 8 §    Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 9 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende. 10 §    Om ett samband inom folkbokföringen är grundat på adoption är det förbjudet att som sökbegrepp använda uppgifter om barn, föräldrar eller vårdnadshavare. Särskilda bestämmelser om dataanalyser och urval 11 §    För att göra dataanalyser och urval enligt 5 § första stycket i syfte att förebygga, förhindra och upptäcka fel får följande personuppgifter behandlas: 1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 12 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 5 § första stycket i syfte att förebygga, förhindra och upptäcka fel ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 13 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 14 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 15 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 16 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Förslag till tulldatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Tullverkets verksamhet med 1. bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter, 2. övervakning, revision och annan kontroll eller analys, 3. förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande, 4. fullgörande av förpliktelser som följer av internationella åtaganden, och 5. någon annan liknande uppgift som Tullverket ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. 3 §    Denna lag gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Förhållandet till annan reglering 4 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 5 §    Tullverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 6 §    Tullverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. Detta omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 7 §    Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 8 §    Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 9 §    Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 10 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Särskilda bestämmelser om dataanalyser och urval 11 §    För att göra dataanalyser och urval enligt 6 § första stycket i syfte att förebygga, förhindra och upptäcka fel får följande personuppgifter behandlas: 1. uppgifter som Tullverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Tullverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 12 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 6 § första stycket i syfte att förebygga, förhindra och upptäcka fel ska Tullverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 13 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 14 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 15 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 16 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. Förslag till kronofogdedatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Kronofogdemyndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med 1. utsökning och indrivning, 2. skuldsanering och F-skuldsanering, 3. betalningsföreläggande och handräckning, 4. europeiskt betalningsföreläggande, 5. ansökan om och tillsyn över näringsförbud, 6. tillsyn i konkurs, andra konkursärenden, tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497), 7. att motverka överskuldsättning, 8. analys eller kontroll, 9. fullgörande av förpliktelser som följer av internationella åtaganden, och 10. någon annan liknande uppgift som Kronofogdemyndigheten ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelserna i 18 § första stycket 2 och andra stycket och 19 § gäller även vid behandling av uppgifter om juridiska personer. 3 §    Denna lag gäller inte vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. Denna lag gäller inte heller vid Kronofogdemyndighetens behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Förhållandet till annan reglering 4 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 5 §    De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur gäller i stället för denna lag. Personuppgiftsansvar 6 §    Kronofogdemyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 7 §    Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. Detta omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten, och i syfte att motverka överskuldsättning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 8 §    Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 9 §    Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 10 §    Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 11 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Särskilda bestämmelser om dataanalyser och urval 12 §    För att göra dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel eller i syfte att motverka överskuldsättning får följande personuppgifter behandlas: 1. uppgifter som Kronofogdemyndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Kronofogdemyndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 13 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel eller i syfte att motverka överskuldsättning, ska Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 14 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 15 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 16 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 17 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rättelse av uppgifter och överklagande 18 §    På begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som 1. inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats i anslutning till lagen, eller 2. vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Om uppgifterna har lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om en åtgärd som görs enligt första stycket, om den enskilde begär det eller om mer betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats. 19 §    Beslut om rättelse enligt 18 § första stycket får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. 3. Den upphävda lagen gäller dock fortfarande för en begäran om rättelse som har kommit in före ikraftträdandet. Förslag till lag om ändring i lagen (2025:803) om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet Härigenom föreskrivs att lagen (2025:803) om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska utgå. Förslag till lag om det statliga personadressregistret Härigenom föreskrivs följande. Inledande bestämmelser 1 §    För de kontroll- och urvalsändamål som anges i 5 § ska det föras ett statligt personadressregister (SPAR). Registret får användas för elektroniskt utlämnande av uppgifter. 2 §    Syftet med denna lag är att ge den myndighet som regeringen utser att ansvara för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 4 §    Den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 5 §    Uppgifterna i SPAR får behandlas för att 1. aktualisera, komplettera och kontrollera personuppgifter (kontrolländamål), och 2. ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsändamål). Registerinnehåll 6 §    SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Följande uppgifter får anges: 1. namn, 2. personnummer, 3. samordningsnummer, 4. födelsetid, 5. adress, 6. folkbokföringsort och distrikt, 7. födelsehemort, 8. svenskt medborgarskap, 9. make eller vårdnadshavare, 10. avregistrering enligt 19–22 §§ folkbokföringslagen, med angivande av tidpunkt, 11. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor, 12. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), 13. taxeringsvärde för småhusenhet, 14. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer, 15. tidpunkt för vilandeförklaring av ett samordningsnummer enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, 16. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och 17. om den enskildes identitet vid tilldelning eller förnyelse av samordningsnummer har styrkts eller gjorts sannolik. På begäran av en registrerad ska det i SPAR också anges att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2. 7 §    Uppgifter som avses i 6 § första stycket 1–10 och 14–17 hämtas från Skatteverkets folkbokföringsverksamhet. Övriga uppgifter som avses i 6 § första stycket hämtas från Skatteverkets beskattningsverksamhet. Utlämnande av uppgifter 8 §    En enskild som begär att en myndighet ska lämna ut personuppgifter för kontrolländamål eller urvalsändamål ska hänvisas till SPAR, om inte annat följer av lag eller förordning. 9 §    Regeringen får meddela föreskrifter om begränsningar av utlämnande av uppgifter från SPAR. Sökbegrepp 10 §    Regeringen får meddela föreskrifter om begränsningar av de sökbegrepp som får användas vid sökning i SPAR. Rätten att göra invändningar 11 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning. Längsta tid för behandling 12 §    Uppgifter får inte behandlas i SPAR under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Anmälan om misstänkt oriktig eller ofullständig uppgift 13 §    Vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig eller ofullständig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (1998:527) om det statliga personadressregistret. Förslag till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 4 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 5 §    Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. 6 §    Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 7 §    Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 8 §    Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 9 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende. Tillgång till personuppgifter 10 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 11 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 12 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 13 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Förslag till lag om ändring i kreditupplysningslagen (1973:1173) Härigenom föreskrivs att 8 § kreditupplysningslagen (1973:1173) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 § En uppgift om en fysisk person ska gallras när det inte längre är nödvändigt att bevara uppgiften med hänsyn till ändamålet med behandlingen. En uppgift om en fysisk person som inte är näringsidkare ska, om uppgiften inte gäller skuldsanering eller F-skuldsanering, gallras senast tre år efter den dag då den omständighet inträffade eller det förhållande upphörde som uppgiften avser. Om uppgiften rör en begäran om eller ett utlämnande av en kreditupplysning, ska den dock gallras senast ett år efter den dag då begäran framställdes. En uppgift om skuldsanering ska gallras senast fem år efter den dag då inledandebeslutet meddelades eller, om uppgiften gäller F-skuldsanering, senast tre år efter den dagen. Om en betalningsplan löper ut senare, ska dock uppgiften gallras senast den dag då planen löper ut. En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Kronofogdemyndigheten ska också gallras när den har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Kronofogdemyndigheten ska också gallras när den har blockerats av Kronofogdemyndigheten med stöd av 18 § kronofogdedatalagen (2026:000). 1. Denna lag träder i kraft den 2 april 2026. 2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § den upphävda lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Förslag till lag om ändring i lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter Härigenom föreskrivs att 2 och 15 §§ lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § Om någon har rätt till ett belopp som avses i 1 § och om det allmänna mot denna person har en fordran, som är registrerad för indrivning i utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och drivs in enligt bestämmelserna i lagen (1993:891) om indrivning av statliga fordringar m.m. skall från beloppet räknas av så mycket som kan gå till betalning av fordringen, om inte något annat följer av vad som nedan sägs. Med det allmännas fordran avses också förrättningskostnader i målet enligt 17 kap. 1 § utsökningsbalken. Endast vad som överstiger det allmännas fordran får betalas ut. Om någon har rätt till ett belopp som avses i 1 § och det allmänna har en fordran mot denna person och fordringen är registrerad för indrivning hos Kronofogdemyndigheten och drivs in enligt bestämmelserna i lagen (1993:891) om indrivning av statliga fordringar m.m., ska så mycket räknas av från beloppet att det kan gå till betalning av fordringen. Detta gäller om inte något annat följer av vad som sägs i de följande paragraferna. Med det allmännas fordran avses också förrättningskostnader i målet enligt 17 kap. 1 § utsökningsbalken. Endast vad som överstiger det allmännas fordran får betalas ut. 15 § Kan för betalning av en i Kronofogdemyndighetens utsöknings- och indrivningsdatabas, registrerad fordran avräkning från belopp som avses i 1 § göras både enligt denna lag och enligt annan författning, skall denna lag tillämpas. Om både denna lag och annan författning kan ligga till grund för att avräkna hela eller delar av ett belopp som avses i 1 § från en fordran som är registrerad hos Kronofogdemyndigheten, ska denna lag tillämpas. Kan en myndighet enligt annan författning göra avräkning från belopp, som avses i 1 §, för betalning av en fordran, som inte är registrerad i utsöknings- och indrivningsdatabasen, får myndigheten göra avräkningen utan hinder av att förutsättningar föreligger för avräkning enligt denna lag. Om en myndighet med stöd av någon annan författning kan räkna av hela eller delar från ett sådant belopp som avses i 1 § för att betala en fordran som inte är registrerad hos Kronofogdemyndigheten, får myndigheten göra avräkningen även om det finns förutsättningar för avräkning enligt denna lag. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i folkbokföringslagen (1991:481) Härigenom föreskrivs i fråga om folkbokföringslagen (1991:481) dels att 1, 26 c, 28 och 31 §§ och rubriken närmast före 1 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 1 a §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse Inledande bestämmelse Inledande bestämmelser 1 § Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får förekomma i folkbokföringsdatabasen. Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som ska registreras enligt 1 a §. Vigsel, födelse och dödsfall i landet ska registreras även i fråga om en person som inte är eller har varit folkbokförd. Folkbokföring och sådan registrering som avses i andra stycket sker genom Skatteverkets försorg. Skatteverket ansvarar för folkbokföring och sådan registrering som avses i andra stycket. Bestämmelser om samordningsnummer för den som inte är eller har varit folkbokförd finns i lagen (2022:1697) om samordningsnummer. 1 a § Skatteverket ska registrera följande uppgifter om en person: 1. personnummer, 2. samordningsnummer, 3. namn, 4. födelsetid, 5. födelsehemort, 6. födelseort och födelseland, 7. adress, 8. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt, 9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och någon annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, 12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering enligt 19–22 §§, 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, och 17. uppehållsrätt. 26 c § Om en handling som överlämnats enligt 26 b § har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. 28 § En anmälan enligt 25 eller 26 § ska innehålla följande uppgifter: 1. namn och person- eller samordningsnummer, 2. datum för ändring av bostads- eller postadress, 3. ny bostads- och postadress samt beräknad giltighetstid, 4. registerbeteckning för den fastighet som den nya bostadsadressen avser och, om fastigheten innehåller flera bostadslägenheter med samma belägenhetsadress, lägenhetsnummer som avses i lagen (2006:378) om lägenhetsregister, och 5. vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser. En anmälan enligt 26 § första stycket ska dessutom innehålla 1. uppgift om födelsetid och medborgarskap, 2. uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess beräknade varaktighet, 3. uppgift om personnummer som personen har tilldelats i ett annat nordiskt land, och 4. övriga uppgifter som får föras in i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. 4. övriga uppgifter som ska registreras enligt 1 a §. 31 § Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt denna lag eller för kontroll eller komplettering av andra uppgifter om en person som får föras in i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp. Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt denna lag eller för kontroll eller komplettering av andra uppgifter om en person som ska registreras enligt 1 a §. I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (1991:483) om fingerade personuppgifter Härigenom föreskrivs att 9 § lagen (1991:483) om fingerade personuppgifter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 9 § När ett medgivande att använda fingerade personuppgifter har upphört att gälla ska Polismyndigheten underrätta Skatteverket om detta. Verket ska skyndsamt se till att de fingerade uppgifterna inte längre används inom folkbokföringen. Verket ska göra de ändringar i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet som krävs. När ett medgivande att använda fingerade personuppgifter har upphört att gälla ska Polismyndigheten underrätta Skatteverket om detta. Skatteverket ska skyndsamt se till att de fingerade uppgifterna inte längre används inom folkbokföringsverksamheten och göra de ändringar av registrerade uppgifter i folkbokföringsverksamheten som krävs. Sedan Polismyndigheten har underrättat Skatteverket om att ett medgivande att använda fingerade personuppgifter har upphört får den enskilde använda de fingerade uppgifterna fram till dess verket har registrerat ändringarna i folkbokföringsdatabasen men inte för tid därefter. Sedan Polismyndigheten har underrättat Skatteverket om att ett medgivande att använda fingerade personuppgifter har upphört får den enskilde använda de fingerade uppgifterna fram till dess att Skatteverket har registrerat ändringarna i folkbokföringsverksamheten men inte för tid därefter. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lönegarantilagen (1992:497) Härigenom föreskrivs att 23 a § lönegarantilagen (1992:497) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 23 a § Innan ett garantibelopp betalas ut ska den utbetalande myndigheten skyndsamt kontrollera ett beslut eller en underrättelse om löne-garanti från en förvaltare, en rekonstruktör eller tillsynsmyndigheten i syfte att motverka felaktiga utbetalningar. Kontrollen ska göras mot sådana uppgifter i Skatte-verkets beskattningsdatabas som avses i 2 kap. 3 § första stycket 1–5, 7, 8 och 11 lagen (2001:181) om behandling av uppgifter i Skatte-verkets beskattningsverksamhet och mot andra uppgifter som förekommer i den utbetalande myndighetens lönegarantiverksam-het. Innan ett garantibelopp betalas ut ska den utbetalande myndigheten skyndsamt kontrollera ett beslut eller en underrättelse om löne-garanti från en förvaltare, en rekonstruktör eller tillsynsmyndigheten i syfte att motverka felaktiga utbetalningar. Kontrollen ska göras mot följande uppgifter i Skatteverkets beskattningsverk-samhet: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firma-tecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter, 5. bestämmande av skatter och avgifter, 6. revision och annan kontroll av skatter och avgifter, 7. uppgifter som behövs för handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsupp-gifter, och 8. beslut, betalning, redovisning och övriga åtgärder i ett ärende. Kontrollen ska även göras mot andra uppgifter som förekommer i den utbetalande myndighetens lönegarantiverksamhet. En sådan kontroll ska även göras efter det att ett garantibelopp har betalats ut, om det finns skäl för det. En sådan kontroll som avses i första och andra styckena ska också göras efter det att ett garantibelopp har betalats ut, om det finns skäl för det. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i sametingslagen (1992:1433) Härigenom föreskrivs att 3 kap. 3 § sametingslagen (1992:1433) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 3 kap. 3 § Rösträtt till Sametinget har den som är upptagen i sameröstlängd. I sameröstlängden tas den same upp som anmäler sig till valnämnden och som är svensk medborgare och på den samiska valdagen fyllt eller fyller 18 år. Under de förutsättningar som i andra stycket anges för svenska medborgare skall i röstlängden tas upp även de utlänningar som enligt folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet har varit folkbokförda i landet tre år i följd före valdagen och som anmäler sig till valnämnden. Under de förutsättningar som i andra stycket anges för svenska medborgare ska i röstlängden tas upp även de utlänningar som har varit folkbokförda enligt folkbokföringslagen (1991:481) i landet tre år i följd före valdagen och som anmäler sig till valnämnden. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (1994:692) om kommunala folkomröstningar Härigenom föreskrivs att 6 § lagen (1994:692) om kommunala folkomröstningar ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 § När en kommunal folkomröstning ska hållas, ska en röstlängd upprättas för varje omröstningsdistrikt. Det är uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet och i fastighetsregistret enligt lagen (2000:224) om fastighetsregister 30 dagar före dagen för folkomröstningen som ska ligga till grund för uppgifterna i röstlängderna. När en kommunal folkomröstning ska hållas, ska en röstlängd upprättas för varje omröstningsdistrikt. Det är uppgifterna som har registrerats i Skatteverkets folkbokföringsverksamhet och i fastighetsregistret enligt lagen (2000:224) om fastighetsregister 30 dagar före dagen för folkomröstningen som ska ligga till grund för uppgifterna i röstlängderna. Uppgifter för framställning av röstlängder och röstkort tillhandahålls av den centrala valmyndigheten efter anmälan. Ska folkomröstning äga rum samtidigt med ett allmänt val eller en nationell folkomröstning, får röstlängderna och röstkorten för den kommunala folkomröstningen samordnas med valet eller den nationella folkomröstningen. I annat fall och för de personer som inte är röstberättigade i det allmänna valet eller den nationella folkomröstningen ska kommunen eller regionen framställa röstlängd och upprätta röstkort med ledning av registeruppgifterna från den centrala valmyndigheten. Centrala valmyndigheten har rätt till ersättning för de kostnader som föranleds av den kommunala folkomröstningen. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (1994:1776) om skatt på energi Härigenom föreskrivs att 4 b kap. 1 § och 4 e kap. 1 § lagen (1994:1776) om skatt på energi ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 b kap. 1 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att bränsle inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (2026:000). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare. 4 e kap. 1 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 3 § första stycket, 2. förenklade administrativa referenskoder enligt 3 § tredje stycket, 3. uppgifter om ändrad destination enligt 5 §, och 4. mottagningsrapporter enligt 6 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (2026:000). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 9 och 10 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. Härigenom föreskrivs att 10, 13 och 14 §§ lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 10 § Regeringen får meddela andra föreskrifter om behandling av personuppgifter i Skatteverkets beskattningsdatabas och folkbokföringsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Tullverkets tulldatabas än dem som annars gäller. Regeringen får meddela andra föreskrifter om behandling av personuppgifter än de som annars gäller enligt 1. beskattningsdatalagen (2026:000), 2. folkbokföringsdatalagen (2026:000), 3. tulldatalagen (2026:000), och 4. kronofogdedatalagen (2026:000) för verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud. 13 § Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att meddela föreskrifter på Skatteverket eller, beträffande utsöknings- och indrivningsdatabasen, Kronofogdemyndigheten eller, beträffande tulldatabasen, Tullverket. Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Skatteverket eller, beträffande tullar, Tullverket. Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att meddela föreskrifter på 1. Skatteverket, 2. Kronofogdemyndigheten, om det rör behandling av personuppgifter i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud enligt kronofogdedatalagen (2026:000), eller 3. Tullverket, om det rör behandling av personuppgifter enligt tulldatalagen (2026:000). Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Skatteverket eller, beträffande tullar, Tullverket. 14 § Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts- och folkbokföringsförfattningar samt de författningar om behandling av personuppgifter och andra uppgifter som reglerar förhållanden som omfattas av denna lag på Skatteverket eller, beträffande indrivning av fordringar och behandling av uppgifter i Kronofogdemyndighetens verksamhet, Kronofogdemyndigheten eller, beträffande tullar och behandling av uppgifter i Tullverkets verksamhet, Tullverket. Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts- och folkbokföringsförfattningar samt de författningar om behandling av personuppgifter som reglerar förhållanden som omfattas av denna lag på 1. Skatteverket, 2. Kronofogdemyndigheten, om det rör indrivning av fordringar och behandling av personuppgifter i Kronofogdemyndighetens verksamhet, eller 3. Tullverket, om det rör tullar och behandling av personuppgifter i Tullverkets verksamhet. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (1999:291) om avgift till registrerat trossamfund Härigenom föreskrivs att 8 § lagen (1999:291) om avgift till registrerat trossamfund ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 § Om staten till följd av behandlingen av en uppgift som avses i 5 § betalar skadestånd till en person som är registrerad i beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet skall det trossamfund som lämnat uppgiften ersätta staten i motsvarande utsträckning. Om staten till följd av behandlingen av en uppgift som avses i 5 § betalar skadestånd till en person som är registrerad i Skatteverkets beskattningsverksamhet, ska det trossamfund som lämnat uppgiften ersätta staten i motsvarande utsträckning. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i studiestödslagen (1999:1395) Härigenom föreskrivs i fråga om studiestödslagen (1999:1395) dels att 4 kap. 26 § och 5 kap. 6 a § ska ha följande lydelse, dels att punkt 20 i ikraftträdande- och övergångsbestämmelserna ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 26 § Låntagaren ska lämna de uppgifter som är av betydelse för tillämpningen av detta kapitel till Centrala studiestödsnämnden. En låntagare som har fått årsbeloppet nedsatt är skyldig att omedelbart underrätta Centrala studiestödsnämnden, om någon omständighet som föranlett nedsättningen inte längre finns. En låntagare som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. En låntagare som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. 5 kap. 6 a § En återbetalningsskyldig som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. En återbetalningsskyldig som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. 20. Den som är återbetalningsskyldig för studielån, studiemedel eller återkrav enligt studiestödslagen (1973:349) och som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. 20. Den som är återbetalningsskyldig för studielån, studiemedel eller återkrav enligt studiestödslagen (1973:349) och som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i vallagen (2005:837) Härigenom föreskrivs att 4 kap. 1 och 12 §§, 5 kap. 1 § och 6 kap. 8 § vallagen (2005:837) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 1 § För val till riksdagen, regionfullmäktige och kommunfullmäktige ska det finnas geografiskt avgränsade områden för vilka det ska väljas ledamöter till den beslutande församling valet gäller (valkretsar). För val till Europaparlamentet utgör landet en enda valkrets. Om inte annat anges ska vid tillämpningen av detta kapitel antalet röstberättigade vid ett val beräknas på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars valåret. Om inte annat anges ska vid tillämpningen av detta kapitel antalet röstberättigade vid ett val beräknas på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet och uppgifter om personer som ska tas upp i röstlängden enligt 5 kap. 2 § första stycket. Beräkningen ska ske på grundval av de uppgifter som finns den 1 mars valåret. 12 § Om en kommun har 36 000 personer eller fler som har rösträtt, får kommunen delas in i två eller flera valkretsar. En kommun som har färre än 36 000 personer som har rösträtt får delas in i valkretsar endast om det finns särskilda skäl för det. Antalet röstberättigade ska beräknas på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars det år beslutet om valkretsindelning fattas. Antalet röstberättigade ska beräknas på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars det år beslutet om valkretsindelning fattas. En valkrets bör utformas så att den kan beräknas få minst 13 fasta valkretsmandat. Den ska ha en sammanhängande gränslinje, om det inte finns särskilda skäl för något annat. 5 kap. 1 § Vid val skall den centrala valmyndigheten för varje valdistrikt upprätta en förteckning över dem som är röstberättigade i valet (röstlängd). Vid val ska den centrala valmyndigheten för varje valdistrikt upprätta en förteckning över dem som är röstberättigade i valet (röstlängd). Röstlängderna skall grundas på de uppgifter som 30 dagar före valdagen finns i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och i fastighetsregistret enligt lagen (2000:224) om fastighetsregister. Röstlängderna ska grundas på uppgifter i Skatteverkets folkbokföringsverksamhet, uppgifter i fastighetsregistret enligt lagen (2000:224) om fastighetsregister och uppgifter om personer som ska tas upp i röstlängden enligt 2 § första stycket. Röstlängderna ska grundas på de uppgifter som finns 30 dagar före valdagen. 6 kap. 8 § Följande partier som ställer upp i ett val har rätt till valsedlar på statens bekostnad: 1. vid val till riksdagen: parti som vid valet får eller vid något av de två senaste riksdagsvalen har fått mer än 1 procent av rösterna i hela landet eller som ändå är eller genom valet blir representerat i riksdagen, 2. vid val till region- eller kommunfullmäktige: parti som är eller genom valet blir representerat i fullmäktige, 3. vid val till Europaparlamentet: parti som vid valet får eller vid något av de två senaste valen till Europaparlamentet har fått mer än 1 procent av rösterna i hela landet. I samtliga fall avser rätten till fria valsedlar ett antal som motsvarar högst tre gånger antalet röstberättigade i 1. vid val till riksdagen: valkretsen, 2. vid övriga val: valet. Vid tillämpningen av andra stycket beräknas antalet röstberättigade på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars valåret. Vid tillämpningen av andra stycket beräknas antalet röstberättigade på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet och uppgifter om personer som ska tas upp i röstlängden enligt 5 kap. 2 § första stycket. Beräkningen ska ske på grundval av de uppgifter som finns den 1 mars valåret. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar Härigenom föreskrivs att 6 § lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 § Med ett års tillväxt avses i denna lag produkten av lantbruksenhetens skogsmarksareal den 1 januari 2005 enligt den beskattningsdatabas som Skatteverket för enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och det tillväxttal som enligt bilaga 2 till denna lag gäller för det län där lantbruksenheten är belägen. Med ett års tillväxt avses i denna lag produkten av lantbruksenhetens skogsmarksareal den 1 januari 2005 enligt uppgift som har registrerats i Skatteverkets be-skattningsverksamhet och det tillväxttal som enligt bilaga 2 till denna lag gäller för det län där lantbruksenheten är belägen. Om lantbruksenheten har bildats efter den 1 januari 2005, beräknas tillväxten på enhetens skogsmarksareal vid tidpunkten för enhetens bildande. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2006:939) om kvalificerade skyddsidentiteter Härigenom föreskrivs att 4 och 10 §§ lagen (2006:939) om kvalificerade skyddsidentiteter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 § I ett beslut om kvalificerad skyddsidentitet får det förordnas 1. att Transportstyrelsen skall utfärda körkort i den kvalificerade skyddsidentitetens namn, 1. att Transportstyrelsen ska utfärda körkort i den kvalificerade skyddsidentitetens namn, 2. att andra statliga myndigheter skall utfärda pass eller andra identitetshandlingar i den kvalificerade skyddsidentitetens namn, eller 2. att andra statliga myndigheter ska utfärda pass eller andra identitetshandlingar i den kvalificerade skyddsidentitetens namn, eller 3. att Skatteverket skall registrera den kvalificerade skyddsidentiteten i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. 3. att Skatteverket ska registrera den kvalificerade skyddsidentiteten i folkbokföringsverksamheten. Ett förordnande enligt första stycket 1 får meddelas endast för den som innehar motsvarande körkort. I samband med förordnandet får det beslutas att Transportstyrelsen eller någon annan körkortsmyndighet skall föra in uppgifter om körkortet i väg-trafikregistret. Ett förordnande enligt första stycket 1 får meddelas endast för den som innehar motsvarande körkort. I samband med förordnandet får det beslutas att Transportstyrelsen eller någon annan körkortsmyndighet ska föra in uppgifter om körkortet i vägtrafikregistret. I samband med ett förordnande enligt första stycket 2 får det beslutas att den myndighet som utfärdar handlingen även skall föra in uppgifter om handlingen i det register där handlingar av det aktuella slaget registreras. I samband med ett förordnande enligt första stycket 2 får det beslutas att den myndighet som utfärdar handlingen även ska föra in uppgifter om handlingen i det register där handlingar av det aktuella slaget registreras. Ett förordnande enligt första stycket 3 får meddelas endast om åtgärder enligt första stycket 1 eller 2 inte är tillräckliga. 10 § När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 1 eller 2 har upphört att gälla, ska körkort, pass eller andra identitetshandlingar som omfattas av förordnandet lämnas in till beslutsmyndigheten. När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 3 har upphört att gälla, ska Skatteverket, efter anmälan från beslutsmyndigheten, avregistrera den kvalificerade skyddsidentiteten. Om det fortfarande finns en sådan risk som anges i 3 § 2, får beslutsmyndigheten bestämma att avregistreringen ska anstå till dess att risken har upphört. När uppgiften att det som har registrerats i folkbokföringsdatabasen utgör en kvalificerad skyddsidentitet inte längre omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), ska Skatteverket, efter anmälan från beslutsmyndigheten, i folkbokföringsdatabasen ange att registreringen avser en kvalificerad skyddsidentitet. När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 3 har upphört att gälla, ska Skatteverket, efter anmälan från beslutsmyndigheten, avregistrera den kvalificerade skyddsidentiteten. Om det fortfarande finns en sådan risk som anges i 3 § 2, får beslutsmyndigheten bestämma att avregistreringen ska anstå till dess att risken har upphört. När uppgiften att det som har registrerats i folkbokföringsverksamheten utgör en kvalificerad skyddsidentitet inte längre omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), ska Skatteverket, efter anmälan från beslutsmyndigheten, i folkbokföringsverksamheten ange att registreringen avser en kvalificerad skyddsidentitet. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) dels att 17 kap. 1 a §, 22 kap. 1 a och 6 §§, 27 kap. 1, 3, 4, 7, 8 och 10 §§, 34 kap. 2–4 och 11 §§ och rubrikerna närmast före 17 kap. 1 a § och 34 kap. 2 § ska ha följande lydelse, dels att det ska införas fyra nya paragrafer, 22 kap. 1 c §, 27 kap. 2 a och 3 a §§ och 34 kap. 10 b §, och närmast före 34 kap. 10 b § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 17 kap. Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i vissa verksamheter 1 a § Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i 1. Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (2026:000), 2. Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (2026:000), 3. Tullverkets verksamhet som avses i 2 § tulldatalagen (2026:000), eller 4. Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (2026:000). Sekretess enligt första stycket gäller om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. 22 kap. 1 a § Sekretess gäller i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 1 c § Sekretess gäller i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (2026:000) för uppgift i en sammanställning ur en upptagning för automatiserad behandling, om sammanställningen grundar sig på uppgift om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen enligt första stycket gäller inte för uppgift om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 6 § Den tystnadsplikt som följer av 1 § första stycket, 1 a, 1 b och 2 §§ inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av 1 § första stycket och 1 a–2 §§ inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. 27 kap 1 § Sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretess gäller vidare 1. i verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen, 1. i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Skatteverket och används i verksamhet som avses i 2 § beskattningsdatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden, 2. hos kommun eller region för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatterättsnämnden har lämnat i ett ärende om förhandsbesked i en skatte- eller taxeringsfråga, och 3. hos Försäkringskassan för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatteverket har lämnat i ett ärende om särskild sjukförsäkringsavgift. Med skatt avses i detta kapitel skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund, skattetillägg, återkallelseavgift, dokumentationsavgift, rapporteringsavgift, plattformsavgift, kryptoavgift och förseningsavgift samt expeditionsavgift och tilläggsavgift enligt lagen (2004:629) om trängselskatt och tilläggsavgift enligt 8 a § lagen (2016:1067) om skatt på kemikalier i viss elektronik. Med verksamhet som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst. Första och andra styckena gäller inte om annat följer av 3, 4 eller 6 §. För uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år. 2 a § Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 3 § Sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Motsvarande sekretess gäller i en myndighets verksamhet som avser förande av eller uttag ur tulldatabasen enligt lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet för uppgift som har tillförts databasen. Motsvarande sekretess gäller i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Tullverket och används i sådan verksamhet som avses i 2 § tulldatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Första och andra styckena gäller inte om annat följer av 6 §. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 3 a § Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som avses i 2 § tulldatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 4 § Sekretessen enligt 1–3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Får en domstol i ett mål från en annan myndighet en sekretessreglerad uppgift och saknar uppgiften betydelse i målet, blir dock sekretessbestämmelsen tillämplig på uppgiften även hos domstolen. Sekretessen enligt 1, 2 och 3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Om en domstol i ett mål får en sekretessreglerad uppgift från en annan myndighet och den uppgiften saknar betydelse i målet, blir sekretessbestämmelsen tillämplig på uppgiften även hos domstolen. 7 § Sekretessen enligt 1, 3 och 4 §§ hindrar inte att uppgift lämnas till en enskild enligt vad som föreskrivs i 1. lag om förfarande vid beskattning, 2. lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 3. lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energiproduktion, eller 2. lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energiproduktion, 3. förordningen (2026:000) om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet, eller 4. förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet. 4. förordningen (2026:000) om utlämnande av uppgifter från Tullverket. 8 § Sekretessen enligt 1–4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs. Sekretessen enligt 1, 2, 3 och 4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs. Sekretessen enligt 2–4 §§ hindrar inte att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs. Sekretessen enligt 2, 3 och 4 §§ hindrar inte att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs. Om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen. 10 § Den tystnadsplikt som följer av 1 §, 2 § första stycket och 3–5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av 1 §, 2 § första stycket och 2 a–5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. 34 kap. Utsöknings- och indrivningsdatabasen Uppgifter i automatiserade uppgiftssamlingar 2 § Under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur utsöknings- och in-drivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. Under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Kronofogdemyndigheten och används i verksamhet som avses i 2 § första stycket 1 och 5 kronofogdedatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. 3 § Uppgift i mål, ärende eller verksamhet som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. Uppgift som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 18 § kronofogdedatalagen (2026:000) omfattas av sekretess oavsett vad som före-skrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. 4 § Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 §§ för sådan uppgift om en enskilds per-sonliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 och 10 b §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Om sekretess gäller enligt första stycket, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Kronofogdemyndighetens verksamhet samt motverka överskuldsättning 10 b § Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretess gäller även i Kronofogdemyndighetens verksamhet som avser dataanalyser och urval i syfte att motverka överskuldsättning för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. 11 § Den tystnadsplikt som följer av 4 § och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 5 § andra stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av 4 och 10 b §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 5 § andra stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. 1. Denna lag träder i kraft den 2 april 2026. 2. För uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § den upphävda lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet gäller 34 kap. 3 § i den äldre lydelsen. Förslag till lag om ändring i skatteförfarandelagen (2011:1244) Härigenom föreskrivs att 65 kap. 13 § skatteförfarandelagen (2011:1244) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 65 kap. 13 § Om skatt eller avgift inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning eller för verkställighet av betalningssäkring registreras i utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Därefter beräknas kostnadsräntan efter en räntesats som motsvarar basräntan. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Krono-fogdemyndigheten för indrivning eller för verkställighet av betalningssäkring registreras hos Kronofogdemyndigheten. Därefter beräknas kostnadsräntan efter en räntesats som motsvarar basräntan. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter Härigenom föreskrivs att 8 § lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 § Om skatten inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats till och med den dag då beloppet betalas. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen (2011:1244) plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning registreras i utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Därefter beräknas kostnadsräntan med en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen (2011:1244) plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning registreras hos Kronofogdemyndigheten. Därefter beräknas kostnadsräntan med en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Om skatt ska betalas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska kostnadsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag. Kostnadsränta ska beräknas till och med den dag då betalning senast ska ske. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Om det finns synnerliga skäl, ska beskattningsmyndigheten besluta om befrielse från kostnadsränta. Om skatt ska tillgodoräknas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska intäktsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag till och med den dag omprövning beslutats. Intäktsränta ska beräknas efter en räntesats som motsvarar intäktsräntan enligt 65 kap. 4 § tredje stycket skatteförfarandelagen. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i tullagen (2016:253) Härigenom föreskrivs att 1 kap. 4 och 5 §§ tullagen (2016:253) ska upphöra att gälla den 2 april 2026. Förslag till lag om ändring i kommunallagen (2017:725) Härigenom föreskrivs att 5 kap. 6 § kommunallagen (2017:725) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 6 § Vid tillämpningen av 5 § ska antalet röstberättigade beräknas på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars året före valåret. Vid tillämpningen av 5 § ska antalet röstberättigade beräknas på grundval av de uppgifter som har registrerats i Skatteverkets folkbokföringsverksamhet den 1 mars året före valåret. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs att 2 kap. 6 § och rubriken närmast före 2 kap. 6 § lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. Beskattningsdatabasen Sökning i beskattningsverksamheten 6 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen. Vid sökning i beskattningsdatabasen som görs för att utföra en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas. I beskattningsdatalagen (2026:000) finns bestämmelser om hur personuppgifter får behandlas i Skatteverkets beskattningsverksamhet. Vid sökning i beskattningsverksamheten som görs för att utföra en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2022:155) om tobaksskatt Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:155) om tobaksskatt ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (2026:000). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare. 8 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 4 § första stycket, 2. förenklade administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, och 4. mottagningsrapporter enligt 7 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (2026:000). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 10 och 11 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2022:156) om alkoholskatt Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:156) om alkoholskatt ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (2026:000). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare. 8 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 4 § första stycket, 2. förenklade administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, och 4. mottagningsrapporter enligt 7 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (2026:000). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 10 och 11 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2022:856) om omställningsstudiestöd Härigenom föreskrivs att 45 § lagen (2022:856) om omställningsstudiestöd ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 45 § Den som är återbetalnings-skyldig för återkrav och som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. Den som är återbetalnings-skyldig för återkrav och som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2022:1697) om samordningsnummer Härigenom föreskrivs att 1 kap. 2 §, 2 kap. 4 § och 4 kap. 1 och 2 §§ lagen (2022:1697) om samordningsnummer ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 2 § Skatteverket beslutar i ärenden enligt denna lag. Uppgifter om personer som har tilldelats samordningsnummer registreras i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Skatteverket ska registrera följande uppgifter om en person: 1. samordningsnummer, 2. personnummer, 3. namn, 4. födelsetid, 5. medborgarskap, 6. födelseort och födelseland, 7. kontaktadress, 8. om personens identitet är styrkt, sannolik eller osäker, 9. tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1, 10. vilandeförklaring enligt 3 kap. 2 §, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, och 11. tidpunkt för när en person har avlidit. Bestämmelser om folkbokföring och personnummer finns i folkbokföringslagen (1991:481). 2 kap. 4 § Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. 4 kap. 1 § En myndighet ska underrätta Skatteverket om det kan antas att en uppgift i folkbokföringsdatabasen om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. En myndighet ska underrätta Skatteverket om det kan antas att en uppgift som har registrerats enligt 1 kap. 2 § om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. En sådan underrättelse behöver inte lämnas om särskilda skäl talar mot det. Skyldigheten i första stycket gäller inte för Skatteverkets brottsbekämpande verksamhet. Den gäller inte heller i fråga om uppgifter som omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400). 2 § Om en person med ett sam-ordningsnummer har en kontaktadress registrerad i folkbokföringsdatabasen, ska han eller hon anmäla ändringar av adressen till Skatteverket. Om en person med ett sam-ordningsnummer har en kontaktadress registrerad, ska han eller hon anmäla ändringar av adressen till Skatteverket. Anmälningsskyldigheten gäller inte om samordningsnumret är vilande eller personen omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall. Denna lag träder i kraft den 2 april 2026. Ärendet och dess beredning I november 2021 fick en särskild utredare i uppdrag att bl.a. göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerlagar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Utredaren fick även i uppdrag att se över dessa myndigheters förutsättningar att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet (dir. 2021:104). Utredningen, som tog namnet Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden, överlämnade i december 2023 betänkandet Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden (SOU 2023:100). En sammanfattning av betänkandet och dess lagförslag finns i bilaga 1 respektive bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga på regeringens webbplats och i lagstiftningsärendet (Fi2023/03321). Under den fortsatta beredningen av ärendet har synpunkter hämtats in från berörda myndigheter. Dessa synpunkter finns tillgängliga i lagstiftningsärendet (Fi2023/03321). I denna proposition behandlas betänkandets lagförslag. Övriga förslag (förordningsändringar) i betänkandet bereds vidare i Regeringskansliet. Lagrådet Regeringen beslutade den 6 november 2025 att inhämta Lagrådets yttrande över lagförslagen i bilaga 4. Lagrådets yttrande finns i bilaga 5. Regeringen följer delvis Lagrådets synpunkter och förslag som behandlas i avsnitten 5, 6.2, 6.4, 6.5, 6.5.1, 6.5.2, 6.10, 7.1, 8.2.1, 9.3.1, 10.2, 11.2.1, 11.3, 12.5 och 13.2 samt i författningskommentaren. I förhållande till lagrådsremissen görs dessutom vissa språkliga och redaktionella ändringar. Regleringen av dataskydd Allmänt om dataskydd Skatteverket, Tullverket och Kronofogdemyndigheten hanterar stora mängder uppgifter (data) som rör enskilda fysiska personer. Myndigheterna behöver därför följa Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad EU:s dataskyddsförordning, som utgör den primära rättskällan avseende personuppgiftsbehandling inom EU. Även artikel 8 i EU:s stadga om de grundläggande rättigheterna reglerar rätten till skydd för personuppgifter. Artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna reglerar dessutom rätten till skydd för privat- och familjeliv. Av 2 kap. 6 § andra stycket regeringsformen framgår i sin tur att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. I EU:s dataskyddsförordning definieras en personuppgift närmare som varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1). Behandling av personuppgifter avser i sin tur åtgärder som vidtas beträffande personuppgifter. Det kan t.ex. vara insamling eller utlämnande av sådana uppgifter. Personuppgiftsbehandling är ett vidsträckt begrepp som även omfattar registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring av personuppgifter (artikel 4.2 i EU:s dataskyddsförordning). Syftet med EU:s dataskyddsförordning är dels att utgöra ett skydd för fysiska personer när deras personuppgifter behandlas, dels att värna om det fria flödet av personuppgifter (artikel 1). EU:s dataskyddsförordning är i likhet med andra EU-förordningar till alla delar bindande och direkt tillämplig i varje medlemsstat. Det innebär att förordningen ska tillämpas direkt av enskilda och myndigheter på samma sätt som lagar och andra nationella föreskrifter. Den innehåller dock bestämmelser som förutsätter och ger utrymme för kompletterande nationella bestämmelser av olika slag (prop. 2017/18:15, Ny dataskyddslag, s. 18). Kompletterande nationella bestämmelser finns bl.a. i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). I svensk rätt finns därutöver specialförfattningar som reglerar dataskydd och personuppgiftsbehandling, s.k. registerförfattningar. Dessa författningar reglerar mer i detalj hur specifika myndigheter får behandla personuppgifter. Registerförfattningar utgör ett komplement till den generella dataskyddsregleringen, dvs. EU:s dataskyddsförordning och dataskyddslagen. Syftet med registerförfattningar är att anpassa regleringen till de särskilda behov av personuppgiftsbehandling som myndigheterna har i sina respektive verksamheter. Skatteverket, Tullverket och Kronofogdemyndighetens möjligheter till personuppgiftsbehandling regleras i sådana registerförfattningar. Ett flertal myndigheter saknar registerförfattningar. Dessa myndigheter tillämpar enbart den generella dataskyddsregleringen vid personuppgiftsbehandling. Innehållet i en registerförfattning Registerförfattningar är ofta uppbyggda på liknande sätt. De inledande bestämmelserna anger författningens tillämpningsområde, t.ex. en viss verksamhet inom en viss myndighet. Även förhållandet till annan reglering brukar anges i inledningen. De allra flesta registerförfattningar innehåller därefter ändamålsbestämmelser som brukar delas upp i bestämmelser om primära och sekundära ändamål. Primära ändamål avser behovet av att behandla personuppgifter i myndighetens egen verksamhet. En primär ändamålsbestämmelse kan ange att uppgifter får behandlas för tillhandahållande av information som behövs hos en myndighet för en viss uppgift som ankommer på just den myndigheten. Primära ändamålsbestämmelser anger alltså för vilka ändamål inom lagens tillämpningsområde som myndigheten får samla in uppgifterna. Uttrycket ”samla in” är ett begrepp som inte särskilt definieras i EU:s dataskyddsförordning. Det får dock antas avse de olika tillvägagångssätt som medför att uppgifter kommer in till myndigheten. Begreppet avser alltså inte bara situationer när uppgifter kommer till myndigheten på myndighetens egen begäran. Även andra situationer som innebär att en myndighet får tillgång till personuppgifter får anses ingå i uttrycket ”samla in”. Det kan t.ex. vara när en enskild på eget initiativ lämnar in en handling till myndigheten. Bestämmelserna om sekundära ändamål reglerar hur personuppgifter som redan har samlats in och behandlas i verksamheten för de primära ändamålen får vidarebehandlas. I de sekundära ändamålsbestämmelserna ges därför ofta en uppräkning över vissa vanligt förekommande ändamål för utlämnande till andra myndigheter. Utöver detta anges inte sällan att uppgifter får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Det anges ofta att uppgifter får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). Efter ändamålsbestämmelserna finns oftast bestämmelser om bl.a. personuppgiftsansvar, behandling av känsliga personuppgifter, förbud mot vissa sökningar och begränsningar av tillgången till personuppgifter. Flera registerförfattningar innehåller en reglering av vilka specifika uppgifter som får behandlas för vilka ändamål, vilka uppgifter som får användas gemensamt i en databas och villkor för olika former av elektroniskt utlämnande av uppgifter. Det är vanligt förekommande med förordningar som kompletterar registerlagarna. I förordningarna finns ännu mer detaljerade bestämmelser om personuppgiftsbehandlingen. Det kan t.ex. röra sig om vilka uppgifter som får behandlas i vilken kontext, vilka uppgifter som får lämnas ut till vem och i vilken elektronisk form som utlämnandet får ske. Nedan behandlas relevanta hittills gällande registerförfattningar för Skatteverket, Tullverket och Kronofogdemyndigheten. Dessa registerförfattningar har i huvudsak liknande struktur. Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar Skatteverket Skattedatabaslagen Inom Skatteverket finns flera verksamhetsgrenar, t.ex. beskattningsverksamheten, folkbokföringsverksamheten och den brottsbekämpande verksamheten. Vid behandling av personuppgifter i beskattningsverksamheten tillämpas lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet (skattedatabaslagen). Den kompletteras med förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet (skattedatabasförordningen). Skattedatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. beskattningsdatabasen (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.). Lagen är alltså tillämplig vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Den är även tillämplig i myndighetens handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete, lagen (2020:548) om omställningsstöd, sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, av kompensation som avses i lagen (2024:404) om skattefrihet och förfarande för kompensation till personer födda 1957 på grund av höjd åldersgräns för förhöjt grundavdrag och hantering enligt lagen (2024:1300) om uppgiftsskyldighet i fråga om frånvaro på grund av vård av barn. Lagen är endast tillämplig om behandlingen av personuppgifter är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa av lagens bestämmelser gäller vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 §). Skattedatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§). Lagen innehåller bestämmelser om primära och sekundära ändamål. Enligt de primära ändamålen får uppgifter behandlas för att tillhandahålla information som behövs hos Skatteverket för bl.a. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, bestämmande av pensionsgrundande inkomst, fastighetstaxering, revision och annan analys- eller kontrollverksamhet och fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande (1 kap. 4 §). Enligt de sekundära ändamålen får uppgifter som behandlas enligt de primära ändamålen även behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för bl.a. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter, för utsökning, indrivning, skuldsanering och F-skuldsanering och för att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd. Uppgifter får även behandlas för att tillhandahålla information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet. Uppgifter får därutöver behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Slutligen får uppgifter behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (1 kap. 5 §). Det är Skatteverket som är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten ska utföra (1 kap. 6 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall bara behandlas om det särskilt anges i 2 kap., som reglerar beskattningsdatabasen (1 kap. 7 §). Uppgifter som Skatteverket behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har avslutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 8 §). Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten utgör beskattningsdatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som omfattas av verksamhet enligt vissa av de primära ändamålen. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). För de primära ändamålen får endast särskilt angivna uppgifter behandlas i beskattningsdatabasen, t.ex. uppgifter om en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden (2 kap. 3 §). Vad gäller handlingar får sådana handlingar som har kommit in i ett ärende behandlas i beskattningsdatabasen. De får även innehålla känsliga personuppgifter. En handling som har upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning (2 kap. 4 §). I beskattningsdatabasen får även uppgifter och handlingar behandlas som ingår i det datoriserade system som avses i artikel 1 i Europaparlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om förflyttningar och kontroller av punktskattepliktiga varor (2 kap. 4 a §). Vidare finns regler om enskilds rätt att ta del av uppgifter från databasen och vilka uppgifter som då får lämnas ut (2 kap. 5 §). Det finns även bestämmelser om vilka uppgifter i databasen som får lämnas ut till en enskild på medium för automatiserad behandling, dvs. på elektroniskt sätt (2 kap. 6 §). Även vilken direktåtkomst som är tillåten till beskattningsdatabasen framgår av lagen (2 kap. 7–9 §§). Vidare finns begränsningar för vilka sökbegrepp som får användas vid sökningar i beskattningsdatabasen (2 kap. 10 §). Uppgifter och handlingar som finns i databasen ska som utgångspunkt gallras senast sju år efter utgången av det kalenderår då den beskattningsperiod som uppgifterna eller handlingarna kan hänföras till gick ut (2 kap. 11 §). Det finns även ytterligare särskilda regler om gallring av uppgifter och handlingar som finns i databasen (2 kap. 12–13 §§). Skatteverket får ta ut avgifter för att lämna ut uppgifter ur beskattningsdatabasen enligt närmare föreskrifter som meddelas av regeringen (2 kap. 14 §). Två rättigheter enligt EU:s dataskyddsförordning kan inskränkas genom skattedatabaslagen. Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13 och 15–19 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen (3 kap. 2 a §). Vidare gäller inte artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar vid sådan behandling som är tillåten enligt skattedatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 3 §). I skattedatabasförordningen finns ytterligare bestämmelser om personuppgiftsbehandling i beskattningsverksamheten. Förordningen innehåller bl.a. bestämmelser om definitioner, vilka uppgifter som får behandlas i beskattningsdatabasen, utlämnande av uppgifter till myndigheter och andra organ, utlämnande av uppgifter till enskilda på medium för automatiserad behandling, direktåtkomst för enskilda, bevarande, gallring och avgifter. Folkbokföringsdatabaslagen Vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet tillämpas lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet (folkbokföringsdatabaslagen). Den kompletteras med förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet (folkbokföringsdatabasförordningen). Folkbokföringsdatabaslagen är indelad i fyra kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. folkbokföringsdatabasen (2 kap.), analys- och urvalsdatabasen (2 a kap.) och enskildas rättigheter (3 kap.). Lagen är tillämplig vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även vid behandling av personuppgifter i passmyndigheternas verksamhet vid identitetskontroller enligt lagen (2022:1697) om samordningsnummer. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om avlidna (1 kap. 1 §). Folkbokföringsdatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§). Lagen innehåller bestämmelser om primära och sekundära ändamål. Enligt de primära ändamålen får uppgifter behandlas för att tillhandahålla information som behövs för bl.a. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, handläggning av folkbokföringsärenden, fullgörande av underrättelseskyldighet enligt lag eller förordning, aktualisering, komplettering och kontroll av personuppgifter och uttag av urval av personuppgifter (1 kap. 4 § första stycket). Uppgifter får även behandlas för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten (1 kap. 4 a §). Enligt de sekundära ändamålen får uppgifter behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Insamlade uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (1 kap. 4 § andra stycket). Skatteverket och varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför enligt lagen (1 kap. 5 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det särskilt anges i 2 kap., som innehåller reglering av folkbokföringsdatabasen (1 kap. 6 §). Vidare finns regler om att när en kontroll enligt 26 b och 26 c §§ folkbokföringslagen (1991:481) eller enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras (1 kap. 7 §). Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de ändamål som anges i 1 kap. 4 § utgör folkbokföringsdatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som har personnummer eller samordningsnummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter och handlingar som får behandlas i folkbokföringsdatabasen (2 kap. 3–5 §§). Det finns även bestämmelser om vilka uppgifter i databasen som får lämnas ut till enskilda på medium för automatiserad behandling, dvs. på elektroniskt sätt (2 kap. 6 §). Vilken direktåtkomst som är tillåten till folkbokföringsdatabasen framgår av 2 kap. 8 och 9 §§. Det finns även begränsningar för vilka sökbegrepp som får användas vid sökningar i folkbokföringsdatabasen (2 kap. 10 och 11 §§). Skatteverket får ta ut avgifter för att lämna ut uppgifter ur folkbokföringsdatabasen enligt närmare föreskrifter som meddelas av regeringen (2 kap. 12 §). I folkbokföringsverksamheten ska det, utöver folkbokföringsdatabasen, finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för bl.a. kontroll av folkbokföringsverksamheten (2 a kap. 1 §, som hänvisar till 1 kap. 4 a §). Denna samling personuppgifter utgör analys- och urvalsdatabas. I analys- och urvalsdatabasen får uppgifter om de personer som anges i 2 kap. 2 § behandlas (2 a kap. 2 §). Det innebär att uppgifter om personer som har personnummer eller samordningsnummer får behandlas (2 kap. 2 § första stycket). Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 § andra stycket). Det finns bestämmelser om vilka uppgifter som får behandlas i analys- och urvalsdatabasen (2 a kap. 3 §, som hänvisar till 2 kap. 3 och 4 §§). Det finns även bestämmelser om vilka särskilda sökbegrepp som får användas för att över huvud taget få göra sökningar i den aktuella databasen (2 a kap. 4 §, som hänvisar till 2 kap. 10 §). Vidare finns ett särskilt dokumentationskrav som innebär att metoder för att ta fram urval och sökbegrepp som används vid sökningar i analys- och urvalsdatabasen ska dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand (2 a kap. 5 §). Uppgifter som behandlas i analys- och urvalsdatabasen får inte behandlas under en längre tid än som behövs med hänsyn till ändamålet med behandlingen. Uppgifterna får dock aldrig behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen (2 a kap. 6 §). Rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning gäller inte vid sådan behandling som är tillåten enligt folkbokföringsdatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 1 §). Det är alltså en rättighet i EU:s dataskyddsförordning som har inskränkts genom folkbokföringsdatabaslagen. I folkbokföringsdatabasförordningen finns ytterligare bestämmelser om Skatteverkets behandling av personuppgifter inom folkbokföringsverksamheten. Förordningen innehåller bl.a. bestämmelser om definitioner, Skatteverkets skyldighet att behandla uppgifter, vilka uppgifter som får behandlas i folkbokföringsdatabasen respektive analys- och urvalsdatabasen, underrättelser som Skatteverket ska lämna, personbevis, utlämnande av uppgifter till enskilda på medium för automatiserad behandling, direktåtkomst för enskilda och avgifter. Lagen om det statliga personadressregistret Statens personadressregister (SPAR) är ett offentligt register som får innehålla uppgifter om personer som är eller har varit folkbokförda i Sverige och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen. I registret ingår även uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Skatteverket är huvudman och personuppgiftsansvarig för SPAR sedan den 1 januari 2009. Av lagen (1998:527) om det statliga personadressregistret (SPAR-lagen) framgår att för vissa ändamål ska det med hjälp av automatiserad behandling föras ett statligt personadressregister. Registret får användas av myndigheter och enskilda (1 §). SPAR-lagen kompletteras med förordningen (1998:1234) om det statliga personadressregistret (SPAR-förordningen). SPAR-lagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (2 §). I lagen finns bestämmelser om registerändamål. Uppgifterna i SPAR får behandlas för att aktualisera, komplettera och kontrollera personuppgifter och för att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (3 §). Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt SPAR-lagen eller föreskrifter som har meddelats i anslutning till lagen. SPAR-lagen upplyser om att bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i dataskyddsförordningen (3 a §). Lagen innehåller bestämmelser om vilka uppgifter SPAR får innehålla liksom vart de uppgifterna hämtas från (4 och 5 §§). Det finns även bestämmelser om utlämnande av uppgifter till enskilda samt till vissa myndigheter (6 och 7 §§). Slutligen anges i lagen att regeringen får föreskriva om begränsningar av sökbegreppen för SPAR (8 §). I SPAR-förordningen finns ytterligare bestämmelser om SPAR. Där anges bl.a. att Skatteverket är personuppgiftsansvarigt för SPAR. Driften av SPAR får vara förlagd till servicebyråer. Vidare finns regler om den s.k. SPAR-nämnden, inhämtande av uppgifter till verksamheten med SPAR, utlämnande av uppgifter i elektronisk form, informationsskyldighet, sökbegrepp, statistiska bearbetningar, anmälan om misstanke om oriktig uppgift och gallring. Lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter Vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter tillämpas lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter (ÄrBu-lagen). Lagen kompletteras med förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter (ÄrBu-förordningen). Syftet med lagen är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i myndighetens äktenskapsregister- och bouppteckningsverksamheter och att skydda människor mot att deras personliga integritet kränks vid en sådan behandling (1 §). Som nämnts gäller lagen vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa bestämmelser gäller även vid behandling av uppgifter om avlidna (2 §). ÄrBu-lagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (3 §). Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför (5 §). I lagen regleras tillåtna primära och sekundära ändamål. Personuppgifter får behandlas om det behövs i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Personuppgifter får även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (6 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får sådana uppgifter behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning (7 §). Vidare finns regler om begränsningar av sökbegrepp som får användas (8 §). Personuppgifter får lämnas ut på medium för automatiserad behandling om det inte är olämpligt (9 §). Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt ÄrBu-lagen eller föreskrifter som har meddelats i anslutning till lagen (10 §). Det finns bestämmelser om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om avgifter för utlämnande av uppgifter (11 §). I ÄrBu-förordningen finns bestämmelser om att Skatteverket får meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling, att Skatteverket får besluta om avgifter för utlämnande av uppgifter samt att Riksarkivet får, efter att ha inhämtat synpunkter från Skatteverket, meddela föreskrifter om vilka uppgifter och handlingar som ska gallras. Tullverket Tullverkets behandling av personuppgifter regleras bl.a. i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, (tulldatabaslagen). Lagen kompletteras med förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet (tulldatabasförordningen). Tulldatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. tulldatabasen (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.). Lagen är tillämplig vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om juridiska personer (1 kap. 1 §). Tulldatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§). Lagen innehåller bestämmelser om primära och sekundära ändamål. Enligt de primära ändamålen får uppgifter behandlas för att tillhandahålla information som behövs hos Tullverket för bl.a. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, för övervakning, revision och annan analys- eller kontrollverksamhet och för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande (1 kap. 4 §). Enligt de sekundära ändamålen får uppgifter som behandlas enligt de primära ändamålen även behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för bl.a. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter. Uppgifter får även behandlas för att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 1 § lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område och för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Vidare får uppgifter behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (1 kap. 5 §). Det är Tullverket som är personuppgiftsansvarigt för behandling av personuppgifter (1 kap. 6 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av tulldatabasen (1 kap. 7 §). Uppgifter som Tullverket behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har avslutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 8 §). Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten utgör tulldatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som omfattas av verksamhet enligt vissa av de primära ändamålen. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter och handlingar som får behandlas i tulldatabasen (2 kap. 3 och 4 §§). Vidare finns regler om vilka uppgifter i databasen som får lämnas ut till en enskild på medium för automatiserad behandling (2 kap. 5 §). Vilken direktåtkomst som är tillåten till tulldatabasen framgår av lagen (2 kap. 7 och 8 §§). Det finns även begränsningar för vilka sökbegrepp som får användas vid sökningar i tulldatabasen (2 kap. 9 §). Uppgifter och handlingar som finns i tulldatabasen ska som utgångspunkt gallras senast sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i databasen första gången (2 kap. 10 § första stycket). Vidare får Tullverket ta ut avgifter för att lämna ut uppgifter ur tulldatabasen enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 11 §). Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt tulldatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 1 §). I tulldatabasförordningen finns ytterligare bestämmelser om Tullverkets behandling av personuppgifter. Förordningen innehåller bl.a. bestämmelser om definitioner, tullidentifikationsnummer, Tullverkets uppgiftsskyldighet, utlämnande av uppgifter på medium för automatiserad behandling, direktåtkomst för enskilda, gallring och avgifter. Kronofogdemyndigheten Allmänt om Kronofogdemyndighetens registerförfattningar Kronofogdemyndighetens behandling av personuppgifter regleras i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet (kronofogdedatabaslagen) och förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet (kronofogdedatabasförordningen). Kronofogdedatabaslagen skiljer sig från Skatteverkets och Tullverkets registerförfattningar på så sätt att den reglerar fyra olika databaser med separata ändamål för respektive databas. Allmänna bestämmelser i kronofogdedatabaslagen Kronofogdedatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om Kronofogdemyndighetens databaser (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.). Lagen är tillämplig vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering, F-skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas dock inte vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 §). Kronofogdedatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§). De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur ska tillämpas i stället för kronofogdedatabaslagen (1 kap. 3 b §). I lagen anges vidare att uppgifter får behandlas för de ändamål som anges för respektive databas (1 kap. 4 §). Vidare föreskrivs att Kronofogdemyndigheten är personuppgiftsansvarig för den behandling som myndigheten ska utföra (1 kap. 5 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det särskilt anges i 2 kap., som innehåller reglering av myndighetens databaser (1 kap. 6 §). Uppgifter som Kronofogdemyndigheten behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har avslutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 7 §). De samlingar uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten utgör utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen, skuldsaneringsdatabasen och konkurstillsynsdatabasen (2 kap. 1, 7, 13 och 19 §§). I respektive databas får uppgifter behandlas för vissa angivna primära och sekundära ändamål. Utsöknings- och indrivningsdatabasen I utsöknings- och indrivningsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för bl.a. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar m.m., avräkning vid återbetalning av skatter och avgifter, ansökan om och tillsyn över näringsförbud, förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering, fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande och tillsyn, kontroll, uppföljning och planering av verksamheten (2 kap. 1 §). Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för bl.a. avräkning vid återbetalning av skatter och avgifter, kvittning vid utbetalning av bidrag, planering, samordning och uppföljning av revision och annan kontrollverksamhet vid beskattning och tulltaxering och utredningar vid bestämmande och betalning av skatter, tullar och avgifter. Uppgifter får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 2 och 3 §§). Det finns även bestämmelser om vilken personkrets som det får finnas uppgifter om och vilka särskilda uppgifter och handlingar som får behandlas i utsöknings- och indrivningsdatabasen (2 kap. 4 och 5 §§) samt regler om gallring (2 kap. 6 §). Betalningsföreläggande- och handräckningsdatabasen I betalningsföreläggande- och handräckningsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggningen av mål om betalningsföreläggande och för tillsyn, kontroll, uppföljning och planering av verksamheten (2 kap. 8 §). Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för att bl.a. tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Uppgifter får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag, förordning eller andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 8 och 9 §§). Det finns även bestämmelser om vilken personkrets som det får finnas uppgifter om och vilka särskilda uppgifter och handlingar som får behandlas i betalningsföreläggande- och handräckningsdatabasen (2 kap. 10 och 11 §§) samt regler om gallring (2 kap. 12 §). Skuldsaneringsdatabasen I skuldsaneringsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggning av ärenden om skuldsanering och F-skuldsanering och förebyggande av överskuldsättning (2 kap. 14 §). Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för att bl.a. tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Uppgifter får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning liksom för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 15 §). Det finns även bestämmelser om vilken personkrets som det får finnas uppgifter om och vilka särskilda uppgifter och handling som får behandlas i skuldsaneringsdatabasen (2 kap. 16 och 17 §§) samt regler om gallring (2 kap. 18 §). Konkurstillsynsdatabasen I konkurstillsynsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggningen av konkurstillsynsärenden, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497) och förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering (2 kap. 20 §). Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för att bl.a. tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering. Uppgifter får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning liksom för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 20 a §§). Det finns även bestämmelser om vilken personkrets som det får finnas uppgifter om och vilka särskilda uppgifter och handlingar som får behandlas i konkurstillsynsdatabasen (2 kap. 21 och 22 §§) samt regler om gallring (2 kap. 23 §). Gemensamma bestämmelser för databaserna I kronofogdedatabaslagen finns vissa gemensamma bestämmelser för de fyra ovan angivna databaserna. Det finns regler som rör elektroniska handlingar (2 kap. 24 §) och utlämnande av uppgifter till enskilda på medium för automatiserad behandling, dvs. på elektronisk väg (2 kap. 25 §). Det finns även en bestämmelse om att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (2 kap. 26 §). Vilken direktåtkomst som är tillåten till databaserna framgår av lagen (2 kap. 27 och 28 §§). Det finns även begränsningar för vilka sökbegrepp som får användas vid sökningar i databaserna (2 kap. 29 §). Vidare får Kronofogdemyndigheten ta ut avgifter för att lämna ut uppgifter ur en databas enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 30 §). Enskildas rättigheter En rättighet enligt EU:s dataskyddsförordning har inskränkts genom kronofogdedatabaslagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt kronofogdedatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 3 §). Vidare finns en särskild bestämmelse om rättelse, blockering och utplåning av sådana uppgifter som inte har behandlats i enlighet med lagen eller anslutande författningar eller som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. En särskild bestämmelse om överklagande finns för sådana beslut (3 kap. 3 a och 4 §§). Kronofogdedatabasförordningen I kronofogdedatabasförordningen finns ytterligare bestämmelser om Kronofogdemyndighetens behandling av personuppgifter. Förordningen innehåller bl.a. bestämmelser om definitioner, vilka uppgifter som får behandlas i databaserna, uppgiftsskyldigheter, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling, avgifter och gallring. Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten Regeringens förslag De nuvarande registerlagarna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter ska upphävas och ersättas av nya dataskyddslagar. De nya lagarna ska heta: beskattningsdatalagen, folkbokföringsdatalagen, lagen om det statliga personadressregistret, lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, tulldatalagen, och kronofogdedatalagen. Hänvisningar i andra författningar till de nuvarande lagarna ska ersättas med hänvisningar till de nya lagarna. Även hänvisningar i andra författningar till de nuvarande databaserna eller till uppgifter i dessa ska ersättas med hänvisningar till den verksamhet eller de uppgifter som avses. Utredningens förslag Förslaget från utredningen stämmer i huvudsak överens med regeringens. Utredningens förslag saknar dock hänvisningar till skattedatabaslagen och beskattningsdatabasen som har kommit till i andra författningar efter att betänkandet har lämnats. Remissinstanserna Skatteverket, Tullverket och Kronofogdemyndigheten välkomnar förslaget och understryker att det finns ett behov av en mer flexibel och ändamålsenlig dataskyddsreglering. En sådan reglering ger bättre förutsättningar att bedriva och utveckla effektivare verksamheter. Skatteverket föreslår att den nya lagen på folkbokföringsverksamhetens område ska heta lag om dataskydd i Skatteverkets folkbokföringsverksamhet i stället för folkbokföringsdatalag. Detta eftersom ”folkbokföringsverksamhet” är ett mer heltäckande begrepp än ”folkbokföring”. En klar majoritet av övriga remissinstanser tillstyrker förslaget eller har inga invändningar mot det. Det gäller bl.a. Arbetsförmedlingen, Centrala studiestödsnämnden, Diskrimineringsombudsmannen, Försäkringskassan, Hovrätten över Skåne och Blekinge, Migrationsverket, Myndigheten för digital förvaltning, Pensionsmyndigheten och Polismyndigheten. Bland dessa uttrycker Centrala studiestödsnämnden, Försäkringskassan och Myndigheten för digital förvaltning dessutom att förslaget bör tjäna som utgångspunkt för en modern och ändamålsenlig dataskyddsreglering. Sveriges advokatsamfund har inget att erinra mot de lagtekniska åtgärder som föreslås och anser att åtgärderna blir en naturlig följd av förslaget. Skälen för regeringens förslag Behovet av nya dataskyddslagar De hittills gällande registerlagarna för Skatteverket, Tullverket och Kronofogdemyndigheten tillkom för cirka 25 år sedan. Vid den tiden var manuell handläggning av enskilda ärenden det vanligaste arbetssättet. Myndigheternas digitalisering och personuppgiftsbehandling har ändrats avsevärt sedan dess. Det beror bl.a. på den snabba tekniska utvecklingen men även på grund av det nyare ramverket som EU:s dataskyddsförordning utgör. I dag sker ärendehandläggning och övrigt arbete vid myndigheterna nästan uteslutande digitalt. Det finns därför ett tydligt behov av en ny reglering som är mer ändamålsenlig och flexibel än den hittills gällande. Den översyn av befintlig dataskyddsreglering som utredningen har gjort innebär att ett stort antal kapitel och paragrafer behöver ändras eller upphävas. Detta eftersom det föreslås att myndigheternas författningar om personuppgiftsbehandling ska få en ny systematik. Regeringen anser därför att det är ändamålsenligt att upphäva den nuvarande regleringen och ersätta den med en ny som då har förutsättningar att bli mer pedagogisk och överblickbar. Mot denna bakgrund anser regeringen att följande registerlagar bör upphävas och ersättas med nya lagar: lagen (1998:527) om det statliga personadressregistret lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Som ovan nämns sker de aktuella myndigheternas behandling av personuppgifter nästan uteslutande digitalt, dvs. på automatiserad väg. Det bör avspeglas i de nya lagarnas namn. Regeringen anser att de lagar som ska vara tillämpliga i Skatteverkets beskattningsverksamhet, Skatteverkets folkbokföringsverksamhet, Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, vid förandet av det statliga personadressregistret respektive i Tullverkets verksamhet och i Kronofogdemyndighetens verksamhet bör benämnas på följande sätt: beskattningsdatalagen folkbokföringsdatalagen lagen om det statliga personadressregistret lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter tulldatalagen kronofogdedatalagen. De föreslagna namnen är kortare än de nuvarande lagarnas namn, vilket är en fördel. Namnen passar även med den förkortning som lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning brukar ges, dvs. dataskyddslagen. Vidare är de föreslagna namnen likalydande med varandra. Det är eftersträvansvärt eftersom lagarna har liknande materiella bestämmelser och i övrigt är närliggande. Det är en utgångspunkt för regeringen att lagarna ska vara enhetliga både gällande namnen och materiellt. Detta trots att de gäller för olika verksamheter inom olika myndigheter. Regeringen delar därför inte Skatteverkets uppfattning om att den föreslagna folkbokföringsdatalagen bör heta lagen om dataskydd i Skatteverkets folkbokföringsverksamhet. Skatteverkets namnförslag avviker från den enhetlighet som eftersträvas och bedöms inte heller vara motiverad. Den föreslagna lagen som ska tillämpas vid behandling av personuppgifter i SPAR kommer fortsatt innehålla vissa regler som utgör materiell verksamhetsreglering vid sidan av renodlade dataskyddsregler (avsnitt 12). Den lagen bör därför fortsatt benämnas lagen om det statliga personadressregistret. Hänvisningar i andra författningar till de nuvarande registerlagarna föreslås av förklarliga skäl ersättas med hänvisningar till de nya lagarna. Även hänvisningar till de hittills gällande särskilda databaserna eller till uppgifter i dessa bör ändras och ersättas med hänvisningar till den verksamhet eller de uppgifter som avses. Detta görs mot bakgrund av att regeringen bedömer att det saknas behov av att införa särskilda regler för sådan behandling av personuppgifter som innebär att fler än ett fåtal personer har tillgång till uppgifterna, s.k. databaser (avsnitt 6.10.1). Regeringen föreslår därför följdändringar i följande lagar: • kreditupplysningslagen (1973:1173) • lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter • folkbokföringslagen (1991:481) • lagen (1991:483) om fingerade personuppgifter • lönegarantilagen (1992:497) • sametingslagen (1992:1433) • lagen (1994:692) om kommunala folkomröstningar • lagen (1994:1776) om skatt på energi • lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. • lagen (1999:291) om avgift till registrerat trossamfund • studiestödslagen (1999:1395) • vallagen (2005:837) • lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar • lagen (2006:939) om kvalificerade skyddsidentiteter • skatteförfarandelagen (2011:1244) • lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter • kommunallagen (2017:725) • lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område • lagen (2022:155) om tobaksskatt • lagen (2022:156) om alkoholskatt • lagen (2022:856) om omställningsstudiestöd Förordningsändringar En naturlig följd av förslaget om en ny systematik är att även de hittills gällande registerförordningarna upphävs och ersätts med nya förordningar. Regeringen anser även att vissa frågor som regleras i de nuvarande registerlagarna i stället ska regleras på förordningsnivå. Det gäller t.ex. frågor om myndigheternas personuppgiftsbehandling vid utlämnande av uppgifter. Förordningsförslag bereds i Regeringskansliet. Regeringsformen, normgivningsmakten och skydd mot betydande intrång i den personliga integriteten Regeringsformen och normgivningsmakten I målsättningsstadgandet i 1 kap. 2 § första stycket regeringsformen, RF, slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet. I fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Grundlagens regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen finns i huvudsak i 8 kap. RF. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag bl.a. om de avser skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2). Kravet på att sådana föreskrifter ska ha lagform är dock inte undantagslöst. Riksdagen kan med vissa begränsningar som inte är aktuella här bemyndiga regeringen att meddela föreskrifterna (8 kap. 3 §). Regeringen får i övrigt meddela bl.a. sådana föreskrifter som enligt grundlag inte ska meddelas av riksdagen (8 kap. 7 §). Denna föreskriftsrätt brukar kallas för regeringens restkompetens. Att det allmänna behandlar personuppgifter om enskilda anses inte innebära någon skyldighet för den enskilde eller något ingrepp i enskildas personliga förhållanden i den mening som avses i RF. Bestämmelser om personuppgiftsbehandling som utförs av statliga myndigheter under regeringen har därmed i princip ansetts kunna beslutas av regeringen med stöd av dess restkompetens (prop. 2017/18:105 s. 26). Konstitutionsutskottet har dock angett att det bör vara en målsättning att föreskrifter rörande myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll ska meddelas genom lag, vilket regeringen också instämt i (bet. 1990/91:KU11 s. 11 och bet. 1997/98:KU18 s. 48 samt prop. 1990/91:60 s. 58 och prop. 1997/98:44 s. 41). Sedan 2011 gäller vidare ett utökat grundlagsskydd för den personliga integriteten enligt 2 kap. 6 § andra stycket RF. Där anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Enligt 2 kap. 20 § RF får skyddet begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § RF. Skyddet får alltså inte begränsas genom förordning. Myndigheternas personuppgiftsbehandling omfattas av regeringsformens skydd mot betydande intrång i den personliga integriteten Vid det ursprungliga ikraftträdandet av aktuella myndigheters nuvarande registerförfattningar hade bestämmelsen i 2 kap. 6 § andra stycket RF ännu inte trätt i kraft. Frågorna berördes inte heller särskilt i samband den översyn av lagstiftningen som gjordes i samband med att EU:s dataskyddsförordning skulle börja tillämpas. De personuppgifter som redan nu behandlas av myndigheterna (och även fortsättningsvis kommer att få behandlas) rör enskildas personliga förhållanden enligt 2 kap. 6 § andra stycket RF. Avgörande för bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning i den mening som avses i 2 kap. 6 § andra stycket RF är inte åtgärdens huvudsakliga syfte, utan åtgärdens effekt. Vad som avses med övervakning respektive kartläggning får bedömas utifrån vad som enligt normalt språkbruk läggs i dessa begrepp. Enligt förarbetena till bestämmelsen är uppgifter i myndighetsspecifika verksamhetsregister, och databaser med information som är knuten till en myndighets ärendehantering, i många fall tillgängliga för myndigheten på ett sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat (prop. 2009/10:80 s. 180). Frågan blir då om intrånget är att bedöma som så betydande att det omfattas av grundlagsskyddet. Det är endast vissa kvalificerade intrång som aktualiserar en tillämpning av grundlagsskyddet. Vid bedömningen av vad som kan anses utgöra ett betydande intrång anges i förarbetena att flera omständigheter bör vägas in. Stor vikt ska läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Därutöver kan mängden uppgifter vara en betydelsefull faktor i sammanhanget, liksom omfattningen av utlämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen. I förarbetena framgår även att sekretesslagstiftningens styrka avseende uppgifter i en viss myndighets verksamhet inte i sig bör utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller inom eller utanför det utvidgade grundlagsskyddet. Det förhållandet att de uppgifter som behandlas omfattas av stark sekretess utgör alltså inte en omständighet som med automatik innebär att en bestämmelse om uppgiftsskyldighet måste anses omfattas av grundlagsbestämmelsens tillämpningsområde. Även andra omständigheter måste beaktas, t.ex. på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnade uppgifter (prop. 2009/10:80, En reformerad grundlag, s. 183 och 184). De aktuella myndigheterna har inom ramen för sina uppdrag uppgiftssamlingar som innefattar uppgifter om stora mängder fysiska personer. Myndigheternas verksamheter består till stora delar av vad som får sägas vara ingripande myndighetsutövning mot enskilda, såsom beskattning, registrering av enskildas personliga förhållanden i folkbokföringen och indrivning av skulder. Uppdragen medför även behandling av känsliga personuppgifter. Den tekniska utvecklingen har under senare år varit sådan att det i dag bl.a. är möjligt att på ett relativt enkelt sätt åstadkomma precisa sammanställningar av stora mängder personuppgifter. Med beaktande av uppgifternas karaktär, ändamålen med och omfattningen av behandlingen, bedömer regeringen att i vart fall delar av myndigheternas personuppgiftsbehandling innebär ett sådant betydande intrång som avses i 2 kap. 6 § andra stycket RF. Skyddet mot intrång får begränsas Som framgår ovan följer av 2 kap. 20 och 21 §§ RF att enskildas skydd mot intrång som innebär övervakning och kartläggning av den enskildes personliga förhållanden får begränsas genom lag. Begränsningar får dock endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsikts-bildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. För att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina respektive verksamheter är det av vikt att myndigheterna även framöver kan behandla personuppgifter automatiserat. Myndigheterna utför viktiga samhällsuppgifter. Skatteverkets uppgifter är bl.a. att fastställa och ta ut skatter och avgifter så att en riktig uppbörd kan säkerställas. Skatteverket ansvarar vidare för bl.a. frågor om folkbokföring, äktenskapsregistret och fastighetstaxering, samt att registrera bouppteckningar och vara borgenär åt staten. Tullverkets uppgifter är bl.a. att fastställa och ta ut tullavgifter, punktskatter och kontrollavgifter, samt att övervaka och kontrollera trafiken till och från Sverige, t.ex. för att se till att inga varor som kan utgöra fara för liv eller hälsa förs in i landet. Kronofogdemyndighetens huvudsakliga uppgifter är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Myndigheterna har alltså uppgifter som är viktiga med hänsyn till landets ekonomiska välstånd, men även till viss del med hänsyn till förebyggande av oordning eller brott och den nationella säkerheten. En begränsning av skyddet i 2 kap. 6 § andra stycket RF för ändamålen att myndigheterna även fortsättningsvis ska kunna fullgöra sina åligganden är därför godtagbart i ett demokratiskt samhälle. De begränsningar i skyddet för enskildas personliga integritet i 2 kap. 6 § andra stycket RF som Skatteverkets, Tullverkets och Krono-fogdemyndighetens personuppgiftsbehandling kan medföra i vissa fall, är till stor del en följd av den behandling som krävs enligt materiell verksamhetsreglering. Den behandling av personuppgifter vid myndigheterna som utgör ett intrång i det grundlagsreglerade skyddet för den personliga integriteten bedöms vara nödvändig för att myndigheterna ska kunna utföra sina samhällsviktiga uppgifter. Den föreslagna dataskyddsregleringen tillåter inte myndigheterna att samla in eller på annat sätt behandla personuppgifter i större omfattning än vad som följer av EU:s dataskyddsförordning. Den föreslagna regleringen bedöms sammantaget vara väl avvägd och ytterligare begränsningar behövs därmed inte för att tillgodose proportionalitetskravet. Upplysningsbestämmelser Regeringen föreslår i detta avsnitt att de hittills gällande lagarna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter (registerlagar) ska upphävas och ersättas av nya dataskyddslagar. I följande avsnitt utvecklas innehållet i de nya föreslagna lagarna. Som konstaterats ovan har bestämmelser om personuppgiftsbehandling som utförs av statliga myndigheter under regeringen ansetts kunna beslutas av regeringen med stöd av dess restkompetens. Riksdagen kan dock lagstifta på området för regeringens restkompetens (8 kap. 8 § RF). När riksdagen har reglerat en viss fråga kan regeringen inte längre använda sin föreskriftsrätt i samma fråga, eftersom en lag endast får ändras genom lag (8 kap. 18 § RF). Som Lagrådet konstaterar kan upplysningar i vissa situationer därför vara motiverade då riksdagen lagstiftar inom området för regeringens restkompetens (jfr HFD 2023 ref. 2). Lagrådet anser att det bör förtydligas i vad mån överväganden av detta slag ligger bakom föreslagna s.k. upplysningsbestämmelser i de nya dataskyddslagarna. Lagrådet efterfrågar också en konsekvent användning av upplysningsbestämmelser i de nya lagarna. I propositionen lämnas förslag på sådana upplysningsbestämmelser med innebörden att regeringen med stöd av sin restkompetens kan meddela ytterligare föreskrifter om bl.a. elektroniskt utlämnande av personuppgifter, längsta tid för behandling och vilka uppgifter som får behandlas för vissa ändamål. Regeringen utvecklar nedan i relevanta avsnitt när det bedöms finnas behov av upplysningsbestämmelser. Allmänna bestämmelser om personuppgiftsbehandling i de nya dataskyddslagarna Inledning I avsnitt 5 föreslås att de hittills gällande lagarna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter (registerlagar) ska upphävas och ersättas av nya dataskyddslagar. I detta avsnitt lämnas förslag till allmänna bestämmelser om personuppgiftsbehandling i de nya lagarna. Avsikten är att de nya dataskyddslagarnas materiella tillämpningsområden i huvudsak inte ska skilja sig från vad som gäller enligt de hittills gällande lagarna. Det innebär att den materiella innebörden av de flesta bestämmelser föreslås föras över till de föreslagna lagarna. Den stora skillnaden är att den föreslagna regleringen är mer flexibel och ändamålsenlig än den hittills gällande ordningen. Ett illustrativt exempel på denna flexibilitet är den breda ändamålsbestämmelsen som föreslås i avsnitt 7. Med en sådan ändamålsbestämmelse behöver myndigheterna inte längre härleda varje personuppgiftsbehandling till ett detaljerat ändamål. Även i detta avsnitt föreslås dock förenklingar i förhållande till hittills gällande reglering. Ett exempel på detta är att den nuvarande databasregleringen inte föreslås överföras till de nya dataskyddslagarna (avsnitt 6.10.1). Databasregleringen föreslås därmed upphöra. Det är mer ändamålsenligt än dagens reglering, särskilt eftersom de allra flesta uppgifter inom myndigheterna numera får anses omfattas av databaserna. Med en upphävd databasreglering elimineras även myndigheternas begränsningar med att de i praktiken endast får behandla särskilt utpekade typer av uppgifter. Det är inte en hållbar ordning med detaljerade uppräkningar i lag som anger vilka uppgifter som får behandlas. Ett ytterligare exempel på att den föreslagna regleringen är mer flexibel jämfört med i dag är att det i detta avsnitt föreslås att dataskyddslagarna ska rensas från arkivrättsliga gallringsbestämmelser (avsnitt 6.12). Det ligger i linje med regeringens ambition om att de föreslagna lagarna endast ska reglera dataskyddsrättsliga frågor i stället för materiell rätt. För ännu fler exempel på förenklingar i förhållande till hittills gällande reglering, se avsnitt 10 med förslag som underlättar myndigheternas möjligheter att lämna ut personuppgifter på elektronisk väg. Liknande förslag som behandlas i detta avsnitt avseende det statliga personadressregistret (SPAR) och Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas i avsnitt 12 respektive 13. Lagarnas syfte Regeringens förslag Beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska syfta till att ge myndigheterna möjligheter att behandla personuppgifter på ett ändamålsenligt sätt. Lagarna ska samtidigt skydda enskilda mot att deras personliga integritet kränks vid myndigheternas personuppgiftsbehandling. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Skatteverket, Tullverket och Kronofogdemyndigheten påtalar behovet av mer moderna och ändamålsenliga dataskyddslagar. Det gör även Centrala studiestödsnämnden, Försäkringskassan och Myndigheten för digital förvaltning. Sveriges advokatsamfund och Forum för Dataskydd anser att utredningen borde ha gett integritetsfrågorna ett större utrymme. Integritetsskyddsmyndigheten ifrågasätter dock inte utredningens integritetsanalys. Hovrätten över Skåne och Blekinge framhåller att utredningen har undersökt och redovisat de aktuella frågorna utförligt och att förslagen framstår som väl avvägda och motiverade. Vad gäller begreppsanvändningen noterar Kronofogdemyndigheten att skyddskretsen i förslaget skiljer sig från vad som anges i EU:s dataskyddsförordning, som uttryckligen skyddar fysiska personer. Skälen för regeringens förslag Skatteverket, Tullverket och Kronofogdemyndigheten behandlar personuppgifter i omfattande volymer. Vid utformningen av myndigheternas nya dataskyddslagar bör det därför strävas efter en väl avvägd balans mellan dels samhällets berättigade krav på att myndigheternas verksamheter kan bedrivas på ett effektivt sätt, dels enskildas rätt till skydd av personuppgifter. Syftesbestämmelser saknar eget materiellt innehåll. De kan dock ge vägledning i fråga om hur de materiella bestämmelserna i en författning ska tolkas. När det gäller sektorspecifik dataskyddsreglering är syftet dessutom i regel tvådelat. Denna typ av författning syftar dels till att möjliggöra en ändamålsenlig och effektiv personuppgiftsbehandling vid en myndighet, dels till att skydda enskilda mot ett obefogat integritetsintrång vid sådan behandling. Regeringen föreslår att detta dubbla syfte ska framgå i en inledande bestämmelse i respektive föreslagen dataskyddslag. Bestämmelsens formulering bör vara att syftet med lagen är att ge den aktuella myndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Motsvarande formulering finns i vissa moderna dataskyddslagar, se t.ex. 1 § domstolsdatalagen (2015:728), 1 § utlänningsdatalagen (2016:27) och 1 § vägtrafikdatalagen (2019:369). Lagrådet framför att det av syftesbestämmelserna bör framgå att syftet är att reglera viss verksamhet inom myndigheterna. Regeringen anser att det följer av lagarnas tillämpningsområde att syftesbestämmelserna inte avser personuppgiftsbehandlingen generellt inom respektive myndighet. Regeringen ser därför inte behov av ett sådant förtydligande som Lagrådet föreslår. En välfungerande samhällsorganisation kan av naturliga skäl medföra intrång i enskildas personliga integritet. Av avgörande betydelse är vad som kan tolereras och vad som utgör ett oacceptabelt intrång. Utöver Skatteverket, Tullverket och Kronofogdemyndigheten påtalar flera remissinstanser behovet av mer moderna och ändamålsenliga dataskyddsregleringar. Det gäller t.ex. Centrala studiestödsnämnden, Försäkringskassan och Myndigheten för digital förvaltning. Det illustrerar behovet av ändamålsenlig lagstiftning på området. Regeringen anser till skillnad från Sveriges advokatsamfund och Forum för Dataskydd att utredningen har gjort en väl avvägd integritetsanalys. Integritetsskyddsmyndigheten har inte heller ifrågasatt utredningens integritetsanalys. Vidare framhåller t.ex. Hovrätten över Skåne och Blekinge att utredningen har undersökt och redovisat de aktuella frågorna utförligt och att förslagen som har lagts fram i betänkandet framstår som väl avvägda och motiverade. För en närmare redogörelse för skyddet mot betydande intrång i den personliga integriteten, se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 346 ff. Kronofogdemyndigheten noterar att begreppsanvändningen i förslaget skiljer sig från vad som anges i EU:s dataskyddsförordning i fråga om skyddskretsen. I dataskyddsförordningen anges att förordningen bl.a. syftar till att skydda fysiska personer. Övriga termer som används i dataskyddsförordningen är registrerade och enskilda. I förslaget används begreppet människor i syftesbestämmelsen, vilket även används i 1 kap. 2 § regeringsformen. I moderna dataskyddslagar används samma begrepp i syftesbestämmelser av aktuellt slag se t.ex. 1 § domstolsdatalagen (2015:728), 1 § utlänningsdatalagen (2016:27) och 1 § vägtrafikdatalagen (2019:369). Ett annat begrepp som används i förslaget är enskilda, som alltså även används i EU:s dataskyddsförordning. Därutöver används bl.a. begreppet personer. Regeringen anser inte att det har kommit fram skäl till att ändra begreppsanvändningen. Detta bl.a. med hänsyn till att det av kontexten framgår när det är fråga om fysiska eller juridiska personer. Lagarnas tillämpningsområde Lagarnas allmänna tillämpningsområde Regeringens förslag Beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska endast gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgifterna ingår i eller kommer ingå i ett register. Regeringens bedömning Lagarna bör inte omfatta behandling av personuppgifter i administrativ verksamhet. Utredningens förslag och bedömning Förslaget och bedömningen från utredningen stämmer överens med regeringens. Remissinstanserna Inga remissinstanser invänder mot förslaget eller bedömningen. Skälen för regeringens förslag och bedömning De föreslagna dataskyddslagarna bör endast gälla vid helt eller delvis automatiserad (elektronisk) behandling av personuppgifter eller om personuppgifterna ingår i eller kommer ingå i ett register. Det föreslås komma till uttryck i de nya lagarna. Det blir då tydligt att lagarnas tillämpningsområde ansluter till EU:s dataskyddsförordning. Med automatiserad behandling avses elektronisk behandling. Delvis automatiserad behandling kan i sin tur vara när personuppgifter t.ex. samlas in manuellt i syfte att senare föras in i ett automatiserat register. Minnesanteckningar som enbart förs på papper kommer därför inte omfattas av lagarnas tillämpningsområde. De berörda myndigheterna utför viss behandling av personuppgifter vid löpande administration. Det gäller t.ex. vid hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer. Personuppgiftsbehandling för sådana administrativa ändamål har inte något samband med ett enskilt ärende eller annan materiell verksamhet. De nuvarande registerlagarna innehåller ingen särreglering av sådan uppgiftsbehandling. Regeringen anser att det inte finns någon anledning att låta de föreslagna dataskyddslagarna omfatta behandling av personuppgifter som sker i myndigheternas löpande administrativa verksamhet eftersom sådan behandling inte har någon materiell koppling till verksamheterna. Sådan behandling kan i stället grundas direkt på EU:s dataskyddsförordning och dataskyddslagen. Uppgifter om juridiska och avlidna personer Regeringens bedömning Beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen omfattar inte behandling av uppgifter om juridiska eller avlidna personer. Regeringens förslag I kronofogdedatalagen ska bestämmelserna om rättelse gälla vid behandling av uppgifter om juridiska eller avlidna personer. Utredningens bedömning och förslag Bedömningen och förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Skatteverket uppmärksammar att bedömningen om att uppgifter om avlidna personer inte ska omfattas av de nya lagarna är i linje med EU:s dataskyddsförordning. Skatteverket anser dock att det kan övervägas att ge ett visst skydd för avlidna i folkbokföringsverksamheten, t.ex. att avlidna även ska omfattas av de sökbegränsningar som föreslås i 10 och 11 §§ folkbokföringsdatalagen. Skatteverket belyser samtidigt att alla åtgärder en myndighet vidtar ska ha stöd i rättsordningen, vilket även får anses avse åtgärder som innebär behandling av uppgifter om avlidna. Näringslivets Skattedelegation anser att det bör övervägas om uppgifter avseende juridiska personer och avlidna åtminstone ska omfattas av förslagen som avser Skatteverkets verksamhet. Exempelvis bör de skyddsåtgärder som föreslås vid dataanalyser och urval även omfatta juridiska personer och avlidna. Detta eftersom Skatteverket har en stor mängd information om såväl fysiska som juridiska personer. Även juridiska personer har ett berättigat intresse av att grundläggande rättsprinciper följs. Skälen för regeringens bedömning och förslag Vissa bestämmelser i de nuvarande registerlagarna omfattar behandling av uppgifter om juridiska och avlidna personer. Uppgifter om juridiska personer utgör inte personuppgifter enligt EU:s dataskyddsförordning. Uppgifter om avlidna personer utgör visserligen personuppgifter men omfattas ändå inte av förordningen. Regeringen anser att det saknas tillräckliga skäl att avvika från vad som gäller enligt EU:s dataskyddsförordning i dessa delar. Det finns ett värde i att de uppgifter som föreslås omfattas av de nya lagarna i så hög grad som möjligt ansluter till vad som gäller enligt dataskyddsförordningen. Regeringen bedömer därför att de nya lagarna inte ska omfatta uppgifter om juridiska eller avlidna personer. Även om Skatteverket fortsättningsvis kommer att hantera en stor mängd uppgifter om både juridiska och avlidna personer saknas därmed tillräcklig anledning att göra en särreglering för Skatteverket, både på det sätt som Skatteverket och Näringslivets Skattedelegation efterfrågar. Detta inte minst eftersom regeringen strävar efter att ha likalydande regleringar för de aktuella myndigheterna. Regeringen föreslår däremot nedan att en del av den hittills gällande bestämmelsen om rättelse i 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska föras över till den föreslagna kronofogdedatalagen. Bestämmelsen ska då även vara tillämplig på uppgifter om juridiska personer. Närmare motivering av skälen för detta finns i avsnitt 6.7 och 6.11.3. Behandling av personuppgifter i EU:s gemensamma informationssystem Regeringens förslag Beskattningsdatalagen och kronofogdedatalagen ska inte gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Regeringens bedömning Folkbokföringsdatalagen och tulldatalagen bör även gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens, med den skillnaden att utredningen föreslår att tulldatalagen inte ska gälla vid behandling av personuppgifter i Europeiska unionens informationssystem. Remissinstanserna Tullverket framför att myndighetens personuppgiftsbehandling går mot att främst ske inom EU-gemensamma system. Myndigheten anser därför att tulldatalagen även bör gälla vid den behandling som görs i de EU-gemensamma systemen. Skälen för regeringens förslag och bedömning I Skatteverkets beskattningsverksamhet och i Tullverkets samt Kronofogdemyndighetens verksamheter ingår vissa gränsöverskridande uppgifter. Myndigheterna kan då få tillgång till s.k. EU-gemensamma informationssystem, dvs. it-miljöer där även andra medlemsstaters behöriga myndigheter behandlar personuppgifter inom ramen för det administrativa samarbetet inom EU. Med EU:s gemensamma informationssystem avses ett system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Det är alltså fråga om system som inte förvaltas nationellt. Ett exempel på en gemensam it-miljö är den gemensamma plattformen för utbyte av uppgifter av rapporteringspliktiga arrangemang. Skatteverkets skyldigheter att lämna uppgifter om rapporteringspliktiga arrangemang till andra medlemsstaters behöriga myndigheter framgår av 12 d § lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. De föreslagna dataskyddslagarnas tillämpningsområden bör inte begränsa myndigheternas internationella arbete. Vissa regleringar i de föreslagna lagarna går längre än EU:s dataskyddsförordning, t.ex. i fråga om sökbegränsningar (avsnitt 8.2). Det kan därför uppstå vissa problem för myndigheterna inom ramen för EU-samarbetet. Det finns därför skäl att uttryckligen undanta behandling av personuppgifter i EU:s gemensamma informationssystem från tillämpningsområdet för beskattningsdatalagen och kronofogdedatalagen. Syftet med detta är att säkerställa att Skatteverket och Kronofogdemyndigheten kan delta i det EU-gemensamma samarbetet på ett ändamålsenligt sätt utan obefogade hinder i nationell rätt. Det föreslagna undantaget omfattar inte behandling av uppgifter som myndigheterna hämtar in från de EU-gemensamma systemen i syfte att behandla uppgifter inom myndigheternas egna verksamhetssystem i enlighet med EU-rättslig reglering. Utredningen föreslår att även tulldatalagen ska undantas från behandling i EU-gemensamma system. Tullverket anför dock att en stor del av myndighetens personuppgiftsbehandling görs i dessa system och anser därför att den föreslagna tulldatalagen även ska tillämpas vid Tullverkets personuppgiftsbehandling i de EU-gemensamma systemen. Tullverket anför att de föreslagna sökbegränsningarna inte utgör hinder vid myndighetens personuppgiftsbehandling i de aktuella systemen. Med hänsyn till detta bedömer regeringen att tulldatalagens tillämpningsområde även bör omfatta personuppgiftsbehandling som görs i EU-gemensamma informationssystem. Detta inte minst eftersom tulldatalagen annars riskerar att bli tandlös när den mesta av Tullverkets personuppgiftsbehandling går mot att främst ske inom de aktuella systemen. I Skatteverkets folkbokföringsverksamhet görs ingen personuppgiftsbehandling i EU-gemensamma informationssystem. Regeringen bedömer därför att det saknas anledning att reglera detta särskilt. Beskattningsdatalagens tillämpningsområde Regeringens förslag Beskattningsdatalagen ska gälla vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Med beskattningsverksamhet avses 1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, 2. bestämmande av pensionsgrundande inkomst, 3. fastighetstaxering, 4. revision och annan kontroll eller analys, 5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 6. fullgörande av förpliktelser som följer av internationella åtag-anden, och 7. någon annan liknande uppgift som Skatteverket ska utföra. Beskattningsdatalagen ska även gälla vid behandling av personuppgifter i Skatteverkets verksamhet enligt 1. lagen (2007:324) om Skatteverkets hantering av vissa borgenärs-uppgifter, 2. lagen (2013:948) om stöd vid korttidsarbete, 3. lagen (2020:548) om omställningsstöd, 4. lagen (2023:230) om förfarande för elstöd till företag, 5. lagen (2024:404) om skattefrihet och förfarande för kompensation till personer födda 1957 på grund av höjd åldersgräns för förhöjt grundavdrag, 6. 5 kap. 3 § lagen (2024:782) om förfarandet vid förverkande av egendom och åläggande av företagsbot, och 7. lagen (2024:1300) om uppgiftsskyldighet i fråga om frånvaro på grund av vård av barn. Utredningens förslag Förslaget från utredningen stämmer i huvudsak överens med regeringens. Utredningen lämnar dock inte något förslag om att beskattningsdatalagen ska vara tillämplig vid behandling av personuppgifter i Skatteverkets verksamhet enligt 5 kap. 3 § lagen (2024:782) om förfarandet vid förverkande av egendom och åläggande av företagsbot, som har införts efter att betänkandet har lämnats. Därutöver har utredningens förslag en annan lagteknisk utformning. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Utgångspunkten är att den föreslagna beskattningsdatalagen ska ha liknande materiella tillämpningsområde som den nuvarande skattedatabaslagen. Den nya lagen föreslås därför omfatta behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Med beskattningsverksamhet avses för det första fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Detta knyter an till sådan verksamhet som är ett led i beskattningsförfarandet. Begreppet betalning av skatt omfattar även ärenden om ackord (jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123). Vidare bör det anges att med beskattningsverksamhet avses bestämmande av pensionsgrundande inkomst och fastighetstaxering. När dessa punkter togs med i den nuvarande skattedatabaslagen gjordes bedömningen att det var nödvändigt att ange dem som särskilda ändamål eftersom de inte alltid utgjorde ett led i beskattningsförfarandet (prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123). Regeringen anser att det även nu finns skäl att förtydliga att utförandet av sådana uppgifter ingår i Skatteverkets beskattningsverksamhet. Det bör vidare tydliggöras att revision och annan kontroll eller analys ingår i Skatteverkets beskattningsverksamhet. Dessa moment utgör en stor och nödvändig del av Skatteverkets verksamhet och ligger också ofta till grund för bl.a. myndighetens bestämmande av skatter och avgifter. Analysverksamheten innefattar bl.a. analys av skattefelet, effektutvärderingar av förändringar i skattesystemet och myndighetens verksamhet. Skatteverket genomför även attitydundersökningar och konsekvensanalyser av regelförändringar. Därutöver bör verksamhet som avser t.ex. tillsyn, godkännande, utfärdande av intyg eller tillstånd, lämplighetsprövning och annan liknande prövning omfattas av begreppet Skatteverkets beskattningsverksamhet. Sådan verksamhet utgör inte ett direkt led i beskattningsförfarandet, men har koppling till beskattningsverksamheten (prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124). Med sådan verksamhet avses t.ex. Skatteverkets tillsyn enligt alkohollagen (2010:1622) eller att Skatteverket enligt lag (2022:156) om alkoholskatt ska utfärda ett årligt intyg till oberoende små producenter av alkoholdrycker. Vidare avses t.ex. myndighetens ansvar för att fatta beslut om godkännande av upplagshavare, registrerad varumottagare, tillfälligt registrerad varumottagare, registrerad avsändare eller skatteupplag enligt lagen (2022:155) om tobaksskatt. Skatteverket utfärdar även tillstånd för omläggning av räkenskapsår enligt bokföringslagen (1999:1078). Enligt skatteförfarandelagen (2011:1244) ska Skatteverket t.ex. pröva ansökan om godkännande för F-skatt och om inget hinder kan antas finnas ska ett godkännande ges till den som uppger sig bedriva eller ha för avsikt att bedriva näringsverksamhet i Sverige för F-skatt. Skatteverket utför även lämplighetsprövningar inför godkännande av deklarationsombud. Vidare bör det uttryckligen anges att med beskattningsverksamhet avses fullgörande av förpliktelser som följer av internationella åtaganden. Det tydliggör att Skatteverkets skyldigheter enligt bl.a. EU-rättslig lagstiftning, såsom på mervärdesskatteområdet och punktskatteområdet, innefattas i begreppet beskattningsverksamhet. Det finns även regler om handläggning i materiella lagar t.ex. ansökan om registrering enligt lag (2022:1681) om plattformsoperatörers inhämtande av vissa uppgifter på skatteområdet, där Skatteverkets beslut om registrering regleras i lagen (2022:1682) om automatiskt utbyte av upplysningar om inkomster genom digitala plattformar. Slutligen bör det anges att med beskattningsverksamhet avses även någon annan liknande uppgift som Skatteverket ska utföra. Med detta avses ytterligare andra uppgifter som myndigheten ska utföra som kan anses ha en koppling till beskattningsverksamheten som den har definierats i den hittills gällande skattedatabaslagen utan att utgöra ett led i beskattningsförfarandet. Avsikten är att sådana uppgifter ska omfattas av tillämpningsområdet genom att de ingår i begreppet beskattningsverksamhet. Med en sådan flexibel reglering behöver ändringar i beskattningsdatalagen inte göras varje gång Skatteverket åläggs sådana uppgifter. Det är dock en bedömning som får göras från fall till fall när Skatteverket får nya uppgifter att utföra som medför behandling av personuppgifter. Som framgår ovan gäller redan en liknande systematik i dag i fråga om tillämpningsområdet och tillåtna ändamål för behandling. Det kan t.ex. avse ärende om ansvar för någon annans skatter och avgifter, handläggning enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton eller hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige. Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering inom beskattningsverksamheten omfattas också av denna punkt. Vissa utökade uppdrag till Skatteverket kan komma att ingå i beskattningsverksamheten om personuppgiftsbehandlingen utförs som ett led i att t.ex. bestämma pensionsgrundande inkomst. I vissa fall kan utförandet av sådana uppgifter komma att falla in under begreppet annan liknande uppgift som Skatteverket ska utföra om det finns en koppling till beskattningsverksamheten. Lagrådet anser att det är svårt att avgöra om den föreslagna definitionen av beskattningsverksamheten är tillräcklig. Regeringen kan konstatera att Skatteverket inte har haft något att invända mot den föreslagna definitionen. Det har inte heller i övrigt kommit fram skäl att ifrågasätta att den föreslagna definitionen på ett fullgott sätt beskriver beskattningsverksamheten. Regeringen ser därför inte skäl att justera den föreslagna definitionen. Utöver beskattningsverksamheten föreslås att lagen även ska omfatta behandling i Skatteverkets verksamhet enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete, lagen (2020:548) om omställningsstöd, lagen (2023:230) om förfarande för elstöd till företag, lagen (2024:404) om skattefrihet och förfarande för kompensation till personer födda 1957 på grund av höjd åldersgräns för förhöjt grundavdrag och lagen (2024:1300) om uppgiftsskyldighet i fråga om frånvaro på grund av vård av barn. Det har inte kommit fram skäl att exkludera dessa lagar från den nya beskattningsdatalagens tillämpningsområde. Vidare föreslås att även 5 kap. 3 § lagen (2024:782) om förfarandet vid förverkande av egendom och åläggande av företagsbot ska omfattas av beskattningsdatalagen. Av den bestämmelsen framgår att om tredje man väcker talan mot staten om bättre rätt till egendom som har förverkats ska Skatteverket föra statens talan. Folkbokföringsdatalagens tillämpningsområde Regeringens förslag Folkbokföringsdatalagen ska gälla vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet med: 1. folkbokföring, 2. handläggning av ärenden om samordningsnummer, 3. samordnad behandling, kontroll och analys av identifierings-uppgifter för fysiska personer och av andra folkbokföringsuppgifter, 4. framställning av personbevis och andra registerutdrag, 5. aktualisering, komplettering och kontroll av personuppgifter, 6. uttag av urval av personuppgifter, och 7. någon annan liknande uppgift som Skatteverket ska utföra. Regeringens bedömning Folkbokföringsdatalagen bör inte omfatta personuppgiftsbehandling i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer. Utredningens förslag och bedömning Förslaget och bedömningen från utredningen stämmer i sak överens med regeringens. Utredningens förslag har en annan lagteknisk utformning. Remissinstanserna Skatteverket är positiv till en definition av begreppet folkbokföringsverksamhet. Myndigheten anser dock att definieringen blir bättre genom att hänvisa till de lagar som styr de olika rättsområdena inom folkbokföringsverksamheten. Vidare efterlyser myndigheten ett förtydligande om i vilka situationer nya uppgifter om den som är avregistrerad från folkbokföringen som utflyttad eller försvunnen får behandlas i folkbokföringsverksamheten. Skälen för regeringens förslag och bedömning Utgångspunkten är att den föreslagna folkbokföringsdatalagen ska ha samma materiella tillämpningsområde som folkbokföringsdatabaslagen (jfr 1 kap. 4 § folkbokföringsdatabaslagen där några av ändamålen för behandlingen anges). Den nya lagen föreslås därför omfatta behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Lagrådet anser att det bör förtydligas om all folkbokföringsverksamhet omfattas av lagens tillämpningsområde. Lagen är avsedd att tillämpas vid all den verksamhet som utgör folkbokföringsverksamheten vid Skatteverket. Nedan utvecklas vad som avses med folkbokföringsverksamheten. Med folkbokföringsverksamhet avses bl.a. folkbokföring. Begreppet folkbokföring bör ha samma innebörd som i folkbokföringslagen (1991:481), FOL. Folkbokföring kommer därför innebära fastställande av en persons bosättning och registrering av de uppgifter om denne som får registreras. Skatteverket efterlyser ett förtydligande om i vilka situationer nya uppgifter om avregistrerade personer får behandlas i folkbokföringsverksamheten. Det är dock en materiell fråga som inte ryms inom ramen för detta lagstiftningsärende. Enligt dagens reglering är begreppet folkbokföringsverksamhet vidare än enbart folkbokföring och innefattar bl.a. även Skatteverkets hantering av registrering av uppgifter om personer med samordningsnummer (jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 43 och 44). Samordningsnummer är en identitetsbeteckning för den som inte är eller har varit folkbokförd i Sverige (1 kap. 1 § lagen [2022:1697] om samordningsnummer). Det bör därför anges att handläggning av ärenden om samordningsnummer ingår i folkbokföringsverksamhet. Regeringen föreslår att det i den nya lagen även ska tydliggöras att folkbokföringsverksamhet innefattar samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter. Vidare bör det uttryckligen framgå att framställning av personbevis och andra registerutdrag ingår i begreppet folkbokföringsverksamhet. Aktualisering, komplettering och kontroll av personuppgifter samt uttag av urval av personuppgifter ingår också i Skatteverkets folkbokföringsverksamhet. Flera av ändamålen med behandling av uppgifter i folkbokföringsdatabasen är att tillgodose samhällets behov av uppgifter om enskilda (jfr 1 kap. 4 § folkbokföringsdatabaslagen). I 2 § förordningen (2017:154) med instruktion för Skatteverket anges bl.a. att uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Slutligen bör det anges att folkbokföringsverksamhet även omfattar någon annan liknande uppgift än de ovan uppräknade som Skatteverket ska utföra. Med detta avses ytterligare uppgifter som kan anses ha en så pass nära koppling till de övriga punkterna om vad som utgör folkbokföringsverksamhet att de inte behöver anges särskilt. Det kan avse ärenden som Skatteverket handlägger inom ramen för folkbokföringsverksamheten vilka har sin materiella grund i annan lagstiftning än folkbokföringslagen. Det handlar exempelvis om lagen (2016:1013) om personnamn avseende myndighetens prövning av frågor rörande personnamn och i äktenskapsbalken i fråga om myndighetens prövning av äktenskapshinder. Det handlar även om Skatteverkets hantering av personnummer som före år 2000 tilldelats utan samband med folkbokföring (1 kap. 1 § andra stycket lagen om samordningsnummer). Punkten omfattar också uppgifter med koppling till folkbokföringsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515). På samma sätt som för beskattningsverksamheten anser regeringen att personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas av denna punkt. På detta sätt behöver ändringar i folkbokföringsdatalagen inte göras varje gång Skatteverket åläggs sådana uppgifter. Det är att eftersträva att de nu föreslagna lagarna för Skatteverkets beskattningsverksamhet, Skatteverkets folkbokföringsverksamhet, Tullverket och Kronofogdemyndigheten har en enhetlig utformning. Lagarna är i stor utsträckning likalydande och i övrigt närliggande. Regeringen delar därför inte Skatteverkets synpunkt om att definitionen av folkbokföringsverksamhet ska göras genom att hänvisa till de lagar som tillämpas inom den nämnda verksamheten. Det har inte kommit fram tillräckliga skäl till att just folkbokföringsverksamheten bör definieras på ett avvikande sätt med en hänvisning till lagar, medan beskattningsverksamheten ska definieras enligt förslaget ovan. Regeringen anser att en hänvisning till lagar inte heller utgör en tydligare definition av begreppet folkbokföringsverksamhet. Folkbokföringsdatalagen bör inte omfatta personuppgiftsbehandling i viss del av passmyndigheternas verksamhet Den nuvarande folkbokföringsdatabaslagen omfattar behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer. Regeringen bedömer att den föreslagna folkbokföringsdatalagen inte ska innehålla motsvarande reglering. Det är tillräckligt att EU:s dataskyddsförordning och dataskyddslagen gäller för den personuppgiftsbehandling som passmyndigheterna behöver utföra vid identitetskontroller i samband med bl.a. tilldelning av samordningsnummer. Särskilt om folkbokföringslagen Definitionen av folkbokföring ska framgå av folkbokföringslagen Regeringens förslag Definitionen av folkbokföring ska regleras i folkbokföringslagen och inte i folkbokföringsdatalagen. Folkbokföring enligt folkbokföringslagen ska innebära fastställande av en persons bosättning samt registrering av de uppgifter om personen som ska registreras enligt lagen. Skatteverket ska registrera följande uppgifter om en person: 1. personnummer, 2. samordningsnummer, 3. namn, 4. födelsetid, 5. födelsehemort, 6. födelseort och födelseland, 7. adress, 8. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt, 9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, 12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering enligt 19–22 §§ samma lag, 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, och 17. uppehållsrätt. Skatteverket ska ha ett uttryckligt ansvar för registreringen. Hänvisningar till bestämmelsen om vilka uppgifter som ska registreras ska göras i relevanta bestämmelser i folkbokföringslagen. Utredningens förslag Förslaget från utredningen stämmer i sak överens med regeringens. I utredningens förslag anges att Skatteverket får registrera angivna uppgifter. Remissinstanserna Skatteverket anser att det skulle bidra med ökad tydlighet och förutsebarhet om det i den aktuella katalogen av uppgifter anges att även uppgift om kön får registreras. Uppgifter om kön behövs för att kunna bestämma om födelsenumret respektive individnumrets tredje siffra ska vara udda eller jämn. Uppgiften är alltså en förutsättning för att kunna fastställa personnummer och tilldela samordningsnummer. Skälen för regeringens förslag Av 1 § första stycket FOL framgår att folkbokföring innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som får förekomma i folkbokföringsdatabasen enligt folkbokföringsdatabaslagen. Dagens systematik innebär alltså att legaldefinitionen av folkbokföring hänvisar till folkbokföringsdatabasen, som är en särskilt reglerad uppgiftssamling i folkbokföringsdatabaslagen. Systematiken med en hänvisning i folkbokföringslagen till folkbokföringsdatabaslagen är varken flexibel eller ändamålsenlig. Den tillgodoser inte heller något faktiskt behov. Regeringen anser att definitionen av folkbokföring i stället bör regleras i folkbokföringslagen. Vidare bedömer regeringen i avsnitt 6.10.1 att de nya dataskyddslagarna inte ska innehålla särskilda regler om specifika uppgiftssamlingar i form av databaser. Regeringen föreslår att lydelsen i 1 § FOL ändras. Av första stycket bör det framgå att folkbokföring innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som ska registreras. Vilka uppgifter som ska registreras i samband med folkbokföring bör framgå av en ny paragraf i folkbokföringslagen. Av tredje stycket bör det av tydlighetsskäl framgå att det är Skatteverket som ansvarar för bl.a. folkbokföring. Den nya bestämmelsen om vilka uppgifter som Skatteverket ska registrera om en person bör i relevanta delar motsvara regleringen av folkbokföringsdatabasens innehåll. Regeringen instämmer i Lagrådets bedömning att bestämmelsen bör utformas så att uppgifterna ska registreras av Skatteverket. Anledningen är att det är fråga om uppgifter som, i de fall de är relevanta, ska registreras vid folkbokföring. Alla uppgifter som får behandlas i folkbokföringsdatabasen utgör dock inte uppgifter som ska registreras vid folkbokföring. Regeringen föreslår att det ska framgå att Skatteverket ska registrera följande uppgifter om en person: personnummer, samordningsnummer, namn, födelsetid, födelsehemort, födelseort och födelseland, adress, folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt, medborgarskap, civilstånd, make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, samband enligt 11 som är grundat på adoption, inflyttning från utlandet, avregistrering enligt 19–22 §§ samma lag, gravsättning, personnummer som personen har tilldelats i ett annat nordiskt land, och uppehållsrätt. Skatteverket har ett ansvar för att vissa uppgifter registreras i samband med folkbokföring. Syftet med den nya bestämmelsen är att tydliggöra vilka uppgifter om en person som Skatteverket ska registrera i samband med att personen folkbokförs. Bestämmelsen syftar inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla i verksamheten med folkbokföring. Att en uppgiftskategori saknas i den nya bestämmelsen innebär alltså inte att Skatteverket är förhindrat att behandla sådana uppgifter. Det innebär enbart att det inte är en sådan uppgift om en person som registreras i samband med folkbokföring. Lagrådet anser att lagtexten kan behöva kompletteras med att Skatteverket får registrera andra uppgifter. Eftersom syftet med bestämmelsen är att tydliggöra vilka uppgifter om en person som ska registreras i samband med att personen folkbokförs anser regeringen att en sådan komplettering inte bör läggas till i bestämmelsen. Skatteverket föreslår att det ska framgå att uppgift om kön får registreras. Regeringen har förståelse för att det kan finnas ett sådant behov. Det är dock en materiell förändring i förhållande till nuvarande reglering som inte kan hanteras inom ramen för detta lagstiftningsärende. Lagrådet för fram att uppgift om vigsel bör läggas till i uppräkningen. Regeringen anser inte att det finns skäl att i uppräkningen tydliggöra att vigsel ska registreras. I uppräkningen framgår att civilstånd ska registreras och i det ingår även datum för när civilståndet ändrades. Hänvisningar till regleringen om vilka uppgifter som ska registreras bör göras i relevanta bestämmelser i folkbokföringslagen. I 28 § FOL regleras vilka uppgifter en anmälan om flyttning eller inflyttning från utlandet ska innehålla. I 31 § FOL regleras Skatteverket möjligheter att förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av eller komplettering av uppgifter. I båda dessa bestämmelser hänvisas till folkbokföringsdatabasen. Som en följd av regeringens förslag bör hänvisningarna i stället avse registrering som ska göras enligt den föreslagna bestämmelsen. Nedan framgår en närmare redogörelse för vissa av de uppgiftskategorier som föreslås framgå i den nya bestämmelsen. Grundläggande folkbokföringsuppgifter Folkbokföringen är den grundläggande registreringen av befolkningen i Sverige. Uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Uppgifterna kan ligga till grund för bl.a. ersättningar och bidrag men även samhällsplanering och forskning. Var någon är folkbokförd har vidare betydelse för t.ex. var denne ska betala skatt och rösta. Vissa uppgifter som enligt nuvarande reglering får behandlas i folkbokföringsdatabasen är tydligt kopplade till folkbokföringens syfte. Dessa uppgifter bör även anges i den nya bestämmelsen i folkbokföringslagen. Det rör sig bl.a. om uppgifter om personnummer, namn, födelsetid, adress, folkbokföringsfastighet, medborgarskap, civilstånd, vissa familjeförhållanden och inflyttning från utlandet. Uppgifter med särskild koppling till systemet för samordningsnummer Uppgifter om person- eller samordningsnummer får enligt nuvarande reglering behandlas i folkbokföringsdatabasen (2 kap. 3 § 1 första stycket folkbokföringsdatabaslagen). Personnummer är särskilt knutet till folkbokföring, vilket framgår av 18 § FOL. Den bestämmelsen anger att det för varje folkbokförd person fastställs ett personnummer som identitetsbeteckning. Det förekommer dock att en person blir folkbokförd efter att först ha tilldelats ett samordningsnummer. Enligt 28 § FOL ska en anmälan enligt 25 eller 26 § samma lag innehålla uppgift om person- eller samordningsnummer. Mot bakgrund av att uppgift om samordningsnummer behandlas i ett folkbokföringsärende när en person med samordningsnummer folkbokförs, bör samordningsnummer fortsatt anges i den nya bestämmelsen om vilka uppgifter om en person som ska registreras vid folkbokföring. Registrering av uppgift om födelseort och födelseland Uppgift om födelsehemort och födelseort får enligt nuvarande reglering behandlas i folkbokföringsdatabasen (2 kap. 3 § första stycket 4 och 5 folkbokföringsdatabaslagen). Med födelsehemort avses normalt den församling i vilken personens moder var folkbokförd när personen i fråga föddes. Med födelseort avses både födelseort och land för en person som är född i utlandet (prop. 1990/91:53, Om lag om folkbokföringsregister, m.m., s. 40). Den nya regleringen bör vara tydlig avseende vilka uppgifter som registreras i samband med att en person folkbokförs. Uppgift om födelseland behandlas alltid i folkbokföringsdatabasen för personer som är födda utomlands. Det bör av tydlighetsskäl uttryckligen framgå av den nya bestämmelsen i folkbokföringslagen, tillsammans med uppgift om födelseort. Detta förtydligande innebär dock ingen ändring i sak eller utvidgning av vad folkbokföring innebär. Annan person som den registrerade har samband med inom folkbokföringen Uppgifter om make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen får enligt nuvarande reglering behandlas i folkbokföringsdatabasen (2 kap. 3 § första stycket 10 folkbokföringsdatabaslagen). Vad som avses med annan person som den registrerade har samband med inom folkbokföringen framgår dock inte av folkbokföringsdatabaslagen. Av 5 § förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen, framgår dock att detta begrepp avser annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt. Eftersom uttrycket redan har en avgränsad betydelse bör denna av tydlighetsskäl framgå direkt av den nya bestämmelsen i folkbokföringslagen. Regeringen föreslår därför att uppgifter om make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt ska registreras vid folkbokföring. Även om bestämmelsen därmed får en ändrad lydelse i förhållande till hittills gällande lydelse, utgör det inte någon ändring i sak eller utvidgning av vad folkbokföring innebär. Registrering av uppgift om uppehållsrätt Uppgift om uppehållsrätt för en person som är folkbokförd får enligt nuvarande reglering behandlas i folkbokföringsdatabasen (2 kap. 3 § första stycket 17 folkbokföringsdatabaslagen). Tillägget om att uppgiften om uppehållsrätt får registreras för den som är folkbokförd framstår som överflödigt. Det saknas skäl att ange detta i den nya bestämmelsen i folkbokföringslagen. Övriga ändringar i folkbokföringslagen Regeringens förslag När en identitetskontroll enligt folkbokföringslagen har genomförts, ska fingeravtryck, ansiktsbilder och biometriska uppgifter som har tagits fram omedelbart förstöras. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Inga remissinstanser invänder mot förslaget. Skälen för regeringens förslag I syfte att stärka identitetskontrollen i samband med bl.a. inflyttning har det införts möjligheter för Skatteverket att kontrollera biometriska uppgifter som finns lagrade i vissa identitetshandlingar (prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 44–48). Den utökade identitetskontrollen innebär en skyldighet för enskilda att vid inflyttning från utlandet inställa sig personligen hos Skatteverket för identitetskontroll. De ska på begäran överlämna eventuellt pass, identitetskort eller annan motsvarande handling eller uppehållstillståndskort. Om en sådan handling har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran även låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar de som finns i handlingen (26 b och 26 c §§ FOL). I samband med detta förfarande infördes även 1 kap. 7 § folkbokföringsdatabaslagen, med innebörden att när kontrollen har genomförts ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. Bestämmelsen infördes samtidigt som en ändring i regleringen av vilka uppgifter som får behandlas i databasen (2 kap. 3 § första stycket 21 folkbokföringsdatabaslagen). En bestämmelse som motsvarar den som anges i 1 kap. 7 § folkbokföringsdatabaslagen bör därför föras in i folkbokföringslagen. Eftersom denna del av identitetskontrollen regleras i 26 c § FOL är det lämpligt att en sådan reglering fogas till den paragrafen som ett nytt andra stycke. I budgetpropositionen för 2026 framgår att regeringen avser att lämna förslag om att Skatteverket ska få utökade befogenheter att hantera biometriska uppgifter inom folkbokföringsverksamheten (prop. 2025/26:1, Förslag till statens budget, finansplan och utg.omr. 3 avsnitt 2.8.2). Särskilt om lagen om samordningsnummer Uppgifter som Skatteverket ska registrera Regeringens förslag Skatteverket ska registrera följande uppgifter om en person: 1. samordningsnummer, 2. personnummer, 3. namn, 4. födelsetid, 5. medborgarskap, 6. födelseort och födelseland, 7. kontaktadress, 8. om personens identitet är styrkt, sannolik eller osäker, 9. tidpunkt för när vilandeförklaring kan komma att ske, 10. vilandeförklaring med angivande av med vilket stöd förklaringen skett, och 11. tidpunkt för när en person har avlidit. Hänvisningar till folkbokföringsdatabasen i lagen om samordningsnummer ska utgå och i behövliga delar ersättas av uppgifter som ska registreras enligt lagen. Utredningens förslag Förslaget från utredningen stämmer i sak överens med regeringens men har en annan språklig utformning. I utredningens förslag anges vidare att Skatteverket får registrera angivna uppgifter. Remissinstanserna Inga remissinstanser invänder mot förslaget. Skälen för regeringens förslag Samordningsnummer är en identitetsbeteckning för den som inte är eller har varit folkbokförd i Sverige. Systemet med samordningsnummer regleras i lagen (2022:1697) om samordningsnummer. Skatteverket beslutar i ärenden enligt lagen. Skatteverket har en skyldighet att registrera uppgifter om en person vid handläggning av ärenden om samordningsnummer (1 kap. 2 § lagen om samordningsnummer). Regleringen i den hittills gällande folkbokföringsdatabaslagen över vilka uppgifter som får förekomma i folkbokföringsdatabasen är bestämmande för den registrering som sker vid ärenden enligt lagen om samordningsnummer (1 kap. 2 § andra stycket lagen om samordningsnummer). Mot bakgrund av att folkbokföringsdatabaslagen föreslås upphävas, bör en ny bestämmelse införas i lagen om samordningsnummer som reglerar vilka uppgifter som Skatteverket ska registrera om en person som har tilldelats samordningsnummer. Regeringen instämmer i Lagrådets bedömning att bestämmelsen bör utformas så att uppgifterna ska registreras av Skatteverket. Anledningen är att det är fråga om uppgifter som, i de fall de är relevanta, ska registreras vid handläggning av ärenden om samordningsnummer. Med anledning av att Lagrådet anger att uppräkningen av vilka uppgifter som registreringen ska avse är avsedd att vara uttömmande vill regeringen tydliggöra följande. Den nya bestämmelsen syftar inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla för att utföra verksamhet enligt lagen om samordningsnummer. Att en uppgiftskategori saknas i den föreslagna bestämmelsen innebär därför inte att Skatteverket är förhindrat att behandla sådana uppgifter. Avsaknaden av en uppgiftskategori innebär enbart att det inte är en sådan uppgift om en person som registreras i samband med att han eller hon tilldelas ett samordningsnummer eller i samband med handläggningen av andra ärenden enligt lagen om samordningsnummer. De uppgifter som Skatteverket enligt förslaget ska registrera är samordningsnummer, personnummer, namn, födelsetid, medborgarskap, födelseort, födelseland, kontaktadress, om personens identitet är styrkt, sannolik eller osäker, tidpunkt för när vilandeförklaring kan komma att ske, vilandeförklaring med angivande av med vilket stöd förklaringen skett, och tidpunkt för när en person har avlidit. För en närmare redogörelse om dessa uppgifter, se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, avsnitt 9.4.8. Innan samordningsnumret infördes år 2000 fanns det möjlighet att tilldela personnummer även till personer utan samband med folkbokföring. Lagen om samordningsnummer innehåller även bestämmelser om sådana nummer och dessa får fortsättningsvis behandlas. Den nya bestämmelsen reglerar därmed även vilka uppgifter som Skatteverket ska registrera om en person med sådant personnummer, bl.a. i fråga om vilandeförklaring och tidpunkt för när en person har avlidit. Vidare framgår av 4 kap. 1 § första stycket lagen om samordningsnummer att en myndighet ska underrätta Skatteverket om det kan antas att en uppgift i folkbokföringsdatabasen om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. Regeringen bedömer i avsnitt 6.10.1 att någon motsvarighet till databasregleringen inte ska införas i de nya dataskyddslagarna. Regeringen föreslår därför här att den aktuella hänvisningen i stället görs till uppgifter som har registrerats. Det innebär inte någon ändring i sak. Även bestämmelsen i 4 kap. 2 § första stycket lagen om samordningsnummer som anger att personer med samordningsnummer som har en kontaktadress registrerad har en skyldighet att anmäla ändringar hänvisar till folkbokföringsdatabasen. Regeringen föreslår att även denna hänvisning ska utgå. Övriga ändringar rörande samordningsnummer Regeringens förslag När en identitetskontroll enligt lagen om samordningsnummer har genomförts ska fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa uppgifter omedelbart förstöras. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Inga remissinstanser invänder mot förslaget. Skälen för regeringens förslag Samordningsnummer kan tilldelas i tre nivåer beroende på vilken identitetskontroll som har föregått tilldelningen. Det är antingen med styrkt, sannolik eller osäker identitet (2 kap. 2–6 §§ lagen om samordningsnummer). För att en persons identitet ska anses vara styrkt krävs som utgångspunkt personlig inställelse hos Skatteverket för identitetskontroll. Därutöver ska personen på begäran överlämna eventuellt pass, identitetskort eller annan motsvarande handling eller uppehållstillståndskort. Om en sådan handling har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran även låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar de som finns i handlingen. Detta förfarande regleras i dag i 2 kap. 3 och 4 §§ lagen om samordningsnummer. När kontrollen har genomförts ska, enligt 1 kap. 7 § folkbokföringsdatabaslagen, fingeravtryck och ansiktsbild samt de biometriska uppgifter som har tagits fram omedelbart förstöras. En bestämmelse som motsvarar den som anges i 1 kap. 7 § folkbokföringsdatabasen bör därför föras in i lagen om samordningsnummer. Eftersom denna del av identitetskontrollen regleras i 2 kap. 4 § i den nyssnämnda lagen är det lämpligt att en sådan bestämmelse fogas till den paragrafen som ett nytt andra stycke. Tulldatalagens tillämpningsområde Regeringens förslag Tulldatalagen ska gälla vid behandling av personuppgifter i Tullverkets verksamhet med 1. bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter, 2. övervakning, revision och annan kontroll eller analys, 3. förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande, 4. fullgörande av förpliktelser som följer av internationella åtaganden, och 5. någon annan liknande uppgift som Tullverket ska utföra. Tulldatalagen ska inte gälla vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Utredningens förslag Förslaget från utredningen stämmer i huvudsak överens med regeringens men har en annan lagteknisk utformning. Remissinstanserna Inga remissinstanser invänder mot förslaget. Skälen för regeringens förslag Utgångspunkten för regeringens förslag är att tulldatalagen ska ha samma materiella tillämpningsområde som den nuvarande tulldatabaslagen. Den nya lagen föreslås därför omfatta behandling av personuppgifter i Tullverkets verksamhet. I bestämmelsen om tulldatalagens tillämpningsområde bör för det första anges att lagen gäller vid behandling av personuppgifter i Tullverkets verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter. Det gör det tydligt att lagen omfattar utförandet av sådana uppgifter som är ett led i Tullverkets fiskala verksamhet. Vidare bör det uttryckligen anges att tulldatalagen gäller i Tullverkets verksamhet med övervakning, revision och annan kontroll eller analys. Detta utgör en stor och nödvändig del av myndighetens verksamhet. Utfallet av sådana åtgärder ligger ofta till grund för bl.a. bestämmande av tull, skatt och avgifter respektive hantering av förbud och restriktioner. Det finns därför skäl att tydliggöra att den behandling av personuppgifter som då behöver utföras omfattas av regleringen i tulldatalagen. Regeringen anser att det även bör tydliggöras i förhållande till vad som gäller i dag att Tullverkets verksamhet i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande omfattas av lagens tillämpningsområde. Det bör även anges att lagen gäller vid behandling av personuppgifter i Tullverkets verksamhet med fullgörande av förpliktelser som följer av internationella åtaganden. Slutligen bör det anges att lagen även gäller vid någon annan liknande uppgift än de ovan uppräknade som Tullverket ska utföra. Med detta avses ytterligare uppgifter som kan anses ha en så pass nära koppling till de övriga punkterna att de inte behöver anges särskilt. På detta sätt behöver ändringar i tulldatalagen inte göras varje gång Tullverket åläggs sådana uppgifter. Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering omfattas exempelvis av begreppet annan liknande uppgift. Även uppgifter som behandlas för att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer omfattas av begreppet. Ett ytterligare exempel är behandling av personuppgifter vid förebyggande informationsinsatser och service som förklarar hur tullproceduren går till. Tulldatalagen ska inte gälla vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet Den nuvarande tulldatabaslagen gäller inte vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Om syftet med en personuppgiftsbehandling är att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott tillämpas i stället brottsdatalagen (2018:1177) och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Det bör av tydlighetsskäl framgå att tulldatalagen inte heller gäller vid behandling av personuppgifter som omfattas av lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Särskilt om utlämnande av uppgifter enligt tullagen Regeringens förslag Tullagen ska inte reglera utlämnande av uppgifter som rör import eller export av varor. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Inga remissinstanser invänder mot förslaget. Skälen för regeringens förslag En reglering om utlämnande av uppgifter som rör import eller export av varor finns i 1 kap. 4 och 5 §§ tullagen (2016:253). Av 1 kap. 4 § tullagen framgår att Tullverket på begäran ska tillhandahålla vissa myndigheter uppgifter som förekommer hos Tullverket som rör import eller export av varor. Av 1 kap. 5 § samma lag framgår en underrättelseskyldighet för Tullverket i förhållande till Skatteverket. De aktuella bestämmelserna är alltså sekretessbrytande bestämmelser som inte framgår av tulldatabaslagen, utan i en materiell reglering. Av avsnitt 5 framgår att utredningen föreslår att vissa frågor som regleras i nuvarande lagar i stället ska regleras på förordningsnivå. Det gäller bl.a. frågor om myndigheternas personuppgiftsbehandling vid utlämnande av uppgifter. Regeringen avser att återkomma i förordning med sådana regleringar. Mot denna bakgrund föreslår regeringen att 1 kap. 4 och 5 §§ tullagen ska utgå. Kronofogdedatalagens tillämpningsområde Regeringens förslag Kronofogdedatalagen ska gälla vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med 1. utsökning och indrivning, 2. skuldsanering och F-skuldsanering, 3. betalningsföreläggande och handräckning, 4. europeiskt betalningsföreläggande, 5. ansökan om och tillsyn över näringsförbud, 6. tillsyn i konkurs, andra konkursärenden, tillsyn över rekonstruktörer och mål enligt lönegarantilagen, 7. att motverka överskuldsättning, 8. analys eller kontroll, 9. fullgörande av förpliktelser som följer av internationella åtaganden, och 10. någon annan liknande uppgift som Kronofogdemyndigheten ska utföra. Vissa bestämmelser om rättelse och överklagande ska gälla vid behandling av uppgifter om juridiska personer. Lagen ska inte vara tillämplig vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen med kompletterande bestämmelser till 2015 års insolvensförordning. Utredningens förslag Förslaget från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår inte att tillämpningsområdet ska omfatta tillsyn i andra konkursärenden. Remissinstanserna Kronofogdemyndigheten efterfrågar att det uttryckligen ska framgå att den föreslagna lagen gäller vid personuppgiftsbehandling i myndighetens verksamhet med att förebygga och motverka ekonomisk brottslighet. Detta eftersom sådant arbete framgår av myndighetens instruktion. Förvaltningsrätten i Stockholm påpekar att begreppet enskild i regel avser både fysiska och juridiska personer, men att det i första hand avser fysiska personer i den föreslagna kronofogdedatalagen. Förvaltningsrätten anser även att det faktum att den föreslagna kronofogdedatalagen delvis är tillämplig på juridiska personer blir något missvisande i förhållande till lagens föreslagna syfte om ändamålsenlig behandling av personuppgifter och att skydda människor mot att deras personliga integritet kränks. Skälen för regeringens förslag Utgångspunkten för regeringens förslag är att den föreslagna kronofogdedatalagen ska ha samma materiella tillämpningsområde som den nuvarande kronofogdedatabaslagen. Den nya lagen föreslås därför som utgångspunkt omfatta behandling av personuppgifter i Kronofogdemyndighetens verksamhet. I bestämmelsen om kronofogdedatalagens tillämpningsområde bör det framgå att lagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering och F-skuldsanering, betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande. Detta framgår även av den nu gällande kronofogdedatabaslagens tillämpningsområde. Någon skillnad i sak är inte avsedd. Med utsökning och indrivning avses bl.a. verkställighet eller annan åtgärd som särskilt åligger myndigheten enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar m.m. och avräkning vid återbetalning av skatter och avgifter. I denna verksamhet ingår även myndighetens uppgift att t.ex. lämna underrättelser till målsäganden i brottmål, anmäla misstanke om brott och att fullgöra uppgifter enligt bötesverkställighetslagen (1979:189) med tillhörande förordning. Vidare bör det av kronofogdedatalagen framgå att lagen gäller vid myndighetens verksamhet med ansökan om och tillsyn över näringsförbud. Lagen bör även gälla vid verksamheten med tillsyn i konkurs och över rekonstruktörer liksom med mål enligt lönegarantilagen (1992:497). Från och med den 1 juli 2026 kommer Kronofogdemyndigheten utföra fler uppgifter i konkursförfarandet än endast tillsyn (prop. 2024/25:135, Ett nytt konkursförfarande). Lagen bör även gälla vid sådan verksamhet. Ett ytterligare verksamhetsområde som bör omfattas av den föreslagna lagen är att motverka överskuldsättning. Kronofogdemyndigheten ska verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas (2 § förordningen [2016:1333] med instruktion för Kronofogdemyndigheten). Att myndigheten får behandla uppgifter för att tillhandahålla information som behövs för motverkande av överskuldsättning framgår av särskilda ändamålsbestämmelser för respektive databas inom myndigheten. Kronofogdemyndighetens verksamhet med att motverka överskuldsättning är en integrerad del av myndighetens övriga reglerade verksamhetsområden. Det kan därför ifrågasättas om det finns något behov av att ange det uttryckligen i en bestämmelse om kronofogdedatalagens tillämpningsområde. För att regleringen i den nya kronofogdedatalagen ska bli tillräckligt tydlig anser regeringen dock att det bör framgå av bestämmelsen. Regeringen anser även att det bör framgå att Kronofogdemyndighetens verksamhet med analys och kontroll omfattas av den nya lagens tillämpningsområde. Motsvarande reglering finns inte i dag. Kronofogdemyndigheten utför dock olika former av analyser inom ramen för sin verksamhet, likt Tullverket och Skatteverket. Vidare bör det framgå att kronofogdedatalagen ska tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med fullgörande av förpliktelser som följer av internationella åtaganden. Sådan verksamhet kan dock, i likhet med samtliga uppräknade punkter i den föreslagna bestämmelsen, samtidigt falla in under flera punkter. Fullgörande av förpliktelser som följer av internationella åtaganden kan t.ex. beröra verksamhet med utsökning och indrivning. Slutligen bör det anges att lagen även gäller vid någon annan liknande uppgift än de ovan uppräknade som Kronofogdemyndigheten ska utföra. Med detta avses ytterligare uppgifter som kan anses ha en så pass nära koppling till de övriga punkterna att de inte behöver anges särskilt. På detta sätt behöver ändringar i kronofogdedatalagen inte göras varje gång Kronofogdemyndigheten åläggs sådana uppgifter. Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering omfattas av begreppet någon annan liknande uppgift. Ett ytterligare exempel på annan liknande uppgift som Kronofogdemyndigheten har att utföra är att förebygga och motverka ekonomisk brottslighet (4 § första stycket förordningen med instruktion för Kronofogdemyndigheten). I både Kronofogdemyndighetens och Skatteverkets instruktioner framgår att respektive myndighet ska förebygga och motverka ekonomisk brottslighet. Skatteverkets arbete med detta sker inte bara i den brottsbekämpande verksamheten, utan även i den övriga verksamheten. Varken beskattningsdatalagen eller folkbokföringsdatalagen föreslås innehålla bestämmelser om att respektive lag ska gälla vid personuppgiftsbehandling i Skatteverkets arbete med att förebygga och motverka ekonomisk brottslighet. Det saknas anledning att det ska framgå särskilt för Kronofogdemyndigheten i kronofogdedatalagen på det sätt som myndigheten efterfrågar. Arbetet med att förebygga och motverka ekonomisk verksamhet får dessutom numera anses vara en integrerad del av både Kronofogdemyndighetens och Skatteverkets respektive verksamhet. Vissa bestämmelser om rättelse och överklagande ska även gälla vid behandling av uppgifter om juridiska personer Enligt nuvarande reglering ska Kronofogdemyndigheten på begäran av en enskild snarast rätta, blockera eller utplåna uppgifter om den enskilde (3 kap. 3 a § kronofogdedatalagen). Det gäller dock bara om uppgifterna antingen har behandlats i strid med kronofogdedatalagen eller anslutande författningar, eller om uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Regeringen föreslår att motsvarande bestämmelse ska införas i kronofogdedatalagen. Bestämmelsen bör då vara tillämplig för både fysiska och juridiska personer om uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Regeringen föreslår därutöver att en bestämmelse om överklagande av beslut om rättelse ska vara tillämplig för både fysiska och juridiska personer. Se mer om detta i avsnitt 6.11.3. Förvaltningsrätten i Stockholm noterar att den föreslagna kronofogdedatalagen i första hand avser fysiska personer. Det framgår dock tydligt vilka bestämmelser som även avser juridiska personer. De bestämmelser som föreslås vara tillämpliga för juridiska personer har motsvarande tillämpning enligt hittills gällande reglering. Det är alltså ingen materiell skillnad, som dessutom har gällt under lång tid (jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 116). Vidare anser Förvaltningsrätten i Stockholm att det faktum att den föreslagna kronofogdedatalagen delvis är tillämplig på juridiska personer blir något missvisande i förhållande till lagens föreslagna syfte om ändamålsenlig behandling av personuppgifter och att skydda människor mot att deras personliga integritet kränks. Regeringen noterar dock att det finns moderna dataskyddslagar som uttryckligen syftar till att skydda människor mot att deras personliga integritet kränks, samtidigt som de i vissa delar även är tillämpliga avseende juridiska personer (jfr vägtrafikdatalagen [2019:369]). De föreslagna dataskyddslagarna syfte regleras närmare i avsnitt 6.2. Kronofogdedatalagen ska inte gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar Den nu gällande kronofogdedatabaslagen är inte tillämplig vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. Regeringen har tidigare bedömt att den generella reglering som finns i EU:s dataskyddsförordning och dataskyddslagen är tillräcklig när det gäller behandlingen av sådana personuppgifter (prop. 2018/19:48, Insolvensregister enligt 2015 års insolvensförordning, s. 28 och 29). Det har inte kommit fram skäl att nu göra en annan bedömning. Regeringen föreslår därför att det i den nya kronofogdedatalagen ska anges att bestämmelserna i lagen inte ska gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen med kompletterande bestämmelser till 2015 års insolvensförordning. Lagarnas förhållande till annan reglering Lagarna ska komplettera den allmänna dataskyddsregleringen Regeringens förslag Beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska komplettera EU:s dataskyddsförordning. Lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen ska gälla vid behandling av personuppgifter enligt de föreslagna lagarna. Det förutsätter att inte annat följer av de föreslagna lagarna eller föreskrifter som har meddelats i anslutning till dessa. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag EU:s dataskyddsförordning utgör den generella regleringen av personuppgiftsbehandling inom EU. Den är i alla delar bindande och direkt tillämplig i medlemsstaterna. Förordningen ska alltså tillämpas av myndigheter och enskilda på samma sätt som om den vore en nationell lag. Den gäller oavsett om det i de föreslagna lagarna införs en bestämmelse som hänvisar till den eller inte. Regeringen anser att det ändå bör införas en upplysningsbestämmelse i respektive ny dataskyddslag för att tydliggöra att lagarna innehåller kompletterande bestämmelser till förordningen. En sådan upplysningsbestämmelse klargör framför allt att respektive lag inte kan tillämpas fristående, utan att lagen ska tillämpas tillsammans med EU:s dataskyddsförordning. Motsvarande bestämmelse finns i de nuvarande registerlagarna och bör alltså även framgå av de nya dataskyddslagarna. I svensk rätt har det antagits generella kompletterande bestämmelser till EU:s dataskyddsförordning genom dataskyddslagen. Bestämmelserna i dataskyddslagen är subsidiära i förhållande till annan nationell dataskyddsreglering. Eventuella specialbestämmelser i andra författningar om behandling av personuppgifter ska därför tillämpas före de allmänna bestämmelserna i dataskyddslagen. Det behövs därför inte någon materiell bestämmelse för att specialbestämmelser i de nya lagarna ska ges företräde framför de generella bestämmelserna i dataskyddslagen. För att det, liksom i dag, ska vara tydligt hur de nya lagarna förhåller sig till dataskyddslagen föreslås dock att vardera ny lag ska innehålla en upplysningsbestämmelse om att dataskyddslagen är subsidiär i förhållande till lagen. Kronofogdedatalagens förhållande till EU:s kvarstadsförordning Regeringens förslag Avvikande bestämmelser om behandling av personuppgifter som finns i EU:s kvarstadsförordning ska gälla i stället för kronofogdedatalagen. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Den nuvarande kronofogdedatabaslagen är subsidiär i förhållande till Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur (kvarstadsförordningen). I kvarstadsförordningen finns vissa särskilda bestämmelser om bl.a. uppgiftsskydd som är mer specifika än de bestämmelser som föreslås i kronofogdedatalagen. Kvarstadsförordningen har företräde framför nationella lagar som stiftas av EU:s medlemsstater. Bestämmelserna om behandling av personuppgifter som regleras i kvarstadsförordningen kommer därför ha företräde framför bestämmelserna i den nya kronofogdedatalagen. Regeringen föreslår att det i den nya kronofogdedatalagen ska tydliggöras att de avvikande bestämmelser om behandling av personuppgifter som finns kvarstadsförordningen gäller i stället för kronofogdedatalagen. Personuppgiftsansvar Regeringens förslag Skatteverket, Tullverket och Kronofogdemyndigheten ska vara personuppgiftsansvariga för den behandling av personuppgifter som sker inom respektive myndighet. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Begreppet personuppgiftsansvar är centralt i EU:s dataskyddsförordning. Med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7 i förordningen). Det ska finnas en personuppgiftsansvarig för all behandling av personuppgifter. Av nuvarande dataskyddslagar framgår att Skatteverket, Tullverket och Kronofogdemyndigheten är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet utför. Skatteverket och varje passmyndighet är dessutom personuppgiftsansvarig för den behandling av personuppgifter som respektive passmyndighet utför enligt folkbokföringsdatabaslagen (se 1 kap. 5 § samma lag). Regeringen föreslår att det även i de nya dataskyddslagarna ska framgå att respektive myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Vid de berörda myndigheterna kan det förekomma att personuppgiftsbiträden anlitas. Myndigheterna kan t.ex. anlita en extern aktör som ska ansvara för viss behandling av personuppgifter. I sådana fall ska parterna skriva ett s.k. personuppgiftsbiträdesavtal (artikel 28.3 i EU:s dataskyddsförordning). Bestämmelserna i EU:s dataskyddsförordning om vad som gäller när personuppgiftsansvariga anlitar personuppgiftsbiträden regleras på ett detaljerat sätt. Regeringen bedömer därför att det inte finns något behov av att införa bestämmelser om personuppgiftsbiträden i de nya lagarna. Tillgången till personuppgifter Regeringens förslag Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Sveriges advokatsamfund framhåller att utgångspunkten bör vara att endast sådan myndighetspersonal som behöver ha tillgång till personuppgifter för att utföra sina arbetsuppgifter bör ha åtkomst till uppgifterna. Skälen för regeringens förslag Utgångspunkten är att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med personuppgiftsbehandlingen (artikel 5.1 f i EU:s dataskyddsförordning). Om personuppgifter sprids ökar risken för att uppgifterna kan användas på ett sätt som medför integritetsintrång. Att begränsa tillgången till personuppgifter är en viktig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen. Regeringen anser att det av integritetsskäl bör finnas en reglering i respektive ny datalag som tydliggör att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Det ligger i linje med vad Sveriges advokatsamfund framhåller. Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter skiljer sig åt. Det är därför svårt att närmare ange formerna för hur tillgången till personuppgifter ska begränsas. Genom förslaget klargörs dock att respektive myndighet har ett ansvar att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i EU:s dataskyddsförordning). Innebörden av förslaget är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som arbetar vid någon av myndigheterna ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Åtkomsten ska gälla sådana uppgifter som det är tänkbart att personen behöver utifrån sina arbetsuppgifter. Lagrådet efterfrågar ett förtydligande av om bestämmelsen endast ska omfatta anställda vid myndigheterna eller även konsulter. Regeringen konstaterar att uttrycket var och en är avsett att inkludera såväl tillsvidareanställd personal som personer med en tidsbegränsad anställning och konsulter. Avsikten är att alla som vid arbete hos myndigheterna kommer i kontakt med personuppgifter ska omfattas av bestämmelsen och alltså endast få tillgång till de personuppgifter som behövs för att utföra arbetsuppgifterna. Vidare bör åtkomsten till personuppgifter kontrolleras och följas upp regelbundet. Ett sådant krav i lag utgör en skyddsåtgärd i syfte att begränsa intrånget i enskildas integritet. Det är även viktigt för att myndigheterna ska kunna upptäcka och åtgärda obehörig åtkomst. Liknande regleringar finns i andra dataskyddslagar, se t.ex. 9 § studiestödsdatalagen (2009:287) och 1 kap. 11 § lagen (2023:45) om behandling av personuppgifter vid Utbetalningsmyndigheten. Kontroller ska genomföras systematiskt och återkommande. De ska alltså inte bara genomföras när myndigheterna får anledning att misstänka att obehörig åtkomst har förekommit. En kontroll kan t.ex. ske genom uppföljning av loggar. Det bör dock vara upp till myndigheterna själva att närmare bestämma formerna för kontrollerna. Det bör här framhållas att bestämmelser om tillgång till personuppgifter i de nya lagarna inte innebär att myndigheterna kan bortse från övriga krav på lämpliga säkerhetsåtgärder som finns i EU:s dataskyddsförordning. Ingen särskild databasreglering bör införas Regeringens bedömning Det saknas behov av att införa en särskild databasreglering. Utredningens bedömning Bedömningen från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot bedömningen. Skälen för regeringens bedömning I dataskyddssammanhang avser begreppet databas ofta en samling uppgifter som med hjälp av automatiserad (elektronisk) behandling används gemensamt i en verksamhet. Databas används därför ofta synonymt med begrepp som uppgiftssamling eller gemensamt tillgängliga uppgifter. En databas behöver inte avse en uppgiftssamling som är tekniskt avgränsad (prop. 2022/23:43, Utbetalningsmyndigheten, s. 138). Den hittills gällande databasregleringen för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten utgör en samling bestämmelser som enbart gäller för uppgifter som används gemensamt i respektive verksamhet. Bestämmelserna avser bl.a. gallring, elektroniskt utlämnande och vilka sökbegrepp som får användas. Med den hittills gällande databasregleringen görs alltså en åtskillnad i skyddsnivå mellan uppgifter som är tillgängliga för fler än ett fåtal personer (gemensamt tillgängliga uppgifter) i förhållande till uppgifter som behandlas av en mer avgränsad krets personer. För behandling utanför databaserna gäller i regel inte de särskilda skyddsåtgärder som föreskrivs för uppgifter som behandlas i databaserna. Skatteverket, Tullverket och Kronofogdemyndigheten har uppgett att databasregleringen inte speglar den verksamhet som bedrivs i dag. Regleringen ger ett felaktigt intryck av att databaserna utgör separata it-system. Myndigheterna har även uppgett att begreppet databas är missvisande och omodernt. Normalt talas i stället om vilka uppgifter som är gemensamt tillgängliga för en verksamhet. EU:s dataskyddsförordning reglerar inte sådana uppgiftssamlingar som fler än ett fåtal personer inom en myndighet har tillgång till. Dataskyddsförordningen innehåller i stället flera artiklar med innebörden att myndigheterna är skyldiga att anpassa dataskyddet efter de särskilda integritetsrisker som en behandling innebär, särskilt för uppgifter som görs gemensamt tillgängliga. Dataskyddsförordningen ställer dessutom i vissa avseenden högre krav på myndigheterna än vad den hittills gällande databasreglering gör. Redan av den anledningen saknas det skäl att införa en särreglering avseende uppgifter som är gemensamt tillgängliga inom Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Även om begreppet databas inte utgår från någon särskild teknisk avgränsning rör det sig ändå om en i grunden teknisk fråga, dvs. om åtkomst som är begränsad eller gemensam. Som utgångspunkt bör dock skyddet för fysiska personer vara teknikneutralt och inte beroende av den teknik som används hos respektive myndighet (skäl 15 till EU:s dataskyddsförordning). Regeringen bedömer att skyddsnivån för sådana uppgifter som behandlas vid Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten bör vara lika hög oavsett tillgänglighet i de tekniska systemen. Det finns därför inte längre några skäl att skilja på behandling av personuppgifter i myndigheternas databaser i förhållande till behandling utanför databaserna. Samma skyddsåtgärder bör i stället gälla för all behandling av personuppgifter som sker inom det materiella tillämpningsområdet för respektive ny föreslagen datalag. Den hittills gällande databasregleringen bedöms därför inte lämplig att överföra till de nya dataskyddslagarna. Enskildas rättigheter Rätten att göra invändningar ska inte gälla Regeringens förslag Enskildas rätt att göra invändningar mot personuppgiftsbehandling ska inte gälla vid sådan behandling som är tillåten enligt beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen eller föreskrifter som har meddelats i anslutning till lagarna. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Sveriges advokatsamfund anser att förslaget kan medföra att allmänheten känner en ökad misstro mot myndigheterna. Skälen för regeringens förslag Vid behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse, som ett led i den personuppgiftsansvariges myndighetsutövning eller efter en intresseavvägning ska den registrerade ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna. Behandlingen är dock tillåten om den personuppgiftsansvarige kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Behandlingen är även tillåten om den sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21 i EU:s dataskyddsförordning). Det finns möjligheter att begränsa enskildas rätt att göra invändningar. Det krävs att begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna. Begränsningen ska även utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bl.a. viktiga mål av generellt allmänt intresse (artikel 23 i EU:s dataskyddsförordning). Flera dataskyddslagar innehåller begränsningar av enskildas rätt att göra invändningar, se t.ex. 2 a § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 18 b § utlänningsdatalagen (2016:27) och 1 kap. 4 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. Det är av betydelse att personuppgifter får behandlas i myndigheters verksamheter oberoende av den registrerades inställning. Regeringen har tidigare bedömt att en personuppgiftsansvarig myndighet närmast undantagslöst kan visa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet (prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 45). I de hittills gällande registerlagarna för Skatteverket, Tullverket och Kronofogdemyndigheten finns bestämmelser som reglerar frågan om rätten att göra invändningar. Innebörden av regleringen är att tillåten behandling av personuppgifter får ske även om den enskilde motsätter sig en behandling. I förarbetena anges att tillåten behandling är en förutsättning för att myndigheterna ska kunna utföra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. Övriga integritetsskyddande bestämmelser minimerar dessutom risken för kränkning av den registrerades rättigheter och friheter (prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 85). Regeringen anser att det saknas skäl att nu göra en annan bedömning. Med hänsyn till detta föreslås att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska införas en reglering om att rätten att göra invändningar inte ska gälla vid sådan behandling som är tillåten enligt de nya lagarna eller föreskrifter som har meddelats i anslutning till lagarna. Det är alltså ingen materiell skillnad mot nuvarande reglering, som dessutom har gällt under lång tid. Regeringen anser därför att förslaget inte bör leda till att allmänheten nu får en ökad misstro gentemot myndigheterna på det sätt som Sveriges advokatsamfund befarar. Förslagets utformning, med en hänvisning till artikel 21.1 i EU:s dataskyddsförordning, medför att hänvisningen till dataskyddsförordningen är dynamisk. Hänvisningen avser alltså dataskyddsförordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan dock inte uteslutas att lagen ändå kan behöva ändras i samband med framtida ändringar i förordningen. Rätten till information i Skatteverkets beskattningsverksamhet Regeringens förslag Vissa artiklar i EU:s dataskyddsförordning om rätt till information och tillgång till personuppgifter ska inte tillämpas vid behandling av personuppgifter enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Utredningens förslag Förslaget från utredningen stämmer i sak överens med regeringens men har en annan språklig utformning. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Enligt 3 kap. 2 a § skattedatabaslagen ska vissa artiklar i EU:s dataskyddsförordning om den registrerades rätt till information och tillgång till personuppgifter inte tillämpas om det är nödvändigt med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. Detta gäller vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. I 3 kap. 2 a § skattedatabaslagen görs alltså undantag från vissa av de registrerades rättigheter. Syftet med detta är att det ska göras en korrekt tillämpning av rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EG. Direktivet genomfördes i huvudsak genom införandet av lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i EU:s dataskyddsförordning. Regeringen föreslår att motsvarande reglering delvis ska föras över till den nya beskattningsdatalagen. Regleringen bedöms fortsatt uppfylla de krav som ställs på en rättighetsbegränsande bestämmelse enligt artikel 23 i EU:s dataskyddsförordning. En sådan bestämmelse är inte en begränsning av allmänhetens rätt att få del av allmänna handlingar enligt offentlighetsprincipen (jfr prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 72). Förslagets utformning, med en hänvisning till artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning, medför att hänvisningen till dataskyddsförordningen är dynamisk. Hänvisningen avser alltså dataskyddsförordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan dock inte uteslutas att lagen ändå kan behöva ändras i samband med framtida ändringar i förordningen. Rättelse och överklagande vid Kronofogdemyndigheten Regeringens förslag Kronofogdemyndigheten ska på begäran av en enskild snarast rätta, blockera eller utplåna uppgifter gällande den enskilde som inte har behandlats i enlighet med kronofogdedatalagen eller anslutande författningar eller som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om att det har gjorts en sådan åtgärd, om den enskilde begär det eller om mer betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats. Beslut om rättelse ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Kronofogdemyndigheten påpekar att begreppen utplåning och blockering inte förekommer i EU:s dataskyddsförordning. Myndigheten anser att det finns ett behov av att se över regleringen om rättelse eftersom den nuvarande regleringen är otydlig. Denna otydlighet gör sig gällande i både tolkningen av begreppen och hur de olika åtgärderna förhåller sig till varandra. Skälen för regeringens förslag Rättelse Enligt nuvarande ordning ska Kronofogdemyndigheten på begäran av en enskild snarast rätta, blockera eller utplåna sådana uppgifter som 1) inte har behandlats i enlighet med kronofogdedatabaslagen alternativt anslutande författningar, eller 2) är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser (3 kap. 3 a § kronofogdedatabaslagen). Denna rättighet gäller såväl fysiska som juridiska personer. Den gäller även för avlidna. EU:s dataskyddsförordning innehåller redan bestämmelser om bl.a. rättelse och radering, se t.ex. artiklarna 16 och 17. Det kan tala för att det inte längre behövs någon särskild reglering om rättelse i Kronofogdemyndighetens verksamhet. Att förekomma i mål som har registrerats i utsöknings- och indrivningsdatabasen kan dock få långtgående konsekvenser för den enskilde (jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 13 och 14 samt prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 78–80). Regeringen föreslår därför att det ska införas en särskild bestämmelse av aktuellt slag även i den nya kronofogdedatalagen. I avsnitt 6.3.2 föreslås att kronofogdedatalagen inte ska omfatta behandling av uppgifter om juridiska personer eller avlidna. Ett undantag för juridiska personer och avlidna från den aktuella rätten medför inte att de får ett sämre integritetsskydd ur ett dataskyddsrättsligt perspektiv. Detta särskilt eftersom skyddet för den personliga integriteten i EU:s dataskyddsförordning ändå inte gäller för dem. De bör därför inte omfattas av rätten att rätta, blockera eller utplåna sådana uppgifter som inte har behandlats i enlighet med kronofogdedatabaslagen eller anslutande författningar. Regeringen anser dock att juridiska personer ska ha fortsatt möjlighet att rätta, blockera eller utplåna uppgifter som vid tidpunkten för registreringen var missvisande i fråga om personens vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Den hittills gällande bestämmelsen om detta syftar i huvudsak till att tillgodose såväl kraven på Kronofogdemyndighetens diarieföring som de enskildas berättigade krav på att inte behöva förekomma med uppgifter som ger ett i sak ogrundat intryck av bristande vilja eller förmåga att göra rätt för sig (prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 17 och 18). Även sådana ogrundade intryck avseende juridiska personer kan få negativa konsekvenser, framför allt ekonomiska. Det finns därför skäl att fortsatt låta regleringen i denna del omfatta juridiska personer. Avlidna personer kan dock inte drabbas av motsvarande ekonomiska konsekvenser. Det finns därför ingen anledning att låta regleringen omfatta avlidna. Kronofogdemyndigheten påpekar att begreppen utplåning och blockering inte förekommer i EU:s dataskyddsförordning. Begreppen rättelse och radering av personuppgifter samt begränsning av behandling används i stället (artiklarna 16–19). Att göra en översyn av begreppsanvändningen på det sätt som Kronofogdemyndigheten efterfrågar ryms dock inte inom ramen för detta lagstiftningsärende. En sådan översyn kräver noggranna överväganden. Detta inte minst för att det kan innebära materiella förändringar som t.ex. kan påverka bestämmelsen om sekretess för blockerade uppgifter enligt 34 kap. 3 § offentlighets- och sekretesslagen (2009:400). Uppgifter som Kronofogdemyndigheten lämnar ut till tredje man Om uppgifter har lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta tredjemannen om att uppgifter har rättats, blockerats eller utplånats. Det gäller om den enskilde begär en sådan underrättelse eller om mer betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. En underrättelse behöver dock inte lämnas om det skulle innebära en oproportionerligt stor arbetsinsats (3 kap. 3 a § kronofogdedatabaslagen). Underrättelseskyldigheten aktualiseras oftast vid underrättelser till kreditupplysningsföretag. Regleringen hänger samman med att det i 8 § fjärde stycket kreditupplysningslagen (1973:1173) anges att en uppgift som har inhämtats från Kronofogdemyndigheten ska gallras när den har blockerats av myndigheten. Regeringen föreslår att en motsvarande underrättelseskyldighet ska införas i den nya kronofogdedatalagen. Skyldigheten bör i tillämpliga delar även gälla avseende rättade, blockerade eller utplånade uppgifter om juridiska personer. Den bör dock inte omfatta uppgifter om avlidna personer. Hänvisning till EU:s dataskyddsförordning I nuvarande reglering finns en hänvisning till att bestämmelser om rättelse av personuppgifter även finns i EU:s dataskyddsförordning. Eftersom det endast är en upplysningsbestämmelse bedömer regeringen att en motsvarande bestämmelse inte behövs i den föreslagna kronofogdedatalagen. Överklagande I hittills gällande reglering finns en överklagandehänvisning avseende beslut om rättelse av uppgifter som antingen 1) inte har behandlats i enlighet med samma lag eller anslutande författningar, eller 2) är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser (3 kap. 4 § kronofogdedatabaslagen). Sådana beslut får överklagas till allmän förvaltningsdomstol. Av regleringen framgår även att det krävs prövningstillstånd vid överklagande till kammarrätten. Regeringen föreslår att en motsvarande bestämmelse ska föras in i kronofogdedatalagen. Längsta tid för behandling Regeringens förslag Personuppgifter ska inte få behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter ska få behandlas under viss tid. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Riksarkivet ser positivt på förslaget att göra en tydlig uppdelning mellan arkivrättsliga bestämmelser och dataskyddsbestämmelser. Skälen för regeringens förslag Enligt den grundläggande principen om lagringsminimering får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (artikel 5.1 e i EU:s dataskyddsförordning). Personuppgifter ska därför inte fortsätta behandlas om det saknas ett behov av behandling. Denna princip bör komma till uttryck i de nya dataskyddslagarna. Regeringen föreslår därför att det ska införas en reglering i respektive ny lag om att personuppgifter inte ska få behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Till skillnad från regleringen i de nuvarande registerlagarna, bör en yttersta tidsfrist för behandling inte anges i dataskyddslagarna. De nuvarande gallringsbestämmelserna i myndigheternas registerlagar är dessutom förenade med en rad undantag, bl.a. med hänsyn till verksamhetens behov. De fyller därför inte det integritetsskyddande behov som har avsetts. Den föreslagna regleringen förtydligar att det är ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. Av skäl 39 till EU:s dataskyddsförordning framgår att den personuppgiftsansvarige bör införa tidsfrister för radering eller för regelbunden kontroll för att säkerställa att personuppgifter inte sparas längre än nödvändigt. Att myndigheterna internt formulerar vissa mer specificerade tidsfrister för när behandling ska upphöra har därmed stöd i dataskyddsförordningen. När det inte längre finns något behov av att behandla personuppgifter bör dessa alltså tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner i verksamhetssystemen eller arkiveras. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål är enligt artikel 89.1 i EU:s dataskyddsförordning förenliga med de ursprungliga ändamålen. Den föreslagna regleringen möjliggör samtidigt behandling under den tid som den är nödvändig för ändamålet, t.ex. för att följa en historisk utveckling av en viss företeelse. Det är framför allt verksamhetsskäl och myndighetssamverkan som bör vara styrande för bedömningen av om uppgifterna fortfarande behövs. Berättigade och motiverade behov av en längre tids behandling kan på så sätt tillgodoses. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål. Personuppgifterna bör då fortsätta att behandlas för det kvarstående ändamålet. Den föreslagna regleringen medför inget krav på att all behandling ska upphöra om behovet upphör för ett av flera ändamål. Vidare bör den föreslagna regleringen gälla parallellt med arkivlagen (1990:782), som gäller för alla myndigheter. Syftet med arkivlagen är bl.a. att upprätthålla handlingsoffentligheten. Lagen reglerar bevarande och gallring av allmänna handlingar. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser i stället för arkivlagen (10 § tredje stycket arkivlagen). Den föreslagna regleringen om längsta tid för behandling utgör inte en sådan avvikande bestämmelse som gör att arkivlagen inte är tillämplig. Det är i linje med vad Riksarkivet framför. Som ovan framgår har det inte kommit fram något behov av att föreslå en reglering som närmare anger den längsta tid som uppgifter får behandlas. Regeringen eller den myndighet som regeringen bestämmer kan dock med stöd av 8 kap. 7 § regeringsformen (den s.k. restkompetensen) meddela föreskrifter om mer preciserade tidsfrister för behandlingen i vissa fall. Regeringen föreslår därför att en upplysningsbestämmelse om restkompetensen ska införas i de nya dataskyddslagarna. Ändamålsbestämmelser En brett formulerad primär ändamålsbestämmelse Regeringens förslag Skatteverket, Tullverket och Kronofogdemyndigheten ska få behandla personuppgifter om det är nödvändigt för att utföra verksamhet inom de föreslagna dataskyddslagarnas respektive materiella tillämpningsområde. Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om ändamålen med behandlingen. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Integritetsskyddsmyndigheten uttrycker att myndigheten i olika sammanhang har fört fram kritik mot förslag om alltför allmänt hållna ändamålsbestämmelser. Myndigheten anser dock att den nu föreslagna ändamålsbestämmelsen tillsammans med Skatteverkets, Tullverkets och Kronofogdemyndighetens materiella verksamhetsregleringar är tillräckligt preciserad, tydlig och förutsägbar. Hovrätten över Skåne och Blekinge instämmer i bedömningen att det i anslutning till den primära ändamålsbestämmelsen bör framgå att regeringen med stöd av sin s.k. restkompetens kan meddela föreskrifter om ändamålen med behandlingen. Domstolen föreslår dock att det ska framgå att det är fråga om begränsande eller förtydligande föreskrifter. Skälen för regeringens förslag Allmänt om villkor för personuppgiftsbehandling För att behandling av personuppgifter över huvud taget ska vara tillåten krävs att någon av de rättsliga grunder (villkor för laglig behandling) som anges i artikel 6 i EU:s dataskyddsförordning är tillämplig. Av särskilt intresse för myndigheters verksamhet är artikel 6.1 c. Denna rättsliga grund gäller när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Även artikel 6.1 e är av särskilt intresse. Denna rättsliga grund gäller i sin tur när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden måste fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket). Det innebär att det är lagstiftarens sak att tillhandahålla den rättsliga grunden för myndigheternas behandling av personuppgifter (skäl 47 till EU:s dataskyddsförordning). Detta görs t.ex. i myndigheternas instruktioner, i vilka det bl.a. framgår vad respektive myndighet har för uppgifter. Utöver kravet på rättslig grund, måste det alltid finnas minst ett ändamål med personuppgiftsbehandlingen. Det uttrycks i artikel 5.1 b i dataskyddsförordningen som att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Av samma artikel framgår även principen om ändamålsbegränsning (finalitetsprincipen). Den innebär att uppgifter inte får vidarebehandlas för ändamål som är oförenliga med insamlingsändamålet. En ny ändamålsbestämmelse De nuvarande ändamålsbestämmelserna i registerlagarna för Skatteverket, Tullverket och Kronofogdemyndigheten pekar ut ramarna för vad som utgör tillåten personuppgiftsbehandling. De är detaljreglerade och svåröverblickbara, vilket är en av anledningarna till att dataskyddsregleringen för de aktuella myndigheterna nu föreslås få en ny systematik. För en närmare beskrivning av nuvarande ändamålsbestämmelser, se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, avsnitt 7. Även de föreslagna dataskyddslagarna behöver dock innehålla varsin ändamålsbestämmelse som drar gränsen för vad som är tillåten personuppgiftsbehandling för att respektive myndighet ska kunna utföra sin verksamhet. Regeringen föreslår att ändamålsbestämmelsen ska formuleras som att behandling av personuppgifter får ske om det är nödvändigt för att utföra verksamhet inom lagens materiella tillämpningsområde. Det är en brett formulerad och flexibel ändamålsbestämmelse som utgör en betydande ändring i förhållande till nuvarande ordning. I likhet med vad Integritetsskyddsmyndigheten anför får bestämmelsen dock anses vara tillräckligt preciserad, tydlig och förutsägbar. I ändamålsbestämmelserna i nuvarande registerlagar anges att uppgifter får behandlas om det behövs. Regeringen föreslår att det i stället anges att behandling får ske om det är nödvändigt. Lagrådet efterfrågar ett klargörande av hur begreppen nödvändig och behövs är avsedda att användas och deras betydelse. Nödvändig är det begrepp som används i artikel 6 i EU:s dataskyddsförordning, som anger när en personuppgiftsbehandling är laglig. Regeringen anser att det är lämpligt att samma begrepp används i den nationella lagstiftningen. Någon ändring i sak i förhållande till begreppet behövs i nuvarande ändamålsbestämmelser är inte avsedd. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Den föreslagna ändamålsbestämmelsen hindrar dock myndigheterna från att behandla personuppgifter som inte kan hänföras till deras författningsreglerade uppgifter. Den får därför anses vara i linje med EU:s dataskyddsförordning. Genom förslaget får myndigheterna inte heller möjlighet till annan behandling än den som ändå hade varit tillåten med stöd av den allmänna dataskyddsregleringen. Förslaget får därför anses vara proportionerligt mot det legitima mål som eftersträvas, vilket är att myndigheterna ska kunna utföra de uppgifter som riksdag och regering ger dem. En brett formulerad ändamålsbestämmelse är även positiv med hänsyn till teknikneutralitet. Det kan uppkomma behov av att förtydliga den föreslagna ändamålsbestämmelsens räckvidd. Precis som Hovrätten över Skåne och Blekinge påpekar kan regeringen med stöd av sin restkompetens enligt 8 kap. 7 § regeringsformen införa begränsningar eller förtydliganden i förordningsform som inte innebär en utvidgning avseende ändamålen för behandlingen av personuppgifter. Denna möjlighet bör framgå av en bestämmelse i anslutning till den primära ändamålsbestämmelsen. Det föreslås därför att det i de föreslagna lagarna ska upplysas om att regeringen kan meddela föreskrifter om ändamålen med personuppgiftsbehandlingen. Till skillnad från vad hovrätten anför bedömer regeringen att någon författningsreglering inte är nödvändig för att tydliggöra om det är fråga om begränsningar eller förtydliganden. En särskild ändamålsbestämmelse för dataanalyser och urval Utöver den brett formulerade primära ändamålsbestämmelsen som motiveras ovan, föreslår regeringen att det i lagtexten förtydligas att viss personuppgiftsbehandling för dataanalyser och urval omfattas av ändamålet. Förslag och överväganden avseende detta förtydligande av ändamålsbestämmelsen framgår av avsnitt 9 om dataanalyser och urval. Sekundära ändamålsbestämmelser Regeringens förslag Personuppgifter som behandlas enligt den primära ändamålsbestämmelsen ska även få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag De allra flesta dataskyddslagar innehåller en uppdelning mellan primära och sekundära ändamål. Syftet med uppdelningen är att tydliggöra dels hur personuppgifter får behandlas i myndigheternas egen verksamhet (primära ändamål), dels hur personuppgifter får behandlas för utlämnande till andra (sekundära ändamål). Utlämnande av personuppgifter genom överföring, spridning eller tillhandahållande på annat sätt hör till de sekundära ändamålen. Utlämnande ingår i begreppet behandling av personuppgifter enligt EU:s dataskyddsförordning (artikel 4.2). Ett utlämnande av uppgifter kan bara ske om det finns en rättslig grund för den behandling som utlämnandet innebär. Även övriga krav som framgår av den allmänna dataskyddsregleringen måste följas vid ett utlämnande. Vidare ska utlämnandet vara förenligt med eventuella bestämmelser om sekretess. Om de föreslagna dataskyddslagarna inte skulle innehålla sekundära ändamålsbestämmelser skulle det riskera otydlighet och oförutsebarhet, t.ex. om myndigheterna har rätt att behandla personuppgifter genom utlämnande av sådana uppgifter. Regeringen föreslår därför att respektive lag ska innehålla en sekundär ändamålsbestämmelse om att personuppgifter som får behandlas enligt de primära ändamålsbestämmelserna även ska få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Förslaget motsvarar vad som redan gäller enligt nuvarande reglering. Finalitetsprincipen Regeringens förslag Personuppgifter som behandlas enligt de primära ändamålsbestämmelserna ska även få behandlas för andra ändamål än de ändamål för vilka uppgifterna ursprungligen samlades in. Det förutsätter att de nya ändamålen med behandlingen inte är oförenliga med de ursprungliga ändamålen. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Myndigheten för digital förvaltning anser att som huvudregel bör en hänvisning till finalitetsprincipen enbart göras när principen inte ska gälla. Skälen för regeringens förslag Finalitetsprincipen innebär att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna ursprungligen har samlats in för (artikel 5.1 b i EU:s dataskyddsförordning). Finalitetsprincipen kommer till uttryck i de nuvarande dataskyddslagarna för Skatteverket, Tullverket och Kronofogdemyndigheten. Av tydlighetsskäl föreslår regeringen, till skillnad från vad Myndigheten för digital förvaltning anför, att en motsvarande bestämmelse även ska finnas i respektive ny dataskyddslag. Särskilt om uppgifter från betaltjänstleverantörer Regeringens bedömning Uppgifter som betaltjänstleverantörer ska lämna till Skatteverket för vidareöverföring till det EU-centrala elektroniska systemet Cesop bör inte omfattas av särskilda bestämmelser som begränsar för vilka ändamål Skatteverket får behandla uppgifterna. Utredningens bedömning Utredningens bedömning överensstämmer med regeringens. Remissinstanserna Näringslivets Skattedelegation och Svenska bankföreningen avstyrker bedömningen. De anser att det bör finnas en reglering som begränsar Skatteverkets möjligheter att behandla uppgifter som betaltjänstleverantörer lämnar till myndigheten för vidareöverföring till Cesop. Detta bl.a. med hänsyn till den tekniska utvecklingen och att myndigheterna framöver kommer ha allt större möjligheter att utbyta uppgifter med varandra. Tendensen är att myndigheterna i större utsträckning inhämtar massinformation. Det står dock inte medlemsstaterna fritt att genomföra så kallade ”fishing expeditions” eller begära upplysningar som sannolikt är irrelevanta för ett skatteärende avseende en viss bestämd skattskyldig. Svenskt Näringsliv ansluter sig till vad Näringslivets Skattedelegation anför. Skälen för regeringens bedömning Bakgrund Betaltjänstleverantörer har en skyldighet att redovisa uppgifter om vissa gränsöverskridande betalningstransaktioner till Skatteverket (33 c kap. 5 § skatteförfarandelagen [2011:1244]). Skatteverket ska lämna vidare uppgifterna till Europeiska kommissionen, som i sin tur samlar uppgifterna i ett centralt elektroniskt system som kallas Cesop. Medlemsstaterna får under vissa förutsättningar åtkomst till uppgifterna i Cesop för att bekämpa mervärdesskattebedrägerier. Uppgifterna som samlas in för det angivna ändamålet kan även vara till nytta för kontroll av bl.a. mervärdesskatt, inkomstskatt och spelskatt. Möjligheten att vidarebehandla uppgifterna för dessa syften kan leda till en mer effektiv skattekontroll (SOU 2022:25, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 183). I förarbetena till regleringen anges att EU-rätten inte hindrar att de insamlade uppgifterna används för andra ändamål än informationsöverföring till Cesop. Det ansågs dock att det kunde vara fråga om delvis integritetskänsliga uppgifter om enskildas ekonomiska förhållanden. Det framhölls även att de insamlade uppgifterna kommer från betaltjänstleverantörer (tredje män) och inte från de företag som ska granskas. Regeringens bedömning var att de aktuella uppgifterna inte skulle få användas av Skatteverket för kontroll av mervärdesskatt, inkomstskatt eller spelskatt. Det bedömdes dock att uppgifterna skulle få användas i den utsträckning det behövs för att Skatteverket ska kunna fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen bedömde alltså att Skatteverkets behov av att använda de insamlade uppgifterna inte uppvägde intrånget i enskildas personliga integritet (prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 88–90). Mot denna bakgrund infördes ändamålsbestämmelsen i 1 kap. 4 a § skattedatabaslagen som begränsar för vilka ändamål uppgifter som betaltjänstleverantörer har lämnat till Skatteverket får behandlas. Skatteverkets möjligheter att använda uppgifterna är därmed begränsad i förhållande till vad som följer av den EU-rättsliga regleringen. Uppgifter från betaltjänstleverantörer bör få användas för flera ändamål Regeringens förslag till en ny beskattningsdatalag innebär en genomgripande förändring i förhållande till den hittills gällande regleringen. Ett grundläggande syfte med förslaget är att EU:s dataskyddsförordning ska få större genomslag. Förslaget gäller dessutom enbart behandling av uppgifter om fysiska personer. Det är därför inte aktuellt att reglera behandling av uppgifter om juridiska personer i den föreslagna beskattningsdatalagen. Mot denna bakgrund finns det skäl att på nytt ta ställning till om de aktuella uppgifterna som betaltjänstleverantörer ska lämna till Skatteverket bör omfattas av särskilda bestämmelser som begränsar för vilka ändamål myndigheten får behandla uppgifterna. Regeringen anser att uppgifterna inte bör omfattas av några särskilda ändamålsbegränsningar i den föreslagna beskattningsdatalagen. Någon begränsning av finalitetsprincipen bör därför inte göras för dessa uppgifter. Som framgår ovan har regeringen tidigare bedömt att EU-rätten inte hindrar att de insamlade uppgifterna från betaltjänstleverantörer ska få användas för fler ändamål än informationsöverföring till Cesop. Att den aktuella EU-rättsliga regleringen inte uppställer krav på specifika ändamålsbegränsningar av aktuellt slag i nationell sektorspecifik dataskyddsreglering utgör tungt vägande skäl till att utmönstra nuvarande reglering. De i sammanhanget aktuella uppgifterna är främst uppgifter om betalningar med ett kommersiellt syfte som sker till företag. Det rör sig inte om känsliga personuppgifter. Varken uppgifternas art eller omfattning talar därför för att det rör sig om uppgifter som behöver omfattas av särskilda ändamålsbegränsningar för att ett adekvat integritetsskydd ska upprätthållas. Till detta bör läggas att Skatteverket har ett behov av en mer effektiv skattekontroll. Vidare finns regleringar i de aktuella EU-rättsakterna gällande Cesop som begränsar integritetsintrånget. Det är t.ex. regleringar om vilka uppgifter som ska lämnas till Skatteverket, vilka aktörer som omfattas av uppgiftsskyldigheten och hur länge betaltjänstleverantörerna ska lagra uppgifterna. Att Skatteverket ges möjlighet att behandla uppgifterna även för andra ändamål än för att lämna över dessa till Cesop förtar inte effekten av de nu nämnda integritetshöjande åtgärderna. Inför en eventuell vidarebehandling måste Skatteverket dessutom göra en bedömning av den tillkommande behandlingens förenlighet med insamlingsändamålet. Till skillnad från vad Näringslivets Skattedelegation, Svenska bankföreningen och Svenskt Näringsliv för fram anser regeringen därför att det saknas tillräckliga skäl att reglera de aktuella uppgifterna på annat sätt än övriga uppgifter i detta lagstiftningsärende. De bör därför inte omfattas av några ändamålsbegränsningar. Känsliga personuppgifter Känsliga personuppgifter Regeringens förslag Skatteverket, Tullverket och Kronofogdemyndigheten ska få behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Utredningens förslag Förslaget från utredningen stämmer i sak överens med regeringens men har en annan språklig utformning. Remissinstanserna Tullverket anser att behandling av känsliga personuppgifter ska få ske om det är nödvändigt för att utföra en uppgift i myndighetens verksamhet. Detta för att det då blir en tydligare koppling till regleringen som styr Tullverkets verksamhet. Integritetsskyddsmyndigheten anser att det av den föreslagna bestämmelsen om behandling av känsliga personuppgifter bör framgå att behandlingen får ske med stöd av artikel 9.2 g (viktigt allmänt intresse) i EU:s dataskyddsförordning. Skälen för regeringens förslag Det är som huvudregel förbjudet att behandla känsliga personuppgifter enligt EU:s dataskyddsförordning. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Det finns ett antal undantag från förbudet (artikel 9.2). Det är t.ex. tillåtet att behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Behandlingen av de känsliga personuppgifterna ska då stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Det anses utgöra ett viktigt allmänt intresse att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt (prop. 2017/18:105, Ny dataskyddslag, s. 83). Av hittills gällande dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten framgår att känsliga uppgifter får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Uppgifterna får i annat fall behandlas endast om det särskilt anges i myndigheternas reglering över respektive databas. Skatteverket och Tullverket har uttryckt att den nuvarande regleringen är problematisk. Skatteverket är av uppfattningen att regleringen är mycket begränsande eftersom all behandling av känsliga personuppgifter i princip måste vara knuten till ett ärende. Kronofogdemyndigheten har påpekat att den nuvarande regleringen är föråldrad och att det finns behov av en tydligare reglering som är bättre anpassad till moderna ärendehanteringssystem där all handläggning sker digitalt. Mot bakgrund av de framförda behoven av en ändrad reglering, anser regeringen att det i de föreslagna dataskyddslagarna bör införas att myndigheterna får behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Detta för att myndigheterna ska ha de bästa förutsättningar att utföra sina uppdrag. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Det behöver alltså inte vara omöjligt för myndigheterna att utföra sina författningsreglerade uppgifter om inte känsliga personuppgifter behandlas. Behandlingen ska dock alltid vara motiverad utifrån de författningsreglerade uppgifterna. Behandlingen ska även behövas för att myndigheterna ska kunna bedriva respektive verksamhet på ett korrekt, rättssäkert och effektivt sätt. I kravet på nödvändighet ligger även att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter. Den föreslagna regleringen ger alltså myndigheterna större möjligheter att behandla känsliga personuppgifter jämfört med i dag. En utökad möjlighet till behandling innebär en större risk för otillåten behandling, spridning av uppgifter och i vissa fall integritetsintrång genom kartläggning av enskildas personliga förhållanden. Förslaget ger dock inte myndigheterna möjlighet att behandla känsliga personuppgifter utan att det finns en legitim grund för att göra det. Med hänsyn till detta får det anses vara ändamålsenligt och i linje med EU-rätten att låta regleringen om tillåten behandling av känsliga personuppgifter få större genomslag i de berörda myndigheternas verksamheter. Tullverket anser att det av den föreslagna tulldatalagen bör framgå att känsliga personuppgifter får behandlas om det är nödvändigt för att utföra en uppgift i verksamhet enligt 2 § tulldatalagen. Tullverkets förslag medför att det inte görs någon skillnad på känsliga personuppgifter och övriga personuppgifter som får behandlas enligt den föreslagna tulldatalagen (jfr den föreslagna 6 § punkten 1 tulldatalagen). Regeringens utgångspunkt för förslaget är dock att det ska krävas mer för att behandla känsliga personuppgifter än för behandling av övriga uppgifter. Regeringens förslag är dessutom i linje med utformningen av behandling av känsliga personuppgifter i andra dataskyddslagar (jfr t.ex. 9 § lagen [2023:457] om behandling av personuppgifter vid Utbetalningsmyndigheten). Den föreslagna regleringen om behandling av känsliga personuppgifter bör hänvisa till uppgifter som anges i artikel 9.1 i EU:s dataskyddsförordning. Det blir då tydligt med vad som avses med känsliga personuppgifter. Till skillnad från Integritetsskyddsmyndigheten anser regeringen att det inte behöver tydliggöras att den föreslagna bestämmelsen grundar sig på undantaget i artikel 9.2 g i EU:s dataskyddsförordning. Motsvarande bestämmelse i 9 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten hänvisar inte heller till artikel 9.2 g i dataskyddsförordningen. Förslagets utformning, med en hänvisning till artikel 9.1 i EU:s dataskyddsförordning, medför att hänvisningen till dataskyddsförordningen är dynamisk. Hänvisningen avser alltså dataskyddsförordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan dock inte uteslutas att lagen ändå kan behöva ändras i samband med framtida ändringar i förordningen. Sökbegränsningar En huvudregel om sökförbud Regeringens förslag Det ska som huvudregel vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar inte sökningar i en viss handling eller i ett visst ärende. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Lunds universitet anser att det uttryckligen bör framgå att sökningar endast får göras om de är nödvändiga. Skälen för regeringens förslag Sökning är en form av personuppgiftsbehandling enligt EU:s dataskyddsförordning (artikel 4.2). Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för enskildas personliga integritet. Möjligheter att söka på känsliga personuppgifter kan leda till kartläggning av personer på grundval av t.ex. etnicitet, politisk ståndpunkt eller religiös uppfattning. Av integritetsskäl är det vanligt förekommande med säkerhetsåtgärder i form av sökbegränsningar i dataskyddslagar. Sådan reglering finns även i de hittills gällande registerförfattningarna för Skatteverket, Tullverket och Kronofogdemyndigheten. Den nuvarande regleringen går dock längre än vad som krävs enligt EU:s dataskyddsförordning. Sökbegränsningen utgår från sökbegrepp, vilket kan bidra till tolkningssvårigheter. I nyare dataskyddsregleringar finns bestämmelser om sökförbud som i stället utgår från syftet med en sökning (t.ex. 3 kap. 3 § lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning, 2 kap. 14 § brottsdatalagen [2018:1177], 17 § utlänningsdatalagen [2016:27] och 1 kap. 10 § lagen [2023:457] om behandling av personuppgifter vid Utbetalningsmyndigheten). Regeringen föreslår att en motsvarande sökbegränsning som utgår från syftet med sökningen ska införas i respektive dataskyddslag. Den föreslagna typen av sökbegränsning innebär att det som utgångspunkt ska vara förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med sökningen inte är att få fram ett urval grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen (jfr prop. 2017/18:105, Ny dataskyddslag, s. 91). Det är alltså syftet med resultatet av sökningen som är avgörande för om det föreligger ett sökförbud eller inte. Kravet på nödvändighet framgår av den föreslagna ändamålsregleringen i respektive lag (avsnitt 7). Det grundläggande kravet i ändamålsregleringen är att myndigheterna endast får behandla personuppgifter (genom att t.ex. utföra sökningar) om det är nödvändigt. Det saknas därför skäl att därutöver uttryckligen reglera detta i den föreslagna bestämmelsen om sökbegränsningar på det sätt som Lunds universitet anser. Vidare liknar den föreslagna sökbegränsningen till stor del motsvarande reglering i t.ex. 1 kap. 10 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten, i vilken det inte heller uttryckligen framgår att sökningar endast får göras om de är nödvändiga. Förslaget hindrar inte sökningar som görs för att t.ex. utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 91). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. De hittills gällande bestämmelserna om sökbegrepp omfattar inte sökningar i handlingar som redan har identifierats. Regeringen anser att det sökförbud som nu föreslås inte heller bör omfatta sökningar i en viss handling eller i ett visst ärende. I likhet med vad som anfördes i förarbetena till den hittills gällande regleringen bedömer regeringen att det av effektivitetsskäl inte framstår som befogat att förbjuda sökmöjligheter för att hitta ett speciellt textavsnitt i ett enskilt dokument (jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 103). Sökningar bland en begränsad mängd uppgifter innebär dessutom mindre integritetsrisker än sökningar i större uppgiftsmängder (prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 50 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 134). Mot denna bakgrund föreslås att sökförbudet uttryckligen inte ska omfatta sökningar i en viss handling eller i ett visst ärende. Myndigheterna föreslås alltså få möjlighet att utföra sökningar på känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende. I lagrådsremissens lagförslag har paragrafen om sökbegränsningar placerats under rubriken Sökbegränsningar i respektive lag. I samtliga lagar, utom folkbokföringsdatalagen, reglerar paragrafen sökningar grundat på känsliga personuppgifter. Enligt Lagrådet bör det därför övervägas att låta paragrafen om sökbegränsningar stå under rubriken Känsliga personuppgifter alternativt att en särskild rubrik om sökbegränsningar förtydligas på så sätt att det framgår att den avser sökbegränsningar avseende känsliga personuppgifter. Sökbegränsningar är ett begrepp som används i myndigheternas verksamhet. För att underlätta vid tillämpningen av lagen anser regeringen därför att det finns skäl att ha en rubrik som tydligt hänvisar läsaren till relevanta bestämmelser. Vidare anser regeringen att det bör eftersträvas att så långt som möjligt ha samma systematik och uppbyggnad, däribland likalydande rubriker, i de nya dataskyddslagarna. Regeringen anser därför att rubriken Sökbegränsningar är ändamålsenlig. Undantag från sökförbudet för Skatteverket Regeringens förslag Skatteverket får i beskattningsverksamheten utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa. Det förutsätter att sökningen är nödvändig för att utföra en uppgift i en verksamhet som omfattas av den föreslagna beskattningsdatalagen. Regeringens bedömning Det krävs inte något undantag från sökförbudet för Skatteverkets folkbokföringsverksamhet. Utredningens förslag och bedömning Förslaget och bedömningen från utredningen stämmer överens med regeringens. Remissinstanserna Skatteverket anser att det är mest ändamålsenligt att undantaget från sökförbudet i beskattningsverksamheten även ska gälla uppgifter om sexualliv eller sexuell läggning. I folkbokföringsverksamheten bör uppgifter om sexualliv, sexuell läggning och etnicitet undantas från sökförbudet. Skälen för regeringens förslag och bedömning I beskattningsverksamheten behöver Skatteverket i vissa fall kunna göra sökningar för att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa. Skatteverket hanterar bl.a. avgifter till registrerade trossamfund. Myndigheten behöver därför kunna göra sökningar för att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse. Vidare har avgifter till fackföreningar tidigare medfört rätt till skatteavdrag. Sådana uppgifter behandlas därför fortfarande vid Skatteverket. Myndigheten har även ett behov av att kunna hantera uppgifter om fysiska personers hälsa när sjukdomar åberopas som skäl för anstånd med betalning av skatter. Uppgifter om hälsa behöver även kunna behandlas med hänsyn till arbetsgivardeklarationer som kan avse uppgifter om sjukpenning. Med hänsyn till Skatteverkets behov av att behandla personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa i beskattningsverksamheten föreslår regeringen att dessa kategorier av känsliga personuppgifter ska undantas från det sökförbud som föreslås ovan. Undantaget bör utformas på så sätt att Skatteverket i beskattningsverksamheten ska tillåtas utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna beskattningsdatalagen. Regeringen anser att det föreslagna undantaget från sökförbudet upprätthåller integritetsskyddet på en rimlig nivå samtidigt som Skatteverket inte hindras i utövandet av sin verksamhet. Detta särskilt med hänsyn till myndighetens behov av att kunna göra de aktuella sökningarna. Skatteverket framför att myndigheten även behöver ha möjlighet att söka på civilstånd, vilket kan avslöja känsliga personuppgifter om någons sexualliv eller sexuella läggning. Detsamma gäller för folkbokföringsverksamheten, med ett ytterligare tillägg avseende uppgifter om medborgarskap, vilket i sin tur kan avslöja uppgifter om etnicitet. Regeringen anser att det ovan föreslagna sökförbudet inte hindrar sådana sökningar som Skatteverket har framställt ett behov av att kunna utföra. Detta under förutsättning att sökningarna inte görs i syfte att få fram ett urval av personer grundat på känsliga personuppgifter som sexualliv, sexuell läggning eller etnicitet. Skatteverket kan alltså utan hinder av sökförbudet göra sökningar på civilstånd för att t.ex. kontrollera att uppgifter registreras på ett enhetligt sätt avseende enskilda personer inom en familj (jfr prop. 1990/91:53, Om lag om folkbokföringsregister m.m., s. 35). Det har i övrigt inte kommit fram behov av att inom folkbokföringsverksamheten kunna utföra sökningar som innebär att det skapas sammanställningar grundade på känsliga personuppgifter. Regeringen bedömer därför att det inte bör införas några särskilda undantag från sökförbudet för Skatteverkets folkbokföringsverksamhet. Särskilt om sökbegrepp i Skatteverkets folkbokföringsverksamhet Regeringens förslag Om ett samband inom folkbokföringen är grundat på adoption är det förbjudet att som sökbegrepp använda uppgifter om barn, föräldrar eller vårdnadshavare. Regeringens bedömning Hittills gällande reglering i folkbokföringsdatabaslagen som inte tillåter Skatteverket att använda sökbegrepp om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller vissa uppgifter om medborgarskap bör inte ha någon motsvarighet i den föreslagna folkbokföringsdatalagen. Utredningens förslag och bedömning Förslaget och bedömningen från utredningen stämmer i huvudsak överens med regeringens. Utredningens förslag innefattar även ett förbud att använda sökbegrepp om make eller annan vuxen person än föräldrar eller vårdnadshavare hos vilken ett barn under 18 år är bosatt. Remissinstanserna Skatteverket påpekar att alla personer som räknas upp i utredningens förslag inte har något samband inom folkbokföringen som är grundat på adoption. Det gäller både make och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt. Om barnet är adopterat är det den vuxne som är barnets rättslige förälder. Ett samband till en annan vuxen person än förälder kan därmed inte vara grundat på adoption. Myndigheten föreslår därför att lydelsen av det föreslagna förbudet ska ändras. Skälen för regeringens förslag och bedömning Som framgår ovan utgår hittills gällande reglering om sökbegränsningar från sökbegrepp. Regeringen föreslår ovan en annan ordning där syftet med en sökning i stället ska vara avgörande för om sökningen är tillåten eller inte. Av integritetsskäl finns i dag endast begränsade möjligheter att använda sökbegrepp i folkbokföringsdatabasen om uppgifter som rör personer som har samband med någon som är adopterad. Om ett samband inom folkbokföringen är grundat på adoption är det inte tillåtet att använda sökbegrepp i form av uppgifter om make, barn, föräldrar, vårdnadshavare eller annan person som den registrerade har samband med inom folkbokföringen (2 kap. 10 § första stycket folkbokföringsdatabaslagen). De aktuella uppgifterna utgör inte känsliga personuppgifter enligt EU:s dataskyddsförordning. Regeringen anser dock att det fortsatt finns vissa särskilda integritetsrisker om Skatteverket tillåts göra sammanställningar baserade på de aktuella sökbegreppen. Sådana sammanställningar kan visserligen skyddas av sekretess genom 21 kap. 7 § eller 22 kap. 1 § OSL. Enligt dessa sekretessbestämmelser gäller dock en presumtion för offentlighet. Vidare har det inte kommit fram att Skatteverket har något utökat behov av att kunna utföra sökningar genom att använda de aktuella uppgifterna som sökbegrepp. Mot bakgrund av ovanstående föreslår regeringen att det likt nuvarande ordning ska införas en reglering i den föreslagna folkbokföringsdatalagen som innebär att det är inte är tillåtet att som sökbegrepp använda uppgifter som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption. Det bör framgå att om ett samband inom folkbokföringen är grundat på adoption är det förbjudet att som sökbegrepp använda uppgifter om barn, föräldrar eller vårdnadshavare. Vid utformningen av den föreslagna bestämmelsen (11 § folkbokföringsdatalagen) har regeringen i huvudsak beaktat vad Skatteverket anför. Till skillnad från nuvarande reglering ska det därför vara tillåtet att som sökbegrepp använda uppgifter om make eller annan vuxen person än föräldrar eller vårdnadshavare hos vilken ett barn under 18 år är bosatt. Detta eftersom sådana personer inte kan ha något relationssamband inom folkbokföringen som är grundat på adoption. Enligt hittills gällande ordning är det inte heller tillåtet att använda sökbegrepp om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller vissa uppgifter om medborgarskap (2 kap. 3 § punkterna 5, 12 och 17 samt 10 § folkbokföringsdatabaslagen). Skatteverket har anfört att det finns behov att kunna använda dessa uppgifter som sökbegrepp. Det gäller särskilt vid dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga uppgifter. De aktuella uppgifterna har nämligen associerats med risker för felaktiga uppgifter i folkbokföringen. För en närmare beskrivning av Skatteverkets behov i dessa delar, se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, avsnitt 10.9.3. Mot bakgrund av Skatteverkets påtalade behov, bedömer regeringen att den föreslagna folkbokföringsdatalagen inte ska innehålla en reglering som motsvarar det nu gällande förbudet mot att använda sökbegrepp om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd och vissa uppgifter om medborgarskap. Uppgifter som finns registrerade i folkbokföringen är dessutom av stor betydelse även för andra myndigheters verksamheter. Regeringen bedömer därför att det saknas skäl att föra över den aktuella sökbegränsningen till den föreslagna lagen. Möjligheten att ta fram och därigenom kunna lämna ut sammanställningar av personer på grundval av uppgifter om i vilket land någon är medborgare, födelseort eller varifrån någon har flyttat kan utnyttjas för att kartlägga vissa grupper av personer av utländsk härkomst. Med den bedömning som regeringen gör finns därför en risk att sammanställningar som kan vara integritetskänsliga blir offentliga. Förutsättningarna för allmänheten att ta del av sådana sammanställningar begränsas dock i vissa fall av sekretess. I avsnitt 11.1 föreslår regeringen dessutom en särskild sekretessreglering till skydd för uppgifterna i Skatteverkets folkbokföringsverksamhet. Regeringen bedömer att det är en bättre ordning än ett sökförbud. På detta sätt säkerställs att Skatteverket kan bedriva en effektiv och rättssäker verksamhet, samtidigt som enskildas personliga integritet värnas. I praktiken är sekretessförslaget i avsnitt 11.1 avsett att ge samma effekt som det nuvarande sökförbudet innebär, dvs. att hindra offentliggörande av särskilt integritetskänsliga sammanställningar. Undantag från sökförbudet för Tullverket Regeringens förslag Tullverket får utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Det förutsätter att sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna tulldatalagen. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag I jämförelse med Skatteverket och Kronofogdemyndigheten har Tullverket ett större behov av att kunna göra sökningar som innebär att det skapas sammanställningar grundade på känsliga personuppgifter. Tullverket behöver bl.a. kunna identifiera ett urval av personer i arbetet med riskanalyser och tullkontroller för att fullgöra den del av uppdraget som avser säkerhet och skydd. En del i detta uppdrag är att hitta och förhindra att varor som kan orsaka skada når personer under hot. Hotbilden kan grunda sig på uppgifter som avslöjar t.ex. etniskt ursprung, religiös eller filosofisk övertygelse, politiska åsikter, facklig tillhörighet eller sexuell läggning. Det kan i sådana fall vara nödvändigt för Tullverket att identifiera ett urval av personer som berörs av det aktuella hotet. Vidare behöver Tullverket kunna ta fram riskprofiler, t.ex. av produktsäkerhetsskäl, för att göra urval av personer som importerar eller exporterar varor. Dessa riskprofiler kan grunda sig på känsliga personuppgifter. I en deklaration för införsel av varor kan t.ex. ett visst läkemedel innehålla en känslig personuppgift om hälsa om den som vill föra in läkemedlet i landet. Tullverkets arbetsuppgifter medför därmed att det finns ett behov av att göra vissa undantag från sökförbudet. Regeringen föreslår att ett sådant undantag ska utformas på så sätt att sökförbudet inte omfattar sökningar i syfte att få fram ett urval grundat på uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Detta om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna tulldatalagen. Undantag från sökförbudet för Kronofogdemyndigheten Regeringens förslag Kronofogdemyndigheten får utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa. Det förutsätter att sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna kronofogdedatalagen. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Kronofogdemyndigheten har ett behov av att kunna utföra sökningar för att få fram ett urval av personer grundat på uppgifter om hälsa. Behovet är framför allt hänförligt till myndighetens verksamhet inom verkställighet och skuldsanering. Uppgifter om hälsa är bl.a. relevanta vid bedömning av någons betalningsförmåga. Sådana uppgifter kan även ligga till grund för verkställighet av olika fordringar, t.ex. underhåll i form av utgifter för barns sjukdom. Vidare kan utmätning ske av t.ex. sjukpenning eller annan ersättning som lämnas på grund av sjukdom. Det finns även undantag från utmätning där hänsyn ska tas till om gäldenären eller någon som tillhör dennes familj lider av lyte eller allvarlig sjukdom. Mot bakgrund av ovan föreslår regeringen ett undantag från sökförbudet avseende Kronofogdemyndigheten som innebär att förbudet inte omfattar sökningar i syfte att få fram ett urval grundat på uppgifter om hälsa. Det förutsätter att sökningen är nödvändig för att utföra en uppgift i en verksamhet som omfattas av den föreslagna kronofogdedatalagen. Ett undantag från sökförbudet för uppgifter om hälsa påverkar inte de säkerhetsbestämmelser som finns i kreditupplysningslagen (1973:1173). Bestämmelsen i 6 § kreditupplysningslagen innebär nämligen att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) inte får behandlas i kreditupplysningsverksamhet. Behandling av personuppgifter om lagöverträdelser Regeringens bedömning Behandling av personuppgifter om lagöverträdelser bör inte längre begränsas eller på annat sätt särregleras i de nya dataskyddslagarna. Utredningens bedömning Bedömningen från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot bedömningen. Skälen för regeringens bedömning Behandling av personuppgifter om lagöverträdelser är särskilt reglerad i artikel 10 i EU:s dataskyddsförordning. Av artikeln framgår att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Behandling av personuppgifter om lagöverträdelser är därmed inte lika begränsande som regleringen om känsliga personuppgifter. Att Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgifter om lagöverträdelser framgår alltså redan av EU:s data-skyddsförordning. Några sektorspecifika bestämmelser avseende myndigheternas behandling av personuppgifter om lagöverträdelser krävs alltså inte för att sådan behandling ska vara tillåten. På motsvarande sätt krävs inte heller några bestämmelser som begränsar sådan behandling. Regeringen bedömer att den generella regleringen i sig är tillräcklig för att myndigheterna ska tillåtas utföra den behandling som är nödvändig. I de föreslagna dataskyddslagarna bör det därför inte införas några begränsningar av möjligheten att behandla uppgifter om lagöverträdelser. Den aktuella behandlingen krävs för att myndigheterna ska kunna utföra sina uppdrag på ett korrekt, effektivt och ändamålsenligt sätt. Det har inte kommit fram skäl till att begränsa sådan behandling. Ytterligare begränsningar av möjligheten att behandla uppgifter om lagöverträdelser skulle riskera att utgöra hinder mot sådan behandling som krävs enligt andra författningar. Vidare talar varken arten eller om-fattningen av den aktuella personuppgiftsbehandlingen för att särskilda begränsningar bör införas av integritetsskäl. I de fall myndigheterna har ett behov av att för egen del samla in och behandla personuppgifter om lagöverträdelser, till skillnad från när sådana uppgifter kommer in från t.ex. enskilda, är det hänförligt till myndigheternas respektive uppdrag där sådana typer av uppgifter i vissa fall behövs. Det står då redan klart för vilka ändamål och på vilket sätt sådana uppgifter får behandlas. I övriga fall är det inte möjligt för myndigheterna att formulera något ändamål för vilket uppgifterna får behandlas. De grundläggande krav på behandlingen som anges i de nya lagarna är därmed tillräckliga begränsningar för myndigheternas möjlighet att behandla uppgifter om lagöverträdelser Sammantaget bedöms det inte längre finns tillräckliga skäl att begränsa eller på annat sätt särreglera berörda myndigheters behandling av personuppgifter om lagöverträdelser. Dataanalyser och urval Ändamålsbestämmelser om dataanalyser och urval Regeringens förslag Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Detta gäller i den verksamhet som omfattas av de föreslagna dataskyddslagarnas tillämpningsområden. Utredningens förslag Förslaget från utredningen stämmer i sak överens med regeringens men utredningens förslag har en annan lagteknisk utformning. Remissinstanserna Integritetsskyddsmyndigheten ser positivt på att den rättsliga grunden för dataanalys och urval tydliggörs i lag. Myndigheten anför att en tydlig rättslig grund för den aktuella typen av behandling kan vara en förutsättning för att behandlingen ska uppfylla kraven i EU:s dataskyddsförordning. Integritetsskyddsmyndigheten anser dock att det inte framgår hur ett dataanalys- och urvalsprojekt ska avgränsas i omfattning och tid. Tullverket är däremot tveksamma till behovet av en särskild ändamålsbestämmelse för dataanalyser och urval. Tullverket anser att den materiella rätten utgör de ramar och lagliga grunder inom vilka myndigheter kan göra olika dataanalyser och urval. Diskrimineringsombudsmannen anser att förslaget öppnar upp möjligheten att genomföra analyser i syfte att identifiera grupper av individer som kan löpa högre risk för olika former av felaktigheter, överskuldsättning eller liknande. Det kan i sin tur leda till diskriminering. Skälen för regeringens förslag Förekomsten av felaktigheter i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter leder till negativa konsekvenser för samhället. Att förebygga, förhindra och upptäcka fel är därför en central del av myndigheternas arbete. De har vissa utrednings- och kontrollbefogenheter för att kunna utföra uppgifter på ett effektivt sätt och för att minska risken för fel. Utrednings- och kontrollbefogenheterna regleras i olika materiella författningar, t.ex. 37 kap. skatteförfarandelagen (2011:1244) som reglerar Skatteverkets möjligheter att förelägga enskilda att fullgöra en uppgiftsskyldighet. Dataanalyser och urval är exempel på sådana utrednings- och kontrollbefogenheter som myndigheterna använder sig av. Med begreppet dataanalyser avses användning av digitala verktyg och tekniker för att analysera stora mängder data. Dataanalyser kan bl.a. användas för att upptäcka avvikelser, mönster, samband och andra riskindikatorer. Med begreppet urval avses processen genom vilken urvalsträffar tas fram. För att få fram en urvalsträff används urvalsmodeller som har utformats med hänsyn till avvikelser som har identifierats med hjälp av dataanalyser. För att genomföra dataanalyser och utveckla urvalsmodeller kan myndigheterna t.ex. använda sig av artificiell intelligens (AI). Som Tullverket anför är det den materiella regleringen som sätter ramarna för myndigheternas dataanalys och urval. Mot bakgrund av den breda ändamålsbestämmelsen som föreslås i avsnitt 7.1, kan behovet av en särskild ändamålsbestämmelse för dataanalyser och urval diskuteras. Till skillnad från Tullverket anser dock regeringen att det bör tydliggöras att myndigheterna har rättslig grund för den personuppgiftsbehandling som krävs för att göra dataanalyser och urval. Det är även Integritetsskyddsmyndighetens bedömning. Regeringen föreslår därför att det i de föreslagna dataskyddslagarna tydligt ska framgå att det primära ändamålet omfattar att myndigheterna får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet som omfattas av lagarnas tillämpningsområden. Diskrimineringsombudsmannen anser att förslaget öppnar upp möjligheten att genomföra analyser i syfte att identifiera grupper av individer som kan löpa högre risk för olika former av felaktigheter, överskuldsättning eller liknande. Huvudsyftet med förslaget är just att tillgodose behovet av att förebygga, förhindra och upptäcka fel, bl.a. på det sätt som Diskrimineringsombudsmannen beskriver. Regeringen understryker att grundläggande principer om likabehandling även gäller när myndigheterna gör dataanalyser och urval. Det är av fortsatt vikt att de aktuella myndigheterna förhåller sig till dessa principer (jfr 1 kap. 9 § regeringsformen). Nedan föreslås även en skyddsåtgärd i form av en dokumentationsskyldighet vid personuppgiftsbehandling som sker vid dataanalyser och urval. Den föreslagna regleringen bör föras in som ett förtydligande i den primära ändamålsbestämmelsen. Motsvarande bestämmelse finns inte i de nuvarande dataskyddslagarna, med undantag för regleringen i 1 kap. 4 a § folkbokföringsdatabaslagen. Kravet på nödvändighet innebär inte att behandlingen måste vara oundgänglig för att den ska vara tillåten. Kravet innebär dock att personuppgifter inte får behandlas om ändamålet med behandlingen kan uppnås med andra medel, t.ex. genom att använda anonymiserade uppgifter. Begreppet fel ska tolkas brett i detta sammanhang. Fel omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter och felaktigheter som beror på avsiktligt fusk eller mänskliga misstag. Integritetsskyddsmyndigheten anser att det inte framgår hur ett dataanalys- och urvalsprojekt ska avgränsas i omfattning och tid. Denna typ av avgränsningar regleras dock i EU:s dataskyddsförordning, t.ex. i artikel 5.1 c om uppgiftsminimering och artikel 5.1 e om lagringsminimering. Det saknas skäl att även reglera detta i den kompletterande nationella lagstiftningen som förslaget utgör. Personuppgifter som får behandlas för dataanalyser och urval Regeringens förslag De personuppgifter som får behandlas för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel är uppgifter som Skatteverket, Tullverket och Kronofogdemyndigheten förfogar över eller samlar in i de verksamheter som omfattas av de föreslagna dataskyddslagarna. Även uppgifter som lämnas till myndigheterna i syfte att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning får behandlas för dataanalyser och urval. Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Integritetsskyddsmyndigheten understryker vikten av att myndigheterna inte får hämta in stora mängder personuppgifter från internet för att vissa uppgifter i en sådan mängd möjligen kan vara ”bra att ha” vid utvecklingen av en urvalsmodell. Tullverket invänder mot behovet av en bestämmelse som reglerar vilka personuppgifter som får behandlas för dataanalyser och urval. Myndigheten ifrågasätter särskilt behovet av en reglering som tydliggör att uppgifter som har lämnats i syfte att fullgöra uppgiftslämnande får behandlas vid dataanalyser och urval. Skälen för regeringens förslag En förutsättning för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna uppnå en hög träffsäkerhet vid dataanalyser och urval är att de får behandla relevanta uppgifter. Dessa uppgifter kan ha samlats in från enskilda som har ett ärende hos någon av myndigheterna. Uppgifterna kan även ha kommit in från andra myndigheter. I vissa dataanalyser och urval kan det röra sig om omfattande mängder personuppgifter som samkörs, i andra fall kan det vara begränsade mängder. Det gäller även vid sådan personuppgiftsbehandling som Skatteverket, Tullverket och Kronofogdemyndigheten gör i andra syften än att förebygga, förhindra och upptäcka fel. Utgångspunkten bör vara att de uppgifter som finns i verksamheterna ska kunna behandlas för att göra dataanalyser och urval. För att ge tydligt stöd åt en sådan mer omfattande personuppgiftsbehandling som aktualiseras i arbetet med dataanalyser och urval finns behov av en reglering som sätter gränser för vilka uppgifter som får behandlas. Detta inte minst eftersom de urvalsträffar som myndigheterna får fram genom dataanalyser kan leda till att enskilda ärenden eller subjekt väljs ut för ytterligare kontroller. Att genomföra kontroller är samtidigt en central del av myndigheternas uppdrag. Det är inte möjligt att fastslå exakt vilka uppgifter som myndigheterna behöver kunna behandla för att göra dataanalyser och urval. Det bör därför införas en flexibel reglering som anger att de uppgifter som får behandlas för att göra dataanalyser och urval är sådana uppgifter som respektive myndighet förfogar över eller samlar in till följd av de verksamheter som omfattas av de föreslagna dataskyddslagarnas tillämpningsområden. Till skillnad från vad Tullverket anför bör det av tydlighetsskäl även framgå att uppgifter som lämnas till respektive myndighet för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning får behandlas för att göra dataanalyser och urval. Den föreslagna regleringen bör formuleras brett för att undvika en alltför kringskuren tillgång till uppgifter. Som utredningen och Integritetsskyddsmyndigheten anför bör det dock inte vara möjligt att hämta in stora mängder personuppgifter från internet för att uppgifterna kan vara bra att ha vid själva utvecklingen av en urvalsmodell. Personuppgiftsbehandlingen vid dataanalyser och urval kommer i flera fall innebära en behandling för andra ändamål än insamlingsändamålen. Förslaget tydliggör att myndigheterna har möjlighet att vidarebehandla aktuella personuppgifter för att göra dataanalyser och urval. Det bedöms vara nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda ett mål av generellt allmänt intresse i form av viktiga ekonomiska eller finansiella intressen (jfr artikel 6.4 i EU:s dataskyddsförordning). Det kan uppkomma behov av att förtydliga vilka uppgifter som får behandlas för dataanalyser och urval. Bestämmelser om detta bör kunna meddelas i förordning med stöd av regeringens restkompetens. Det föreslås därför att det ska finnas utrymme för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om vilka uppgifter som får behandlas. En upplysningsbestämmelse om detta bör föras in i de nya dataskyddslagarna i anslutning till den föreslagna regleringen om dataanalyser och urval. Särskilda skydds- och säkerhetsåtgärder Krav på dokumentation Regeringens förslag När personuppgifter behandlas vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel ska Skatteverket, Tullverket och Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Utredningens förslag Förslaget från utredningen stämmer i sak överens med regeringens. I utredningens förslag förtydligas inte att dokumentationskravet gäller vid dataanalyser och urval som görs i syfte att förebygga, förhindra och upptäcka fel. Remissinstanserna Skatteverket avstyrker förslaget om det ska tolkas som att dokumentationskravet gäller vid personuppgiftsbehandling vid samtliga dataanalyser och urval. Skatteverket anser att kravet endast ska gälla vid dataanalyser och urval som görs i syfte att förebygga, förhindra och upptäcka fel. Integritetsskyddsmyndigheten ser positivt på förslaget om en dokumentationsskyldighet. Myndigheten anser att utredningen tydligt har redogjort för vad som bör ingå i den föreslagna proportionalitetsavvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även Näringslivets Skattedelegation är positiva till förslaget, men anser att det saknas en djupare analys om hur dokumentationskravet ska övervakas och om en korrekt avvägning har gjorts. Svenskt Näringsliv ansluter sig till vad Näringslivets Skattedelegation anför. Skälen för regeringens förslag Vid dataanalyser och urval kan både stora och mindre mängder personuppgifter behandlas. Personuppgifter kan även sambearbetas. Det kan i sin tur innebära att uppgifternas karaktär bli mer integritetskänslig än i de fall uppgifterna behandlas inom ramen för ett ärende. Avgörande för om myndigheternas personuppgiftsbehandling vid dataanalyser och urval är integritetskänslig bör dock även bedömas utifrån faktorer som t.ex. uppgifternas art, omfattning, vilka tekniker som används och syftet med behandlingen. Det gäller även i fråga om personuppgiftsbehandling vid dataanalyser och urval som görs i andra syften än att förebygga, förhindra och upptäcka fel. Dataanalyserna kan leda till urvalsträffar som myndigheterna kan komma att använda för att vidta kontrollåtgärder mot ett enskilt subjekt. Det är en central del av myndigheternas uppdrag att genomföra kontroller. Regeringen anser dock att det av integritetsskäl bör finnas möjligheter att i efterhand kontrollera myndigheternas proportionalitetsbedömningar samt vilka metoder och sökbegrepp som har använts vid dataanalyser och urval. Det bör genom dokumentation gå att följa upp att behandlingen endast har avsett uppgifter som får behandlas för de aktuella åtgärderna, att uppgifterna har använts för rätt ändamål och att de inte har behandlats under längre tid än vad som har varit behövligt. Regeringen föreslår därför att det ska införas en reglering om detta i de nya dataskyddslagarna. I likhet med vad Skatteverket anför föreslås dokumentationskravet gälla vid dataanalyser och urval som görs i syfte att förebygga, förhindra och upptäcka fel. Ett tydliggörande om detta görs därför i den föreslagna regleringen. Kravet på dokumentation ska för det första omfatta avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet (proportionalitetsbedömningen). Det innebär att myndigheterna behöver dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning behöver hänsyn tas till omständigheter som bl.a. uppgifternas art, omfattning och syftet med dataanalyserna och urvalen. Myndigheterna behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat. Det är inte möjligt att på förhand ange exakt vilka omständigheter som ska dokumenteras. Det viktiga är att det i efterhand går att kontrollera den gjorda avvägningen mellan de aktuella intressena. Av artikel 35 i EU:s dataskyddsförordning framgår att den personuppgiftsansvarige ska utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Detta om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, särskilt med användning av ny teknik. Redan av artikel 35 i dataskyddsförordningen framgår alltså att myndigheterna behöver ta hänsyn till och bedöma behandlingens proportionalitet i förhållande till syftena med behandlingen. Det kan därför ifrågasättas om det behöver införas en särskild reglering som avser ett krav på dokumentation av en liknande bedömning i de nya dataskyddslagarna. En konsekvensbedömning enligt artikel 35 i dataskyddsförordningen behöver dock endast göras av myndigheterna i vissa specifika situationer. Den behandling som myndigheterna utför vid dataanalyser och urval kommer sannolikt kräva en sådan bedömning. Det kan dock inte uteslutas att det kan uppkomma situationer när en mindre mängd uppgifter används på ett sätt som innebär att en konsekvensbedömning inte behöver göras enligt dataskyddsförordningen. Regeringen anser därför att det finns skäl att införa det föreslagna kravet på dokumentation vid dataanalyser och urval. I de fall myndigheterna är skyldiga att göra en konsekvensbedömning enligt artikel 35 och de därför redan har dokumenterat avvägningen, har de samtidigt uppfyllt det föreslagna dokumentationskravet. Även de metoder som används för att ta fram urval bör dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som myndigheterna tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel. Som Lagrådet för fram kan det vid dataanalyser och urval användas modeller som är baserade på AI-teknik. Kravet på dokumentation är inte tänkt att tolkas på så sätt att en urvalsmodell som bygger på AI-teknik behöver förklaras i detalj. Det ska dock vara möjligt att i efterhand kontrollera vilka metoder och tekniker som har använts vid utvecklingen av en sådan urvalsmodell, vilka typer av uppgifter som har använts för att ”träna” och utforma modellen, vilket syfte den har, vilket resultat den gett i form av urvalsträffar och andra liknande omständigheter. Kravet på dokumentation av sökbegrepp syftar till att det i efterhand ska gå att kontrollera vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informationsmängd och hitta de poster eller uppgiftskonstellationer där ett sökbegrepp förekommer. Sökbegrepp kan även användas för att välja bort information. Näringslivets Skattedelegation och Svenskt Näringsliv efterfrågar en djupare analys om hur dokumentationskravet ska övervakas och om en korrekt avvägning har gjorts. Det är upp till myndigheterna att avgöra formerna för dokumentationen. Den ska dock ske på ett sådant sätt att det är möjligt att göra efterhandskontroller av de omständigheter som omfattas av det föreslagna kravet. Dokumentationskravet avser även att underlätta för tillsynsmyndigheternas kontroll, som lämpligast bedömer om korrekta avvägningar görs. Dokumentationskravet innebär inte att myndigheterna måste redovisa exakt vilka uppgifter som har behandlats. Det är tillräckligt att det framgår vilka kategorier av uppgifter som har behandlats och uppgifternas art. Skatteverket, Tullverket och Kronofogdemyndigheten behöver behandla personuppgifter för dataanalyser och urval under varierande tidslängder. Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (artikel 5.1 e i EU:s dataskyddsförordning). Personuppgifter får dock lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i EU:s dataskyddsförordning. Detta under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs genomförs för att säkerställa den registrerades rättigheter och friheter (principen om lagringsminimering). Elektroniskt utlämnande av personuppgifter Elektroniskt utlämnande Regeringens förslag Elektroniskt utlämnande av personuppgifter ska vara tillåtet om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Integritetsskyddsmyndigheten avstyrker förslaget men anser att det åtminstone bör förtydligas vilka konkreta omständigheter som medför att det kan anses vara olämpligt att lämna ut personuppgifter elektroniskt. Skälen för regeringens förslag Arbetet hos myndigheter har länge varit digitaliserat. Den tekniska utvecklingen har lett till att manuell informationshantering inte längre är realistisk. För Skatteverket, Tullverket och Kronofogdemyndigheten finns därför ett stort och legitimt behov av att kunna behandla personuppgifter elektroniskt. Sådan behandling kan t.ex. vara vid utlämnade av uppgifter. Regeringen föreslår därför att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt. EU:s dataskyddsförordning reglerar inte formerna för utlämnande av personuppgifter. Det bör därför inte finnas några omotiverade begränsningar för elektronisk informationshantering i nationell rätt. För att upprätthålla ett adekvat skydd för den personliga integriteten vid utlämnande i elektronisk form är det viktigt att inte fler uppgifter än nödvändigt lämnas ut. Utlämnandet ska dessutom ske på ett sätt som säkerställer lämplig säkerhet för personuppgifterna. Det inbegriper skydd mot obehörig eller otillåten behandling genom lämpliga tekniska eller organisatoriska åtgärder. För att uppnå en ändamålsenlig avvägning mellan myndigheternas intresse av att på ett effektivt sätt lämna ut personuppgifter elektroniskt och riskerna med sådant utlämnande, innehåller kompletterande dataskyddsregleringar ofta en reglering som anger när sådant utlämnande får ske. Den formulering som har valts i modernare dataskyddsförfattningar är att elektroniskt utlämnande får ske om det inte är olämpligt (jfr t.ex. 19 § första stycket kustbevakningsdatalagen [2019:429] och 1 kap. 9 § lagen [2020:421] om Rättsmedicinalverkets behandling av personuppgifter). Regeringen anser att samma formulering bör användas i de nya dataskyddslagar som föreslås för Skatteverket, Tullverket och Kronofogdemyndigheten. Den föreslagna regleringen ska inte tolkas som att den medför en rätt för vare sig mottagande myndigheter eller enskilda att få ut uppgifter elektroniskt. Regleringen innebär inte heller någon generell eller specifik skyldighet för Skatteverket, Tullverket eller Kronofogdemyndigheten att lämna ut uppgifter på ett visst sätt. All automatiserad behandling av stora mängder personuppgifter kan medföra risker ur integritetssynpunkt. Ett omfattande elektroniskt utlämnande av personuppgifter kan innebära att uppgifterna får en större spridning, vilket ytterligare ökar integritetsriskerna. Det är därför inte säkert att en avvägning mellan behovet och riskerna i alla tänkbara fall medger att uppgifter över huvud taget ska lämnas ut elektroniskt. Integritetsskyddsmyndigheten lyfter att konkreta omständigheter som medför att det kan anses olämpligt att lämna ut uppgifter elektroniskt bör förtydligas. Skatteverket, Tullverket och Kronofogdemyndigheten får göra denna bedömning med beaktande av de förhållanden som föreligger i det enskilda fallet. Varje enskild informationsöverföring ska inte kräva omfattande bedömningar. Myndigheterna bör dock överväga de aspekter som är väsentliga ur integritetssynpunkt. Det gäller t.ex. vid inrättande av nya system för överföring eller när nya skyldigheter att lämna ut information införs. Riskerna med att överföra uppgifter elektroniskt måste då vägas mot myndigheternas och uppgiftsmottagarnas behov av effektiva arbetssätt. Myndigheterna måste även beakta principen om uppgiftsminimering, som innebär att personuppgifter inte får vara för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 a i EU:s dataskyddsförordning). Det bör även beaktas om uppgifter som omfattas av sekretess hos den utlämnande myndigheten kommer att omfattas av sekretess hos mottagaren av uppgifterna. Vid lämplighetsbedömningen måste även typen personuppgifter beaktas, t.ex. om det rör känsliga personuppgifter (jfr artikel 9.1 i EU:s dataskyddsförordning). Vid överföring av sådana uppgifter bör integritets- och informationssäkerhetsaspekter ges särskilt stor betydelse. Regeringen har i tidigare lagstiftningsärenden varit av uppfattningen att det normalt sett aldrig bör anses olämpligt att lämna ut personuppgifter elektroniskt till andra myndigheter (prop. 2017/18:269, Brottsdatalag - kompletterande lagstiftning, s. 136 och SOU 2015:39, Myndighetsdatalag, s. 447 och 448). I normalfallet bör det därför inte heller i fortsättningen anses olämpligt att lämna ut personuppgifter elektroniskt till andra myndigheter. När det gäller utlämnande till enskilda kan det dock krävas närmare överväganden bl.a. med hänsyn till vem mottagaren är och vilken säkerhet mottagaren har för sin personuppgiftsbehandling. Om det i ett enskilt fall skulle bedömas vara olämpligt ur integritetssynpunkt att lämna ut personuppgifter elektroniskt, dvs. att principerna för dataskydd inte kan iakttas vid ett sådant utlämnande, bör uppgifterna lämnas ut på annat sätt. Det nyss sagda gäller även för utlämnande till myndigheter. Det kan uppkomma behov av att förtydliga Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att lämna ut personuppgifter elektroniskt. Bestämmelser om detta bör kunna meddelas i förordning med stöd av regeringens restkompetens. Det föreslås därför att det ska finnas utrymme för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter som begränsar myndigheternas möjligheter att själva avgöra när det är lämpligt eller olämpligt att lämna ut personuppgifter elektroniskt. En upplysningsbestämmelse som avser detta bör föras in i de nya dataskyddslagarna i anslutning till den föreslagna regleringen om elektroniskt utlämnande. Formerna för elektroniskt utlämnande Regeringens bedömning Det bör inte göras någon åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. Utredningens bedömning Bedömningen från utredningen stämmer överens med regeringens. Remissinstanserna Integritetsskyddsmyndigheten och Sveriges advokatsamfund anser att direktåtkomst typiskt sett är mer integritetskänsligt än andra former av elektroniskt utlämnande. Integritetsskyddsmyndigheten anser därför att direktåtkomst även fortsättningsvis bör regleras särskilt. Förvaltningsrätten i Stockholm har inget att erinra mot förslaget men påpekar att det görs åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande i 114 kap. socialförsäkringsbalken, vilket eventuellt kan leda till tillämpningssvårigheter. Försäkringskassan anser att utredningen har gjort en gedigen genomgång och analys av hur dataskyddsregelverket i stort är konstruerat och hänger samman. Myndigheten anser att utredningens förslag utgör en bra utgångspunkt för en översyn av den nationella dataskyddsregleringen. Skälen för regeringens bedömning Elektroniskt utlämnande av uppgifter kan i dag ske antingen genom 1) direktåtkomst eller genom 2) elektroniskt utlämnande på annat sätt än direktåtkomst. Direktåtkomst är alltså ett sätt att ta del av uppgifter på elektronisk väg. Begreppet definieras inte i lag eller i någon annan författning. En myndighet som har direktåtkomst till en annan myndighets databas kan på egen hand söka efter uppgifter i samma databas. Den myndighet som mottar uppgifter kan även hämta in information till sitt eget system och bearbeta den där. Den mottagande myndigheten kan dock inte påverka innehållet i databasen. Elektroniskt utlämnande av uppgifter på annat sätt än genom direktåtkomst kallas ibland för utlämnande på medium för automatiserad behandling. Det kan t.ex. ske genom att uppgifter lämnas ut via e-post, USB-minne eller genom filöverföring från ett IT-system till ett annat. Utlämnandet kan även ske automatiskt, t.ex. genom en s.k. fråga-svarstjänst i en app. Det har i olika sammanhang uttryckts att den tekniska utvecklingen har medfört att det är svårt att särskilja direktåtkomst från annat elektroniskt utlämnande (jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110 och 111 och SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 199). Regeringen har uttalat att det inte är en stor skillnad mellan direktåtkomst och en elektronisk fråga-svar-funktion i fråga om risken för integritetsintrång (prop. 2021/22:177, Sammanhållen vård och omsorgsdokumentation, s. 79). Direktåtkomst kan vara att föredra i vissa situationer. Det gäller t.ex. om den utlämnande myndigheten av integritetsskäl vill förhindra att uppgifter hämtas till och bearbetas hos den mottagande myndigheten. Den utlämnande myndigheten kan då bygga in säkerhetsfunktioner som innebär att den mottagande myndigheten enbart kan läsa uppgifterna, men inte kopiera eller i övrigt bearbeta dem. Direktåtkomst kan även vara att föredra om syftet med behandlingen hos den utlämnande myndigheten är informationsförsörjning. Det är dock mer teknikneutralt att inte göra någon skillnad på direktåtkomst och andra former av elektroniskt utlämnade. Integritetsskyddsmyndigheten och Sveriges advokatsamfund anser att direktåtkomst typiskt sett är mer integritetskänsligt än andra elektroniska utlämnanden. Lagrådet anser att det är mindre lämpligt att överlåta till myndigheten att utan restriktioner eller närmare vägledning på egen hand avgöra i vilka situationer det kan anses vara lämpligt att ge direktåtkomst till uppgifterna. Regeringen kan konstatera att Integritetsskyddsmyndigheten tidigare har uttalat att det kan finnas skäl att med anledning av både rättsutvecklingen och den tekniska utvecklingen utreda frågan om direktåtkomst fortsättningsvis bör särregleras i förhållande till andra former av utlämnande (IMY:s yttrande över eSam:s promemoria En modern registerförfattning [ES 2022:6], IMY-2022-1665, s. 9). För att i möjligaste mån uppnå en modern och teknikneutral lagstiftning anser regeringen att det är nödvändigt att, till skillnad från vad Integritetsskyddsmyndigheten och Sveriges advokatsamfund anför, inte göra någon åtskillnad mellan olika former av elektroniskt utlämnande. Regeringen bedömer i likhet med utredningen att en väl analyserad och förberedd direktåtkomst inte behöver innebära större risker för den enskildes integritet än andra former av elektroniskt utlämnande. Det gäller om de inblandade myndigheterna har övervägt och löst frågor som rör sekretesskydd på varsitt håll, vidtagit behövliga säkerhetsåtgärder, begränsat eventuell överskottsinformation och övervägt frågan om eventuella begränsningar i den mottagande myndighetens möjlighet att använda sig av de uppgifter som blir åtkomliga. En liknande bedömning har tidigare gjorts av Informationshanteringsutredningen (SOU 2015:39, Myndighetsdatalag, s. 151). Förvaltningsrätten i Stockholm noterar att det görs åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande i 114 kap. socialförsäkringsbalken. Det är särskilt Försäkringskassan som tillämpar socialförsäkringsbalken och myndigheten framför inga invändningar mot förslaget. Sammantaget bedömer regeringen att direktåtkomst inte längre behöver regleras särskilt för att vara tillåtet. Skatteverket, Tullverket och Kronofogdemyndigheten bör därför ges möjligheter att själva välja formerna för elektroniskt utlämnande. Lagrådet efterfrågar en närmare analys av i vilka situationer det kan vara möjligt att överväga direktåtkomst och hur avvägningen mellan behovet av informationsöverföring och skyddet av den personliga integriteten ska göras. Detta utvecklas i författningskommentaren. Offentlighet- och sekretessfrågor Vissa uppgifter i Skatteverkets folkbokföringsverksamhet Regeringens förslag Absolut sekretess ska gälla i Skatteverkets folkbokföringsverksamhet för uppgift i en sammanställning ur en upptagning för automatiserad behandling, om sammanställningen grundar sig på uppgift om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen ska inte gälla för uppgift i en sådan sammanställning om sammanställningen grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). Sekretessen ska gälla i högst sjuttio år. Den tystnadsplikt som följer av sekretessen ska ha företräde framför meddelarfriheten. Utredningens förslag Förslaget från utredningen stämmer i sak överens med regeringens. Utredningens förslag har en annan lagteknisk utformning. Remissinstanserna Journalistförbundet och Tidningsutgivarna anser att förslaget ger Skatteverket långtgående möjligheter att göra sammanställningar av uppgifter. De avstyrker förslaget om absolut sekretess och inskränkt meddelarfrihet. Det görs i huvudsak med hänvisning till allmänhetens insynsintresse och möjligheten att lämna uppgifter till media. Journalistförbundet anser att det bör räcka att uppgifterna skyddas av ett omvänt skaderekvisit. Tidningsutgivarna anser dock att ett rakt skaderekvisit bör gälla. Skälen för regeringens förslag Av 2 kap. 10 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet (folkbokföringsdatabaslagen) framgår att vid sökning i folkbokföringsdatabasen får följande uppgifter inte användas som sökbegrepp: födelseort make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen som är grundat på adoption inflyttning från utlandet uppehållsrätt för en person som är folkbokförd medborgarskap, med undantag för uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unions-medborgarskap). Skatteverket får alltså inte söka fram befintliga handlingar med hjälp av de sökbegrepp som anges ovan. Skatteverket får inte heller göra sammanställningar med hjälp av sökbegreppen. Det innebär att myndigheten t.ex. inte får söka efter en viss födelseort för att göra sammanställningar av personer där den aktuella födelseorten finns registrerad. Regleringen får betydelse vid tillämpningen av den s.k. begränsningsregeln i 2 kap. 7 § tryckfrihetsförordningen, TF. Begränsningsregeln innebär att en sammanställning av uppgifter ur en upptagning för automatiserad behandling som innehåller personuppgifter inte är förvarad hos en myndighet, om myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Syftet med begränsningsregeln är att allmänheten med stöd av offentlighetsprincipen inte ska kunna ta del av sammanställningar som myndigheten själv är förhindrad att ta fram i sin egen verksamhet. Regeringen föreslår i avsnitt 8.2.2 att det ska införas en sökbegränsning i den nya folkbokföringsdatalagen. Denna begränsning innebär att det fortsatt bör vara otillåtet för Skatteverket att som sökbegrepp använda uppgifter som den registrerade har samband med inom folkbokföringen, om sambandet är grundat på adoption. Regeringen bedömer i samma avsnitt att den nya folkbokföringsdatalagen inte ska innehålla någon motsvarande sökbegränsning avseende övriga punkter i 2 kap. 10 § folkbokföringsdatabaslagen. Det innebär att Skatteverket inte ska hindras från att som sökbegrepp använda uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd samt vissa uppgifter om medborgarskap. Bedömningen grundar sig på att Skatteverket har ett stort behov av att kunna göra sådana sökningar för att utföra sitt uppdrag på ett effektivt, korrekt och rättssäkert sätt. Regeringens bedömning i avsnitt 8.2.2 innebär att Skatteverket kommer få större möjligheter att söka fram vissa uppgifter och göra sammanställningar som av integritetsskäl inte är möjliga att göra i dag till följd av sökförbudet i 2 kap. 10 § folkbokföringsdatabaslagen. Även i dag kan dock sådana uppgifter komma att lämnas ut på begäran om den t.ex. avser utfående av beslut eller inkomna handlingar i ärenden mellan en viss tidsperiod. Möjligheterna för allmänheten att ta del av sådana uppgifter som här är aktuella begränsas dock i viss utsträckning av befintliga sekretessregler. Enligt 22 kap. 1 § första stycket offentlighets- och sekretesslagen (2009:400), OSL, gäller sekretess bl.a. för uppgift om en enskilds personliga förhållanden. Detta om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser folkbokföring. Bestämmelsen innehåller ett rakt kvalificerat skaderekvisit vilket innebär att det krävs särskilt mycket för att sekretessen ska gälla. Vidare framgår av 21 kap. 5 § OSL att sekretess gäller för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Även denna bestämmelse innehåller ett rakt skaderekvisit. Den är till skillnad från 22 kap. 1 § OSL inte avgränsad till folkbokföringsverksamhet. Den gäller oavsett i vilket sammanhang uppgiften förekommer, men har ett begränsat tillämpningsområde. Men bedömningen ska endast göras i förhållande till omständigheter som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Vid sidan av de ovan nämnda bestämmelserna framgår av 21 kap. 7 § OSL att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning eller dataskyddslagen. Bestämmelsen kan bl.a. tillämpas vid s.k. massuttag av uppgifter. Även här är det fråga om ett rakt skaderekvisit. Redogörelsen ovan illustrerar att det finns tillämplig sekretessreglering för uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd samt vissa uppgifter om medborgarskap. En konsekvens av förslaget att inte överföra det nuvarande sökförbudet till folkbokföringsdatalagen är dock att fler uppgifter kommer kunna begäras ut. Regeringen föreslår därför att en särskild reglering om sekretess ska införas i OSL. Regleringen bör utformas på så sätt att sekretess ska gälla i Skatteverkets verksamhet som omfattas av den föreslagna folkbokföringsdatalagen, för uppgift i en sammanställning ur en upptagning för automatiserad behandling, om sammanställningen grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Detta med undantag för uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). Sekretessens föremål föreslås därmed utformas utifrån sökförbudet i 2 kap. 10 § folkbokföringsdatabaslagen, förutom uppgifter om samband grundat på adoption. Av tydlighetsskäl bör ett uttryckligt tillägg göras avseende uppgift om födelseland i jämförelse vad som anges i det nuvarande sökförbudet, där endast födelseort anges. Vidare bör endast uppgift om uppehållsrätt omfattas av förslaget, till skillnad från nuvarande reglering i vilken uppehållsrätt för en person som är folkbokförd anges. Det bedöms vara tillräckligt tydligt med uppehållsrätt i jämförelse med uppehållsrätt för en person som är folkbokförd. Utgångspunkten vid utformningen av en ny sekretessbestämmelse är att inte mer än bara det som är oundgängligen nödvändigt ska sekretessbeläggas för att skydda det intresse som har föranlett bestämmelsen. Till skillnad från vad Journalistförbundet och Tidningsutgivarna anför, anser regeringen att det i sammanhanget är nödvändigt med absolut sekretess. Det förekommer redan i dag i verksamhet som avser bestämmande av skatt för uppgift om enskildas personliga eller ekonomiska förhållanden (27 kap. 1 § OSL). Det skulle innebära betydande integritetsrisker om de sammanställningar som Skatteverket kan göra skulle bli offentliga. Det behövs därför absolut sekretess för att åstadkomma ett fortsatt skydd för uppgifterna i ett integritetshöjande syfte. På detta sätt kommer regleringen i praktiken innebära ett fortsatt likvärdigt skydd för de aktuella uppgifterna som gäller enligt nuvarande reglering i 2 kap. 10 § folkbokföringsdatabaslagen. Enligt nuvarande ordning finns det över huvud taget inte möjlighet att begära att Skatteverket gör sökningar på de aktuella uppgifterna för utfående av sammanställningar över dessa. De aktuella sammanställningarna är i dag inte allmänna handlingar på grund av sökbegränsningarna. För att uppnå samma skydd när sammanställningarna kan bli allmänna handlingar krävs att sekretessen är absolut. Det innebär att någon skadeprövning inte ska göras vid begäran om utlämnande. Mot detta kan det konstateras att allmänheten har ett intresse av insyn i folkbokföringsverksamheten. Detta framgår bl.a. av att det i 22 kap. 1 § OSL framgår att det krävs särskild anledning att anta att den enskilde eller någon närstående till denne lider men om en uppgift röjs för att kunna sekretessbelägga uppgifter hänförliga till folkbokföringen m.m. Ett grundläggande syfte med folkbokföringsverksamheten anses ofta vara att tillgodose samhällets behov av uppgifter om fysiska personer bosatta i Sverige. En del av insynsintresset är vidare hänförligt till att det ska finnas möjlighet att granska Skatteverkets folkbokföringsverksamhet. Behovet av insyn gäller dock i första hand myndighetens verksamhet, inte uppgifter om en enskilds personliga förhållanden. Som framgår ovan har allmänheten inte heller i dag möjlighet att begära att Skatteverket gör en sammanställning baserad på aktuella uppgifter. Vid en avvägning väger därför behovet av skydd för aktuella uppgifter tyngre än behovet av insyn i verksamheten. Detta särskilt eftersom det rör skyddet för enskildas integritet. Förslaget innebär att det räcker att någon av de uppräknade uppgifterna har använts för att göra sammanställningen tillgänglig, t.ex. genom en sökning, för att uppgiften ska omfattas av sekretess. Enskilda uppgifter om t.ex. en persons födelseort i ett ärende omfattas däremot inte av förslaget. I ett sådant fall får en prövning i stället göras enligt de redan befintliga sekretessbestämmelser som nämns ovan. Vad gäller sekretesstidens längd gäller sekretess till skydd för enskildas personliga förhållanden vid folkbokföringen i högst 70 år enligt 22 kap. 1 § OSL. De uppgifter om enskildas personliga förhållanden som nu föreslås omfattas av sekretess är sådana uppgifter som förekommer i verksamhet med folkbokföring. Det föreslås därför att den aktuella sekretessen också ska gälla i högst 70 år. Regeringen föreslår att den nya sekretessregleringen ska införas i anslutning till övriga sekretessregler som gäller för folkbokföring. Sekretessbestämmelsen bör därför införas som en ny paragraf i 22 kap. 1 c § OSL. Rätten att meddela uppgifter till grundlagsskyddade medier för offentliggörande och publicering går i regel före den tystnadsplikt som sekretess innebär (1 kap. 1 och 7 §§ TF och 1 kap. 1 och 10 §§ YGL). Det innebär att det i vissa fall är möjligt att straffritt lämna ut sekretessbelagda uppgifter för publicering i t.ex. tryckt skrift, radio eller tv. Bestämmelser om tystnadsplikt kan dock ges företräde framför denna meddelarfrihet. Till skillnad från vad Journalistförbundet och Tidningsutgivarna anför föreslår regeringen att tystnadsplikten som följer av den föreslagna sekretessregleringen ska ha företräde framför meddelarfriheten. Detta särskilt eftersom det rör sammanställningar av uppgifter som har lämnats av enskilda i enlighet med de krav för registrering som gäller enligt den materiella regleringen för folkbokföringsverksamheten. Det föreslås därför en justering i nuvarande 22 kap. 6 § OSL. Sekretess till skydd för enskildas intressen vid dataanalyser och urval Uppgifter om enskildas personliga eller ekonomiska förhållanden ska omfattas av sekretess Regeringens förslag Absolut sekretess ska gälla i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattnings- och folkbokföringsverksamhet, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretessen ska även gälla i Kronofogdemyndighetens verksamhet som avser dataanalyser och urval i syfte att motverka överskuldsättning. För uppgift om enskildas personliga eller ekonomiska förhållanden ska sekretessen hos Skatteverket och Tullverket gälla i högst 20 år. Samma sekretesstid ska gälla hos Kronofogdemyndigheten för uppgift om enskildas ekonomiska förhållanden. Om uppgiften avser den enskildes personliga förhållanden ska dock sekretessen hos Kronofogdemyndigheten gälla i högst 50 år. Den tystnadsplikt som följer av sekretessen ska ha företräde framför meddelarfriheten. Utredningens förslag Förslaget från utredningen stämmer i sak överens med regeringens. Utredningens förslag har dock en annan lagteknisk utformning. Remissinstanserna Journalistförbundet anser att förslaget ger myndigheterna långtgående möjligheter att göra sammanställningar av uppgifter. Journalistförbundet avstyrker därför förslaget om absolut sekretess och inskränkt meddelarfrihet. Det görs i huvudsak med hänvisning till allmänhetens insynsintresse och möjligheten att lämna uppgifter till media. Skälen för regeringens förslag Behovet av att skydda uppgifter om enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval I avsnitt 9 föreslås att Skatteverket, Tullverket och Kronofogdemyndigheten ska få tydligare rättsliga stöd att behandla personuppgifter vid dataanalyser och urval för att förebygga, förhindra och upptäcka fel. Det föreslås även ett tydligare rättsligt stöd för att behandla personuppgifter vid dataanalyser och urval i Kronofogdemyndighetens verksamhet med att motverka överskuldsättning. I berörda myndigheters verksamheter behandlas stora mängder uppgifter om enskildas personliga eller ekonomiska förhållanden. Genom regeringens förslag kommer dessa uppgifter i högre utsträckning även kunna behandlas vid dataanalyser och urval. De sammanställningar som kan göras med hjälp av dataanalyser och urval kan innebära integritetsrisker om sammanställningarna skulle bli offentliga. Det är därför angeläget med sekretessregleringar som säkerställer ett tillräckligt skydd för enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval. Journalistförbundet anser dock att en sådan sekretessreglering skulle ge myndigheterna långtgående möjligheter att göra sammanställningar av uppgifter. Journalistförbundet avstyrker därför en sådan reglering med hänvisning till allmänhetens insynsintresse och möjligheten att lämna uppgifter till media. Det finns dock redan en absolut sekretessreglering som gäller vid dataanalyser och urval i Skatteverkets folkbokföringsverksamhet som regeringen redogör för nedan (22 kap. 1 a § OSL). I berörda myndigheters verksamheter gäller skilda sekretessbestämmelser som har olika föremål, räckvidd och styrka. Skatteverkets beskattningsverksamhet I 27 kap. 1 och 2 §§ OSL finns sekretessbestämmelser som omfattar verksamhet som avser bestämmande av skatt m.m. Absolut sekretess gäller i dag bl.a. i verksamhet som avser bestämmande av skatt för uppgift om enskilds personliga eller ekonomiska förhållanden, s.k. skattesekretess (27 kap. 1 § första stycket OSL). Absolut sekretess gäller även i verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet (skattedatabaslagen) för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen, s.k. databassekretess (27 kap. 1 § andra stycket 1 OSL). Med anledning av de ändringar som föreslås genom den nya beskattningsdatalagen, föreslås en ändring av lydelsen av 27 kap. 1 § andra stycket 1 OSL. Det bör framgå att sekretess gäller i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Skatteverket och som används i verksamhet som avses i den föreslagna 2 § beskattningsdatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden. Enligt nuvarande ordning gäller även sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden i vissa angivna ärenden, t.ex. avseende skattekontroll eller anstånd med erläggande av skatt (27 kap. 2 § OSL). Absolut sekretess eller sekretess med ett omvänt skaderekvisit gäller beroende på i vilket ärende uppgiften förekommer. Olika nivåer av sekretesskydd gäller alltså i olika verksamheter eller ärendetyper vid Skatteverket. Regeringen anser att det är lämpligt med ett likvärdigt sekretesskydd för uppgifter om enskildas personliga eller ekonomiska förhållanden när Skatteverket utför dataanalyser och urval. Detta oavsett i vilken verksamhet eller för vilken ärendetyp som dataanalyser och urval används för. Ett likvärdigt sekretesskydd tydliggör vilka sekretessbestämmelser som är tillämpliga när sådana verktyg används. Mot bakgrund av ovan föreslår regeringen att en särskild reglering om absolut sekretess ska införas för de uppgifter om enskildas personliga eller ekonomiska förhållanden som behandlas vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel inom Skatteverkets verksamhet som avses i den föreslagna 2 § beskattningsdatalagen. På detta sätt blir det tydligt att samma sekretesskydd gäller oavsett inom vilken verksamhet dataanalyserna och urvalen utförs. Det föreslås att den nya sekretessbestämmelsen ska införas i anslutning till övriga sekretessregler som gäller i beskattningsverksamheten. Skatteverkets folkbokföringsverksamhet Absolut sekretess gäller i dag i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet (folkbokföringsdatabaslagen) för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen (22 kap. 1 a § OSL). Med anledning av de ändringar som föreslås genom den nya folkbokföringsdatalagen, föreslås en ändring av lydelsen av 22 kap. 1 a § OSL. Regeringen föreslår att regleringen ändras till att omfatta verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som anges i 2 § folkbokföringsdatalagen. Regleringen bör fortsatt omfatta uppgift om en enskilds personliga eller ekonomiska förhållanden och föreskriva absolut sekretess. Tullverkets verksamhet Sekretess gäller i dag för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men (27 kap. 3 § första stycket OSL). Det är alltså fråga om ett omvänt skaderekvisit, dvs. det finns en presumtion för sekretess. Motsvarande sekretess gäller i en myndighets verksamhet som avser förande av eller uttag ur tulldatabasen enligt lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet (tulldatabaslagen) för uppgift som har tillförts databasen (27 kap. 3 § andra stycket OSL). Med anledning av de ändringar som föreslås genom den nya tulldatalagen, föreslås en ändring av lydelsen av 27 kap. 3 § andra stycket OSL. Det bör framgå att sekretess gäller i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Tullverket och som används i verksamhet som avses i den föreslagna 2 § tulldatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden. Vidare kan det inom ramen för den föreslagna tulldatalagen uppkomma situationer när uppgifter om enskilda behandlas för dataanalyser och urval där det inte står klart att det finns tillämpliga sekretessbestämmelser. Det är dessutom lämpligt att liknande sekretessbestämmelser som ovan föreslås för Skatteverket även ska finnas i Tullverkets verksamhet som omfattas av den föreslagna tulldatalagen. Denna systematik gäller redan i offentlighets- och sekretesslagen avseende skattesekretessen. Regeringen föreslår därför att det ska införas en ny reglering om absolut sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden som ska gälla i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet som avses i den föreslagna 2 § tulldatalagen. Den nya sekretessbestämmelsen bör införas i anslutning till övriga sekretessregler som gäller för Tullverket. Kronofogdemyndighetens verksamhet Sekretess gäller i dag hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (2014:836) om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men (34 kap. 1 § första stycket OSL). Det är fråga om ett omvänt skaderekvisit, dvs. det finns en presumtion för sekretess. Under motsvarande förutsättningar gäller sekretess i verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet (kronofogdedatabaslagen) för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen (34 kap. 2 § första stycket OSL). Med anledning av de ändringar som föreslås genom den nya kronofogdedatalagen, föreslås en ändring av lydelsen av 34 kap. 2 § första stycket OSL. Det bör framgå att under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Kronofogdemyndigheten och används i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud som avses i den föreslagna 2 § kronofogdedatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden. Vidare anser regeringen att det även för denna myndighet finns skäl att införa ett särskilt sekretesskydd för uppgifter om enskilda som behandlas för dataanalyser och urval. Vid användningen av sådana verktyg kan Kronofogdemyndigheten få en mer omfattande bild av enskildas förhållanden på ett sätt som innebär att uppgifterna tillsammans blir mer integritetskänsliga än vad de skulle vara var för sig. Sekretessen bör därför stärkas i förhållande till det sekretesskydd som gäller för de flesta uppgifter i myndighetens verksamhet i övrigt. Samma sekretesskydd bör gälla för uppgifter som behandlas vid dataanalyser och urval oavsett inom vilken av Kronofogdemyndighetens verksamheter det används. Sekretessen bör därmed omfatta såväl dataanalyser och urval som görs i syfte att förebygga, förhindra och upptäcka fel i Kronofogdemyndighetens verksamhet som anges i 2 § i den nya kronofogdedatalagen, som dataanalyser och urval som görs i Kronofogdemyndighetens verksamhet med att motverka överskuldsättning. Sekretessen som gäller dataanalyser och urval som görs i syfte att motverka överskuldsättning ska gälla vid alla dataanalyser och urval som sker i Kronofogdemyndighetens verksamhet för detta syfte. Till skillnad från vad Lagrådet anför bör sekretessen därför inte begränsas till verksamhet som omfattas av 2 § kronofogdedatalagen. Regeringen anser dock, med beaktande av Lagrådets synpunkt, att det finns skäl att förtydliga bestämmelsen. Sekretessen ska vara absolut De uppgifter som används i verksamhet med dataanalyser och urval kan både härröra från myndigheternas egna verksamheter och hämtas in från andra myndigheter. De uppgifter som hämtas in från andra myndigheter kan antingen vara offentliga eller omfattas av olika former av sekretess. Ett system med olika styrka på sekretessen, t.ex. med överföring av sekretess från respektive utlämnande myndighet, skulle vara svårt att hantera. Att vid myndigheters dataanalyser och urval hålla isär uppgifter med olika sekretesskydd bedöms inte vara genomförbart. Det gäller i likhet med regeringens bedömning avseende folkbokföringsverksamheten (prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 47). Vidare är det svårt att på ett mer precist sätt bedöma vilka typer av sammanställningar som kan komma att anses vara förvarade vid myndigheterna i samband med utförandet av dataanalyser och urval. Omfattande integritetskänsliga sammanställningar om enskilda kan dock göras. Mot bakgrund av detta föreslår regeringen att det ovan föreslagna sekretesskyddet vid dataanalyser och urval för respektive myndighet ska vara mycket starkt. Absolut sekretess gäller redan i verksamhet som avser bestämmande av skatt för uppgift om enskildas personliga eller ekonomiska förhållanden (27 kap. 1 § OSL) och för uppgift om enskildas personliga eller ekonomiska förhållanden i sådan verksamhet som avser framställning av statistik (24 kap. 8 § OSL). När den s.k. statistiksekretessen infördes ansåg regeringen att ett skäl för att ha långtgående sekretess är att offentlighetsintresset i fråga om statistiskt primärmaterial är förhållandevis svagt, medan integritetsintresset är påtagligt. Regeringen ansåg vidare att även praktiska skäl talar för en långtgående sekretess. Detta eftersom Statistiska centralbyrån samlar in uppgifter från olika källor med olika sekretessregler och blandar dessa i ett register (prop. 1979/80:2, Med förslag till sekretesslag m.m., Del A, s. 262 och 263.). Regeringen anser att de skäl som anfördes för statistiksekretessen även gör sig gällande vid avvägningen av vilken sekretessnivå som ska gälla till skydd för enskildas personliga eller ekonomiska förhållanden vid Skatteverkets, Tullverkets och Kronofogdemyndighetens dataanalyser och urval. Myndigheterna behandlar stora mängder personuppgifter vid dataanalyser och urval. Precis som i statistikverksamhet är integritetsintresset påtagligt vid de aktuella personuppgiftsbehandlingarna. Myndighetens sambearbetning av flera uppgifter, som var för sig framstår som mindre integritetskänsliga, ger myndigheten tillgång till en mer omfattande bild av den enskildes personliga och ekonomiska förhållanden. Om sammanställning i form av t.ex. en lista över vilka uppgifter om enskilda som har behandlats vid en viss dataanalys kan bli offentlig, uppkommer stora risker för enskildas personliga integritet. Vidare är insynsintresset avseende uppgifter om enskildas personliga eller ekonomiska förhållanden som behandlas vid myndigheterna inte lika stort i förhållande till myndigheternas verksamhet eller uppgifter i myndigheternas beslut (prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 47). Dataanalyser och urval innebär inte heller i sig myndighetsutövning. Till skillnad från vid betungande myndighetsbeslut uppstår inte några direkta konsekvenser för enskilda när myndigheterna utför dataanalyser och urval. Eventuellt kan ytterligare kontrollåtgärder vidtas i ett enskilt ärende, men det är i ett senare skede. Vidare är den föreslagna sekretessen begränsad till dataanalyser och urval som görs för att förebygga, förhindra och upptäcka felaktigheter i myndigheternas respektive verksamhet. Integritetsintresset är alltså påtagligt i detta sammanhang och bedöms väga tyngre än behovet av den insyn som ett lägre sekretesskydd skulle ge. Trots absolut sekretess kan myndigheterna dessutom lämna ut avidentifierade uppgifter utan risk för att skada eller men uppkommer. Mot denna bakgrund föreslår regeringen att absolut sekretess ska gälla till skydd för enskildas personliga eller ekonomiska förhållanden vid myndigheternas dataanalyser och urval. Sekretesstidens längd För uppgift om enskildas personliga eller ekonomiska förhållanden gäller sekretessen i Skatteverkets beskattningsverksamhet och hos Tullverket i högst 20 år (27 kap. 1 § femte stycket och 27 kap. 3 § fjärde stycket OSL). Sekretessen till skydd för enskilds personliga förhållanden vid folkbokföring gäller i högst 70 år (22 kap. 1 § OSL). För uppgift om enskilds personliga eller ekonomiska förhållanden som har tillförts analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet gäller dock sekretessen i högst 20 år (22 kap. 1 a § OSL). Hos Kronofogdemyndigheten förekommer sekretess som gäller i högst 20 år för enskildas ekonomiska förhållanden och 50 år för enskildas personliga förhållanden beroende på i vilken verksamhet uppgifterna förekommer (34 kap. 1 och 6 §§ OSL). Mot bakgrund av redogörelsen ovan föreslår regeringen att den föreslagna sekretessen hos Skatteverket och Tullverket ska gälla i högst 20 år för uppgift om enskildas personliga eller ekonomiska förhållanden. Samma sekretesstid föreslås gälla hos Kronofogdemyndigheten för uppgift om enskildas ekonomiska förhållanden. Om uppgiften avser den enskildes personliga förhållanden ska dock sekretessen hos Kronofogdemyndigheten gälla i högst 50 år. Förslaget följer alltså de grundprinciper om sekretesstidens längd som gäller för motsvarande uppgifter enligt den hittills gällande ordningen. Tystnadsplikten Rätten att meddela uppgifter till grundlagsskyddade medier för offentliggörande och publicering går i regel före den tystnadsplikt som sekretess innebär (1 kap. 7 § TF och 1 kap. 10 § YGL). Bestämmelser om tystnadsplikt kan dock genom föreskrifter i offentlighets- och sekretesslagen ges företräde framför meddelarfriheten (7 kap. 22 § första stycket 3 TF och 5 kap. 4 § första stycket 3 YGL). Intresset av att offentliggöra uppgifter motiveras främst av behovet av insyn i och granskning av myndigheternas verksamhet. De aktuella uppgifterna hänför sig dock inte till ärenden som innefattar myndighetsutövning. Skatteverket, Tullverket och Kronofogdemyndigheten kommer dessutom inte vara förhindrade att informera om missförhållanden vid dataanalyser och urval, t.ex. vid misstankar om att urval görs på grundval av etnicitet på ett sätt som inte är tillåtet (jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 77). Regeringen föreslår därför att tystnadsplikten som följer av de föreslagna sekretessbestämmelserna ska ha företräde framför meddelarfriheten. Sekretess i mål hos domstol, vissa internationella avtal och vissa konkurssituationer Regeringens förslag Sekretessbestämmelserna till skydd för enskildas intressen vid dataanalyser och urval i Skatteverkets beskattningsverksamhet och Tullverkets verksamhet ska inte omfattas av domstolssekretess. Sekretessbrytande bestämmelser gentemot förvaltare i en enskilds konkurs som gäller i Skatteverkets beskattningsverksamhet samt hos Tullverket och Kronofogdemyndigheten ska inte omfattas av sekretessbestämmelser till skydd för enskildas intressen vid dataanalyser och urval. Regeringens bedömning Sekretessbestämmelserna till skydd för enskildas intressen vid dataanalyser och urval i Skatteverkets beskattningsverksamhet, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet bör gälla avseende vissa internationella avtal. Utredningens förslag och bedömning Förslaget och bedömningen från utredningen stämmer i sak överens med regeringens. Utredningens förslag har en annan lagteknisk utformning. Remissinstanserna Ingen remissinstans invänder mot förslaget eller bedömningen. Skälen för regeringens förslag och bedömning Allmänt Regeringen föreslår ovan nya sekretessbestämmelser till skydd för enskildas intressen vid dataanalyser och urval i Skatteverkets beskattningsverksamhet och i Tullverkets verksamhet. De nya bestämmelserna föreslås placeras i 27 kap. 2 a och 3 a §§ OSL. Förslagen medför att vissa andra sekretessregler i samma kapitel påverkas. Bestämmelserna i 27 kap. 4, 5 och 8 §§ innehåller hänvisningar till andra paragrafer i samma kapitel som får till följd att de föreslagna 27 kap. 2 a och 3 a §§ omfattas av dessa bestämmelser. Detta får betydelse för bl.a. Skatteverkets och Tullverkets tillämpning av sekretessbestämmelserna i det aktuella kapitlet. På motsvarande sätt innebär den ovan föreslagna sekretessbestämmelsen i 34 kap. 10 b § OSL avseende Kronofogdemyndighetens dataanalyser och urval att vissa andra bestämmelser i 34 kap. OSL bör ses över. Ändringar av hänvisningar i 27 kap. 4 § OSL om mål hos domstol Som framgår ovan finns sekretessbestämmelser som omfattar Skatteverkets beskattningsverksamhet och Tullverkets verksamhet i 27 kap. 1–3 §§ OSL. Av 27 kap. 4 § OSL framgår bl.a. att sekretessen enligt 1–3 §§ även gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Vidare framgår att om en domstol i ett mål får en sekretessreglerad uppgift från en annan myndighet och uppgiften saknar betydelse i målet, blir sekretessbestämmelsen tillämplig på uppgiften även hos domstolen. Den aktuella bestämmelsen är tillämplig i skatteprocessen för domstolarnas del och innebär att ett rakt skaderekvisit gäller. Det raka skaderekvisitet för uppgift i mål ska tillämpas på alla uppgifter som är av betydelse i målet. Regeringen anser att det saknas anledning att låta den aktuella bestämmelsen omfatta de föreslagna bestämmelserna i 27 kap. 2 a och 3 a §§ OSL. De uppgifter som behandlas vid myndigheternas dataanalyser samt urval och som omfattas av sekretess enligt de föreslagna bestämmelserna kommer med stor sannolikhet inte finnas i ett ärende vid myndigheterna. Om uppgifter som härrör från Skatteverkets eller Tullverkets dataanalyser och urval ändå tas in i ett ärende, kommer uppgifterna att omfattas av den sekretess som gäller för ärendet. I sådana fall blir t.ex. skattesekretessen i 27 kap. 1 § första stycket OSL eller sekretessen vid Tullverket enligt 27 kap. 3 § första stycket OSL tillämpliga. Om ärendet sedan överlämnas till domstol efter överklagande kommer uppgifterna redan att omfattas av sekretessregeln i 27 kap. 4 § OSL. Detta eftersom uppgiften i ett sådant fall omfattas av den sekretess som gäller i ärendet vid Skatteverket eller Tullverket. Om uppgifterna har betydelse i målet hos domstolen, kommer därmed ett rakt skaderekvisit att gälla vid domstolen. Om uppgiften däremot saknar betydelse i målet, blir sekretessbestämmelsen som gäller i ärendet vid myndigheterna tillämplig på uppgiften även hos domstolen. Mot denna bakgrund föreslås att bestämmelsen i 27 kap. 4 § OSL ska ändras på så sätt att det i stället anges att sekretessen enligt 1, 2 och 3 §§ gäller för de aktuella uppgifterna. På detta sätt kommer inte de nya föreslagna bestämmelserna i 27 kap. 2 a och 3 a §§ OSL att omfattas av ordalydelsen. Ingen ändring av hänvisningar i 27 kap. 5 § OSL om vissa internationella avtal Av 27 kap. 5 § OSL framgår bl.a. att sekretessen enligt 1–4 §§ gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, i ärende om handräckning eller bistånd som en svensk myndighet lämnar åt en myndighet eller något annat organ i den staten eller inom den mellanfolkliga organisationen i verksamhet som motsvarar den som avses i nämnda paragrafer. Bestämmelsen reglerar när skattesekretess gäller i ärenden om handräckning eller bistånd där Sverige biträder en annan stat eller mellanfolklig organisation till följd av ett internationellt avtal, samt tar sikte på sekretessbelagda uppgifter som en myndighet förfogar över på grund av ett internationellt avtal. De uppgifter som behandlas vid Skatteverkets och Tullverkets dataanalyser och urval kommer i princip inte att avse uppgifter som Sverige har fått för att hjälpa andra stater, eller som Sverige förfogar över på grund av ett sådant internationellt avtal som avses i 27 kap. 5 § OSL. Det kan dock tänkas att Skatteverket eller Tullverket kommer att använda uppgifter vid dataanalyser och urval som myndigheterna förfogar över till följd av internationella avtal. För uppgifter enligt ovan föreslagna 27 kap. 2 a och 3 a §§ OSL kommer absolut sekretess att gälla, på samma sätt som enligt 27 kap. 5 § OSL. En skillnad är dock att vissa sekretessbrytande bestämmelser inte gäller om sekretess gäller enligt 27 kap. 5 § andra stycket. Regeringen bedömer att bestämmelsen i 27 kap. 5 § OSL bör kvarstå oförändrad. Detta för att det inte ska råda några oklarheter kring vilka sekretessbestämmelser som gäller om uppgifter som används vid dataanalyser och urval bl.a. är sådana som myndigheterna förfogar över till följd av ett internationellt avtal. Absolut sekretess kommer därmed alltid att gälla. Det innebär att de föreslagna sekretessreglerna i 27 kap. 2 a och 3 a §§ OSL kommer att omfattas av 27 kap. 5 § OSL. Ändringar av hänvisningar i 27 kap. 8 § OSL om sekretessbrytande bestämmelser i vissa konkurssituationer Av 27 kap. 8 § första stycket OSL framgår att sekretessen enligt 1–4 §§ inte hindrar att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs. Enligt andra stycket hindrar inte sekretessen enligt 2–4 §§ att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs. I tredje stycket anges att om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen. Bestämmelsen medför att uppgifter som annars omfattas av sekretess i vissa fall får lämnas till en konkursförvaltare i den enskildes konkurs. Till skillnad från bestämmelserna i 27 kap. 4 och 5 §§ OSL innefattar 27 kap. 8 § alltså en sekretessbrytande bestämmelse. Om uppgifter som behandlas vid myndigheternas dataanalyser och urval förekommer i ett ärende om revision eller ärende enligt lagen om Skatteverkets hantering av vissa borgenärsuppgifter, kommer uppgifterna att omfattas av den sekretess som gäller i dessa ärenden. De kommer därmed inte omfattas av den särskilda sekretessen för uppgifter vid myndigheternas dataanalyser och urval. Det saknas därför skäl att låta sekretessbestämmelsen i 27 kap. 8 § OSL omfatta de föreslagna bestämmelserna i 27 kap. 2 a och 3 a §§ OSL. Regeringen föreslår därför att 27 kap. 8 § OSL ska ändras på så sätt att det i första stycket i stället anges att sekretessen enligt 1, 2, 3 och 4 §§ inte hindrar att aktuella uppgifter lämnas ut under de förutsättningar som där anges. Vidare bör andra stycket ändras på så sätt att det i stället anges att sekretessen enligt 2, 3 och 4 §§ inte hindrar att vissa uppgifter lämnas ut under de förutsättningar som där anges. Ändringar av hänvisningar i 34 kap. 4 § OSL som avser internationella avtal I 34 kap. OSL finns bestämmelser om sekretess till skydd för enskild vid utsökning och indrivning, skuldsanering m.m. Enligt 34 kap. 4 § första stycket gäller sekretess i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. I andra stycket föreskrivs att om sekretess gäller enligt första stycket, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet. Regeringen bedömer, av samma skäl som framgår ovan avseende 27 kap. 5 § OSL, att bestämmelsen i 34 kap. 4 § även ska innefatta en hänvisning till den föreslagna sekretessregeln i 34 kap. 10 b §. Det kommer då inte uppstå en situation i vilken det är oklart vilket sekretesskydd som gäller, utan sekretessen kommer vara absolut även i sådana situationer som anges i 34 kap. 4 § OSL. Därtill kommer vissa i 34 kap. 4 § andra stycket angivna sekretessbrytande bestämmelser inte att vara tillämpliga på det sätt som där anges om förutsättningarna i första stycket är uppfyllda. Regeringen föreslår därför att 34 kap. 4 § bör ändras på så sätt att det i första stycket anges att sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 och 10 b §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Ingen ändring av hänvisningar i den sekretessbrytande bestämmelsen i 34 kap. 5 § OSL I 34 kap. 5 § första stycket OSL anges att sekretessen enligt 1–3 §§ inte hindrar att uppgifter om en enskild lämnas till förvaltare i den enskildes konkurs. Av andra stycket framgår att om en myndighet med stöd av första stycket lämnar uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen. Regleringen avser Kronofogdemyndighetens verksamhet med bl.a. utsökning och indrivning samt verksamhet enligt lagen (2014:836) om näringsförbud och motsvarar den som finns i 27 kap. 8 § OSL beträffande Skatteverket och Tullverket. Den bryter alltså sekretessen avseende vissa uppgifter om en enskild i de fall uppgifterna lämnas till förvaltare i den enskildes konkurs. Av samma skäl som anges ovan avseende bestämmelsen i 27 kap. 8 § OSL bedömer regeringen att den nya sekretessbestämmelsen i 34 kap. 10 b § OSL inte ska omfattas av den sekretessbrytande bestämmelsen i 34 kap. 5 § OSL. Bestämmelsen i 34 kap. 5 § OSL behöver därför inte ändras till följd av förslaget till en ny sekretessbestämmelse i 34 kap. 10 b § OSL. Sekretess till skydd för vissa allmänna intressen vid dataanalyser och urval Regeringens förslag Sekretess ska gälla för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Detta om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör Skatteverkets beskattnings- eller folkbokföringsverksamheter eller Tullverkets och Kronofogdemyndighetens verksamheter som omfattas av de nya lagarna. Regeringens bedömning Den aktuella sekretessen bör inte gälla för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. Utredningens förslag Förslaget från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår att den aktuella sekretessen även ska gälla i Kronofogdemyndighetens verksamhet för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. Vidare har utredningens förslag en annan lagteknisk utformning. Remissinstanserna Journalistförbundet avstyrker förslaget med hänsyn till allmänhetens insynsintresse. Förbundet påpekar även att det saknas beskrivningar av vilka typer av uppgifter som omfattas av förslaget. Diskrimineringsombudsmannen understryker vikten att tillsynsmyndigheter ges möjlighet att utföra tillsyn och få tillgång till information om metoder och modeller i verksamheterna. Skälen för regeringens förslag och bedömning I arbetet med dataanalyser och urval utformar myndigheterna olika analyser, tar fram riskfaktorer och utvecklar urvalsmodeller. Syftet med detta arbete är att få fram ett urval av bl.a. ärenden som det kan finnas anledning att kontrollera närmare. Denna närmare granskning beror i sin tur identifierade risker för fel eller felaktiga uppgifter. Det vore negativt för arbetet om allmänheten skulle ges fullständig insyn i denna verksamhet. Det skulle t.ex. riskera att leda till att riskfaktorer, metoder eller urvalsmodeller utnyttjas för att undvika ytterligare kontroll (jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 80). Syftet med myndigheternas dataanalyser och urval, nämligen att förebygga, förhindra och upptäcka fel, skulle därmed gå förlorat. Det finns därför ett behov av att till viss del begränsa insynen i denna verksamhet. I OSL finns vissa sekretessbestämmelser till skydd för allmänna intressen. I 17 kap. regleras sekretess till skydd främst för myndigheters verksamhet för inspektion, kontroll eller annan tillsyn. Enligt 17 kap. 1 § gäller sekretess för uppgift om planläggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs. Regeringen har tidigare bedömt att 17 kap. 1 § OSL inte utgör ett tillräckligt skydd för det utvecklade arbetet med dataanalyser och urval som Skatteverket behöver genomföra inom folkbokföringsverksamheten (prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 51). Det har därför införts en sekretessbestämmelse i 17 kap. 1 a § OSL som gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten. Regeringen föreslår att sekretess även ska gälla för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattningsverksamhet samt i Tullverkets och Kronofogdemyndighetens verksamheter som omfattas av de föreslagna dataskyddslagarna. Detta om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Bestämmelsen i 17 kap. 1 a § OSL avser redan i dag dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten. Motsvarande sekretess bör behållas, men med vissa ändringar för att anpassa sekretessen till regeringens förslag avseende dataanalyser och urval i avsnitt 9. Allmänhetens insynsintresse kommer därför inte påverkas i någon större utsträckning på det sätt som Journalistförbundet anför. Vidare påpekar Journalistförbundet att det saknas beskrivningar av vilka uppgifter som kan komma att omfattas av den föreslagna sekretessen. En närmare beskrivning av vilka uppgifter om metoder, modeller och riskfaktorer som är aktuella att sekretessbelägga är svår att ge. Myndigheterna kan t.ex. använda metoder som innefattar jämförelser av olika ärenden, uppgifter eller företeelser för att identifiera riskfaktorer och lämpliga urval. Myndigheterna kommer vidare att kunna utveckla olika slags urvalsmodeller som kan bli aktuella att tillämpa i olika situationer och vid olika tidpunkter, vilket gör att det är svårt att förutse samtliga typer av urvalsmodeller som kommer att användas. Inom beskattningsverksamheten har Skatteverket t.ex. omkring tusen olika modeller som används. Flera av dessa används dagligen för att hitta olika risker för fel i samband med ärendehanteringen. De modeller som används utvecklas utifrån riskindikatorer och förändras kontinuerligt för att de ska bli så träffsäkra som möjligt. Regeringen föreslår att sekretessen endast ska gälla för uppgifterna om det kan antas att det allmännas möjligheter att förebygga, förhindra och upptäcka fel motverkas om uppgiften röjs. Det föreslås alltså ett rakt skaderekvisit, vilket innebär en presumtion för offentlighet. Det säkerställer en rimlig balans mellan behovet av sekretess och intresset av insyn i myndigheternas verksamhet med dataanalyser och urval. I enlighet med vad Diskrimineringsombudsmannen anför är det viktigt att tillsynsmyndigheter får god tillgång till information om metoder och modeller i de aktuella verksamheterna, jfr 10 kap. 17 § OSL där det anges att sekretess inte hindrar att en uppgift lämnas till en myndighet om uppgiften behövs för tillsyn över eller revision hos den myndighet där uppgiften förekommer. Den sekretess som enligt 17 kap. 1 a § OSL gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten bör finnas kvar oförändrad i sak, men med vissa ändringar av vilka verksamheter paragrafen omfattar. Bestämmelsen bör ändras på så sätt att den även omfattar verksamhet med dataanalyser och urval som sker i Skatteverkets beskattningsverksamhet samt i Tullverkets och Kronofogdemyndighetens verksamheter. Bestämmelsen bör hänvisa till de föreslagna lagarna för att närmare avgränsa vilka verksamheter som omfattas, dvs. 2 § beskattningsdatalagen, 2 § folkbokföringsdatalagen, 2 § tulldatalagen och 2 § kronofogdedatalagen. Vidare bör rubriken närmast 17 kap. 1 a § ändras som en följd av förslaget. Lagrådet noterar att den föreslagna sekretessen inte omfattar uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. Utredningen har föreslagit att den aktuella sekretessbestämmelsen även ska gälla för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. Regeringen bedömer dock att det saknas en sekretessgrund för detta i 2 kap. 2 § TF. Statens personadressregister En ny lag Regeringens förslag Den nuvarande lagen om det statliga personadressregistret ska upphävas och ersättas av en ny lag med samma namn. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Skatteverkets verksamhet med det statliga personadressregistret, SPAR, syftar till att tillhandahålla information till myndigheter och enskilda. Den information som tillhandahålls är vissa folkbokföringsuppgifter, uppgifter om personer som har tilldelats samordningsnummer samt vissa uppgifter om inkomst och taxeringsvärde från beskattningsverksamheten. Uppgifterna förändras eller förädlas inte inom SPAR-verksamheten. De förs enbart vidare genom SPAR till enskilda eller till andra myndigheter. Grunden för utlämnande av uppgifter ur SPAR är offentlighetsprincipen. Uppgifterna får behandlas (lämnas ut) för två olika ändamål. Det första ändamålet är kontrolländamål, dvs. för att aktualisera, komplettera och kontrollera personuppgifter. Det andra ändamålet är urvalsändamål, dvs. att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet. Informationen lämnas ut elektroniskt. Det är inte självklart att det ankommer på just Skatteverket att vidta de åtgärder som SPAR-uppdraget kräver, till skillnad från beskattnings- och folkbokföringsverksamheten. Tidigare har andra aktörer haft ansvar för uppdraget. SPAR regleras i lagen (1998:527) om det statliga personadressregistret, SPAR-lagen och den tillhörande förordningen (1998:1234) om det statliga personadressregistret, SPAR-förordningen. En avgörande skillnad mellan dessa författningar och de dataskyddsförfattningar som hanteras i bl.a. avsnitt 5 är att SPAR-författningarna utgör en reglering av ett regelrätt register och inte personuppgiftsbehandling i en verksamhet. Såväl utredningen som regeringen har identifierat ett förändringsbehov av SPAR-regleringen. Det är förändringar av innehållsmässig, strukturell och redaktionell karaktär som redogörs för nedan. Ändringarna är så pass omfattande att de nuvarande författningarna bör upphävas och ersättas av en ny lag och en ny förordning. Förslaget om en ny förordning bereds inom Regeringskansliet. När en lag upphävs och ersätts av en ny sådan kan det vara lämpligt att den nya lagens namn skiljer sig från den gamla. Eftersom regleringen av SPAR inte bara är av dataskyddskaraktär är det mindre lämpligt att den nya lagens namn utformas i likhet med namnen på de övriga lagar som föreslås i avsnitt 5. Det är inte heller lämpligt att byta namn på själva registret, eftersom begreppet statens personadressregister med förkortningen SPAR är väletablerade. SPAR och dess logotyp är dessutom varumärkesskyddat. Regeringen föreslår ingen ändring av den materiella regleringen av SPAR. Den nya lagen bör därför ges samma namn som den nuvarande lagen, dvs. lagen om det statliga personadressregistret, SPAR-lagen. Ändamålen med SPAR Regeringens förslag Det ska föras ett statligt personadressregister för kontroll- och urvalsändamål. Registret får användas för elektroniskt utlämnande av uppgifter. SPAR-lagens ändamålsbestämmelser ska förtydligas. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag SPAR-lagens portalparagraf En grundläggande förutsättning för att personuppgiftsbehandling ska vara tillåten enligt EU:s dataskyddsförordning är att det finns en rättslig grund för behandlingen, se artikel 6.1. Behandlingen är endast laglig om vissa villkor är uppfyllda, t.ex. om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige alternativt om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 c och e). Den rättsliga grunden ska vara fastställd i unionsrätten eller den nationella rätten (artikel 6.3). I förarbetena till den nuvarande SPAR-lagen uttalade regeringen att SPAR tillgodoser de behov av kontroll av personuppgifter som framför allt finns på den privata marknaden. SPAR-verksamheten ansågs fylla en viktig samhällsfunktion som måste betraktas som ett allmänt och berättigat intresse (prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 71–72). Av 1 § i den hittills gällande SPAR-lagen framgår att registret ska föras. Bestämmelsen utgör därför den primära rättsliga grunden för förandet av registret. Det saknas skäl att föreslå en ändring av regleringen i sak. I lagens portalparagraf bör det dock anges att uppgifterna i SPAR endast får användas för vissa avgränsade ändamål. På så sätt tydliggörs både varför registret förs och vad uppgifterna i SPAR får användas till. Regeringen föreslår därför att det i den nya lagens portalparagraf ska anges att registret ska föras för kontroll- och urvalsändamål. I SPAR ska information lämnas ut elektroniskt. Det är bl.a. för att undvika att det upprättas privata digitala register över befolkningen. Regeringen föreslår därför att det ska framgå att registret får användas för elektroniskt utlämnande av uppgifter. Lagens ändamålsreglering Det ligger inte inom ramen för detta lagstiftningsärende att ändra den materiella regleringen av SPAR. Den hittills gällande SPAR-lagens ändamålsbestämmelser (3 §) reglerar både varför registret förs och för vilka ändamål personuppgifter får behandlas. Det saknas skäl att ändra ändamålsbestämmelserna i sak. Regeringen föreslår därför att ändamålsbestämmelserna i den hittills gällande SPAR-lagen ska överföras till den föreslagna lagen med tillägg av de begrepp som föreslås framgå av den nya lagens portalparagraf, dvs. kontrolländamål och urvalsändamål. Lagens dubbla syften ska tydliggöras Regeringens förslag Syftet med den nya lagen är att ge den myndighet som regeringen har utsett till ansvarig för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid personuppgiftsbehandlingen. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag I flera moderna dataskyddsförfattningar anges det dubbla syftet med sådan reglering: dels att möjliggöra ändamålsenlig personuppgiftsbehandling inom ett visst område, dels att skydda människors personliga integritet vid sådan behandling. I avsnitt 6.2 föreslår regeringen att detta syfte ska framgå i de nya dataskyddslagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Någon syftesbestämmelse finns inte i den nuvarande SPAR-lagen. Verksamheten med SPAR medför ett behov av en omfattande behandling av personuppgifter. Uppgifter från beskattningsverksamheten och folkbokföringsverksamheten sammanförs i registret. Det är därför viktigt att den myndighet som regeringen utser att ansvara för SPAR har rättsliga förutsättningar för att kunna utföra nödvändig personuppgiftsbehandling inom ramen för verksamheten. Det behöver samtidigt finnas ett skydd mot att de registrerades personliga integritet kränks vid sådan personuppgiftsbehandling. Av den nuvarande SPAR-lagens förarbeten framkommer att lagen syftar till att säkerställa en lämplig balans mellan å ena sidan behovet av att föra ett register med befolkningsuppgifter för att tillgodose behovet av kontroll av personuppgifter och å andra sidan skyddet för den personliga integriteten genom att begränsa vilka uppgifter som får finnas i registret och för vilka ändamål de får behandlas (prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 71–74). Mot denna bakgrund anser regeringen att det bör införas en reglering i den nya SPAR-lagen som tydliggör lagens tvådelade syfte. Bestämmelsen bör formuleras som att den ansvariga myndigheten ska ges möjlighet att behandla personuppgifter på ett ändamålsenligt sätt samtidigt som människor ska skyddas mot att deras personliga integritet kränks vid sådan behandling. Ansvarig myndighet och personuppgiftsansvar Regeringens förslag Den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt den nya SPAR-lagen och föreskrifter som har meddelats i anslutning till lagen. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Regeringen föreslår i avsnitt 6.9 att det i de nya dataskyddslagarna för Skatteverkets beskattnings- och folkbokföringsverksamhet, Tullverket och Kronofogdemyndigheten ska finnas en bestämmelse som pekar ut den myndighet som är personuppgiftsansvarig för behandling som sker enligt respektive lag. Det bör finnas en bestämmelse som reglerar personuppgiftsansvar även i den nya SPAR-lagen. Av den nuvarande SPAR-lagen framgår inte att Skatteverket ansvarar för SPAR. Det framgår i stället indirekt av 2 § SPAR-förordningen, där det anges att Skatteverket är personuppgiftsansvarig för SPAR och att driften av registret får vara förlagd till servicebyråer. Regeringen anser att personuppgiftsansvaret bör regleras i den nya SPAR-lagen. Det bör därför införas en bestämmelse i den nya lagen som anger att den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för behandling som sker med stöd av lagen. Misstanke om oriktig eller ofullständig uppgift Regeringens förslag Vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig eller ofullständig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR. Utredningens förslag Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår dock inte att ofullständiga uppgifter ska omfattas av anmälningsskyldigheten. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Genom SPAR tillhandahålls en stor mängd uppgifter till ett flertal aktörer både inom den privata och den offentliga sektorn. För att uppnå syftet med SPAR måste uppgifterna i registret hålla en hög kvalitet. Det är i huvudsak uppgifter som hämtas från Skatteverkets folkbokföringsdatabas som behandlas i SPAR. Skatteverket har ett ansvar för att de uppgifter som behandlas i folkbokföringsdatabasen är riktiga. För att minska fel i folkbokföringen har Skatteverket ett stort behov av att andra myndigheter delar information som kan vara av betydelse. I folkbokföringslagen (1991:481) finns därför också en skyldighet för en myndighet att underrätta Skatteverket om det kan antas att en uppgift i folkbokföringen om en person som är eller har varit folkbokförd är oriktig eller ofullständig (32 c § första stycket folkbokföringslagen). Underrättelseskyldigheten omfattar alla myndigheter med undantag för Skatteverkets brottsbekämpande verksamhet. Underrättelseskyldigheten gäller inte heller uppgifter som omfattas av sekretess enligt 24 kap. 8 § OSL, den s.k. statistiksekretessen. Genom underrättelseskyldigheten har alltså även övriga myndigheter ett visst ansvar för folkbokföringsuppgifternas riktighet. En motsvarande underrättelseskyldighet finns även gällande samordningsnummer (4 kap. 1 § lagen [2022:1697] om samordningsnummer). Även i den nuvarande SPAR-regleringen finns en bestämmelse som kan bidra till att oriktiga uppgifter uppmärksammas. Av den nuvarande 14 § SPAR-förordningen framgår att vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till Skatteverket. Bestämmelsen innebär att det finns en anmälningsskyldighet för alla personer som i tjänsten tar del av uppgifter som är hämtade från SPAR vid misstanke om att en uppgift är oriktig. Anmälningsskyldigheten gäller dessutom alla uppgifter från SPAR. Skyldigheten inträder genast, dvs. direkt när det uppstår misstanke om att en uppgift som är hämtad från SPAR är oriktig. Uppgifter som registreras i folkbokföringsverksamheten är till för hela samhällets behov. Intresset av korrekta uppgifter i folkbokföringsverksamheten väger tungt och innebär att myndigheter och andra aktörer som hämtar uppgifter från folkbokföringsverksamheten också får bättre förutsättningar att utföra sin verksamhet. SPAR är ett sådant offentligt register som huvudsakligen omfattar personer som är folkbokförda i Sverige eller har tilldelats ett samordningsnummer. För de som hämtar uppgifter ur SPAR är det således viktigt att uppgifterna håller en hög kvalitet. Det får därför anses rimligt att kräva att mottagarna av uppgifterna har en skyldighet att anmäla eventuell misstanke om att en uppgift som hämtats från SPAR är oriktig. Regeringen anser att anmälningsskyldigheten enligt den nuvarande 14 § SPAR-förordningen ska finnas kvar och att den är av en sådan karaktär att den lämpligen bör regleras i den nya SPAR-lagen. Regeringen föreslår därför att det ska införas en reglering med innebörd att vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig eller ofullständig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR. För att tydliggöra att även ofullständiga uppgifter bör anmälas bör regleringen utformas i enlighet härmed. Lagrådet anser att frågan om till vilken myndighet anmälan ska ske bör belysas under det fortsatta arbetet. I hittills gällande bestämmelse i förordningen anges att anmälan ska ske till Skatteverket. Skatteverket är personuppgiftsansvarig för SPAR, vilket också regleras i nuvarande SPAR-förordningen. Någon ändring i denna del är inte avsedd. Vilken myndighet som ansvarar för SPAR kommer även fortsättningsvis att regleras i förordning. I förslaget anges därför att anmälan ska göras till den myndighet som ansvarar för SPAR. Regeringen anser att det är en lämplig ordning att den som misstänker att en uppgift i SPAR är oriktig vänder sig till den myndighet som ansvarar för SPAR. Lagrådet anser också att bestämmelsens funktion är oklar och att det är angeläget att den rättsliga innebörden klargörs och preciseras i det fortsatta arbetet. Regeringen redogör tidigare i avsnittet för vikten av att uppgifterna i SPAR håller en hög kvalitet. För att t.ex. möjliggöra ökad kvalitet i folkbokföringsverksamheten är det angeläget att den som tar del av uppgifter som härrör därifrån också anmäler förhållanden som är av betydelse för folkbokföringsverksamheten och således skapar bättre förutsättningar för att misstänkta fel utreds och korrigeras. Att mottagarna av uppgifterna har en skyldighet att anmäla misstänkta oriktigheter är därmed ett sätt att upprätthålla kvaliteten på uppgifterna. Det kan klargöras att anmälningsskyldigheten, i likhet med underrättelseskyldighet för myndigheter, inte medför någon skyldighet att utreda eller efterforska korrekta uppgifter. Skyldigheten medför att när en person i tjänsten hanterar en personuppgift som mottagits från SPAR och konstaterar att den mottagna uppgiften inte stämmer överens med verkliga förhållanden, ska personen anmäla detta till den myndighet som ansvarar för SPAR. Det är sedan upp till den myndigheten att bedriva den utredning som är nödvändig för att fastställa de rätta förhållandena. Vilka uppgifter som får behandlas i SPAR regleras i 6 § i den nya lagen. Det är således med avseende på dessa uppgifter som det föreligger en skyldighet att anmäla oriktiga eller ofullständiga uppgifter. Regeringen utvecklar i författningskommentaren hur bestämmelsen är avsedd att tillämpas. Som Lagrådet konstaterar finns inte några rättsliga följder kopplade till anmälningsskyldigheten. Detsamma gäller för motsvarande underrättelseskyldigheter i folkbokföringslagen och lagen om samordningsnummer. En sådan här reglering har dock ett signalvärde och en handlingsdirigerande funktion. Regeringen anser därför att den är motiverad. Längsta tid för behandling Regeringens förslag Uppgifter får inte behandlas i SPAR under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag En av de grundläggande principerna för behandling av personuppgifter enligt EU:s dataskyddsförordning är principen om lagringsminimering (artikel 5.1 e). Principen innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa andra ändamål. Principen om lagringsminimering ställer krav på den personuppgiftsansvarige att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. I nuvarande SPAR-reglering saknas en bestämmelse som uttrycker principen om lagringsminimering. Regeringen föreslår i avsnitt 6.12 att en reglering som motsvarar principen ska finnas i de nya dataskyddslagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. De överväganden som framgår av det nyssnämnda avsnittet är även giltiga för SPAR-verksamheten. Av samma skäl som framgår där föreslår regeringen att det ska införas en reglering i den nya SPAR-lagen som tydliggör att personuppgifter inte får behandlas under en längre tid än vad som behövs med hänsyn till ändamålet för behandlingen. Regleringen bör förenas med en upplysningsbestämmelse om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om hur länge personuppgifter får behandlas. Redaktionella ändringar Regeringens förslag Följande bestämmelser i den hittills gällande SPAR-lagen ska föras över till den nya SPAR-lagen med endast redaktionella ändringar: – om förhållandet till annan reglering – om registerinnehåll – om var uppgifterna i SPAR hämtas från – om att enskilda ska hänvisas till SPAR – om regeringens rätt att meddela vissa föreskrifter om begränsningar av utlämnande av uppgifter från SPAR och vilka sökbegrepp som får användas vid sökning i SPAR, och – om begränsning av rätten att göra invändningar. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Svensk Försäkring anser att även identiteter som inte är styrkta eller sannolika avseende samordningsnummer ska registreras i SPAR. Skälen för regeringens förslag Förhållandet till annan reglering I den hittills gällande 2 § SPAR-lagen finns en upplysningsbestämmelse som tydliggör att lagen innehåller kompletterande bestämmelser till EU:s dataskyddsförordning. Bestämmelsen klargör att lagen inte kan tillämpas fristående, utan att den ska tillämpas tillsammans med dataskyddsförordningen. Regeringen föreslår att en motsvarande reglering förs in i den nya SPAR-lagen. Registrets innehåll och var uppgifterna hämtas från I den hittills gällande 4 § SPAR-lagen regleras vilka uppgifter som SPAR får innehålla. Regleringen tydliggör personuppgiftsbehandlingen för de registrerade. Svensk Försäkring anser att det av motsvarande reglering i den nya SPAR-lagen även bör framgå att identiteter som inte är styrkta eller sannolika avseende samordningsnummer ska registreras i SPAR. Det är en materiell ändring som inte kan tas omhand i detta lagstiftningsärende. Uppgifterna i SPAR samlas inte in från enskilda. Det gäller med undantag för uppgifter som enskilda lämnar till SPAR i fråga om att den enskildes uppgifter inte får lämnas ut i urval för reklamändamål. Detta regleras i hittills gällande 5 § SPAR-lagen, som tydliggör att uppgifterna i SPAR hämtas från Skatteverkets beskattnings- och folkbokföringsverksamheter. Det innebär att personuppgifter hämtas in till SPAR-verksamheten utan att enskilda har en möjlighet att själva välja vilka uppgifter som ska lämnas in. Regeringen föreslår att motsvarande bestämmelser avseende vilka uppgifter SPAR får innehålla samt var uppgifterna hämtas från, förs in i den nya SPAR-lagen med endast redaktionella ändringar. Enskilda ska hänvisas till SPAR Av den hittills gällande 6 § SPAR-lagen framgår att en enskild som begär att en myndighet ska lämna ut personuppgifter för kontroll- eller urvalsändamål ska hänvisas till SPAR om inte annat följer av lag eller förordning. Regeringen föreslår att en motsvarande bestämmelse förs in i den nya SPAR-lagen med endast redaktionella ändringar. Regeringens rätt att meddela vissa föreskrifter I den hittills gällande 7 § andra stycket och 8 § SPAR-lagen bemyndigas regeringen att meddela föreskrifter om begränsningar när det gäller utlämnande av uppgifter i elektronisk form, samt begränsningar av sökbegrepp som får användas vid sökningar i SPAR. Bemyndigandena är införda av integritetsskäl. Regeringen föreslår att motsvarande bestämmelser förs in i den nya SPAR-lagen med endast redaktionella ändringar. Begränsning av rätten att göra invändningar Rätten att göra invändningar mot personuppgiftsbehandling regleras i artikel 21 i EU:s dataskyddsförordning. Rätten innebär att när en myndighet behandlar personuppgifter ska den registrerade ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla uppgifterna om inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Den registrerade har även rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne som sker för direkt marknadsföring (artikel 21.2 i EU:s dataskyddsförordning). Av den hittills gällande 3 a § första stycket SPAR-lagen framgår att artikel 21.1 inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den. I bestämmelsen lämnas också en upplysning om att bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning. Regeringen gör i avsnitt 6.11.1 bedömningen att Skatteverkets beskattnings- och folkbokföringsverksamhet, Tullverket och Kronofogdemyndighetens verksamheter utgör sådana viktiga allmänna intressen som gör att det finns skäl att begränsa rätten att göra invändningar enligt artikel 21 i EU:s dataskyddsförordning. Den bedömningen gör sig även gällande avseende SPAR-verksamheten. Det bör dock vara fortsatt möjligt att göra invändningar mot behandling som sker vid urvalsdragning för direktreklam. Förslagets utformning, med en hänvisning till artikel 21.1 i EU:s dataskyddsförordning, medför att hänvisningen till dataskyddsförordningen är dynamisk. Hänvisningen avser alltså dataskyddsförordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan dock inte uteslutas att lagen ändå kan behöva ändras i samband med framtida ändringar i förordningen. Sammanfattningsvis bör bestämmelsen i den hittills gällande 3 a § SPAR-lagen föras in i den nya lagen med endast redaktionella ändringar. Skatteverkets äktenskapsregister- och bouppteckningsverksamheter En ny lag Regeringens förslag Lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter ska upphävas och ersättas av en ny lag. Den nya lagen ska heta lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Utöver de uppgifter som är hänförliga till Skatteverkets verksamheter med beskattning och folkbokföring, har myndigheten flera uppgifter av mer avgränsad karaktär som utförs i annan verksamhet. Ett exempel på sådan verksamhet är SPAR-verksamheten, se avsnitt 12 ovan. Ytterligare exempel på sådan verksamhet är äktenskapsregistret och registreringsärenden enligt 16 kap. äktenskapsbalken samt registrering av bouppteckningar och handläggning av ärenden enligt 16 kap. ärvdabalken. Behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter regleras i lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter (ÄrBu-lagen). Den kompletteras av förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter (ÄrBu-förordningen). De hittills gällande dataskyddslagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter infördes år 2001. ÄrBu-lagen infördes långt senare och har en annan struktur än de övriga dataskyddslagarna. Ändamålsbestämmelserna i ÄrBu-lagen är t.ex. brett formulerade. Lagen är därför bättre anpassad till rådande rättsliga och tekniska förutsättningar för automatiserad personuppgiftsbehandling. Trots detta föreslår regeringen att även regleringen av personuppgiftsbehandling i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter ska ändras. Detta för att uppnå enhetlighet med de övriga föreslagna dataskyddslagarna. Det bör lämpligen göras genom att den hittills gällande ÄrBu-lagen upphävs och ersätts av en ny dataskyddslag som bör heta lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Regleringen i den föreslagna lagen utvecklas närmare nedan. Redaktionella och systematiska ändringar Regeringens förslag Hittills gällande bestämmelser om lagens syfte, tillämpningsområde, förhållandet till annan reglering, personuppgiftsansvar och begränsningen av rätten att göra invändningar ska motsvaras av bestämmelser i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, med endast vissa redaktionella och systematiska ändringar. Regeringens bedömning Det saknas behov av en reglering om att regeringen med stöd av sin restkompetens kan meddela föreskrifter om avgifter för utlämnande av uppgifter. Utredningens förslag och bedömning Förslaget och bedömningen från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget eller bedömningen. Skälen för regeringens förslag och bedömning ÄrBu-lagen innehåller redan flera bestämmelser som motsvarar bestämmelser som regeringen har föreslagit ska finnas i de nya dataskyddslagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Några av ÄrBu-lagens bestämmelser kan därför föras över till den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter med endast redaktionella och systematiska ändringar och förtydliganden. Det gäller bestämmelserna om lagens syfte, tillämpningsområde, förhållandet till annan reglering, personuppgiftsansvar och rätten att göra invändningar mot behandling som sker med stöd av lagen. De överväganden som framgår i avsnitt 6.2, 6.3, 6.8, 6.9 och 6.11.1 avseende motsvarande bestämmelser i de nya dataskyddslagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten är aktuella även i detta sammanhang. Lagrådet framför att det av syftesbestämmelserna bör framgå att syftet är att reglera viss verksamhet inom Skatteverket. Regeringen anser att det följer av lagens tillämpningsområde att syftesbestämmelserna inte avser personuppgiftsbehandlingen generellt inom myndigheten. Regeringen ser därför inte behov av ett sådant förtydligande som Lagrådet föreslår. Regeringen bedömer däremot att den nuvarande upplysningsbestämmelsen i 11 § ÄrBu-lagen som anger att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela föreskrifter om avgifter för utlämnande inte bör ha någon motsvarighet i den nya lagen. Av förarbetena till bestämmelsen framgår att det rör sig om en ren upplysningsbestämmelse som har motiverats av att sådana bestämmelser tidigare har funnits i andra författningar (prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-verksamheten hos Skatteverket, s. 43). Regeringen har inte identifierat något fortsatt behov av en sådan upplysningsbestämmelse. Uppgifter om avlidna bör inte omfattas av lagens tillämpningsområde Regeringens bedömning Lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter bör inte gälla vid behandling av uppgifter om avlidna. Utredningens bedömning Bedömningen från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot bedömningen. Skälen för regeringens bedömning Stora delar av den hittills gällande ÄrBu-lagen gäller vid behandling av uppgifter om avlidna. Det rör regleringen om personuppgiftsansvar, ändamål, behandling av känsliga personuppgifter, sökbegrepp och utlämnande av personuppgifter på medium för automatiserad behandling. EU:s dataskyddsförordning gäller inte för uppgifter om avlidna. Förordningen hindrar dock inte att kompletterande dataskyddsreglering tillämpas vid behandling av uppgifter om avlidna personer. I avsnitt 6.3.2 gör regeringen bedömningen att de nya dataskyddslagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten inte ska vara tillämpliga vid behandling av uppgifter om avlidna. Frågan är då om det finns skäl att för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter göra en annan bedömning. Av naturliga skäl behandlas en stor mängd uppgifter om avlidna i bouppteckningsverksamheten. Regeringen bedömer att det typiskt sett inte rör sig om uppgifter av särskilt känslig karaktär i vare sig bouppteckningsverksamheten eller äktenskapsregisterverksamheten. Det saknas därför skäl att utvidga den kompletterande dataskyddsregleringens tillämpningsområde till att även omfatta uppgifter om avlidna. Den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter bör därför inte i någon del vara tillämplig vid behandling av uppgifter om avlidna. Ändamålsbestämmelserna ska utformas i överensstämmelse med övrig dataskyddsreglering Regeringens förslag Det ska finnas en primär ändamålsbestämmelse, en sekundär ändamålsbestämmelse och en bestämmelse som motsvarar finalitetsprincipen i lagen om dataskydd vid Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Syftet med en uppdelning i primära och sekundära ändamål är att tydliggöra hur personuppgifter dels behandlas i myndighetens egen verksamhet, dels behandlas för att lämnas ut till andra. Primära ändamål är beteckningen på de ändamål för behandling som aktualiseras i den egna verksamheten. Sekundära ändamål är sådana ändamål som redan insamlade uppgifter också får behandlas för, typiskt sett genom utlämnande av uppgifter till andra myndigheter. Finalitetsprincipen framgår i sin tur av artikel 5.1 b i EU:s dataskyddsförordning och innebär att uppgifter efter insamling inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in för. Regeringen föreslår i avsnitt 7 att de nya dataskyddslagarna för Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska innehålla en brett formulerad ändamålsbestämmelse, en brett formulerad sekundär ändamålsbestämmelse och en bestämmelse som motsvarar finalitetsprincipen. Det nyssnämnda förslagets utformning har stora likheter med hittills gällande reglering i 6 § ÄrBu-lagen. Regeringen anser därför att regleringen i ÄrBu-lagen bör behållas i sak men att den ska ges en annan struktur. Den nya lagen bör innehålla en indelning i primära och sekundära ändamål i syfte att skapa ökad tydlighet och större enhetlighet med den nya dataskyddsreglering som regeringen föreslår i övrigt. Det bör därför införas en primär ändamålsbestämmelse, en sekundär ändamåls-bestämmelse och en bestämmelse som motsvarar finalitetsprincipen. Bestämmelserna bör utformas i enhetlighet med motsvarande reglering i de nya dataskyddslagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Känsliga personuppgifter Regeringens förslag Skatteverket ska få behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Utredningens förslag Förslaget från utredningen stämmer i sak överens med regeringens men har en annan språklig utformning. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Det är förbjudet att behandla känsliga personuppgifter enligt EU:s dataskyddsförordning. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Förbudet är förenat med vissa undantag. Behandling av känsliga personuppgifter är t.ex. tillåten om den är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Verksamhet som innefattar myndighetsutövning utgör ett viktigt allmänt intresse. Inom myndigheters verksamhet kan alltså det undantaget tillämpas (prop. 2017/18:105, Ny dataskyddslag, s. 83). Enligt hittills gällande ordning får Skatteverket behandla känsliga personuppgifter i äktenskapsregister- och bouppteckningsverksamheterna i en handling som har lämnats i ett ärende. Känsliga personuppgifter får även behandlas i en handling som har upprättats i ett ärende, om uppgifterna är nödvändiga för ärendets handläggning (7 § ÄrBu-lagen). Regeringen bedömer i avsnitt 8.1 att det till följd av den allmänna dataskyddsregleringen finns utrymme för en mindre detaljerad reglering av behandling av känsliga uppgifter. Det saknas dock rättsligt stöd vilket krävs för nödvändig behandling i den löpande faktiska verksamheten som sker i myndigheternas verksamhet. Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten föreslås därför få ett uttryckligt stöd för att behandla känsliga personuppgifter i de nya dataskyddslagarna. Sådan behandling ska dock endast få ske under förutsättning att det är nödvändigt med hänsyn till ändamålet med behandlingen. Av samma skäl som förs fram i avsnitt 8.1 föreslår regeringen att det i den nya dataskyddslagen för äktenskapsregister- och bouppteckningsverksamheterna ska införas en reglering som ger Skatteverket stöd för att behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter Skatteverket har att utföra inom äktenskapsregister- och bouppteckningsverksamheterna. Den föreslagna regleringen ersätter inte artikel 6 i EU:s dataskyddsförordning, dvs. kravet på att det ska finnas en rättslig grund för behandlingen. Regleringen ersätter inte heller artikel 9.2 g i dataskyddsförordningen, dvs. kravet på att behandling av känsliga personuppgifter är tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Kravet på nödvändighet innebär att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter. Förslagets utformning, med en hänvisning till artikel 9.1 i EU:s dataskyddsförordning, medför att hänvisningen till dataskyddsförordningen är dynamisk. Hänvisningen avser alltså dataskyddsförordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan dock inte uteslutas att lagen ändå kan behöva ändras i samband med framtida ändringar i förordningen. Sökbegränsningar Regeringens förslag Det ska som huvudregel vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet ska inte omfatta sökningar i en viss handling eller i ett visst ärende. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Att göra en sökning av personuppgifter är en form av personuppgiftsbehandling. Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för enskildas personliga integritet. Sökbegränsningar är en vanligt förekommande åtgärd som begränsar integritetsriskerna. Sökbegränsningar regleras i ÄrBu-lagen. Enligt 8 § får endast sådana registreringsuppgifter som avses i 5 kap. 2 § OSL användas som sökbegrepp. Det innebär att det inte är tillåtet att använda känsliga personuppgifter som sökbegrepp. Liknande sökbegränsningar finns i registerlagarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten. Även för Skatteverkets folkbokföringsverksamhet finns sökbegränsningar, dock något annorlunda utformade. I avsnitt 8.2 görs bedömningen att den hittills gällande regleringen om sökbegrepp går längre än vad som krävs enligt den allmänna dataskyddsregleringen. Det bedöms även att det i vissa fall kan vara befogat att myndigheter använder känsliga personuppgifter vid sökningar som ett led i utförandet av uppgifter. I avsnitt 8.2 föreslås därför att det inte ska finnas någon motsvarighet till de nuvarande sökbegränsningarna i de nya dataskyddslagarna, men att det ska införas bestämmelser om sökförbud för känsliga personuppgifter. Den i avsnitt 8.2 föreslagna bestämmelsen är utformad i enlighet med det sökförbud som gäller enligt 3 kap. 3 § andra stycket dataskyddslagen. En sådan typ av sökbegränsning innebär att det som utgångspunkt är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Regeringen föreslår att en motsvarande reglering ska finnas i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Sökförbudet bör inte omfatta sökningar i en viss handling eller i ett visst ärende. Den enskilde tjänstemannen vid Skatteverket bör därmed kunna göra sökningar på känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende. Tillgången till personuppgifter ska begränsas Regeringens förslag Tillgången till personuppgifter ska begränsas till vad var och en behöver för att utföra sina arbetsuppgifter. Åtkomsten till personuppgifter ska regelbundet kontrolleras och följas upp. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag I avsnitt 6.10 föreslår regeringen att de nya dataskyddslagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska reglera att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. En motsvarande reglering bör finnas för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Regleringen bör kompletteras av en bestämmelse som omfattar en skyldighet att regelbundet kontrollera och följa upp åtkomsten. Den föreslagna regleringen tydliggör vad som redan gäller enligt EU:s dataskyddsförordning, dvs. att myndigheten har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter. För närmare motivering, se avsnitt 6.10. Elektroniskt utlämnande Regeringens förslag Personuppgifter ska få lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att lämna ut uppgifter elektroniskt. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag I avsnitt 10 föreslår regeringen att elektroniskt utlämnande av personuppgifter ska vara tillåtet om det inte är olämpligt. Detta med hänsyn till såväl den rättsliga som tekniska utvecklingen. Det saknas skäl att göra en annan bedömning för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Av de skäl som framgår i avsnitt 10 föreslår därför regeringen att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt, vilket ska regleras i den nya dataskyddslagen för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Regleringen bör i likhet med vad som föreslås i avsnitt 10 förenas med en upplysningsbestämmelse om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att lämna ut uppgifter elektroniskt. Längsta tid för behandling Regeringens förslag Personuppgifter ska inte få behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Utredningens förslag Förslaget från utredningen stämmer överens med regeringens. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag I ÄrBu-lagen regleras varken gallring eller längsta tid för behandling av personuppgifter. Riksarkivet får föreskriva om gallring av uppgifter och handlingar, vilket framgår av ÄrBu-förordningen. Det innebär att de grundläggande bestämmelserna om bevarande och gallring i verksamheterna finns i arkivlagen (1990:782), arkivförordningen (1991:446) och i Riksarkivets föreskrifter. Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (principen om lagringsminimering enligt artikel 5.1 e i EU:s dataskyddsförordning). Personuppgifter får alltså inte behandlas om det saknas ett behov av behandling. Regeringen föreslår i avsnitt 6.12 att de nya dataskyddslagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten inte ska innehålla bestämmelser om gallring, utan enbart bestämmelser som reglerar längsta tid för behandling. Förslaget motsvarar principen om lagringsminimering i dataskyddsförordningen. Principen bör även komma till uttryck i den nya dataskyddslagen för äktenskapsregister- och bouppteckningsverksamheterna. Regeringen föreslår därför att en reglering om att personuppgifter inte ska få behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen ska införas i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Regleringen bör förenas med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Ikraftträdande- och övergångsbestämmelser Regeringens förslag Författningsförslagen ska träda i kraft den 2 april 2026. Samtidigt som de nya författningarna träder i kraft ska de nuvarande registerförfattningarna upphävas. Den upphävda lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska dock fortsatt gälla för en begäran om rättelse som har kommit in till Kronofogdemyndigheten före ikraftträdandet. Äldre bestämmelser i kreditupplysningslagen och offentlighets- och sekretesslagen ska fortfarande gälla såvitt avser uppgifter som har blockerats av Kronofogdemyndigheten med stöd av lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Utredningens förslag Förslaget från utredningen stämmer inte överens med regeringens. Utredningen föreslår att förslagen ska träda i kraft den 1 januari 2026. Remissinstanserna Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Ikraftträdande Den nya regleringen bör träda i kraft så snart som möjligt. Detta för att förslagen i största möjliga utsträckning ska kunna leda till effektivare verksamheter hos Skatteverket, Tullverket och Kronofogdemyndigheten. Myndigheterna kommer behöva införa nya rutiner med anledning av förslagen. Med hänsyn till detta anser regeringen att den nya regleringen bör träda i kraft den 2 april 2026. Det gäller samtliga förslag till nya författningar och de förslag till ändringar av redan befintliga författningar som föreslås i detta lagstiftningsärende. Vid samma tidpunkt ska nuvarande lagar som reglerar behandling av uppgifter vid Skatteverket, Tullverket och Kronofogdemyndigheten upphöra att gälla. Övergångsbestämmelser angående enskildas begäran om rättelse m.m. enligt kronofogdedatabaslagen Enligt allmänna förvaltningsrättsliga principer gäller som huvudregel att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker ska tillämpas. Det kan dock följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd (jfr bl.a. RÅ 1988 ref. 132, RÅ 1996 ref. 57 och HFD 2021 ref. 12). Särskilda bestämmelser om begäran om rättelse och överklagande av beslut finns i nuvarande 3 kap. 3 a och 4 §§ lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Det är lämpligt att redan inledda ärenden om rättelse m.m. handläggs enligt den lagen till dess att beslut i ett sådant ärende har vunnit laga kraft. Detta särskilt mot bakgrund av att regeringen föreslår vissa materiella ändringar av bestämmelsen i förslaget om en ny kronofogdedatalag (avsnitt 6.11.3). Det finns därför ett behov av en övergångsbestämmelse i den nya kronofogdedatalagen som tydliggör att kronofogdedatabaslagen fortfarande gäller för en begäran om rättelse som har kommit in till Kronofogdemyndigheten före den 2 april 2026. Övergångsbestämmelser med anledning av en ny rättelsebestämmelse i 18 § kronofogdedatalagen Av 8 § fjärde stycket kreditupplysningslagen (1973:1173) framgår att en uppgift som har inhämtats från Kronofogdemyndigheten ska gallras när den har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § kronofogdedatabaslagen. Regeringens förslag om att den nya 18 § kronofogdedatalagen ska ersätta 3 kap. 3 a § kronofogdedatabaslagen medför att hänvisningen i 8 § kreditupplysningslagen till 3 kap. 3 a § kronofogdedatabaslagen föreslås ändras till den nya bestämmelsen i kronofogdedatalagen. Ändringen i kreditupplysningslagen föreslås träda i kraft den 2 april 2026. Regeringen föreslår ovan att den upphävda kronofogdedatabaslagen fortfarande ska gälla för en begäran om rättelse som har kommit in till Kronofogdemyndigheten före den 2 april 2026. För att uppgifter som har blockerats av Kronofogdemyndigheten enligt 3 kap. 3 a § kronofogdedatabaslagen under en övergångsperiod inte ska falla utanför bestämmelsen om gallring i 8 § fjärde stycket kreditupplysningslagen bör det införas en särskild övergångsbestämmelse i kreditupplysningslagen. Av bestämmelsen bör det framgå att för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § kronofogdedatabaslagen gäller äldre bestämmelser i kreditupplysningslagen. Vidare finns i 34 kap. 3 § offentlighets- och sekretesslagen (2009:400), OSL, en bestämmelse om att uppgift i mål, ärende eller verksamhet som avses i 34 kap. 1 och 2 §§ samma lag och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § kronofogdedatabaslagen omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Regeringen föreslår att hänvisningen till kronofogdedatabaslagen i 34 kap. 3 § OSL ska ändras till 18 § kronofogdedatalagen. Ändringen föreslås träda i kraft den 2 april 2026. Av motsvarande skäl som förs fram ovan i fråga om kreditupplysningslagen gör regeringen bedömningen att det bör införas en övergångsbestämmelse även i förhållande till ändringarna i offentlighets- och sekretesslagen. En sådan bestämmelse bör utformas på så sätt att uppgifter som har blockerats med stöd av 3 kap. 3 a § kronofogdedatabaslagen efter ikraftträdandet av den ändrade sekretessregeln i 34 kap. 3 § OSL fortfarande kommer omfattas av sekretess enligt den tidigare lydelsen av 34 kap. 3 § OSL. Konsekvenser Ekonomiska konsekvenser Förslaget innebär att Skatteverket, Tullverket och Kronofogdemyndigheten ska ansvara för att ta fram vissa rutiner, förändra befintliga it-system och genomföra fler utbildningsinsatser inom dataskydd. När en ny reglering inte innebär nya eller ändrade uppgifter att utföra enligt myndigheternas materiella verksamhetsregleringar ingår det i myndigheternas ordinarie uppgifter att ta fram nya myndighetsföreskrifter och styrande dokument, förändra it-system och genomföra de utbildningsinsatser som krävs. Vidare bedöms förslaget förenkla personuppgiftsbehandlingen vid myndigheterna. Det förväntas leda till effektivare verksamheter. På sikt kan därför förslaget medföra minskade kostnader för myndigheterna. Tillkommande kostnader och besparingar ska hanteras inom myndigheternas befintliga ekonomiska ramar. Förslaget bedöms inte ha några ekonomiska konsekvenser för andra statliga myndigheter, kommuner, regioner, företag eller enskilda. Övriga konsekvenser Syftet med förslaget i de delar som rör dataanalyser och urval är framför allt att åstadkomma en reglering som förbättrar myndigheternas förutsättningar att förhindra felaktigheter och fusk inom Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter. Förslaget ger myndigheterna möjligheter att bedriva en mer effektiv kontrollverksamhet. Om fel kan identifieras i ett tidigt skede kan det leda till att berörda myndigheter ges bättre möjligheter att motverka och upptäcka brottslighet. Förslaget förväntas därför minska den brottslighet som kan förekomma i berörda myndigheters verksamheter och bidra till att det brottsförebyggande arbetet inom dessa områden förstärks. Förslaget bedöms inte påverka regioner eller kommuner. Det kommer inte heller påverka det kommunala självstyret. Förslaget kommer inte få konsekvenser för sysselsättningen eller offentlig service i landet. Genom förslaget kommer det dock inte finnas någon särskild reglering av på vilket sätt uppgifter får lämnas ut till bl.a. enskilda. Det skiljer sig från nuvarande reglering av utlämnande av uppgifter på elektronisk väg. Förslaget innebär att personuppgifter ska få lämnas ut elektroniskt om det inte är olämpligt. Det kan leda till att myndigheterna har utökade möjligheter att kunna ge bättre service till enskilda vid utlämnande av uppgifter med hjälp av elektronisk kommunikation. Det är dock svårt att bedöma effekterna av förslaget i dessa delar. Förslaget bedöms inte påverka småföretags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag. Utökade möjligheter att göra dataanalyser och urval kan dock leda till att fler åtgärder vidtas mot oseriösa företag som t.ex. undandrar skatt, tull eller avgifter från det allmänna. Det bör då indirekt kunna leda till att konkurrensen mellan företag blir mer rättvis. Förslaget förväntas inte få några konsekvenser för jämställdheten mellan kvinnor och män, integrationen eller miljön. Vid utformningen av förslaget har hänsyn tagits till regeringsformen, Europakonventionen, de åtaganden som följer av Sveriges anslutning till Europeiska unionen, däribland EU:s stadga om de grundläggande rättigheterna och Sveriges övriga internationella åtaganden om mänskliga rättigheter. Förslaget bedöms därför vara förenligt med dessa rättsakter och åtaganden. Författningskommentar Förslaget till beskattningsdatalag Genom förslaget upphävs lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet (skattedatabaslagen). Den upphävda lagen ersätts av en ny lag som omfattar personuppgiftsbehandling i Skatteverkets beskattningsverksamhet och övrig verksamhet inom skattedatabaslagens tillämpningsområde. Den nya lagen får benämningen beskattningsdatalagen. Innehållet i beskattningsdatalagen motsvarar delvis innehållet i skattedatabaslagen. Den nya lagen har dock anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen och nedan benämnd EU:s dataskyddsförordning. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. I paragrafen, som inte har någon motsvarighet i skattedatabaslagen, tydliggörs lagens tvådelade syfte. Det är dels att ge Skatteverket möjlighet att inom den verksamhet som omfattas av lagens tillämpningsområde enligt 2 § behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Övervägandena finns i avsnitt 6.2. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Lagen gäller även vid behandling av personuppgifter i Skatteverkets verksamhet enligt 1. lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, 2. lagen (2013:948) om stöd vid korttidsarbete, 3. lagen (2020:548) om omställningsstöd, 4. lagen (2023:230) om förfarande för elstöd till företag, 5. lagen (2024:404) om skattefrihet och förfarande för kompensation till personer födda 1957 på grund av höjd åldersgräns för förhöjt grundavdrag, 6. 5 kap. 3 § lagen (2024:782) om förfarandet vid förverkande av egendom och åläggande av företagsbot, och 7. lagen (2024:1300) om uppgiftsskyldighet i fråga om frånvaro på grund av vård av barn. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. I paragrafen anges lagens tillämpningsområde. Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter i beskattningsverksamheten. Det motsvarar 1 kap. 1 § första stycket skattedatabaslagen. I artikel 4 i EU:s dataskyddsförordning finns definitioner av begreppen personuppgifter och behandling. Avlidna och juridiska personer omfattas inte av lagen. Av andra stycket framgår vilken personuppgiftsbehandling som omfattas av lagen vid sidan av behandling i Skatteverkets beskattningsverksamhet. I paragrafens tredje stycke begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter. Lagen gäller endast om behandlingen är helt eller delvis automatiserad (elektronisk) eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i EU:s dataskyddsförordning och bör tolkas på samma sätt som den artikeln. En definition av begreppet register finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen innebär att t.ex. minnesanteckningar som enbart förs på papper inte omfattas av lagens tillämpningsområde. Övervägandena finns i avsnitt 6.4. 3 §    Skatteverkets beskattningsverksamhet enligt 2 § första stycket avser 1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, 2. bestämmande av pensionsgrundande inkomst, 3. fastighetstaxering, 4. revision och annan kontroll eller analys, 5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 6. fullgörande av förpliktelser som följer av internationella åtaganden, och 7. någon annan liknande uppgift som Skatteverket ska utföra. I paragrafen definieras vad som avses med begreppet beskattningsverksamhet enligt 2 §. Paragrafen har inte någon motsvarighet i skattedatabaslagen. Enligt punkt 1 omfattas fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter av begreppet beskattningsverksamhet. Begreppet betalning av skatt omfattar även ärenden om ackord. Exempel på personuppgiftsbehandling som kommer att omfattas av punkten är Skatteverkets hantering av kontrolluppgifter och registrering av uppgifter på skattekontot. Av punkterna 2 och 3 framgår att bestämmande av pensionsgrundande inkomst och fastighetstaxering omfattas av begreppet beskattningsverksamhet. Detta trots att Skatteverkets uppgifter i dessa delar inte alltid utgör ett led i beskattningsförfarandet. I punkt 4 anges att revision och annan kontroll eller analys ingår i begreppet beskattningsverksamhet. Det är verksamhet som ofta ligger till grund för bl.a. myndighetens bestämmande av skatter och avgifter. Med annan kontroll än revision avses t.ex. kontrollbesök eller s.k. skrivbordskontroll där uppgiftsskyldighet utreds genom föreläggande eller frågor. Det avser även användning av tvångsåtgärder i kontrollen. Enligt punkt 5 ingår även tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Med sådan verksamhet avses t.ex. Skatteverkets uppgifter med viss tillsyn enligt alkohollagen (2010:1622) eller myndighetens ansvar för att fatta beslut om godkännande av upplagshavare, registrerad varumottagare, tillfälligt registrerad varumottagare, registrerad avsändare eller skatteupplag enligt lagen (2022:155) om tobaksskatt. Det omfattar även vissa uppgifter som Skatteverket ska utföra enligt skatteförfarandelagen (2011:1244). Det kan t.ex. gälla att pröva och godkänna den som uppger sig bedriva eller ha för avsikt att bedriva näringsverksamhet i Sverige för F-skatt. Även lämplighetsprövningar inför godkännande av deklarationsombud omfattas av punkten. Punkt 6 innebär att Skatteverkets fullgörande av förpliktelser som följer av internationella åtaganden omfattas av begreppet beskattningsverksamhet. Med sådan verksamhet avses Skatteverkets skyldigheter enligt bl.a. EU-rättslig lagstiftning, t.ex. på mervärdesskatteområdet och punktskatteområdet. Det finns även regler om handläggning i materiella lagar, t.ex. ansökan om registrering enligt lagen (2022:1681) om plattformsoperatörers inhämtande av vissa uppgifter på skatteområdet, där Skatteverkets beslut om registrering regleras i lagen (2022:1682) om automatiskt utbyte av upplysningar om inkomster genom digitala plattformar. Av punkt 7 framgår att någon annan liknande uppgift som Skatteverket ska utföra är en del av myndighetens beskattningsverksamhet som därmed omfattas av lagen. Med någon annan liknande uppgift avses andra uppgifter som är närliggande övriga punkter. Det kan t.ex. avse uppgifter vid handläggning av andra frågor om ansvar för någon annans skatter och avgifter, handläggning enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton eller hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige. Det avser även Skatteverkets arbete med betalningssäkring för att få ta en betalningsskyldigs egendom i anspråk för att säkerställa betalning av skatt, avgift, särskild avgift eller ränta. Även personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas. Punkten omfattar även uppgifter med koppling till beskattningsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515). Lagens tillämpningsområde omfattar inte behandling av personuppgifter vid t.ex. löpande administration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer. Övervägandena finns i avsnitt 6.4. 4 §    Denna lag gäller inte vid Skatteverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. I paragrafen, som inte har någon motsvarighet i skattedatabaslagen, framgår ett undantag från lagens tillämpningsområde i fråga om behandling av personuppgifter som Skatteverket utför i Europeiska unionens gemensamma informationssystem. Med gemensamma informationssystem avses system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Övervägandena finns i avsnitt 6.3.3. Förhållandet till annan reglering 5 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. I paragrafen anges lagens förhållande till annan reglering. Första stycket, som motsvarar 1 kap. 2 § skattedatabaslagen, upplyser att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 105). Andra stycket, som motsvarar 1 kap. 3 § skattedatabaslagen, tydliggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 106). Övervägandena finns i avsnitt 6.8.1. Personuppgiftsansvar 6 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. I paragrafen, som i sak motsvarar 1 kap. 6 § skattedatabaslagen, regleras att Skatteverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen. En definition av begreppet personuppgiftsansvar finns i artikel 4.7 i EU:s dataskyddsförordning. Övervägandena finns i avsnitt 6.9. Ändamål 7 §    Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. Detta omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. I paragrafen anges för vilka primära ändamål Skatteverket får behandla personuppgifter enligt lagen. Av första stycket framgår att en förutsättning för att Skatteverket ska få behandla personuppgifter är att det är nödvändigt för att utföra viss verksamhet som myndigheten ansvarar för. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen måste dock alltid vara motiverad utifrån författningsreglerade uppgifter och behövas för att myndigheten ska kunna bedriva verksamheten på ett korrekt, rättssäkert och effektivt sätt. Kravet på att personuppgiftsbehandlingen ska vara nödvändig innebär att det måste föreligga ett reellt, nära och ändamålsenligt samband mellan behandlingen och det syfte som ska uppnås. Bedömningen innefattar ett proportionalitetsövervägande, behandlingen kan t.ex. anses nödvändig och därmed tillåten om behandlingen leder till effektivitetsvinster. Av första stycket första meningen, som delvis motsvarar 1 kap. 4 § skattedatabaslagen, framgår att Skatteverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 §. Till skillnad från 1 kap. 4 § skattedatabaslagen anges inte några detaljerade ändamål. Av första stycket andra meningen, som inte har någon motsvarighet i skattedatabaslagen, framgår att ändamålet omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamheten enligt 2 §. Detta utgör en rättslig grund för den personuppgiftsbehandling som krävs för att göra dataanalyser och urval i detta syfte. Ändamålet omfattar alltså bl.a. Skatteverkets dataanalyser och urval i kontrollverksamhet. Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns risk för fel och som därför behöver kontrolleras särskilt. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid Skatteverkets dataanalyser och urval. Det ska i sammanhanget framhållas att Skatteverket i verksamheten med dataanalyser och urval, som i all övrig verksamhet, ska iaktta principerna om saklighet och opartiskhet. Exempel på personuppgiftsbehandling som kan vara nödvändig för myndighetens dataanalyser och urval är inhämtning av uppgifter från andra verksamheter inom Skatteverket eller andra myndigheter, och bearbetning av sådana uppgifter. Ändamålet omfattar även uppföljning, utveckling och testning av analys- och urvalsmodeller. Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller. Verktygen är även möjliga att använda redan innan det finns ett ärende för att identifiera olika risker för felaktigheter. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller misstag. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen. Restkompetensen omfattar begränsningar eller förtydliganden som inte innebär en utvidgning avseende ändamålen för behandlingen av personuppgifter. Övervägandena finns i avsnitt 7.1 och 9.1. 8 §    Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Paragrafen, som motsvarar 1 kap. 5 § 3 skattedatabaslagen, är en sekundär ändamålsbestämmelse som reglerar möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 7 § (jfr prop. 2017/18:95 s. 107). Av bestämmelsen följer att de uppgifter som behandlas för primära ändamål även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Utlämnande av personuppgifter genom överföring, spridning eller tillhandahållande omfattas alltså av bestämmelsen. Övervägandena finns i avsnitt 7.2. 9 §    Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Paragrafen, som motsvarar 1 kap. 5 § 4 skattedatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 107). Övervägandena finns i avsnitt 7.3. Känsliga personuppgifter 10 §    Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Paragrafen, som delvis motsvarar 1 kap. 7 § skattedatabaslagen, reglerar möjligheten till behandling av känsliga personuppgifter som får ske med stöd av artikel 9.2 g i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 107). Till skillnad från den hittills gällande bestämmelsen anges inte att känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i EU:s dataskyddsförordning. De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i EU:s dataskyddsförordning. Det är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Skatteverket får enligt bestämmelsen behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen ska dock alltid vara motiverad utifrån de författningsreglerade uppgifterna. Behandlingen ska även behövas för att myndigheten ska kunna bedriva verksamheten på ett korrekt, rättssäkert och effektivt sätt. I kravet på nödvändighet ligger att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter. Det kan t.ex. vara nödvändigt för Skatteverket att behandla uppgifter om religiös övertygelse i samband med hanteringen av avgift till registrerat trossamfund. Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 8.1. Sökbegränsningar 11 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Paragrafen, som delvis motsvarar 2 kap. 10 § skattedatabaslagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2000/01:33 s. 203). Till skillnad från 2 kap. 10 § skattedatabaslagen utgår bestämmelsen från syftet med en sökning. Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 10 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs för att t.ex. utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter. I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av lagen. Genom detta undantag är det möjligt för Skatteverket att ta fram ett urval baserat på uppgifter om t.ex. avgifter till trossamfund eller åberopande av sjukdom för anstånd med betalning av skatt. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är att sökningen är nödvändig för att utföra en uppgift i myndighetens verksamhet som omfattas av lagens tillämpningsområde. Det handlar alltså om att behandlingen av de känsliga personuppgifterna ska vara nödvändig och att sökningen som åtgärd ska vara nödvändig. Förbudet omfattar inte sökningar som sker i en viss handling eller i ett visst ärende. Övervägandena finns i avsnitt 8.2.2. Särskilda bestämmelser om dataanalyser och urval 12 §    För att göra dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel får följande personuppgifter behandlas: 1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. Paragrafen, som inte har någon motsvarighet i skattedatabaslagen, innehåller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel. Enligt första stycket 1 får Skatteverket behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §. Uppgifterna kan t.ex. ha samlats in från enskilda som har ett ärende hos myndigheten. Med uppgifter som Skatteverket samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Enligt första stycket 2 får Skatteverket behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter. Övervägandena finns i avsnitt 9.1. 13 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Paragrafen, som inte har någon motsvarighet i skattedatabaslagen, innehåller krav på dokumentation vid behandling av personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumenteras. Det innebär att Skatteverket ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning ska Skatteverket ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat. I de fall Skatteverket är skyldigt att göra en konsekvensbedömning enligt artikel 35 i EU:s dataskyddsförordning och myndigheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten även uppfyllt det aktuella dokumentationskravet. Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och EU:s dataskyddsförordning. De metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som Skatteverket tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel i den verksamhet som omfattas av lagens tillämpningsområde. Det kan t.ex. vara fråga om modeller som baseras på AI. Dokumentationskravet innebär inte att en urvalsmodell som bygger på AI-teknik behöver förklaras i detalj. Dokumentationen ska dock avse hela processen. Det ska därmed t.ex. vara möjligt att i efterhand kontrollera vilka metoder och tekniker som har använts vid utvecklingen av en sådan urvalsmodell, vilka typer av uppgifter som har använts för att träna och utforma modellen, vilket syfte den har, vilket resultat den gett i form av urvalsträffar och andra liknande omständigheter. Dokumentationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökbegrepp kan användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare. Av andra stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumentationen ska det gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheten måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art. Det är upp till Skatteverket att bedöma i vilken form dokumentationen ska ske. Det avgörande är att det i efterhand går att kontrollera avvägningen samt vilka metoder och sökbegrepp som har använts för att ta fram urvalet. Övervägandena finns i avsnitt 9.3. Tillgång till personuppgifter 14 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. I paragrafen, som inte har någon motsvarighet i skattedatabaslagen, finns en bestämmelse om den interna tillgången till personuppgifter i Skatteverkets verksamhet. Första stycket innebär att Skatteverket ska begränsa tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i EU:s dataskyddsförordning). Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som arbetar vid Skatteverket ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar samtliga som utför arbete vid myndigheten. Såväl t.ex. tillsvidareanställd personal som personer med en tidsbegränsad anställning och konsulter omfattas därmed. Det ska finnas ett reellt behov eller vara fråga om ett behov som förutses finnas i verksamheten. En person som arbetar vid Skatteverket får därmed ha åtkomst till sådana uppgifter som han eller hon behöver utifrån sina arbetsuppgifter. Enligt andra stycket ska Skatteverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Detta för att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande. De ska därmed inte bara göras när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroller kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Skatteverket att närmare bestämma formerna för kontrollerna. Övervägandena finns i avsnitt 6.10. Elektroniskt utlämnande av personuppgifter 15 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Paragrafen, som inte har någon motsvarighet i skattedatabaslagen, reglerar förutsättningarna för att Skatteverket elektroniskt ska få lämna ut personuppgifter. Bestämmelsen reglerar endast formerna för utlämnandet. Huruvida Skatteverket har rätt eller möjlighet att överhuvudtaget lämna ut personuppgifterna följer av andra bestämmelser, t.ex. i offentlighets- och sekretesslagen (2009:400). Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst som annat elektroniskt utlämnande, t.ex. utlämnande genom e-post. Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad. Bedömningen bör då innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära. Myndigheten kan vid bedömningen behöva överväga typen av personuppgifter, sekretesskyddet hos mottagaren, behovet av säkerhetsåtgärder, t.ex. tekniska begränsningar för att säkerställa skyddet för den personliga integriteten, mottagarens förmåga att vidta nödvändiga säkerhetsåtgärder, behovet av effektivitet m.m. Att mottagaren har ett kontinuerligt eller stort behov av uppgifterna i sin verksamhet kan tala för att direktåtkomst inte är olämpligt. Motsatsvis bör direktåtkomst till uppgifter som mottagaren sällan kan komma att behöva, eller som inte är av särskilt stor betydelse för mottagaren, inte aktualiseras särskilt ofta. Om det rör uppgifter som inte är av integritetskänslig karaktär kan även detta tala för att ett utlämnande kan ske via direktåtkomst, eller om det finns ett nära samband mellan de olika verksamheterna. Behov av direktåtkomst kan t.ex. aktualiseras i situationer som omfattar ett informationsförsörjningsuppdrag, när uppgifterna är offentliga eller vid informationsöverföring mellan olika självständiga verksamhetsgrenar inom en myndighet. Även i situationer där två eller flera myndigheter är gemensamt ansvariga för att utföra en viss uppgift kan direktåtkomst komma att framstå som det mest ändamålsenliga sättet för utlämnande. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt. Övervägandena finns i avsnitt 10.1. Längsta tid för behandling 16 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Paragrafen, som inte har någon motsvarighet i skattedatabaslagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter vid Skatteverket. Bestämmelsen motsvarar principen om lagringsminimering i artikel 5.1 e i EU:s dataskyddsförordning. Första stycket innebär en skyldighet för Skatteverket att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det är alltså ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. När det inte längre, med hänsyn till ändamålet, finns något behov av att behandla personuppgifterna ska dessa tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Skatteverket att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål. Personuppgifterna får då fortsätta att behandlas för det kvarstående ändamålet. Regleringen innebär alltså inte att all behandling ska upphöra om behovet upphör för ett av flera ändamål. Bestämmelsen utgör inte en sådan avvikande bestämmelse som avses i 10 § tredje stycket arkivlagen (1990:782). Regleringen utgör därmed inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens bestämmelser. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Övervägandena finns i avsnitt 6.12. Begränsning av information till den registrerade 17 §    Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning, ska artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning inte tillämpas om det är nödvändigt att begränsa informationen till den registrerade med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. Paragrafen motsvarar i huvudsak 3 kap. 2 a § skattedatabaslagen som infördes med anledning av artikel 25 i rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EG (direktivet om administrativt samarbete) (jfr prop. 2012/13:4 s. 89 och 90 samt prop. 2017/18:95 s. 107 och 108). Vissa ändringar har gjorts i fråga om vilka artiklar i EU:s dataskyddsförordning som inte ska tillämpas. Detta eftersom artikel 25 i direktivet om administrativt samarbete har ändrats sedan 3 kap. 2 a § skattedatabaslagen infördes. Bestämmelsen anger under vilka förutsättningar artiklarna 13, 14.1 och 15 i dataskyddsförordningen inte ska tillämpas. Artiklarna ska inte tillämpas om det är nödvändigt att begränsa informationen till den registrerade med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos EU eller en stat som ingår i unionen. Utöver de ändrade hänvisningarna till EU:s dataskyddsförordning innebär bestämmelsen inte några ändringar i sak i förhållande till 3 kap. 2 a § skattedatabaslagen. Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 6.11.2. Begränsning av rätten att göra invändningar 18 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen, som motsvarar 3 kap. 3 § skattedatabaslagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 108). Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 6.11.1. Förslaget till folkbokföringsdatalag Genom förslaget upphävs lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet (folkbokföringsdatabaslagen). Den upphävda lagen ersätts av en ny lag som omfattar personuppgiftsbehandling i Skatteverkets folkbokföringsverksamhet. Den nya lagen får benämningen folkbokföringsdatalagen. Innehållet i folkbokföringsdatalagen motsvarar delvis innehållet i folkbokföringsdatabaslagen. Den nya lagen har dock anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen och nedan benämnd EU:s dataskyddsförordning. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. I paragrafen, som inte har någon motsvarighet i folkbokföringsdatabaslagen, tydliggörs lagens tvådelade syfte. Det är dels att ge Skatteverket möjlighet att inom den verksamhet som omfattas av lagens tillämpningsområde enligt 2 § behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Övervägandena finns i avsnitt 6.2. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet med 1. folkbokföring, 2. handläggning av ärenden om samordningsnummer, 3. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, 4. framställning av personbevis och andra registerutdrag, 5. aktualisering, komplettering och kontroll av personuppgifter, 6. uttag av urval av personuppgifter, och 7. någon annan liknande uppgift som Skatteverket ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. I paragrafen anges lagens tillämpningsområde. Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter i folkbokföringsverksamheten. Det motsvarar 1 kap. 1 § första stycket folkbokföringsdatabaslagen. I artikel 4 i EU:s dataskyddsförordning finns definitioner av begreppen personuppgifter och behandling. I punkterna 1–7 anges vad som avses med folkbokföringsverksamhet. Avlidna och juridiska personer omfattas inte av lagen. Enligt punkterna 1 och 2 ska lagen tillämpas vid folkbokföringsverksamhet med folkbokföring och handläggning av ärenden om samordningsnummer. Begreppet folkbokföring har samma innebörd som i folkbokföringslagen (1991:481). Begreppet samordningsnummer har samma innebörd som i lagen (2022:1697) om samordningsnummer. Av punkt 3 framgår att lagen ska tillämpas vid samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter. Med detta avses Skatteverkets uppgifter att fullgöra vissa kvalitetskontroller när uppgifter ska registreras och att göra kontroller och analyser av riktigheten av registrerade uppgifter. Enligt punkt 4 ska lagen även tillämpas vid framställning av personbevis och andra registerutdrag. Enligt punkterna 5 och 6 ska lagen tillämpas vid aktualisering, komplettering och kontroll av personuppgifter samt uttag av urval av personuppgifter. Lagen omfattar alltså bl.a. Skatteverkets verksamhet i fråga om att uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Den omfattar också myndighetens uppgift att förse andra med uppgifter från folkbokföringsverksamheten. Av punkt 7 framgår att lagen även omfattar någon annan liknande uppgift som Skatteverket ska utföra. Med detta avses uppgifter som har nära koppling till de övriga punkterna om vad som utgör folkbokföringsverksamhet. Det kan avse ärenden som Skatteverket handlägger inom ramen för folkbokföringsverksamheten vilka har sin materiella grund i annan lagstiftning än folkbokföringslagen. Det gäller t.ex. myndighetens prövning av frågor rörande personnamn enligt lagen (2016:1013) om personnamn. Det gäller även myndighetens prövning av äktenskapshinder enligt äktenskapsbalken. Ytterligare exempel är Skatteverkets hantering av personnummer som har tilldelats utan samband med folkbokföring (1 kap. 1 § andra stycket lagen om samordningsnummer). Även personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas. Punkten omfattar även uppgifter med koppling till folkbokföringsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515). Lagens tillämpningsområde omfattar inte behandling av personuppgifter vid t.ex. löpande administration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer. I paragrafens andra stycke, som delvis motsvarar 1 kap. 1 § första stycket folkbokföringsdatabaslagen, begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast om behandlingen är helt eller delvis automatiserad (elektronisk) eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i EU:s dataskyddsförordning och bör tolkas på samma sätt som den artikeln. En definition av begreppet register finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen innebär att t.ex. minnesanteckningar som enbart förs på papper inte omfattas av lagens tillämpningsområde. Övervägandena finns i avsnitt 6.3.1 och 6.5. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. I paragrafen anges lagens förhållande till annan reglering. Första stycket, som motsvarar 1 kap. 2 § folkbokföringsdatabaslagen, upplyser att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 108). Andra stycket, som motsvarar 1 kap. 3 § folkbokföringsdatabaslagen, tydliggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 109). Övervägandena finns i avsnitt 6.8.1. Personuppgiftsansvar 4 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. I paragrafen, som delvis motsvarar 1 kap. 5 § folkbokföringsdatabaslagen, regleras att Skatteverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen (jfr prop. 2000/01:33 s. 206). En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i EU:s dataskyddsförordning. Övervägandena finns i avsnitt 6.9. Ändamål 5 §    Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. Detta omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. I paragrafen anges för vilka primära ändamål Skatteverket får behandla personuppgifter enligt lagen. Av första stycket framgår att en förutsättning för att Skatteverket ska få behandla personuppgifter är att det är nödvändigt för att utföra viss verksamhet som myndigheten ansvarar för. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen måste dock alltid vara motiverad utifrån författningsreglerade uppgifter och behövas för att myndigheten ska kunna bedriva verksamheten på ett korrekt, rättssäkert och effektivt sätt. Kravet på att en personuppgiftsbehandling ska vara nödvändig innebär att det måste föreligga ett reellt, nära och ändamålsenligt samband mellan behandlingen och det syfte som ska uppnås. Bedömningen innefattar ett proportionalitetsövervägande, behandlingen kan t.ex. anses nödvändig och därmed tillåten om behandlingen leder till effektivitetsvinster. Av första stycket första meningen, som delvis motsvarar 1 kap. 4 § första stycket folkbokföringsdatabaslagen, framgår att Skatteverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 §. Till skillnad från 1 kap. 4 § folkbokföringsdatabaslagen anges inte några detaljerade ändamål. Av första stycket andra meningen, som delvis motsvarar 1 kap. 4 a § folkbokföringsdatabaslagen, framgår att ändamålet omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet enligt 2 § (jfr prop. 2022/23:41 s. 59 och 60). Detta utgör en rättslig grund för den personuppgiftsbehandling som krävs för att göra dataanalyser och urval i detta syfte. Ändamålet omfattar alltså Skatteverkets bl.a. dataanalyser och urval i kontrollverksamhet. Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns störst risk för fel och som därför behöver kontrolleras särskilt. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid Skatteverkets dataanalyser och urval. Det ska i sammanhanget framhållas att Skatteverket i verksamheten med dataanalyser och urval, som i all övrig verksamhet, ska iaktta principerna om saklighet och opartiskhet. Exempel på personuppgiftsbehandling som kan vara nödvändig för myndighetens dataanalyser och urval är inhämtning av uppgifter från andra verksamheter inom Skatteverket eller andra myndigheter, och bearbetning av sådana uppgifter. Ändamålet omfattar även uppföljning, utveckling och testning av analys- och urvalsmodeller. Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller. Verktygen är även möjliga att använda redan innan det finns ett ärende för att identifiera olika risker för felaktigheter. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller misstag. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen. Restkompetensen omfattar begränsningar eller förtydliganden som inte innebär en utvidgning avseende ändamålen för behandlingen av personuppgifter. Övervägandena finns i avsnitt 7.1 och 9,1. 6 §    Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Paragrafen, som motsvarar 1 kap. 4 § andra stycket första meningen folkbokföringsdatabaslagen, är en sekundär ändamålsbestämmelse som reglerar möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 5 § (jfr prop. 2017/18:95 s. 109). Av bestämmelsen följer att de uppgifter som behandlas för primära ändamål även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Utlämnande av personuppgifter genom överföring, spridning eller tillhandahållande omfattas alltså av bestämmelsen. Övervägandena finns i avsnitt 7.2. 7 §    Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Paragrafen, som motsvarar 1 kap. 4 § andra stycket andra meningen folkbokföringsdatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 109). Övervägandena finns i avsnitt 7.3. Känsliga personuppgifter 8 §    Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Paragrafen, som delvis motsvarar 1 kap. 6 § folkbokföringsdatabaslagen, reglerar möjligheten till behandling av känsliga personuppgifter som får ske med stöd av artikel 9.2 g i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 109 och 110). Till skillnad från den hittills gällande bestämmelsen anges inte att känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i EU:s dataskyddsförordning. De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Skatteverket får enligt bestämmelsen behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen ska dock alltid vara motiverad utifrån de författningsreglerade uppgifterna. Behandlingen ska även behövas för att myndigheten ska kunna bedriva verksamheten på ett korrekt, rättssäkert och effektivt sätt. I kravet på nödvändighet ligger att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter. Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 8.1. Sökbegränsningar 9 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende. Paragrafen, som delvis motsvarar 2 kap. 11 § folkbokföringsdatabaslagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2000/01:33 s. 203). Till skillnad från 2 kap. 11 § folkbokföringsdatabaslagen utgår bestämmelsen från syftet med en sökning. Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs för att t.ex. utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter. I andra stycket anges att förbudet inte omfattar sökningar som sker i en viss handling eller i ett visst ärende. Övervägandena finns i avsnitt 8.2.1. 10 §    Om ett samband inom folkbokföringen är grundat på adoption är det förbjudet att som sökbegrepp använda uppgifter om barn, föräldrar eller vårdnadshavare. Paragrafen, som delvis motsvarar 2 kap. 10 § folkbokföringsdatabaslagen, reglerar vilka sökbegrepp som är förbjudna att använda inom Skatteverkets folkbokföringsverksamhet. Bestämmelsen innebär att det under alla förhållanden är förbjudet att använda uppgifter om vissa relationssamband som är grundat på adoption som sökbegrepp. Paragrafen kompletterar därmed sökförbudet i 9 § och är till skillnad från den senare bestämmelsen utformad som ett absolut sökförbud eftersom den inte utgår från syftet med en sökning. Till följd av systematiken i den nya lagen är bestämmelsen generellt utformad i förhållande till 2 kap. 10 § folkbokföringsdatabaslagen. Övervägandena finns i avsnitt 8.2.2. Särskilda bestämmelser om dataanalyser och urval 11 §    För att göra dataanalyser och urval enligt 5 § första stycket i syfte att förebygga, förhindra och upptäcka fel får följande personuppgifter behandlas: 1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. Paragrafen, som inte har någon motsvarighet i folkbokföringsdatabaslagen, innehåller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel. Enligt första stycket 1 får Skatteverket behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §. Uppgifterna kan t.ex. ha samlats in från enskilda som har ett ärende hos myndigheten. Med uppgifter som Skatteverket samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Enligt första stycket 2 får Skatteverket behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter. Övervägandena finns i avsnitt 9.1. 12 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 5 § första stycket i syfte att förebygga, förhindra och upptäcka fel ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Paragrafen, som delvis motsvarar 2 a kap. 5 § folkbokföringsdatabaslagen, innehåller krav på dokumentation vid behandling av personuppgifter för att göra dataanalyser och urval (jfr prop. 2022/23:41 s. 61). Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumenteras. Det innebär att Skatteverket ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning ska Skatteverket ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat. I de fall Skatteverket är skyldigt att göra en konsekvensbedömning enligt artikel 35 i EU:s dataskyddsförordning och myndigheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten även uppfyllt det aktuella dokumentationskravet. Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och EU:s dataskyddsförordning. De metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. Med metoder för att ta fram urval menas t.ex. urvals-modeller som Skatteverket tar fram, utvecklar och tillämpar för att före-bygga, förhindra och upptäcka fel i den verksamhet som omfattas av lagens tillämpningsområde. Det kan t.ex. vara fråga om modeller som baseras på AI. Dokumentationskravet innebär inte att en urvalsmodell som bygger på AI-teknik behöver förklaras i detalj. Dokumentationen ska dock avse hela processen. Det ska därmed t.ex. vara möjligt att i efterhand kontrollera vilka metoder och tekniker som har använts vid utvecklingen av en sådan urvalsmodell, vilka typer av uppgifter som har använts för att träna och utforma modellen, vilket syfte den har, vilket resultat den gett i form av urvalsträffar och andra liknande omständigheter. Dokumentationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökbegrepp kan användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare. Av andra stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumentationen ska det gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheten måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art. Det är upp till Skatteverket att bedöma i vilken form dokumentationen ska ske. Det avgörande är att det i efterhand går att kontrollera avvägningen samt vilka metoder och sökbegrepp som har använts för att ta fram urvalet. Övervägandena finns i avsnitt 9.3. Tillgång till personuppgifter 13 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. I paragrafen, som inte har någon motsvarighet i folkbokföringsdatabaslagen, finns en bestämmelse om den interna tillgången till personuppgifter i Skatteverkets verksamhet. Första stycket innebär att Skatteverket ska begränsa tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i EU:s dataskydds-förordning). Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som arbetar vid Skatteverket ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar samtliga som utför arbete vid myndigheten. Såväl t.ex. tillsvidareanställd personal som personer med en tidsbegränsad anställning som konsulter omfattas därmed. Det ska finnas ett reellt behov eller vara fråga om ett behov som förutses finnas i verksamheten. En person som arbetar vid Skatteverket får därmed ha åtkomst till sådana uppgifter som han eller hon behöver utifrån sina arbetsuppgifter. Enligt andra stycket ska Skatteverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Detta för att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande. De ska därmed inte bara göras när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroller kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Skatteverket att närmare bestämma formerna för kontrollerna. Övervägandena finns i avsnitt 6.10. Elektroniskt utlämnande av personuppgifter 14 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Paragrafen, som inte har någon motsvarighet i folkbokföringsdatabaslagen, reglerar förutsättningarna för att Skatteverket elektroniskt ska få lämna ut personuppgifter Bestämmelsen reglerar endast formerna för utlämnandet. Huruvida Skatteverket har rätt eller möjlighet att överhuvudtaget lämna ut personuppgifterna följer av andra bestämmelser, t.ex. i offentlighets- och sekretesslagen (2009:400). Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst som annat elektroniskt utlämnande, t.ex. utlämnande genom e-post. Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad. Bedömningen bör då innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära. Myndigheten kan vid bedömningen behöva överväga typen av personuppgifter, sekretesskyddet hos mottagaren, behovet av säkerhetsåtgärder, t.ex. tekniska begränsningar för att säkerställa skyddet för den personliga integriteten, mottagarens förmåga att vidta nödvändiga säkerhetsåtgärder, behovet av effektivitet m.m. Att mottagaren har ett kontinuerligt eller stort behov av uppgifterna i sin verksamhet kan tala för att direktåtkomst inte är olämpligt. Motsatsvis bör direktåtkomst till uppgifter som mottagaren sällan kan komma att behöva, eller som inte är av särskilt stor betydelse för mottagaren, inte aktualiseras särskilt ofta. Om det rör uppgifter som inte är av integritetskänslig karaktär kan även detta tala för att ett utlämnande kan ske via direktåtkomst, eller om det finns ett nära samband mellan de olika verksamheterna. Behov av direktåtkomst kan t.ex. aktualiseras i situationer som omfattar ett informationsförsörjningsuppdrag, när uppgifterna är offentliga eller vid informationsöverföring mellan olika självständiga verksamhetsgrenar inom en myndighet. Även i situationer där två eller flera myndigheter är gemensamt ansvariga för att utföra en viss uppgift kan direktåtkomst komma att framstå som det mest ändamålsenliga sättet för utlämnande. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt. Övervägandena finns i avsnitt 10.1. Längsta tid för behandling 15 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Paragrafen, som inte som inte har någon motsvarighet i folkbokföringsdatabaslagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter vid Skatteverket. Bestämmelsen motsvarar principen om lagringsminimering i artikel 5.1 e i EU:s dataskyddsförordning. Första stycket innebär en skyldighet för Skatteverket att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det är alltså ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. När det inte längre, med hänsyn till ändamålet, finns något behov av att behandla personuppgifterna ska dessa tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Skatteverket att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål. Personuppgifterna får då fortsätta att behandlas för det kvarstående ändamålet. Regleringen innebär alltså inte att all behandling ska upphöra om behovet upphör för ett av flera ändamål. Bestämmelsen utgör inte en sådan avvikande bestämmelse som avses i 10 § tredje stycket arkivlagen (1990:782). Regleringen utgör därmed inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens bestämmelser. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Övervägandena finns i avsnitt 6.12. Begränsning av rätten att göra invändningar 16 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen, som motsvarar 3 kap. 1 § folkbokföringsdatabaslagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 110). Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 6.11.1. Förslaget till tulldatalag Genom förslaget upphävs lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet (tulldatabaslagen). Den upphävda lagen ersätts av en ny lag som omfattar personuppgiftsbehandling i Tullverkets verksamhet. Den nya lagen får benämningen tulldatalagen. Innehållet i tulldatalagen motsvarar delvis innehållet i tulldatabaslagen. Den nya lagen har dock anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen och nedan benämnd EU:s dataskyddsförordning. Lagens syfte 1 §    Syftet med denna lag är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. I paragrafen, som inte har någon motsvarighet i tulldatabaslagen, tydliggörs lagens tvådelade syfte. Det är dels att ge Tullverket möjlighet att inom den verksamhet som omfattas av lagens tillämpningsområde enligt 2 § behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Övervägandena finns i avsnitt 6.2. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Tullverkets verksamhet med 1. bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter, 2. övervakning, revision och annan kontroll eller analys, 3. förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande, 4. fullgörande av förpliktelser som följer av internationella åtaganden, och 5. någon annan liknande uppgift som Tullverket ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. I paragrafen anges lagens tillämpningsområde. Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar 1 kap. 1 § första stycket tulldatabaslagen. I artikel 4 i EU:s dataskyddsförordning finns definitioner av begreppen personuppgifter och behandling. Avlidna och juridiska personer omfattas inte av lagen. Lagen är tillämplig vid behandling av personuppgifter i vissa delar av Tullverkets verksamhet. Enligt punkt 1 ska lagen tillämpas vid behandling av personuppgifter i Tullverkets verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter. Lagen omfattar alltså myndighetens utförande av sådana uppgifter som är ett led i Tullverkets fiskala verksamhet. Av punkt 2 framgår att lagen ska tillämpas i Tullverkets verksamhet med övervakning, revision och annan kontroll eller analys. Utfallet av sådana åtgärder ligger ofta till grund för bl.a. myndighetens bestämmande av tull, skatt och avgifter. I punkt 3 anges att lagen omfattar Tullverkets verksamhet med förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande. Lagen omfattar alltså Tullverkets uppgifter som följer av de särskilda import- eller exportbestämmelser, dvs. restriktioner, som finns för vissa varor och som främst härrör från EU-rättslig reglering. Punkt 4 innebär att Tullverkets behandling av personuppgifter vid fullgörande av förpliktelser som följer av internationella åtaganden omfattas av lagen. Lagen är alltså tillämplig vid personuppgiftsbehandling som sker för att fullgöra förpliktelser som följer av internationella åtaganden inom de verksamheter i Tullverket som omfattas av bestämmelsens övriga punkter. Med sådan verksamhet avses Tullverkets skyldigheter enligt bl.a. EU-rättslig lagstiftning. Av punkt 5 framgår att lagen även omfattar någon annan liknande uppgift som Tullverket ska utföra. Med detta avses uppgifter som är närliggande övriga punkter. Det kan t.ex. avse myndighetens uppgifter att informera om tillstånd, om certifikat för godkända ekonomiska aktörer samt förebyggande informationsinsatser och service som förklarar hur tullproceduren går till. Även personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas. Punkten omfattar även uppgifter med koppling till tullverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515). Lagens tillämpningsområde omfattar inte behandling av personuppgifter vid t.ex. löpande administration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer. I paragrafens andra stycke, som delvis motsvarar 1 kap. 1 § första stycket tulldatabaslagen, begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast om behandlingen är helt eller delvis automatiserad (elektronisk) eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i EU:s dataskyddsförordning och bör tolkas på samma sätt som den artikeln. En definition av begreppet register finns i artikel 4.6 i dataskydds-förordningen. Bestämmelsen innebär att t.ex. minnesanteckningar som enbart förs på papper inte omfattas av lagens tillämpningsområde. Övervägandena finns i avsnitt 6.3.1 och 6.6. 3 §    Denna lag gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. I paragrafen anges att lagen inte gäller vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Paragrafen motsvarar i sak 1 kap. 1 § tredje stycket tulldatabaslagen (jfr prop. 2017/18:269 s. 385). Av bestämmelsen följer att lagen inte gäller vid behandling av personuppgifter som Tullverket utför inom den brottsbekämpande verksamheten. Övervägandena finns i avsnitt 6.6. Förhållandet till annan reglering 4 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. I paragrafen anges lagens förhållande till annan reglering. Första stycket, som motsvarar 1 kap. 2 § tulldatabaslagen, upplyser att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 117). Andra stycket, som motsvarar 1 kap. 3 § tulldatabaslagen, tydliggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 117). Övervägandena finns i avsnitt 6.8.1. Personuppgiftsansvar 5 §    Tullverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. I paragrafen regleras att Tullverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen. Paragrafen motsvarar i sak 1 kap. 6 § tulldatabaslagen, där det dock inte framgår att personuppgiftsansvaret omfattar den behandling som myndigheten utför enligt tulldatabaslagen och föreskrifter som har meddelats i anslutning till den lagen (jfr prop. 2000/01:33 s. 221). En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i EU:s dataskyddsförordning. Övervägandena finns i avsnitt 6.9. Ändamål 6 §    Tullverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. Detta omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. I paragrafen anges för vilka primära ändamål Tullverket får behandla personuppgifter enligt lagen. Av första stycket framgår att en förutsättning för att Tullverket ska få behandla personuppgifter är att det är nödvändigt för att utföra viss verksamhet som myndigheten ansvarar för. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen måste dock alltid vara motiverad utifrån författningsreglerade uppgifter och behövas för att myndigheten ska kunna bedriva verksamheten på ett korrekt, rättssäkert och effektivt sätt. Kravet på att en personuppgiftsbehandling ska vara nödvändig innebär att det måste föreligga ett reellt, nära och ändamålsenligt samband mellan behandlingen och det syfte som ska uppnås. Bedömningen innefattar ett proportionalitetsövervägande, behandlingen kan t.ex. anses nödvändig och därmed tillåten om behandlingen leder till effektivitetsvinster. Av första stycket första meningen, som delvis motsvarar 1 kap. 4 § tulldatabaslagen, framgår att Tullverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 §. Till skillnad från 1 kap. 4 § tulldatabaslagen anges inte några detaljerade ändamål. Av första stycket andra meningen, som inte har någon motsvarighet i tulldatabaslagen, framgår att ändamålet omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet enligt 2 §. Detta utgör en rättslig grund för den personuppgiftsbehandling som krävs för att göra dataanalyser och urval i detta syfte. Ändamålet omfattar alltså bl.a. Tullverkets dataanalyser och urval i kontrollverksamhet. Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns risk för fel och som därför behöver kontrolleras särskilt. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid Tullverkets dataanalyser och urval. Det ska i sammanhanget framhållas att Tullverket i verksamheten med dataanalyser och urval, som i all övrig verksamhet, ska iaktta principerna om saklighet och opartiskhet. Exempel på personuppgiftsbehandling som kan vara nödvändig för myndighetens dataanalyser och urval är inhämtning av uppgifter från andra verksamheter inom myndigheten eller andra myndigheter, och bearbetning av sådana uppgifter. Ändamålet omfattar även uppföljning, utveckling och testning av analys- och urvalsmodeller. Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller. Verktygen är även möjliga att använda redan innan det finns ett ärende för att identifiera olika risker för felaktigheter. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller misstag. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen. Restkompetensen omfattar begränsningar eller förtydliganden som inte innebär en utvidgning avseende ändamålen för behandlingen av personuppgifter. Övervägandena finns i avsnitt 7.1 och 9.1. 7 §    Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Paragrafen, som motsvarar 1 kap. 5 § 3 tulldatabaslagen, är en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 6 § (jfr prop. 2017/18:95 s. 118). Av bestämmelsen följer att de uppgifter som behandlas för primära ändamål även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Utlämnande av personuppgifter genom överföring, spridning eller tillhandahållande omfattas alltså av bestämmelsen. Övervägandena finns i avsnitt 7.2. 8 §    Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Paragrafen, som motsvarar 1 kap. 5 § 4 tulldatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 118). Övervägandena finns i avsnitt 7.3. Känsliga personuppgifter 9 §    Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Paragrafen, som delvis motsvarar 1 kap. 7 § tulldatabaslagen, reglerar möjligheten till behandling av känsliga personuppgifter som får ske med stöd av artikel 9.2 g i EU:s dataskyddsförordning (prop. 2017/ 18:95 s. 118 och 119). Till skillnad från den hittills gällande bestämmelsen anges inte att känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i EU:s dataskyddsförordning. De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Tullverket får enligt bestämmelsen behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen ska dock alltid vara motiverad utifrån de författningsreglerade uppgifterna. Behandlingen ska även behövas för att myndigheten ska kunna bedriva verksamheten på ett korrekt, rättssäkert och effektivt sätt. I kravet på nödvändighet ligger att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter. Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 8.1. Sökbegränsningar 10 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Paragrafen, som delvis motsvarar 2 kap. 9 § tulldatabaslagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2000/01:33 s. 223 och 224). Till skillnad från 2 kap. 9 § tulldatabaslagen utgår bestämmelsen från syftet med en sökning. Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 9 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs för att t.ex. utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter. I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i en verksamhet som omfattas av lagen. Genom detta undantag är det möjligt för Tullverket att ta fram ett urval baserat på uppgifter om t.ex. varor i form av läkemedel, som kan ge viss information om enskildas hälsa. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är att sökningen är nödvändig för att utföra en uppgift i myndighetens verksamhet som omfattas av lagens tillämpningsområde. Det handlar alltså om att behandlingen av de känsliga personuppgifterna ska vara nödvändig och att sökningen som åtgärd ska vara nödvändig. Förbudet omfattar inte sökningar som sker i en viss handling eller i ett visst ärende. Övervägandena finns i avsnitt 8.2.1 och 8.2.3. Särskilda bestämmelser om dataanalyser och urval 11 §    För att göra dataanalyser och urval enligt 6 § första stycket i syfte att förebygga, förhindra och upptäcka fel får följande personuppgifter behandlas: 1. uppgifter som Tullverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Tullverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, innehåller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel. Enligt första stycket första punkten får Tullverket behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §. Uppgifterna kan t.ex. ha samlats in från enskilda som har ett ärende hos myndigheten. Med uppgifter som Tullverket samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Enligt andra punkten får Tullverket behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 6 § första stycket i syfte att förebygga, förhindra och upptäcka fel. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter. Övervägandena finns i avsnitt 9.1. 12 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 6 § första stycket i syfte att förebygga, förhindra och upptäcka fel ska Tullverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, innehåller krav på dokumentation vid behandling av personuppgifter för att göra dataanalyser och urval. Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumenteras. Det innebär att Tullverket ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning ska Tullverket ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat. I de fall Tullverket är skyldigt att göra en konsekvensbedömning enligt artikel 35 i EU:s dataskyddsförordning och myndigheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten även uppfyllt det aktuella dokumentationskravet. Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och EU:s dataskyddsförordning. De metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som Tullverket tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel i den verksamhet som omfattas av lagens tillämpningsområde. Det kan t.ex. vara fråga om modeller som baseras på AI. Dokumentationskravet innebär inte att en urvalsmodell som bygger på AI-teknik behöver förklaras i detalj. Dokumentationen ska dock avse hela processen. Det ska därmed t.ex. vara möjligt att i efterhand kontrollera vilka metoder och tekniker som har använts vid utvecklingen av en sådan urvalsmodell, vilka typer av uppgifter som har använts för att träna och utforma modellen, vilket syfte den har, vilket resultat den gett i form av urvalsträffar och andra liknande omständigheter. Dokumentationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökbegrepp kan användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare. Av andra stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumentationen ska det gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheten måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art. Det är upp till Tullverket att bedöma i vilken form dokumentationen ska ske. Det avgörande är att det i efterhand går att kontrollera avvägningen samt vilka metoder och sökbegrepp som har använts för att ta fram urvalet. Övervägandena finns i avsnitt 9.3. Tillgång till personuppgifter 13 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. I paragrafen, som inte har någon motsvarighet i tulldatabaslagen, finns en bestämmelse om den interna tillgången till personuppgifter i Tullverkets verksamhet. Första stycket innebär att Tullverket ska begränsa tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i EU:s dataskyddsförordning). Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som arbetar vid Tullverket ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar samtliga som utför arbete vid myndigheten. Såväl t.ex. tillsvidareanställd personal som personer med en tidsbegränsad anställning och inhyrda konsulter omfattas därmed. Det ska finnas ett reellt behov eller vara fråga om ett behov som förutses finnas i verksamheten. En person som arbetar vid Tullverket får därmed ha åtkomst till sådana uppgifter som han eller hon behöver utifrån sina arbetsuppgifter. Enligt andra stycket ska Tullverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Detta för att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande. De ska därmed inte bara göras när Tullverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroller kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Tullverket att närmare bestämma formerna för kontrollerna. Övervägandena finns i avsnitt 6.10. Elektroniskt utlämnande av personuppgifter 14 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, reglerar förutsättningarna för att Tullverket elektroniskt ska få lämna ut personuppgifter. Bestämmelsen reglerar endast formerna för utlämnandet. Huruvida Tullverket har rätt eller möjlighet att överhuvudtaget lämna ut personuppgifterna följer av andra bestämmelser, t.ex. i offentlighets- och sekretesslagen (2009:400). Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst som annat elektroniskt utlämnande, t.ex. utlämnande genom e-post. Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad. Bedömningen bör då innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära. Myndigheten kan vid bedömningen behöva överväga typen av personuppgifter, sekretesskyddet hos mottagaren, behovet av säkerhetsåtgärder, t.ex. tekniska begränsningar för att säkerställa skyddet för den personliga integriteten, mottagarens förmåga att vidta nödvändiga säkerhetsåtgärder, behovet av effektivitet m.m. Att mottagaren har ett kontinuerligt eller stort behov av uppgifterna i sin verksamhet kan tala för att direktåtkomst inte är olämpligt. Motsatsvis bör direktåtkomst till uppgifter som mottagaren sällan kan komma att behöva, eller som inte är av särskilt stor betydelse för mottagaren, inte aktualiseras särskilt ofta. Om det rör uppgifter som inte är av integritetskänslig karaktär kan även detta tala för att ett utlämnande kan ske via direktåtkomst, eller om det finns ett nära samband mellan de olika verksamheterna. Behov av direktåtkomst kan t.ex. aktualiseras i situationer som omfattar ett informationsförsörjningsuppdrag, när uppgifterna är offentliga eller vid informationsöverföring mellan olika självständiga verksamhetsgrenar inom en myndighet. Även i situationer där två eller flera myndigheter är gemensamt ansvariga för att utföra en viss uppgift kan direktåtkomst komma att framstå som det mest ändamålsenliga sättet för utlämnande. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt. Övervägandena finns i avsnitt 10.1. Längsta tid för behandling 15 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter vid Tullverket. Bestämmelsen motsvarar principen om lagringsminimering i artikel 5.1 e i EU:s dataskyddsförordning. Första stycket innebär en skyldighet för Tullverket att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det är alltså ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. När det inte längre, med hänsyn till ändamålet, finns något behov av att behandla personuppgifterna ska dessa tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Tullverket att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål. Personuppgifterna får då fortsätta att behandlas för det kvarstående ändamålet. Regleringen innebär alltså inte att all behandling ska upphöra om behovet upphör för ett av flera ändamål. Bestämmelsen utgör inte en sådan avvikande bestämmelse som avses i 10 § tredje stycket arkivlagen (1990:782). Regleringen utgör därmed inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens bestämmelser. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Övervägandena finns i avsnitt 6.12. Begränsning av rätten att göra invändningar 16 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen, som motsvarar 3 kap. 1 § tulldatabaslagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 119). Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 6.11.1. Förslaget till kronofogdedatalag Genom förslaget upphävs lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet (kronofogdedatabaslagen). Den upphävda lagen ersätts av en ny lag om personuppgiftsbehandling i Kronofogdemyndighetens verksamhet. Den nya lagen får benämningen kronofogdedatalagen. Innehållet i kronofogdedatalagen motsvarar delvis innehållet i kronofogdedatabaslagen. Den nya lagen har dock anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen och nedan benämnd EU:s dataskyddsförordning. Lagens syfte 1 §    Syftet med denna lag är att ge Kronofogdemyndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. I paragrafen, som inte har någon motsvarighet i kronofogdedatabaslagen, tydliggörs lagens tvådelade syfte. Det är dels att ge Kronofogdemyndigheten möjlighet att inom den verksamhet som omfattas av lagens tillämpningsområde enligt 2 § behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Övervägandena finns i avsnitt 6.2. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med 1. utsökning och indrivning, 2. skuldsanering och F-skuldsanering, 3. betalningsföreläggande och handräckning, 4. europeiskt betalningsföreläggande, 5. ansökan om och tillsyn över näringsförbud, 6. tillsyn i konkurs, andra konkursärenden, tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497), 7. att motverka överskuldsättning, 8. analys eller kontroll, 9. fullgörande av förpliktelser som följer av internationella åtaganden, och 10. någon annan liknande uppgift som Kronofogdemyndigheten ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelserna i 18 § första stycket 2 och andra stycket och 19 § gäller även vid behandling av uppgifter om juridiska personer. I paragrafen anges lagens tillämpningsområde. Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar 1 kap. 1 § första stycket kronofogdedatabaslagen. I artikel 4 i EU:s dataskyddsförordning finns definitioner av begreppen personuppgifter och behandling. Lagen är tillämplig vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet. Enligt punkt 1 ska lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning. Med utsökning och indrivning avses bl.a. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar m.m. och avräkning vid återbetalning av skatter och avgifter. Till denna verksamhet kan också hänföras t.ex. myndighetens uppgift att lämna underrättelser till målsäganden i brottmål, anmäla misstanke om brott och att fullgöra sina uppgifter enligt bötesverkställighetslagen (1979:189) med tillhörande förordning. Av punkt 2 framgår att lagen ska tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med skuldsanering och F-skuldsanering, vilket bl.a. omfattar handläggning av ärenden om skuldsanering och F-skuldsanering. I punkterna 3 och 4 anges att lagen omfattar Kronofogdemyndighetens verksamhet med betalningsföreläggande och handräckning och europeiskt betalningsföreläggande. Dessa punkter omfattar t.ex. personuppgiftsbehandling vid handläggning av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande, tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande. Enligt punkt 5 omfattas ansökan om och tillsyn över näringsförbud av lagen. Med detta avses Kronofogdemyndighetens personuppgiftsbehandling vid utförandet av sina uppgifter enligt lagen (2014:836) om näringsförbud. Av punkt 6 framgår att Kronofogdemyndighetens behandling av personuppgifter vid utförandet av uppgifter avseende tillsyn i konkurs och tillsyn över rekonstruktörer omfattas av lagen. Med sådan verksamhet avses myndighetens handläggning av konkurstillsynsärenden och ärenden om tillsyn över rekonstruktörer enligt lagen (2022:964) om företagsrekonstruktion. Vidare framgår att lagen omfattar behandling av personuppgifter i andra konkursärenden, med vilket avses myndighetens uppgifter i en konkurs som inte utgör tillsyn. Slutligen omfattar punkten verksamheten med mål enligt lönegarantilagen (1992:497). Vidare omfattas enligt punkt 7 myndighetens verksamhet med att motverka överskuldsättning. Bestämmelsen gör det tydligt att personuppgiftsbehandling vid sådan verksamhet, vilken kan anses utgöra en kompletterande och integrerad del av myndighetens verksamhet med utsökning och indrivning (verkställighet), betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande (summarisk process), skuldsanering och konkurstillsyn, omfattas av lagen. Av punkt 8 framgår att myndighetens behandling av personuppgifter i verksamhet med analys och kontroll omfattas av lagen. Exempelvis ingår personuppgiftsbehandling vid sådan analysverksamhet som myndigheten utför i syfte att identifiera nya skuldfällor eller tendenser kring skulder och skuldutveckling och de kontroller myndigheten vidtar inom ramen för utförandet av sina uppgifter, bl.a. för att säkerställa att beslut fattas på korrekta grunder samt för att förebygga och motverka ekonomisk brottslighet. Punkt 9 innebär att Kronofogdemyndighetens behandling av personuppgifter vid fullgörande av förpliktelser som följer av internationella åtaganden omfattas av lagen. Med sådan verksamhet avses t.ex. sådana åtaganden som följer av Sveriges medlemskap i EU och som regleras i lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, men också sådana som följer av exempelvis det nordiska handräckningsavtalet och Europaråds- och OECD-konventionen om ömsesidig handräckning i skatteärenden. Av punkt 10 framgår att lagen även omfattar någon annan liknande uppgift som Kronofogdemyndigheten ska utföra. Med detta avses uppgifter som är närliggande övriga punkter. Det kan t.ex. avse uppgifter om att förebygga och motverka ekonomisk brottslighet (jfr 4 § första stycket förordningen [2016:1333] med instruktion för Kronofogdemyndigheten). Även personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas. Punkten omfattar även uppgifter med koppling till kronofogdeverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515). Lagens tillämpningsområde omfattar inte behandling av personuppgifter vid t.ex. löpande administration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer. I paragrafens andra stycke, som i sak delvis motsvarar 1 kap. 1 § första stycket kronofogdedatabaslagen, begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast då behandlingen är helt eller delvis automatiserad (elektronisk) eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i EU:s dataskyddsförordning och bör tolkas på samma sätt som den artikeln. En definition av begreppet register finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen innebär att t.ex. minnesanteckningar som enbart förs på papper inte omfattas av lagens tillämpningsområde. Enligt tredje stycket gäller 18 § första stycket 2 och andra stycket samt 19 § även vid behandling av uppgifter om juridiska personer. Dessa bestämmelser avser rättelse m.m. och överklagande av sådana beslut om rättelse som särskilt gäller i Kronofogdemyndighetens verksamhet. Övervägandena finns i avsnitt 6.3.1 och 6.7. 3 §    Denna lag gäller inte vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. Denna lag gäller inte heller vid Kronofogdemyndighetens behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Paragrafen innehåller bestämmelser om lagens tillämpningsområde. Av första stycket framgår att lagen inte gäller vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar, vilket även framgår av 1 kap. 1 § första stycket kronofogdedatabaslagen (jfr prop. 2018/19:48 s. 37). I paragrafens andra stycke, som inte har någon motsvarighet i kronofogdedatabaslagen, framgår ett undantag från lagens tillämpningsområde i fråga om behandling av personuppgifter som Kronofogdemyndigheten utför i Europeiska unionens gemensamma informationssystem. Med gemensamma informationssystem avses system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Övervägandena finns i avsnitt 6.3.3 och 6.7. Förhållandet till annan reglering 4 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. I paragrafen anges lagens förhållande till annan reglering. Första stycket, som motsvarar 1 kap. 2 § kronofogdedatabaslagen, upplyser att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 110 och 111). Andra stycket, som motsvarar 1 kap. 3 § kronofogdedatabaslagen, tydliggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 111). Övervägandena finns i avsnitt 6.8.1. 5 §    De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur gäller i stället för denna lag. Paragrafen motsvarar 1 kap. 3 b § kronofogdedatabaslagen (jfr prop. 2015/16:148 s. 61 och 62). Övervägandena finns i avsnitt 6.8.2. Personuppgiftsansvar 6 §    Kronofogdemyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Av paragrafen framgår att Kronofogdemyndigheten är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till den. Paragrafen motsvarar i sak 1 kap. 5 § kronofogdedatabaslagen, där det dock inte framgår att personuppgiftsansvaret omfattar den behandling som myndigheten utför enligt kronofogdedatabaslagen och föreskrifter som har meddelats i anslutning till den lagen (jfr prop. 2000/01:33 s. 213). En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i EU:s dataskyddsförordning. Övervägandena finns i avsnitt 6.9. Ändamål 7 §    Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. Detta omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten, och i syfte att motverka överskuldsättning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. I paragrafen anges för vilka primära ändamål Kronofogdemyndigheten får behandla personuppgifter enligt lagen. Av första stycket framgår att en förutsättning för att Kronofogdemyndigheten ska få behandla personuppgifter är att det är nödvändigt för att utföra viss verksamhet som myndigheten ansvarar för. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen måste dock alltid vara motiverad utifrån författningsreglerade uppgifter och behövas för att myndigheten ska kunna bedriva verksamheten på ett korrekt, rättssäkert och effektivt sätt. Kravet på att en personuppgiftsbehandling ska vara nödvändig innebär att det måste föreligga ett reellt, nära och ändamålsenligt samband mellan behandlingen och det syfte som ska uppnås. Bedömningen innefattar ett proportionalitetsövervägande, behandlingen kan t.ex. anses nödvändig och därmed tillåten om behandlingen leder till effektivitetsvinster. Av första stycket första meningen, som delvis motsvarar 2 kap. 2, 8, 14 och 20 §§ kronofogdedatabaslagen, får Kronofogdemyndigheten behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 §. Till skillnad från 2 kap. 2, 8, 14 och 20 §§ kronofogdedatabaslagen anges inte några detaljerade ändamål. Av första stycket andra meningen, som inte har någon motsvarighet i kronofogdedatabaslagen, framgår att ändamålet omfattar att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet enligt 2 § och i syfte att motverka överskuldsättning. Detta utgör en rättslig grund för den personuppgiftsbehandling som krävs för att göra dataanalyser och urval för dessa syften. Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns risk för fel och som därför behöver kontrolleras särskilt. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid Kronofogdemyndighetens dataanalyser och urval. Det ska i sammanhanget framhållas att Kronofogdemyndigheten i verksamheten med dataanalyser och urval, som i all övrig verksamhet, ska iaktta principerna om saklighet och opartiskhet. Exempel på personuppgiftsbehandling som kan vara nödvändig för myndighetens dataanalyser och urval är inhämtning av uppgifter från andra verksamheter inom myndigheten eller andra myndigheter, och bearbetning av sådana uppgifter. Ändamålet omfattar även uppföljning, utveckling och testning av analys- och urvalsmodeller. Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller. Verktygen är även möjliga att använda redan innan det finns ett ärende för att identifiera olika risker för felaktigheter. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller misstag. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen. Restkompetensen omfattar begränsningar eller förtydliganden som inte innebär en utvidgning avseende ändamålen för behandlingen av personuppgifter. Övervägandena finns i avsnitt 7.1 och 9.1. 8 §    Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Paragrafen, som motsvarar 2 kap. 3 § 3, 9 § 3, 15 § 2 och 20 a § 2 kronofogdedatabaslagen, är en sekundär ändamålsbestämmelse som reglerar möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 7 § (jfr prop. 2017/18:95 s. 112–115). Av bestämmelsen följer att de uppgifter som behandlas för primära ändamål även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Utlämnande av personuppgifter genom överföring, spridning eller tillhandahållande omfattas alltså av bestämmelsen. Övervägandena finns i avsnitt 7.2. 9 §    Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Paragrafen, som motsvarar 2 kap. 3 § 4, 9 § 4, 15 § 3 och 20 a § 3 kronofogdedatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 112–115). Övervägandena finns i avsnitt 7.3. Känsliga personuppgifter 10 §    Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Paragrafen, som delvis motsvarar 1 kap. 6 § kronofogdedatabaslagen, reglerar möjligheten till behandling av känsliga personuppgifter som får ske med stöd av artikel 9.2 g i EU:s dataskyddsförordning (prop. 2017/18:95 s. 111). Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i EU:s dataskyddsförordning. De kategorier av personuppgifter som får behandlas är de som avses i artikel 9.1 i EU:s dataskyddsförordning. Det är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Kronofogdemyndigheten får behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen ska dock alltid vara motiverad utifrån de författningsreglerade uppgifterna. Behandlingen ska även behövas för att myndigheten ska kunna bedriva verksamheten på ett korrekt, rättssäkert och effektivt sätt. I kravet på nödvändighet ligger att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter. Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 8.1. Sökbegränsningar 11 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Paragrafen, som delvis motsvarar 2 kap. 29 § första stycket kronofogdedatabaslagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2000/01:33 s. 219). Till skillnad från 2 kap. 29 § första stycket kronofogdedatabaslagen utgår bestämmelsen från syftet med en sökning. Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 10 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs för att t.ex. utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/ 23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter. I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i en verksamhet som omfattas av lagen. Genom detta undantag är det möjligt för Kronofogdemyndigheten att ta fram ett urval baserat på uppgifter om t.ex. sjukförsäkringsförmåner eller sjukdom som framkommer i läkarintyg vilket har åberopats som grund för betalningssvårigheter. Uppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförordning. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är att sökningen är nödvändig för att utföra en uppgift i myndighetens verksamhet som omfattas av lagens tillämpningsområde. Det handlar alltså om att behandlingen av de känsliga personuppgifterna ska vara nödvändig och att sökningen som åtgärd ska vara nödvändig. Förbudet omfattar inte sökningar som sker i en viss handling eller i ett visst ärende. Övervägandena finns i avsnitt 8.2.1 och 8.2.4. Särskilda bestämmelser om dataanalyser och urval 12 §    För att göra dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel eller i syfte att motverka överskuldsättning får följande personuppgifter behandlas: 1. uppgifter som Kronofogdemyndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Kronofogdemyndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. Paragrafen, som inte har någon motsvarighet i kronofogdedatabaslagen, innehåller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel och för att motverka överskuldsättning. Enligt första stycket första punkten får Kronofogdemyndigheten behandla uppgifter som myndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §. Uppgifterna kan t.ex. ha samlats in från enskilda som har ett ärende hos myndigheten. Med uppgifter som Kronofogdemyndigheten samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Enligt andra punkten får Kronofogdemyndigheten behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel eller i syfte att motverka överskuldsättning. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter. Övervägandena finns i avsnitt 9.1. 13 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 7 § första stycket i syfte att förebygga, förhindra och upptäcka fel eller i syfte att motverka överskuldsättning, ska Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Paragrafen, som inte har någon motsvarighet i kronofogdedatabaslagen, innehåller krav på dokumentation vid behandling av personuppgifter för att göra dataanalyser och urval. Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumenteras. Det innebär att Kronofogdemyndigheten ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning ska Kronofogdemyndigheten ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat. I de fall Kronofogdemyndigheten är skyldig att göra en konsekvensbedömning enligt artikel 35 i EU:s dataskyddsförordning och myndigheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten även uppfyllt det aktuella dokumentationskravet. Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och EU:s dataskyddsförordning. De metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som Kronofogdemyndigheten tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel i den verksamhet som omfattas av lagens tillämpningsområde. Det kan t.ex. vara fråga om modeller som baseras på AI. Dokumentationskravet innebär inte att en urvalsmodell som bygger på AI-teknik behöver förklaras i detalj. Dokumentationen ska dock avse hela processen. Det ska därmed t.ex. vara möjligt att i efterhand kontrollera vilka metoder och tekniker som har använts vid utvecklingen av en sådan urvalsmodell, vilka typer av uppgifter som har använts för att träna och utforma modellen, vilket syfte den har, vilket resultat den gett i form av urvalsträffar och andra liknande omständigheter. Dokumentationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökbegrepp kan användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare. Av andra stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumentationen ska det gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheten måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art. Det är upp till Kronofogdemyndigheten att bedöma i vilken form dokumentationen ska ske. Det avgörande är att det i efterhand går att kontrollera avvägningen samt vilka metoder och sökbegrepp som har använts för att ta fram urvalet. Övervägandena finns i avsnitt 9.3. Tillgång till personuppgifter 14 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Paragrafen reglerar den interna tillgången till personuppgifter i Kronofogdemyndighetens verksamhet. Den motsvarar delvis 2 kap. 26 § kronofogdedatabaslagen, där det dock inte anges att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Till skillnad från den hittills gällande bestämmelsen framgår inte att regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter (jfr prop. 2010/11:78 s. 35). Första stycket innebär att Kronofogdemyndigheten ska begränsa tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i EU:s dataskyddsförordning). Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som arbetar vid Kronofogdemyndigheten ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar samtliga som utför arbete vid myndigheten. Såväl t.ex. tillsvidareanställd personal som personer med en tidsbegränsad anställning och konsulter omfattas därmed. Det ska finnas ett reellt behov eller vara fråga om ett behov som förutses finnas i verksamheten. En person som arbetar vid Kronofogdemyndigheten får därmed ha åtkomst till sådana uppgifter som han eller hon behöver utifrån sina arbetsuppgifter. Enligt andra stycket ska Kronofogdemyndigheten kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Detta för att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande. De ska därmed inte bara göras när Kronofogdemyndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroller kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Kronofogdemyndigheten att närmare bestämma formerna för kontrollerna. Övervägandena finns i avsnitt 6.10. Elektroniskt utlämnande av personuppgifter 15 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Paragrafen, som inte har någon motsvarighet i kronofogdedatabaslagen, reglerar förutsättningarna för att Kronofogdemyndigheten elektroniskt ska få lämna ut personuppgifter. Bestämmelsen reglerar endast formerna för utlämnandet. Huruvida Kronofogdemyndigheten har rätt eller möjlighet att överhuvudtaget lämna ut personuppgifterna följer av andra bestämmelser, t.ex. i offentlighets- och sekretesslagen (2009:400). Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst som annat elektroniskt utlämnande, t.ex. utlämnande genom e-post. Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad. Bedömningen bör då innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära. Myndigheten kan vid bedömningen behöva överväga typen av personuppgifter, sekretesskyddet hos mottagaren, behovet av säkerhetsåtgärder, t.ex. tekniska begränsningar för att säkerställa skyddet för den personliga integriteten, mottagarens förmåga att vidta nödvändiga säkerhetsåtgärder, behovet av effektivitet m.m. Att mottagaren har ett kontinuerligt eller stort behov av uppgifterna i sin verksamhet kan tala för att direktåtkomst inte är olämpligt. Motsatsvis bör direktåtkomst till uppgifter som mottagaren sällan kan komma att behöva, eller som inte är av särskilt stor betydelse för mottagaren, inte aktualiseras särskilt ofta. Om det rör uppgifter som inte är av integritetskänslig karaktär kan även detta tala för att ett utlämnande kan ske via direktåtkomst, eller om det finns ett nära samband mellan de olika verksamheterna. Behov av direktåtkomst kan t.ex. aktualiseras i situationer som omfattar ett informationsförsörjningsuppdrag, när uppgifterna är offentliga eller vid informationsöverföring mellan olika självständiga verksamhetsgrenar inom en myndighet. Även i situationer där två eller flera myndigheter är gemensamt ansvariga för att utföra en viss uppgift kan direktåtkomst komma att framstå som det mest ändamålsenliga sättet för utlämnande. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt. Övervägandena finns i avsnitt 10.1. Längsta tid för behandling 16 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Paragrafen, som inte som inte har någon motsvarighet i kronofogdedatabaslagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter vid Kronofogdemyndigheten. Bestämmelsen motsvarar principen om lagringsminimering i artikel 5.1 e i EU:s dataskyddsförordning. Första stycket innebär en skyldighet för Kronofogdemyndigheten att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det är alltså ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. När det inte längre, med hänsyn till ändamålet, finns något behov av att behandla personuppgifterna ska dessa tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Kronofogdemyndigheten att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål. Personuppgifterna får då fortsätta att behandlas för det kvarstående ändamålet. Regleringen innebär alltså inte att all behandling ska upphöra om behovet upphör för ett av flera ändamål. Bestämmelsen utgör inte en sådan avvikande bestämmelse som avses i 10 § tredje stycket arkivlagen (1990:782) Regleringen utgör därmed inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens bestämmelser. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Övervägandena finns i avsnitt 6.12. Begränsning av rätten att göra invändningar 17 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen, som motsvarar 3 kap. 3 § kronofogdedatabaslagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 115 och 116). Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 6.11.1. Rättelse av uppgifter och överklagande 18 §    På begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som 1. inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats i anslutning till lagen, eller 2. vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Om uppgifterna har lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om en åtgärd som görs enligt första stycket, om den enskilde begär det eller om mer betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats. Paragrafen motsvarar 3 kap. 3 a § kronofogdedatabaslagen och reglerar enskildas rätt till rättelse m.m. av uppgifter som behandlas i Kronofogdemyndighetens verksamhet (jfr prop. 2017/18:95 s. 116). Till skillnad från 3 kap. 3 a § kronofogdedatabaslagen är bestämmelsen inte tillämplig vid behandling av uppgifter om avlidna personer. Vidare är bestämmelsen endast tillämplig på uppgifter om juridiska personer gällande uppgifter som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser, vilket följer av 2 § tredje stycket. Begreppet den registrerade i 3 kap. 3 a § kronofogdedatabaslagen har ersatts med begreppet enskild. Med begreppet enskild avses i tillämpliga fall både fysiska och juridiska personer. Vidare framgår nu uttryckligen av lagen att prövningen enligt 18 § första stycket andra punkten ska göras med utgångspunkt från förhållandena vid tidpunkten för registreringen (jfr prop. 2007/08:116 s. 29). Missvisande uppgifter ska rättas, blockeras eller utplånas. Det är i princip den personuppgiftsansvarige som själv får välja metod med utgångspunkt från skälen för rättelsen. Att uppgifterna blockeras innebär att de spärras och inte lämnas ut (jfr prop. 2007/08:116 s. 20). Övervägandena finns i avsnitt 6.11.3. 19 §    Beslut om rättelse enligt 18 § första stycket får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Paragrafen, som motsvarar 3 kap. 4 § kronofogdedatabaslagen, innehåller bestämmelser om överklagande (jfr prop. 2017/18:95 s. 116). Enligt första stycket får beslut om rättelse som Kronofogdemyndigheten har fattat enligt 18 § första stycket överklagas till allmän förvaltningsdomstol. Bestämmelsen omfattar beslut om rättelse enligt både punkt 1 och 2 i den särskilda bestämmelsen om rättelse m.m. Av 2 § tredje stycket framgår att bestämmelsen även gäller vid behandling av uppgifter om juridiska personer. Enligt andra stycket krävs prövningstillstånd vid överklagande till kammarrätten. Övervägandena finns i avsnitt 6.11.3. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. 3. Den upphävda lagen gäller dock fortfarande för en begäran om rättelse som har kommit in före ikraftträdandet. Enligt punkt 1 träder lagen i kraft den 2 april 2026. Enligt punkt 2 upphävs den nu gällande kronofogdedatabaslagen genom kronofogdedatalagen (2026:00). Enligt tredje punkten gäller den upphävda kronofogdedatabaslagen fortfarande för en begäran om rättelse som har kommit in till myndigheten före ikraftträdandet av lagen, dvs. före den 2 april 2026. Det innebär att sådana ärenden om rättelse m.m. ska handläggas enligt den lagen till dess att de har fått laga kraft. De särskilda bestämmelserna om rättelse och överklagande av sådana beslut enligt kronofogdedatabaslagen finns i hittills gällande 3 kap. 3 a och 4 §§. Övervägandena finns i avsnitt 14. Förslaget till lag om det statliga personadressregistret Genom lagen upphävs lagen (1998:527) om det statliga personadressregistret (SPAR-lagen). Den upphävda lagen ersätts av en ny lag om det statliga personadressregistret, den nya SPAR-lagen. Innehållet i den nya lagen motsvarar till stora delar innehållet i den upphävda lagen. Anpassningen till övrig dataskyddsreglering innebär dock redaktionella och strukturella ändringar. Inledande bestämmelser 1 §    För de kontroll- och urvalsändamål som anges i 5 § ska det föras ett statligt personadressregister (SPAR). Registret får användas för elektroniskt utlämnande av uppgifter. I paragrafen anges att ett statligt register ska föras för kontroll- och urvalsändamål och att det får användas för elektroniskt utlämnande av uppgifter. Bestämmelsen motsvarar i sak 1 § SPAR-lagen, där det dock anges att SPAR ska föras med hjälp av automatiserad behandling. I den hittills gällande bestämmelsen framgår även att registret får användas av myndigheter och enskilda (jfr prop. 1997/98:136 s. 76). Till skillnad från vad som gällt hittills anges att registret får användas för elektroniskt utlämnande av uppgifter. Övervägandena finns i avsnitt 12.2. 2 §    Syftet med denna lag är att ge den myndighet som regeringen utser att ansvara för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Paragrafen, som inte har någon motsvarighet i SPAR-lagen, anger det övergripande syftet med lagen. Bestämmelsen tydliggör lagens tvådelade syfte, dels att ge ansvarig myndighet möjlighet att inom SPAR-verksamheten behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Övervägandena finns i avsnitt 12.3. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. I paragrafen, som motsvarar 2 § SPAR-lagen, anges lagens förhållande till annan reglering. Första stycket upplyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/ 18:95 s. 104). Andra stycket tydliggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 104 och 105). Övervägandena finns i avsnitt 12.7. Personuppgiftsansvar 4 §    Den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. I paragrafen anges att den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen. En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i EU:s dataskyddsförordning. Övervägandena finns i avsnitt 12.4. Ändamål 5 §    Uppgifterna i SPAR får behandlas för att 1. aktualisera, komplettera och kontrollera personuppgifter (kontrolländamål), och 2. ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsändamål). I paragrafen, som i sak motsvarar 3 § SPAR-lagen, anges för vilka ändamål uppgifter får behandlas i SPAR (jfr prop. 1997/98:136 s. 76). Till skillnad från hittills gällande bestämmelse anges uttryckligen att det är fråga om kontrolländamål och urvalsändamål. Övervägandena finns i avsnitt 12.2. Registerinnehåll 6 §    SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Följande uppgifter får anges: 1. namn, 2. personnummer, 3. samordningsnummer, 4. födelsetid, 5. adress, 6. folkbokföringsort och distrikt, 7. födelsehemort, 8. svenskt medborgarskap, 9. make eller vårdnadshavare, 10. avregistrering enligt 19–22 §§ folkbokföringslagen, med angivande av tidpunkt, 11. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor, 12. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), 13. taxeringsvärde för småhusenhet, 14. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer, 15. tidpunkt för vilandeförklaring av ett samordningsnummer enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, 16. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och 17. om den enskildes identitet vid tilldelning eller förnyelse av samordningsnummer har styrkts eller gjorts sannolik. På begäran av en registrerad ska det i SPAR också anges att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2. Paragrafen reglerar vilka uppgifter som får behandlas i SPAR. I första stycket som motsvarar 4 § första stycket SPAR-lagen, anges att SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Vidare begränsas i första stycket vilka uppgifter om personerna som SPAR får innehålla till bl.a. vissa folkbokföringsuppgifter, uppgifter om personer som har tilldelats samordningsnummer, samt uppgifter om inkomst och taxeringsvärde (jfr prop. 2021/22:276 s. 149 och 150). Av andra stycket, som motsvarar 4 § andra stycket SPAR-lagen, framgår att på begäran av en registrerad ska det i SPAR också anges att uppgifter om denna inte får behandlas vid urvalsdragningar enligt 5 § 2 för direktreklam (jfr prop. 1997/98:136 s. 77). Övervägandena finns i avsnitt 12.7. 7 §    Uppgifter som avses i 6 § första stycket 1–10 och 14–17 hämtas från Skatteverkets folkbokföringsverksamhet. Övriga uppgifter som avses i 6 § första stycket hämtas från Skatteverkets beskattningsverksamhet. Paragrafen, som i sak motsvarar 5 § SPAR-lagen, innehåller bestämmelser om varifrån uppgifterna som avses i 6 § hämtas (jfr prop. 2021/22:276 s. 150). Skatteverkets folkbokföringsverksamhet definieras i folkbokföringsdatalagen (2026:000) och Skatteverkets beskattningsverksamhet definieras i beskattningsdatalagen (2026:000). Övervägandena finns i avsnitt 12.7. Utlämnande av uppgifter 8 §    En enskild som begär att en myndighet ska lämna ut personuppgifter för kontrolländamål eller urvalsändamål ska hänvisas till SPAR, om inte annat följer av lag eller förordning. Paragrafen, som i sak motsvarar 6 § SPAR-lagen, klargör att enskilda ska hänvisas till SPAR vid begäran om utlämnande av personuppgifter för kontrolländamål eller urvalsändamål, om inte annat följer av lag eller förordning (jfr prop. 1997/98:136 s. 77). Till skillnad från den hittills gällande bestämmelsen hänvisas inte till den paragraf i lagen som reglerar ändamålen. Övervägandena finns i avsnitt 12.7. 9 §    Regeringen får meddela föreskrifter om begränsningar av utlämnande av uppgifter från SPAR. Paragrafen, som delvis motsvarar 7 § andra stycket SPAR-lagen, innehåller ett bemyndigande för regeringen att meddela föreskrifter om begränsningar av utlämnande av uppgifter från SPAR. Övervägandena finns i avsnitt 12.7. Sökbegrepp 10 §    Regeringen får meddela föreskrifter om begränsningar av de sökbegrepp som får användas vid sökning i SPAR. Paragrafen, som motsvarar 8 § SPAR-lagen, innehåller ett bemyndigande för regeringen att meddela föreskrifter om begränsningar av de sökbegrepp som får användas vid sökning i SPAR (jfr prop. 1997/98:136 s. 78). Övervägandena finns i avsnitt 12.7. Rätten att göra invändningar 11 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning. I paragrafen finns bestämmelser om rätten att göra invändningar. Första stycket, som motsvarar 3 a § första stycket SPAR-lagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 105). I andra stycket, som motsvarar 3 a § andra stycket SPAR-lagen, upplyses om den rätt för den registrerade att invända mot behandling av personuppgifter för direkt marknadsföring som finns i artikel 21.2 i dataskyddsförordningen. Direkt reklam är en form av direkt marknadsföring. Rätten att invända enligt artikel 21.1 gäller alltså vid sådan behandling vid urvalsdragning för direktreklam som omfattas av lagen (jfr prop. 2017/18:95 s. 105). Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 12.7. Längsta tid för behandling 12 §    Uppgifter får inte behandlas i SPAR under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Paragrafen, som inte har någon motsvarighet i SPAR-lagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter i SPAR. Bestämmelsen motsvarar principen om lagringsminimering i artikel 5.1 e i EU:s dataskyddsförordning. Första stycket innebär en skyldighet för den myndighet som regeringen utser att ansvara för SPAR att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det är alltså ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. När det inte längre, med hänsyn till ändamålet, finns något behov av att behandla personuppgifterna ska dessa tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Regleringen ställer krav på den personuppgiftsansvariga myndigheten att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål. Personuppgifterna får då fortsätta att behandlas för det kvarstående ändamålet. Regleringen innebär alltså inte att all behandling ska upphöra om behovet upphör för ett av flera ändamål. Bestämmelsen utgör inte en sådan avvikande bestämmelse som avses i 10 § tredje stycket arkivlagen (1990:782). Regleringen utgör därmed inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens bestämmelser. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Övervägandena finns i avsnitt 12.6. Anmälan om misstänkt oriktig eller ofullständig uppgift 13 §    Vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig eller ofullständig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR. Paragrafen, som delvis motsvarar 14 § förordningen (1998:1234) om det statliga personadressregistret, SPAR-förordningen, innehåller en skyldighet för den som i tjänsten har tagit del av en uppgift som är hämtad från SPAR att anmäla misstanke att uppgiften är oriktig eller ofullständig till den myndighet som ansvarar för SPAR. Till skillnad från 14 § SPAR-förordningen anges inte Skatteverket i bestämmelsen. Vidare omfattar denna bestämmelse även misstanke om att en uppgift är ofullständig. Bestämmelsen innebär att det föreligger en anmälningsskyldighet för alla personer som i tjänsten tar del av uppgifter från SPAR att vid misstanke om att en uppgift är oriktig eller ofullständig genast anmäla det till den myndighet som ansvarar för SPAR. Vilken myndighet som ansvarar för SPAR regleras i förordning. Anmälningsskyldigheten gäller alltså för den som i sin tjänst tar del av uppgifter som hämtats ur SPAR. Mottagare av uppgifter från SPAR är de enskilda, fysiska eller juridiska personer och myndigheter som har fått tillstånd att köpa uppgifter ur SPAR. En person som t.ex. arbetar hos en aktör som är kund hos SPAR träffas således av anmälningsskyldigheten. Både myndigheter och privata aktörer är kunder hos SPAR. Såväl personer som är anställda i offentlig verksamhet som personer som är anställda i den privata sektorn omfattas därmed av anmälningsskyldigheten. Anmälningsskyldigheten avser alla uppgifter som är hämtade från SPAR. Skyldigheten att anmäla inträder genast, dvs. så snart det uppstår misstanke om att en uppgift som är hämtad från SPAR är oriktig eller ofullständig. Tröskeln för skyldigheten att göra en anmälan är låg, det räcker att det finns en misstanke om att en uppgift är oriktig eller ofullständig. Anmälningsskyldigheten innebär dock inte någon skyldighet att genomföra någon ytterligare utredning eller att redovisa de förhållanden som misstanken grundar sig på. Övervägandena finns i avsnitt 12.5. Förslaget till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter Genom lagen upphävs lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter (ÄrBu-lagen). Den upphävda lagen ersätts av en ny lag om personuppgiftsbehandling i Skatteverkets verksamhet med äktenskapsregister och bouppteckningar, den nya ÄrBu-lagen. Innehållet i den nya lagen motsvarar till stora delar innehållet i den upphävda lagen. Anpassningen till övrig dataskyddsreglering innebär dock redaktionella och strukturella ändringar. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Paragrafen, som i sak motsvarar 1 § ÄrBu-lagen, anger det övergripande syftet med lagen (jfr prop. 2015/16:28 s. 69). Till skillnad från den hittills gällande lagen anges inte att syftet gäller i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Övervägandena finns i avsnitt 13.2. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Paragrafen, som i sak motsvarar 2 § första och andra styckena ÄrBu-lagen, anger lagens tillämpningsområde (jfr prop. 2015/16:28 s. 69 och 70). I den hittills gällande lagen anges dock att lagen endast gäller om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Till skillnad från den hittills gällande ÄrBu-lagen är lagen inte tillämplig vid behandling av uppgifter om avlidna. Den behandling av uppgifter om avlidna som sker i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter omfattas alltså inte av lagens bestämmelser. Övervägandena finns i avsnitt 13.2 och 13.3. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. I paragrafen, som motsvarar 4 § ÄrBu-lagen, anges lagens förhållande till annan reglering. Första stycket upplyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/ 18:95 s. 120). Andra stycket tydliggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 120). Övervägandena finns i avsnitt 13.2. Personuppgiftsansvar 4 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. I paragrafen, som i sak motsvarar 5 § ÄrBu-lagen, regleras att Skatteverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen (jfr prop. 2015/16:28 s. 71). I den hittills gällande bestämmelsen anges endast att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket utför. En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i EU:s dataskyddsförordning. Övervägandena finns i avsnitt 13.2. Ändamål 5 §    Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. I paragrafen, som motsvarar 6 § första stycket ÄrBu-lagen, anges för vilka primära ändamål Skatteverket får behandla personuppgifter enligt lagen (jfr prop. 2015/16:28 s. 71). Av bestämmelsen framgår att en förutsättning för att Skatteverket ska få behandla personuppgifter är att det är nödvändigt för att utföra viss verksamhet som myndigheten ansvarar för. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen måste dock alltid vara motiverad utifrån författningsreglerade uppgifter och behövas för att myndigheten ska kunna bedriva verksamheten på ett korrekt, rättssäkert och effektivt sätt. Kravet på att en personuppgiftsbehandling ska vara nödvändig innebär att det måste föreligga ett reellt, nära och ändamålsenligt samband mellan behandlingen och det syfte som ska uppnås. Bedömningen innefattar ett proportionalitetsövervägande, behandlingen kan t.ex. anses nödvändig och därmed tillåten om behandlingen leder till effektivitetsvinster. Övervägandena finns i avsnitt 13.4. 6 §    Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Paragrafen, som motsvarar 6 § andra stycket första meningen ÄrBu-lagen är en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 5 § (jfr prop. 2015/16:28 s.71). Övervägandena finns i avsnitt 13.4. 7 §    Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Paragrafen, som motsvarar 6 § andra stycket andra meningen ÄrBu-lagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 120). Övervägandena finns i avsnitt 13.4. Känsliga personuppgifter 8 §    Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Paragrafen, som delvis motsvarar 7 § ÄrBu-lagen, reglerar möjligheten till behandling av känsliga personuppgifter som får ske med stöd av artikel 9.2 g i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 120). Till skillnad från 7 § ÄrBu-lagen är bestämmelsen inte avgränsad till behandling av sådana personuppgifter i en handling som har lämnats eller upprättats i ett ärende. Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i EU:s dataskyddsförordning. De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i EU:s dataskyddsförordning. Det är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Skatteverket får enligt bestämmelsen behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig (jfr prop. 2017/18:105 s. 194). Behandlingen ska dock alltid kunna motiveras utifrån de författningsreglerade uppgifter Skatteverket har att utföra inom äktenskapsregister- och bouppteckningsverksamheterna. Behandlingen ska även behövas för att myndigheten ska kunna bedriva verksamheten på ett korrekt, rättssäkert och effektivt sätt. I kravet på nödvändighet ligger att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter. Ett behov av att behandla känsliga personuppgifter kan uppstå om handlingar som Skatteverket ska registrera innehåller känsliga uppgifter rörande t.ex. etnicitet och hälsa (prop. 2015/16:28 s. 39). Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 13.5. Sökbegränsningar 9 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende. Paragrafen, som delvis motsvarar 8 § ÄrBu-lagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2015/16:28 s. 72). Till skillnad från 8 § ÄrBu-lagen utgår bestämmelsen från syftet med en sökning. Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Skatteverket inte får utföra sökningar i syfte att få fram ett urval av personer som t.ex. har en viss etnisk bakgrund. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter. I andra stycket anges att förbudet inte omfattar sökningar som sker i en viss handling eller i ett visst ärende. Övervägandena finns i avsnitt 13.6. Tillgång till personuppgifter 10 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. I paragrafen, som inte har någon motsvarighet i ÄrBu-lagen, finns en bestämmelse om den interna tillgången till personuppgifter i Skatteverkets verksamhet. Första stycket innebär att Skatteverket ska begränsa tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i EU:s dataskyddsförordning). Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som arbetar inom Skatteverkets äktenskapsregister- och bouppteckningsverksamheter ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas inom verksamheterna. Uttrycket var och en inkluderar samtliga som utför arbete vid myndigheten. Såväl t.ex. tillsvidareanställd personal som personer med en tidsbegränsad anställning och konsulter omfattas därmed. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En person som arbetar vid Skatteverket med de aktuella verksamheterna får därmed ha åtkomst till sådana uppgifter som han eller hon behöver utifrån sina arbetsuppgifter. Enligt andra stycket ska Skatteverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Skatteverket att bestämma de närmare formerna för kontrollen. Övervägandena finns i avsnitt 13.7. Elektroniskt utlämnande av personuppgifter 11 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Paragrafen, som delvis motsvarar 9 § ÄrBu-lagen, reglerar förutsättningarna för att Skatteverket elektroniskt ska få lämna ut personuppgifter (jfr prop. 2015/16:28 s. 72). Till skillnad från 9 § ÄrBu-lagen avser bestämmelsen alla former av elektroniskt utlämnande. Bestämmelsen reglerar endast formerna för utlämnandet. Huruvida Skatteverket har rätt eller möjlighet att överhuvudtaget lämna ut personuppgifterna följer av andra bestämmelser, t.ex. i offentlighets- och sekretesslagen (2009:400). Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst som annat elektroniskt utlämnande, t.ex. utlämnande genom e-post. Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad. Bedömningen bör då innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt. Övervägandena finns i avsnitt 13.8. Längsta tid för behandling 12 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Paragrafen, som inte har någon motsvarighet i ÄrBu-lagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter vid Skatteverket. Bestämmelsen motsvarar principen om lagringsminimering i artikel 5.1 e i EU:s dataskyddsförordning. Första stycket innebär en skyldighet för Skatteverket att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det är alltså ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. När det inte längre, med hänsyn till ändamålet, finns något behov av att behandla personuppgifterna ska dessa tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Skatteverket att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål. Personuppgifterna får då fortsätta att behandlas för det kvarstående ändamålet. Regleringen innebär alltså inte att all behandling ska upphöra om behovet upphör för ett av flera ändamål. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Övervägandena finns i avsnitt 13.9. Begränsning av rätten att göra invändningar 13 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som meddelats i anslutning till lagen. Paragrafen, som motsvarar 10 § ÄrBu-lagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 120 och 121). Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen. Övervägandena finns i avsnitt 13.2. Förslaget till lag om ändring i kreditupplysningslagen (1973:1173) 8 §    En uppgift om en fysisk person ska gallras när det inte längre är nödvändigt att bevara uppgiften med hänsyn till ändamålet med behandlingen. En uppgift om en fysisk person som inte är näringsidkare ska, om uppgiften inte gäller skuldsanering eller F-skuldsanering, gallras senast tre år efter den dag då den omständighet inträffade eller det förhållande upphörde som uppgiften avser. Om uppgiften rör en begäran om eller ett utlämnande av en kreditupplysning, ska den dock gallras senast ett år efter den dag då begäran framställdes. En uppgift om skuldsanering ska gallras senast fem år efter den dag då inledandebeslutet meddelades eller, om uppgiften gäller F-skuldsanering, senast tre år efter den dagen. Om en betalningsplan löper ut senare, ska dock uppgiften gallras senast den dag då planen löper ut. En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Kronofogdemyndigheten ska också gallras när den har blockerats av Kronofogdemyndigheten med stöd av 18 § kronofogdedatalagen (2026:000). Bestämmelsen reglerar gallring av uppgifter i kreditupplysningsverksamhet. Ändringen i fjärde stycket föranleds av att lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet upphävs och ersätts av kronofogdedatalagen (2026:000). Någon ändring i sak är inte avsedd. Övervägandena finns i avsnitt 5. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 2 april 2026. 2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § den upphävda lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Enligt punkt 1 träder lagen i kraft den 2 april 2026. Enligt punkt 2 gäller äldre bestämmelser i fråga om uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet efter ikraftträdandet den 2 april 2026. Det innebär att sådana uppgifter ska gallras enligt den tidigare lydelsen av 8 § fjärde stycket kreditupplysningslagen. Av punkt 3 i ikraftträdande- och övergångsbestämmelserna till kronofogdedatalagen (2026:000) följer att den upphävda lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet fortfarande tillämpas på en begäran om rättelse som har kommit in till myndigheten före den 2 april 2026. Övervägandena finns i avsnitt 14. Förslaget till lag om ändring i folkbokföringslagen (1991:481) Inledande bestämmelser 1 § Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som ska registreras enligt 1 a §. Vigsel, födelse och dödsfall i landet ska registreras även i fråga om en person som inte är eller har varit folkbokförd. Skatteverket ansvarar för folkbokföring och sådan registrering som avses i andra stycket. Bestämmelser om samordningsnummer för den som inte är eller har varit folkbokförd finns i lagen (2022:1697) om samordningsnummer. Paragrafen innehåller bl.a. en definition av begreppet folkbokföring och vilka uppgifter som i övrigt ska registreras. Av första stycket framgår att folkbokföring innebär fastställande av en persons bosättning och registrering av de uppgifter om personen som ska registreras om honom eller henne enligt 1 a §. Ändringen utgör en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet upphävs, och att de uppgifter som får registreras om en person enligt folkbokföringslagen i stället anges i denna lag. Ändringen i tredje stycket avser att tydliggöra att Skatteverket ansvarar för den registrering som ska ske enligt lagen. Övervägandena finns i avsnitt 6.5.1. 1 a § Skatteverket ska registrera följande uppgifter om en person: 1. personnummer, 2. samordningsnummer, 3. namn, 4. födelsetid, 5. födelsehemort, 6. födelseort och födelseland, 7. adress, 8. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt, 9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och någon annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, 12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering enligt 19–22 §§, 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, och 17. uppehållsrätt. I paragrafen, som är ny och utformas efter synpunkter från Lagrådet, anges de uppgifter om en person som Skatteverket ska registrera enligt lagen. Uppräkningen i bestämmelsen motsvarar, med vissa redaktionella ändringar, de uppgifter om en person som enligt 2 kap. 3 § första stycket lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får behandlas i folkbokföringsdatabasen och som är relevanta vid folkbokföring. I punkt 6 görs ett förtydligande tillägg om vad som avses med födelseort. Med födelseort avses även land för en person som inte är född i Sverige (jfr prop. 1990/91:53 s. 40). Regleringen syftar inte till att begränsa vilka uppgifter Skatteverket får behandla. Att en uppgift inte anges innebär följaktligen inte att Skatteverket är förhindrat att behandla den uppgiften om behandlingen är nödvändig för att Skatteverket ska kunna utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges innebär endast att det inte är en sådan uppgift om en person som, om det är relevant, registreras om honom eller henne i samband med folkbokföring. Det innebär exempelvis att Skatteverket inte är förhindrat att fortsättningsvis behandla uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495). Skatteverket är vidare inte förhindrat att fortsättningsvis behandla uppgifter om anmälan enligt 5 kap. 2 § vallagen (2005:837). När det gäller tilldelning av personnummer enligt 18 b § får även fortsättningsvis grunden för tilldelningen behandlas. Övervägandena finns i avsnitt 6.5.1. 26 c § Om en handling som överlämnats enligt 26 b § har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. Paragrafen innehåller bestämmelser om kontroll av biometriska uppgifter som finns lagrade i handlingar i samband med identitetskontroll. I andra stycket, som är nytt, anges att när en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. Bestämmelsen motsvarar 1 kap. 7 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och överförs med endast redaktionella ändringar (jfr prop. 2021/22:276 s. 152). Övervägandena finns i avsnitt 6.5.1. 28 § En anmälan enligt 25 eller 26 § ska innehålla följande uppgifter: 1. namn och person- eller samordningsnummer, 2. datum för ändring av bostads- eller postadress, 3. ny bostads- och postadress samt beräknad giltighetstid, 4. registerbeteckning för den fastighet som den nya bostadsadressen avser och, om fastigheten innehåller flera bostadslägenheter med samma belägenhetsadress, lägenhetsnummer som avses i lagen (2006:378) om lägenhetsregister, och 5. vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser. En anmälan enligt 26 § första stycket ska dessutom innehålla 1. uppgift om födelsetid och medborgarskap, 2. uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess beräknade varaktighet, 3. uppgift om personnummer som personen har tilldelats i ett annat nordiskt land, och 4. övriga uppgifter som ska registreras enligt 1 a §. Paragrafen anger vilka uppgifter en anmälan enligt 25 eller 26 § ska innehålla. Ändringen i andra stycket punkt 4 är en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet upphävs och att de uppgifter om en person som ska registreras om honom eller henne enligt folkbokföringslagen i stället anges i 1 a §. Övervägandena finns i avsnitt 5 och 6.10.1. 31 § Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt denna lag eller för kontroll eller komplettering av andra uppgifter om en person som ska registreras enligt 1 a §. I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp. Paragrafen reglerar Skatteverkets möjligheter att besluta om föreläggande om att göra anmälan eller lämna uppgifter m.m. för att fullgöra en anmälningsskyldighet. Ändringen i andra meningen är en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet upphävs och att de uppgifter om en person som ska registreras om honom eller henne enligt folkbokföringslagen i stället anges i 1 a §. Övervägandena finns i avsnitt 5 och 6.10.1. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 17 kap. Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i vissa verksamheter 1 a § Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i 1. Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (2026:000), 2. Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (2026:000), 3. Tullverkets verksamhet som avses i 2 § tulldatalagen (2026:000), eller 4. Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (2026:000). Sekretess enligt första stycket gäller om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Paragrafen reglerar sekretess för vissa uppgifter som hänför sig till dataanalyser och urval i syfte att skydda allmänna intressen. Paragrafen, som utformas enligt Lagrådets förslag, ändras för att omfatta ytterligare verksamheter än Skatteverkets folkbokföringsverksamhet. I första stycket anges att sekretessen gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (2026:000) (punkt 1), Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (2026:000) (punkt 2), Tullverkets verksamhet som avses i 2 § tulldatalagen (2026:000) (punkt 3) och Kronofogdemyndighetens verksamhet som avses i 2 § tulldatalagen (2026:000) (punkt 4). Eftersom bestämmelsen nu utvidgas till att omfatta fler verksamheter än folkbokföringsverksamheten används begreppet fel i stället för felaktiga uppgifter. Fel utgör ett vidare begrepp än felaktiga uppgifter och avser alla typer av felaktigheter som kan förekomma i verksamheterna. Det kan t.ex. vara fråga om uppgifter som är felaktiga, men det kan även handla om att identifiera upplägg inom t.ex. beskattningen som leder till skatteundandraganden. Uppgifter som omfattas av sekretess är t.ex. uppgifter om vilka riskfaktorer som myndigheten har tagit fram för att identifiera misstänkta felaktigheter i verksamheten. Andra uppgifter som kan omfattas av sekretess är t.ex. hur dataanalyserna och urvalsmodellerna har utformats eller utvecklats. I andra stycket anges att sekretessen enligt första stycket gäller om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Sekretessbestämmelsen är utformad med ett rakt skaderekvisit, vilket innebär en presumtion för offentlighet. Det avgörande för om sekretess föreligger är därmed om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det allmännas syfte med sådana dataanalyser och urval som här avses. Mot bakgrund av de aktuella uppgifternas karaktär kan det ofta antas att myndigheternas möjligheter att förebygga, förhindra och upptäcka fel kommer att motverkas om uppgifterna blir offentliga. Behovet av att sekretessbelägga uppgifter om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval finns så länge myndigheterna har ett behov av att använda sådana i berörda verksamheter. Sekretessen hindrar alltså endast att uppgifterna lämnas ut så länge de används. Efter denna tidpunkt upphör sekretessen, vilket innebär att uppgifterna ska lämnas ut på begäran. Övervägandena finns i avsnitt 11.3. 22 kap. 1 a § Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Paragrafen innehåller bestämmelser om sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden som hänför sig till Skatteverkets dataanalyser och urval inom folkbokföringsverksamheten. Enligt första stycket gäller sekretess vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Stycket ändras till följd av bestämmelserna om dataanalyser och urval i Skatteverkets folkbokföringsverksamhet enligt folkbokföringsdatalagen. Ändringarna innebär att sekretessen inte längre knyts till en viss databas mot bakgrund av att den hittills gällande lagen (2001:182) om behandling av uppgifter i Skatteverkets folkbokföringsverksamhet upphör att gälla genom den nya folkbokföringsdatalagen. Bestämmelsen, som endast är tillämplig i Skatteverkets folkbokföringsverksamhet, innebär att det råder absolut sekretess för samtliga uppgifter om en enskilds personliga eller ekonomiska förhållanden i den aktuella verksamheten. Övervägandena finns i avsnitt 11.2.1. 1 c § Sekretess gäller i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (2026:000) för uppgift i en sammanställning ur en upptagning för automatiserad behandling, om sammanställningen grundar sig på uppgift om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen enligt första stycket gäller inte för uppgift om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. Paragrafen, som är ny, reglerar sekretess för vissa uppgifter i sammanställningar inom Skatteverkets folkbokföringsverksamhet. Första stycket innebär att absolut sekretess gäller i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (2026:000) för uppgift i en sammanställning ur en upptagning för automatiserad behandling, om sammanställningen grundar sig på uppgift om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessens föremål är utformat efter vilka uppgifter som omfattas av sökförbudet i hittills gällande 2 kap. 10 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, med undantag för uppgifter om samband grundat på adoption. Ett uttryckligt tillägg har gjorts avseende uppgift om födelseland i förhållande till vad som anges i det hittills gällande sökförbudet. Vidare anges endast uppgift om uppehållsrätt, till skillnad från uppgifter om uppehållsrätt för en person som är folkbokförd. Det räcker att någon av de uppräknade uppgifterna har använts för att göra sammanställningen tillgänglig för att uppgiften ska omfattas av sekretess. Enskilda uppgifter om exempelvis en viss persons födelseort i ett ärende omfattas däremot inte av bestämmelsen. I ett sådant fall får en prövning i stället göras enligt andra redan befintliga sekretessbestämmelser i offentlighets- och sekretesslagen som kan tillämpas på uppgifterna. I andra stycket föreskrivs ett undantag från den sekretess som anges i första stycket. Enligt undantaget gäller inte sekretessen för uppgift som ingår i en sådan sammanställning som avses i första stycket om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). De uppgifter som omfattas av undantaget är sådana som inte omfattas av sökförbudet i 2 kap. 10 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Tredje stycket innebär att för uppgift i en allmän handling gäller sekretessen i högst sjuttio år. Övervägandena finns i avsnitt 11.1. 6 § Den tystnadsplikt som följer av 1 § första stycket och 1 a–2 §§ inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. I paragrafen finns bestämmelser om rätten att meddela och offentliggöra uppgifter. Ändringen är en följd av ändringen av 1 a § och den nya bestämmelsen i 1 c § och innebär att tystnadsplikten som följer av de bestämmelserna inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Övervägandena finns i avsnitt 11.1 och 11.2. 27 kap. 1 § Sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretess gäller vidare 1. i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Skatteverket och används i verksamhet som avses i 2 § beskattningsdatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden, 2. hos kommun eller region för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatterättsnämnden har lämnat i ett ärende om förhandsbesked i en skatte- eller taxeringsfråga, och 3. hos Försäkringskassan för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatteverket har lämnat i ett ärende om särskild sjukförsäkringsavgift. Med skatt avses i detta kapitel skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund, skattetillägg, återkallelseavgift, dokumentationsavgift, rapporteringsavgift, plattformsavgift, kryptoavgift och förseningsavgift samt expeditionsavgift och tilläggsavgift enligt lagen (2004:629) om trängselskatt och tilläggsavgift enligt 8 a § lagen (2016:1067) om skatt på kemikalier i viss elektronik. Med verksamhet som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst. Första och andra styckena gäller inte om annat följer av 3, 4 eller 6 §. För uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år. I paragrafen regleras sekretess till skydd för enskild inom verksamhet som avser bestämmande av skatt, m.m., s.k. skattesekretess. Ändringen avser den s.k. databassekretessen. Sekretessen knyts inte längre till en viss databas. Detta eftersom lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet upphör att gälla genom beskattningsdatalagen (2026:000). Absolut sekretess gäller enligt andra stycket punkt 1 vid förande av eller uttag ur en automatiserad uppgiftssamling som Skatteverket använder i verksamhet som avses i 2 § beskattningsdatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden. Avsikten är att motsvarande sekretess som gällt hittills har gällt vid förande av eller uttag ur beskattningsdatabasen fortsatt ska gälla vid andra myndigheters direktåtkomst till sådana uppgifter som i dag behandlas i databasen. Den ändrade formuleringen innebär alltså att den sekretess som gäller hos Skatteverket även fortsättningsvis blir tillämplig också hos myndigheter som har direktåtkomst till uppgifter som behandlas automatiserat hos Skatteverket. Detta förutsätter att de anslutna myndigheterna inte tar ut uppgifter och använder dessa i sina egna verksamheter på något sätt. I sådana fall blir sekretessbestämmelserna för dessa verksamheter i stället tillämpliga. Avsikten är vidare att den primära sekretess som gäller vid Skatteverket genom bestämmelsen om databassekretess fortsatt ska gälla. Med automatiserad uppgiftssamling avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer avgränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av Skatteverkets verksamhet till vilken andra myndigheter kan ha direktåtkomst. Lydelsen en automatiserad uppgiftssamling som har upprättats av Skatteverket och används i verksamhet som avses i 2 § beskattningsdatalagen tydliggör att den ändrade bestämmelsen ges samma räckvidd som den hittills gällande bestämmelsen om databassekretess. Bestämmelsen omfattar större strukturerade och systematiserade automatiserade uppgiftssamlingar vid myndigheten, som det också kan bli aktuellt att ge andra myndigheter direktåtkomst till. Det är Skatteverket som myndighet som ska ha tagit fram en viss uppgiftssamling för användning i den aktuella verksamheten. Uppgifter om juridiska personer och i förekommande fall uppgifter om avlidna personer omfattas på samma sätt som gällt hittills. Övervägandena finns i avsnitt 11.2. 2 a § Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Paragrafen är ny och reglerar sekretess i verksamhet med dataanalyser och urval i Skatteverkets beskattningsverksamhet. Enligt första stycket gäller sekretess vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmelsen innebär att det råder absolut sekretess för uppgifterna i den aktuella verksamheten. Andra stycket anger att sekretessen gäller i högst tjugo år för uppgift i en allmän handling. Övervägandena finns i avsnitt 11.2.1. 3 § Sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Motsvarande sekretess gäller i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Tullverket och används i sådan verksamhet som avses i 2 § tulldatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Första och andra styckena gäller inte om annat följer av 6 §. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. I paragrafen regleras sekretess till skydd för enskild inom verksamhet som rör tull m.m. hos Tullverket, s.k. tullsekretess. Ändringen avser den s.k. databassekretessen. Sekretessen knyts inte längre till en viss databas. Detta eftersom lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet upphör att gälla genom den nya tulldatalagen (2026:000). Den ändrade lydelsen innebär att motsvarande sekretess som anges i första stycket ska gälla vid förande av eller uttag ur en automatiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen för uppgift som finns i den uppgiftssamlingen. Avsikten är att motsvarande sekretess som hittills gällt vid förande av eller uttag ur tulldatabasen fortsatt ska gälla vid andra myndigheters direktåtkomst till sådana uppgifter som behandlas i databasen. Den ändrade formuleringen innebär alltså att den sekretess som gäller hos Tullverket även fortsättningsvis blir tillämplig också hos myndigheter som har direktåtkomst till uppgifter som behandlas automatiserat hos Tullverket. Detta förutsätter att de anslutna myndigheterna inte tar ut uppgifter och använder dessa i sina egna verksamheter på något sätt. I sådana fall blir sekretessbestämmelserna för dessa verksamheter i stället tillämpliga. Avsikten är vidare att den primära sekretess som gäller vid Tullverket genom bestämmelsen om databassekretess fortsatt ska gälla. Med automatiserad uppgiftssamling avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer avgränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av Tullverkets verksamhet till vilken andra myndigheter kan ha direktåtkomst. Lydelsen en automatiserad uppgiftssamling som har upprättats av Tullverket och används i verksamhet som avses i 2 § tulldatalagen tydliggör att den ändrade bestämmelsen ges samma räckvidd som den hittills gällande bestämmelsen om databassekretess. Sekretessbestämmelsen omfattar större strukturerade och systematiserade automatiserade uppgiftssamlingar vid myndigheten, som det också kan bli aktuellt att ge andra myndigheter direktåtkomst till. Det är Tullverket som myndighet som ska ha tagit fram en viss uppgiftssamling för användning i den aktuella verksamheten. Uppgifter om juridiska personer och i förekommande fall uppgifter om avlidna personer omfattas av sekretessbestämmelsen på samma sätt som gällt hittills. Övervägandena finns i avsnitt 11.2.1. 3 a § Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som avses i 2 § tulldatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Paragrafen är ny och reglerar sekretess i verksamhet med dataanalyser och urval i Tullverkets verksamhet. Enligt första stycket gäller sekretess i verksamhet med dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som avses i 2 § tulldatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmelsen innebär att det råder absolut sekretess för uppgifterna i den aktuella verksamheten. Andra stycket anger att sekretessen gäller i högst tjugo år för uppgift i en allmän handling. Övervägandena finns i avsnitt 11.2.1. 4 § Sekretessen enligt 1, 2 och 3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Om en domstol i ett mål får en sekretessreglerad uppgift från en annan myndighet och den uppgiften saknar betydelse i målet, blir sekretessbestämmelsen tillämplig på uppgiften även hos domstolen. Paragrafen reglerar sekretess för uppgifter i mål hos domstol. Ändringen är föranledd av att nya paragrafer förs in i 2 a och 3 a §§ och innebär att de nya sekretessreglerna inte kommer att omfattas av bestämmelsen i 4 §. Den innebär ingen materiell ändring mot hittills gällande reglering. Övervägandena finns i avsnitt 11.2.2. 7 § Sekretessen enligt 1, 3 och 4 §§ hindrar inte att uppgift lämnas till en enskild enligt vad som föreskrivs i 1. lag om förfarande vid beskattning, 2. lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energiproduktion, 3. förordningen (2026:000) om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet, eller 4. förordningen (2026:000) om utlämnande av uppgifter från Tullverket. Paragrafen innehåller en sekretessbrytande bestämmelse. Ändringarna innebär inte några materiella förändringar mot vad som gällt hittills. Andra punkten ändras så att den hänvisar till lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energiproduktion. Detta angavs tidigare i punkt 3. Ändringen medför ingen materiell förändring utan görs för att de förordningar som paragrafen hänvisar till ska anges i kronologisk ordning. I tredje punkten ändras hänvisningen till förordningen (2026:000) om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet. I fjärde punkten ändras hänvisningen till förordningen (2026:000) om utlämnande av uppgifter från Tullverket. Övervägandena finns i avsnitt 5. 8 § Sekretessen enligt 1, 2, 3 och 4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs. Sekretessen enligt 2, 3 och 4 §§ hindrar inte att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs. Om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen. I paragrafen finns sekretessbrytande bestämmelser som gäller uppgift i ärende om revision eller ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter. Ändringarna i första och andra styckena är föranledda av att nya paragrafer förs in i 2 a och 3 a §§ och innebär att de nya sekretessreglerna inte kommer att omfattas av bestämmelsen i 8 §. Den innebär ingen materiell förändring mot vad som gällt hittills. Övervägandena finns i avsnitt 11.2.2. 10 § Den tystnadsplikt som följer av 1 §, 2 § första stycket och 2 a–5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. I paragrafen finns bestämmelser om rätten att meddela och offentliggöra uppgifter. Ändringen är en följd av de nya bestämmelserna i 2 a och 3 a §§. Den innebär att tystnadsplikten som följer av de bestämmelserna inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Övervägandena finns i avsnitt 11.2.1. 34 kap. Uppgifter i automatiserade uppgiftssamlingar 2 § Under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Kronofogdemyndigheten och används i verksamhet som avses i 2 § första stycket 1 och 5 kronofogdedatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. Paragrafen reglerar sekretess till skydd för enskild i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud hos Kronofogdemyndigheten. Ändringen avser den s.k. databassekretessen. Ändringen innebär att sekretessen inte längre knyts till en viss databas. Detta eftersom lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet upphör att gälla genom den nya kronofogdedatalagen (2026:000). Den ändrade lydelsen innebär att under motsvarande förutsättningar som i 1 § ska sekretess gälla vid förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Kronofogdemyndigheten och används i verksamhet som avses i 2 § första stycket 1 och 5 kronofogdedatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden. De aktuella punkterna i 2 § avser utsökning och indrivning samt ansökan om och tillsyn över näringsförbud. Avsikten är att motsvarande sekretess som gäller vid förande av eller uttag ur utsöknings- och indrivningsdatabasen fortsatt ska gälla vid andra myndigheters direktåtkomst till sådana uppgifter som behandlas i databasen. Ändringen innebär alltså att den sekretess som gäller hos Kronofogdemyndigheten även fortsättningsvis blir tillämplig också hos myndigheter som har direktåtkomst till uppgifter som behandlas automatiserat hos Kronofogdemyndigheten. Detta förutsätter att de anslutna myndigheterna inte tar ut uppgifter och använder dessa i sina egna verksamheter på något sätt. I sådana fall blir sekretessbestämmelserna för dessa verksamheter i stället tillämpliga. Avsikten är vidare att den primära sekretess som gällt hittills vid Kronofogdemyndigheten genom bestämmelsen om databassekretess fortsatt ska gälla. Med automatiserad uppgiftssamling avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer avgränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av Kronofogdemyndighetens verksamhet till vilken andra myndigheter kan ha direktåtkomst. Lydelsen en automatiserad uppgiftssamling som har upprättats av Kronofogdemyndigheten och används i verksamhet som avses i 2 § kronofogdedatalagen tydliggör att den ändrade bestämmelsen ges samma räckvidd som den hittills gällande bestämmelsen om databassekretess. Bestämmelsen omfattar större strukturerade och systematiserade automatiserade uppgiftssamlingar vid myndigheten, som det också kan bli aktuellt att ge andra myndigheter direktåtkomst till. Det är Kronofogdemyndigheten som myndighet som ska ha tagit fram en viss uppgiftssamling för användning i den aktuella verksamheten. Övervägandena finns i avsnitt 11.2.1. 3 § Uppgift som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 18 § kronofogdedatalagen (2026:000) omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. I paragrafen regleras sekretess för vissa uppgifter som Kronofogdemyndigheten har beslutat att blockera. Ändringarna i första stycket är föranledda av att lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet upphävs, av ändringen av sekretessbestämmelsen i 34 kap. 2 § och av att en ny paragraf om rättelse införs i 18 § kronofogdedatalagen (2026:000) vilken ersätter hittills gällande 3 kap. 3 a § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Bestämmelsen motsvarar den hittills gällande bestämmelsen om sekretess (jfr prop. 2007/08:116 s. 30). Övervägandena finns i avsnitt 5. 4 § Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 och 10 b §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Om sekretess gäller enligt första stycket, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. I paragrafen finns sekretessregler som gäller uppgifter hänförliga till internationella avtal. Ändringen i första stycket är föranledd av att en ny paragraf införs, 10 b §, och innebär att den nya sekretessregeln kommer att omfattas av regleringen i 4 §. Övervägandena finns i avsnitt 11.2.2. Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Kronofogdemyndighetens verksamhet samt motverka överskuldsättning 10 b § Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Kronofogdemyndighetens verksamhet som omfattas av 2 § kronofogdedatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretess gäller även i Kronofogdemyndighetens verksamhet som avser dataanalyser och urval i syfte att motverka överskuldsättning för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. Paragrafen är ny och reglerar sekretess i verksamhet som avser dataanalyser och urval i Kronofogdemyndighetens verksamhet. Enligt första stycket första meningen gäller sekretessen i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (2026:000) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Enligt första stycket andra meningen gäller motsvarande sekretess också i Kronofogdemyndighetens verksamhet som avser dataanalyser och urval i syfte att motverka överskuldsättning. Sekretessen gäller vid alla dataanalyser och urval som sker i Kronofogdemyndighetens verksamhet för detta syfte. Bestämmelsen innebär att det råder absolut sekretess för uppgifterna i de aktuella verksamheterna. . Andra stycket innehåller en bestämmelse om att sekretessen gäller i högst tjugo år för uppgift i en allmän handling. I de fall uppgiften avser en enskilds personliga förhållanden gäller dock sekretessen för uppgift i en allmän handling i högst femtio år. Övervägandena finns i avsnitt 11.2.1. 11 § Den tystnadsplikt som följer av 4 och 10 b §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 5 § andra stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. I paragrafen finns bestämmelser om rätten att meddela och offentliggöra uppgifter. Ändringen är en följd av den nya 10 b § som innebär att tystnadsplikten som följer av bestämmelsen inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Övervägandena finns i avsnitt 11.2.1. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 2 april 2026. 2. För uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § den upphävda lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet gäller 34 kap. 3 § i den äldre lydelsen. Enligt punkt 1 träder lagen i kraft den 2 april 2026. Enligt punkt 2 gäller äldre bestämmelser i fråga om uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet efter ikraftträdandet den 2 april 2026. Det innebär att sådana uppgifter omfattas av sekretess enligt den tidigare lydelsen av 34 kap. 3 §. Övervägandena finns i avsnitt 14. Förslaget till lag om ändring i lagen (2022:1697) om samordningsnummer 1 kap. 2 § Skatteverket beslutar i ärenden enligt denna lag. Skatteverket ska registrera följande uppgifter om en person: 1. samordningsnummer, 2. personnummer, 3. namn, 4. födelsetid, 5. medborgarskap, 6. födelseort och födelseland, 7. kontaktadress, 8. om personens identitet är styrkt, sannolik eller osäker, 9. tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1, 10. vilandeförklaring enligt 3 kap. 2 §, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, och 11. tidpunkt för när en person har avlidit. Bestämmelser om folkbokföring och personnummer finns i folkbokföringslagen (1991:481). Paragrafen reglerar bl.a. vilken myndighet som beslutar i ärenden enligt lagen och vilka uppgifter som ska registreras om en person. Paragrafen utformas efter synpunkter från Lagrådet. Genom ändringen i andra stycket anges de uppgifter om en person som Skatteverket ska registrera. Uppräkningen motsvarar, med vissa redaktionella ändringar, de uppgifter om en person som enligt 2 kap. 3 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet har fått behandlas i folkbokföringsdatabasen och som är relevanta avseende en person som har tilldelats samordningsnummer. Det innebär att uppgiftskategorier som enbart registreras vid folkbokföring, eller uppgiftskategorier som inte avser en specifik uppgift om en person, inte anges i bestämmelsen. I punkt 6 görs ett förtydligande avseende vad som avses med födelseort. Med födelseort avses även land för en person som inte är född i Sverige (jfr prop. 1990/91:53 s. 40). Bestämmelsen syftar inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla. Att en uppgift inte anges innebär alltså inte att Skatteverket är förhindrat att behandla den uppgiften om behandlingen är nödvändig för att Skatteverket ska kunna utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges innebär endast att det inte är en sådan uppgift om en person som har tilldelats samordningsnummer som, om det är relevant, registreras om honom eller henne. Det innebär exempelvis att Skatteverket inte är förhindrat att behandla uppgifter om vilka identitetshandlingar som har legat till grund för identifiering vid tilldelning av samordningsnummer. Skatteverket är vidare inte förhindrat att behandla de uppgifter om personer som före år 2000 tilldelats personnummer utan samband med folkbokföring som är nödvändiga för att utföra sin verksamhet enligt lagen om samordningsnummer, t.ex. i fråga om vilandeförklaring och tidpunkt för när en person har avlidit. Övervägandena finns i avsnitt 6.5.2. 2 kap. 4 § Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. Paragrafen innehåller bestämmelser om kontroll av bl.a. biometriska uppgifter i handlingar. I det nya andra stycket anges att när en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. Regleringen motsvarar 1 kap. 7 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och överförs med endast redaktionella ändringar (jfr prop. 2021/22:276 s. 152). Övervägandena finns i avsnitt 6.5.2. 4 kap. 1 § En myndighet ska underrätta Skatteverket om det kan antas att en uppgift som har registrerats enligt 1 kap. 2 § om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. En sådan underrättelse behöver inte lämnas om särskilda skäl talar mot det. Skyldigheten i första stycket gäller inte för Skatteverkets brottsbekämpande verksamhet. Den gäller inte heller i fråga om uppgifter som omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400). Paragrafen innehåller bestämmelser om myndigheters underrättelseskyldighet beträffande oriktiga eller ofullständiga uppgifter. Ändringen i första stycket innebär att hänvisningen till folkbok-föringsdatabasen utgår. Ändringen är en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet upphävs och att de uppgifter som har registrerats om en person i stället anges i 1 kap. 2 §. Övervägandena finns i avsnitt 6.5.2. 2 § Om en person med ett samordningsnummer har en kontaktadress registrerad, ska han eller hon anmäla ändringar av adressen till Skatteverket. Anmälningsskyldigheten gäller inte om samordningsnumret är vilande eller personen omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall. Paragrafen innehåller bestämmelser om skyldigheten att anmäla ändringar av registrerad kontaktadress till Skatteverket. Ändringen i första stycket innebär att hänvisningen till folkbokföringsdatabasen utgår. Ändringen är en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet upphävs och att de uppgifter som ska registreras om en person i stället anges i 1 kap. 2 §. Övervägandena finns i avsnitt 6.5.2. Övriga lagförslag Lagförslagen är en följd av införandet av beskattningsdatalagen (2026:000), folkbokföringsdatalagen (2026:000), lagen (2026:000) om det statliga personadressregistret, lagen (2026:000) om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, tulldatalagen (2026:000) och kronofogdedatalagen (2026:000). Genom dessa lagar upphävs lagen (1998:527) om det statliga personadressregistret, lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. I flera författningar ersätts hänvisningar till de upphävda lagarna av hänvisningar till de nya lagarna. Hänvisningar till de särskilda databaserna eller till uppgifter i dessa som finns i andra författningar ersätts i flera fall av hänvisningar till den verksamhet som avses eller uppgifter som finns i sådan verksamhet. Dessa följdändringar, som inte innebär någon ändring i sak, samt vissa språkliga och redaktionella ändringar, görs i: • lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter • lagen (1991:483) om fingerade personuppgifter • lönegarantilagen (1992:497) • sametingslagen (1992:1433) • lagen (1994:692) om kommunala folkomröstningar • lagen (1994:1776) om skatt på energi • lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. • lagen (1999:291) om avgift till registrerat trossamfund • studiestödslagen (1999:1395) • vallagen (2005:837) • lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar • lagen (2006:939) om kvalificerade skyddsidentiteter • skatteförfarandelagen (2011:1244) • lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter • kommunallagen (2017:725) • lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område • lagen (2022:155) om tobaksskatt • lagen (2022:156) om alkoholskatt • lagen (2022:856) om omställningsstudiestöd Övervägandena finns i avsnitt 5 och 6.10.1. Sammanfattning av SOU 2023:100 Vårt uppdrag Vi har haft i uppdrag att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen. I uppdraget har även ingått att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag liksom att göra en översyn av registerförfattningarnas struktur och terminologi. En annan del av vårt uppdrag har bestått i att se över förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. En utgångspunkt har varit att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med dataanalyser och urval. Reglerna behöver dessutom vara teknikneutrala och flexibla samt ge myndigheterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt. Våra utgångspunkter för en modern och ändamålsenlig reglering En utgångspunkt för vårt arbete har varit att den kompletterande dataskyddsregleringen ska omfatta de bestämmelser som krävs för att den ska kunna utgöra ett adekvat skydd för enskildas personliga integritet. I den kompletterande dataskyddsregleringen bör myndigheterna därför ges möjlighet att utföra personuppgiftsbehandling endast i den utsträckning det är proportionerligt i förhållande till enskildas berättigade intresse av skydd för information om sina personliga förhållanden. Inom EU finns en generell reglering av personuppgiftsbehandling i EU:s dataskyddsförordning. Förordningen kompletteras i svensk rätt på ett generellt plan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Dataskyddsförordningen är i dag den primära dataskyddsrättsliga rättskällan och bestämmelserna i förordningen ska tillämpas av myndigheterna på precis samma sätt som om de fanns i en svensk författning. Även om dataskyddsförordningen både förutsätter och medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler, finns det inte längre samma behov som tidigare av att i sektorsspecifik dataskyddsreglering begränsa eller tydliggöra vilken personuppgiftsbehandling som får förekomma inom en myndighet i syfte att upprätthålla ett adekvat integritetsskydd. Förordningen syftar till att skapa en enhetlig och likvärdig nivå för integritetsskyddet inom unionen och den kompletterande regleringen bör endast avvika från vad som annars hade gällt enligt dataskyddsförordningen om det framstår som nödvändigt för att skapa ett adekvat integritetsskydd. Regeringens överväganden i samband med dataskyddslagens tillkomst kan ligga till grund för bedömningen av behovet av kompletterande reglering. Mot bakgrund av den snabba tekniska utvecklingen bör de kompletterande bestämmelserna vara teknikneutrala i så hög utsträckning som möjligt. I det ligger inte enbart frågan om vilken terminologi som används, utan målsättningen om teknikneutralitet bör tillåtas påverka även vilka förfaranden som över huvud taget ska regleras. Vidare bör enbart de förhållanden som behöver regleras för att åstadkomma ett adekvat integritetsskydd regleras i kompletterande dataskyddsreglering. De kompletterande författningarna bör inte omfatta bestämmelser vars syfte är att reglera andra förhållanden än dataskydd. Dubbelreglering bör undvikas. Kompletterande dataskyddsreglering bör dessutom utformas på ett enhetligt sätt i förhållande till annan liknande lagstiftning. Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten För Skatteverket, Tullverket och Kronofogdemyndigheten finns i svensk rätt särskilda registerförfattningar som kompletterar EU:s dataskyddsförordning och dataskyddslagen. Vi föreslår att följande registerlagar, med tillhörande förordningar, som i dag tillämpas i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter ska upphävas: lagen (1998:527) om det statliga personadressregistret lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet lagen (2001:184) om behandling av uppgifter i Kronofogde-myndighetens verksamhet lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet lagen (2015:898) om behandling av personuppgifter i Skatte-verkets äktenskapsregister- och bouppteckningsverksamheter. Vi föreslår också att dessa ovan angivna lagar ska ersättas av nya myndighetsspecifika lagar om dataskydd: lag om det statliga personadressregistret beskattningsdatalag folkbokföringsdatalag kronofogdedatalag tulldatalag lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Lagarnas övergripande syften föreslås vara att ge berörda myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Vi föreslår även att lagarna kompletteras med tillhörande förordningar. Nedan i sammanfattningen behandlas våra förslag till lag om det statliga personadressregistret och lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter separat under särskilda rubriker. Lagarnas tillämpningsområden och förhållande till annan reglering Vi föreslår att beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronfogdedatalagen endast ska gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgifterna ingår i eller kommer att ingå i ett register. Lagarna ska inte omfatta behandling av uppgifter i administrativ verksamhet. Vidare bör lagarna inte omfatta behandling av uppgifter om juridiska personer. Ett undantag görs dock i kronofogdedatalagen som vi föreslår ska vara tillämplig på uppgifter om juridiska personer i fråga om särskilda bestämmelser om rättelse m.m. och överklagande i den lagen, mer om det nedan. Vi gör också bedömningen att de nya lagarna inte bör omfatta behandling av uppgifter om avlidna personer. Utöver detta ska bestämmelserna i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen inte gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. De nya lagarna bör enligt vår mening ha samma materiella tillämpningsområden som de nu gällande databaslagarna. Beskattningsdatalagen föreslås därför gälla vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Vad som avses med Skatteverkets beskattningsverksamhet ska framgå av lagen och rör bl.a. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Beskattningsdatalagen ska också gälla i viss annan verksamhet inom Skatteverket. Folkbokföringsdatalagen föreslås gälla vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Vad som avses med folkbokföringsverksamhet ska framgå av folkbokföringsdatalagen. Det handlar bl.a. om myndighetens verksamhet med folkbokföring och samordningsnummer. Tulldatalagen föreslås gälla vid behandling av personuppgifter i de delar av Tullverkets verksamhet som anges i lagen. Det rör bl.a. verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter. Kronofogdedatalagen föreslås gälla vid behandling av personuppgifter i de delar av Kronofogdemyndighetens verksamhet som anges i lagen. Det handlar bl.a. om verksamhet med utsökning och indrivning, skuldsanering och F-skuldsanering, betalningsföreläggande och handräckning samt tillsyn i konkurs och över rekonstruktörer. Bestämmelserna i kronofogdedatalagen ska dock inte gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. I likhet med vad som gäller för databaslagarna i dag föreslås bestämmelserna i lagarna komplettera EU:s dataskyddsförordning. Därutöver ska dataskyddslagen gälla vid behandlingen av personuppgifter enligt de nya lagarna, om inte annat följer av dessa eller föreskrifter som har meddelats i anslutning till de nya lagarna. Myndigheternas personuppgiftsansvar Skatteverket, Tullverket och Kronofogdemyndigheten föreslås vara ensamt personuppgiftsansvariga för den behandling av personuppgifter som myndigheterna utför enligt de lagar som ska tillämpas i respektive myndighets verksamheter och föreskrifter som har meddelats i anslutning till de nya lagarna. Det motsvarar i sak dagens reglering, med undantag för vissa delar av bestämmelsen om personuppgiftsansvar i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Mindre detaljerade ändamålsbestämmelser Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Det framgår av artikel 5.1 b i EU:s dataskyddsförordning. Det är mot det särskilda, uttryckligt angivna och berättigade ändamålet som ett flertal av de grundläggande principerna i förordningen ska prövas och iakttas. Ändamålet med behandlingen avgör vilka uppgifter som får behandlas, hur länge de får behandlas och för vilka tillkommande ändamål de får vidarebehandlas. De ändamål som framgår av de befintliga registerförfattningarnas ändamålsbestämmelser går inte att likställa med sådana särskilda, uttryckligt angivna och berättigade ändamål som dataskyddsförordningen kräver ska finnas för varje behandling. De är i stället snarast att betrakta som en yttersta ram för vilken behandling som är tillåten och de omfattar all personuppgiftsbehandling inom författningarnas materiella tillämpningsområden. Vi föreslår en ny bred ändamålsbestämmelse i respektive myndighetsspecifik dataskyddslag som innebär att Skatteverket, Tullverket och Kronofogdemyndigheten även i fortsättningen ska få behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom de nya datalagarnas respektive materiella tillämpningsområden. Det innebär att samtliga ändamål som framgår av dagens reglering omfattas av den nya bestämmelsen. Även vissa ändamål som inte uttryckligen regleras i dagens ändamålsbestämmelser kommer att omfattas av den nya och brett formulerade ändamålsbestämmelsen, exempelvis utveckling och testning av befintliga eller nya it-system. Ansvaret för att formulera särskilda, uttryckligt angivna och berättigade ändamål i det enskilda fallet vilar på den personuppgiftsansvariga myndigheten i enlighet med artikel 5.2 i dataskyddsförordningen. Den föreslagna bestämmelse som avser behandling av personuppgifter för att utföra verksamhet inom respektive lags materiella tillämpningsområde är mindre detaljerad än dagens ändamålsbestämmelser. Bestämmelsen motsvarar s.k. primära ändamål och föreslås kompletteras av en upplysningsbestämmelse om regeringens möjlighet att meddela föreskrifter om ändamålen med behandlingen. Vi föreslår även en bestämmelse som avser s.k. sekundära ändamål och anger att uppgifter som behandlas med stöd av den primära ändamålsbestämmelsen får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. De primära och sekundära ändamålsbestämmelserna föreslås kompletteras av en bestämmelse som motsvarar den s.k. finalitetsprincipen eller principen om ändamålsbegränsning som framgår av artikel 5.1 b i dataskyddsförordningen. Av bestämmelsen ska framgå att uppgifter som behandlas i enlighet med den primära ändamålsbestämmelsen får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. En sådan bestämmelse gör det tydligare för den registrerade att uppgifterna kan behandlas även för andra ändamål än de som uppgifterna samlats in för. Databasregleringen ska upphävas I dagens registerförfattningar finns en särskild reglering av myndigheternas uppgiftssamlingar som används gemensamt i verksamheten, s.k. databaser. Databas avser i sammanhanget inte en tekniskt avgränsad databas utan är ett juridiskt begrepp. Databasregleringen omfattar bl.a. särskilda bestämmelser om vilka uppgiftskategorier som får behandlas, vilka olika former av elektroniskt utlämnande som får användas vid utlämnande samt bestämmelser om gallring och bevarande. Bestämmelser om vilka personuppgifter som får användas gemensamt inom verksamheterna är utmärkande för databasregleringen. Regleringen kom till under en period då digitaliseringen av förvaltningen endast var påbörjad, och utgår från väsentligt andra tekniska och rättsliga förutsättningar för myndigheters personuppgiftsbehandling än dagens. Vid tidpunkten för databasregleringens tillkomst utgjorde digital informationshantering ett komplement till den analoga hanteringen. I dag är myndigheternas digitala informationshantering i stället fullt integrerad i myndigheternas verksamhet och utgör inte längre ett komplement, utan omfattar all informationshantering. Det innebär att databasregleringen har fått en annan funktion än avsett. Regleringen begränsar i dag inte enbart vilka uppgifter som får göras gemensamt tillgängliga utan också vilka uppgiftskategorier myndigheterna över huvud taget får behandla, om det inte är möjligt att utföra behandlingen utanför databasen. Vi bedömer att EU:s dataskyddsförordning, som ställer krav på bl.a. tekniska och organisatoriska säkerhetsåtgärder och åtkomstbegränsning vid personuppgiftsbehandling inom myndigheterna, utgör en tillräcklig reglering för att säkerställa att uppgifter som är gemensamt tillgängliga får ett adekvat skydd. Utifrån den allmänna dataskyddsregleringeringen och rådande tekniska förutsättningar för personuppgiftsbehandling finns det enligt vår bedömning inte något behov av att för Skatteverket, Tullverket och Kronofogdemyndigheten införa särskilda regler för sådan behandling av personuppgifter som innebär att fler än ett fåtal personer har tillgång till uppgifterna. Enligt vår bedömning bör den särskilda databasregleringen därför inte ha någon motsvarighet i de nya dataskyddslagarna. Inte heller i övrigt bör det införas någon generell begränsning av vilka kategorier av personuppgifter som myndigheterna får behandla i syfte att utföra sin verksamhet. För Skatteverkets folkbokföringsverksamhet finns det dock skäl att i viss utsträckning föra över regleringen av vilka uppgifter om en person som i dag får behandlas i folkbokföringsdatabasen till andra författningar. Folkbokföring innebär nämligen fastställande av en persons bosättning samt registrering av vissa uppgifter om personen. Vilka uppgifter som får registreras vid folkbokföring framgår i dag av regleringen av vilka uppgifter som får behandlas i folkbokföringsdatabasen. Vi föreslår i stället att vilka uppgifter som får registreras om en person vid folkbokföring ska framgå av en ny materiell bestämmelse i folkbokföringslagen (1991:481). Den nya bestämmelsen föreslås i sak motsvara regleringen av vilka uppgifter som i dag får behandlas i folkbokföringsdatabasen, i den utsträckning de uppgifterna är relevanta vid folkbokföring. Skatteverket registrerar också vissa uppgifter om personer som tilldelas ett samordningsnummer i enlighet med bestämmelserna om vilka uppgifter som får behandlas i folkbokföringsdatabasen. Vi föreslår därför att det även införs en ny bestämmelse i lagen (2022:1697) om samordningsnummer som i relevanta delar motsvarar dagens reglering av vilka uppgifter som får behandlas i folkbokföringsdatabasen. Databasregleringens upphävande medför även vissa andra förändringar i de nyss nämna lagarna. Känsliga personuppgifter, uppgifter om lagöverträdelser samt person- och samordningsnummer Med känsliga personuppgifter avses enligt EU:s dataskyddsförordning uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Behandling av sådana uppgifter är som utgångspunkt förbjuden. Undantag kan dock göras om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, och vissa ytterligare förutsättningar är uppfyllda. Skatteverket, Tullverket och Kronofogdemyndigheten har behov av att kunna behandla sådana uppgifter inom sina respektive verksamheter när så är relevant till följd av materiell verksamhetsreglering. Vi föreslår att myndigheterna ska få behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 i dataskyddsförordningen får enligt förordningen utföras under kontroll av en myndighet. Skatteverket, Tullverket och Kronofogdemyndigheten har i vissa fall behov av att kunna behandla sådana personuppgifter. Vi bedömer att den behandling av personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott som Skatteverket, Tullverket och Kronofogdemyndigheten behöver utföra inte bör begränsas eller på annat sätt särregleras i de nya lagarna. Vidare gör vi bedömningen att det inte behöver finnas särskilda bestämmelser om behandling av personnummer och samordningsnummer. Sådana bestämmelser finns i dataskyddslagen. Sökbegränsningar Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och sökbegränsningar kan vara ett viktigt och ändamålsenligt sätt att minska dessa risker. Vi föreslår att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska föreskrivas att det som huvudregel är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet ska dock inte omfatta sökningar som sker i syfte att få fram ett urval av personer grundat på vissa kategorier av känsliga personuppgifter, om sökningen är nödvändig för att myndigheterna ska kunna utföra en uppgift i verksamhet som omfattas av respektive föreslagen lag. Vilka sökningar som ska undantas från sökförbudet måste anpassas efter respektive myndighets behov. Förbudet ska inte heller omfatta sökningar i en viss handling eller i ett visst ärende. Vi föreslår också ett särskilt sökförbud i folkbokföringsdatalagen som innebär att det ska vara förbjudet att som sökbegrepp använda uppgifter om vissa relationssamband som är grundade på adoption. Tillgången till personuppgifter En utgångspunkt enligt EU:s dataskyddsförordning är att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om personuppgifter sprids ökar risken för att uppgifterna kommer att användas på ett sätt som innebär ett intrång i de registrerades personliga integritet. Vi föreslår att det ska införas bestämmelser i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter samt att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. I de förordningar som hör till lagarna föreslår vi att det ska finnas en reglering som innebär att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Det ska även regleras att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter. Elektroniskt utlämnande av personuppgifter ska vara tillåtet om det inte är olämpligt Formen för ett tillåtet eller föreskrivet uppgiftslämnande, dvs. om det ska ske exempelvis muntligt, på papper eller på elektronisk väg, är en fråga som är skild från regleringen av utlämnandet i sak. I EU:s dataskyddsförordning finns ingen reglering som särskilt avser vilka tekniska lösningar eller vilka system som får användas vid utlämnande eller överföring av personuppgifter. I nuvarande registerförfattningar finns däremot bestämmelser som särskilt reglerar i vilka situationer uppgifter över huvud taget får lämnas ut elektroniskt till enskilda (via exempelvis e-post), och i vilka situationer utlämnande får ske genom s.k. direktåtkomst till både myndigheter och enskilda. Direktåtkomst är en särskild form av elektroniskt utlämnande som innebär att den utlämnande myndigheten saknar kontroll över vilka uppgifter den mottagande aktören (ofta en annan myndighet) vid varje enskilt tillfälle tar del av. När direktåtkomsten är aktiv anses samtliga uppgifter som omfattas vara inkomna till den mottagande myndigheten i enlighet med offentlighetsprincipen, och kan därmed komma att ingå i allmänna handlingar där. Direktåtkomst ger därmed upphov till s.k. överskottsinformation och har bl.a. av den anledningen bedömts vara särskilt känsligt ur integritetssynpunkt. Den tekniska utvecklingen har dock lett till att skillnaden i integritetshänseende mellan direktåtkomst och andra former av helt automatiserat informationsutbyte inte längre är särskilt stor. Nya former av informationsutbyte kan dessutom ge samma effektivitetsvinster som vid direktåtkomst, utan att uppgifter som tillgängliggörs men inte hämtas in av mottagaren blir del av allmänna handlingar hos den mottagande myndigheten. Vi bedömer att flertalet av de integritetsrisker som har legat till grund för tidigare ställningstaganden om direktåtkomst i dag är läkta genom bestämmelserna i dataskyddsförordningen. Vi bedömer därmed att dagens begränsningar av myndigheternas möjligheter att lämna ut uppgifter genom direktåtkomst inte bör ha någon motsvarighet i de nya dataskyddslagarna. I lagstiftningshänseende bör direktåtkomst i stället likställas med övriga former av elektroniskt utlämnande. Vi föreslår att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt. Det innebär att Skatteverkets i dess beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska ges möjlighet att, med beaktande av den allmänna dataskyddsregleringen och övriga tillämpliga bestämmelser, samt i förekommande fall efter samråd med Integritetsskyddsmyndigheten, själva avgöra i vilken form ett föreskrivet utlämnande ska få ske. Bestämmelser om uppgiftslämnande ska flyttas till särskilda förordningar om utlämnande av uppgifter EU:s dataskyddsförordning kräver att det finns en rättslig grund för all behandling av personuppgifter. För att en myndighet ska kunna lämna ut personuppgifter till en tredje part krävs som utgångspunkt en bestämmelse i nationell rätt eller unionsrätten som tillåter eller föreskriver utlämnandet. Visst utlämnande kan också ske med stöd av finalitetsprincipen. För uppgifter som är skyddade av sekretess krävs också att det finns en sekretessbrytande bestämmelse för att en uppgift ska kunna lämnas ut från det sammanhang där den är sekretessbelagd. I de nuvarande registerförfattningarna för Skatteverket, Tullverket och Kronofogdemyndigheten finns sekretessbrytande bestämmelser som anger att myndigheten har en skyldighet eller möjlighet att under vissa omständigheter lämna ut uppgifter till andra myndigheter och till enskilda. Sådana bestämmelser finns också i andra författningar och i unionsrätten. Behandling av personuppgifter i syfte att lämna ut dem till någon annan aktualiserar frågor om dataskydd, bl.a. om säkerhet vid informationsöverföringen. Bestämmelser som anger att ett utlämnande av uppgifter får eller ska ske under vissa förutsättningar utgör dock inte dataskyddsbestämmelser. Vi föreslår därför att sådana bestämmelser inte ska finnas i de nya dataskyddsförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten, och att bestämmelser som reglerar utlämnande i stället ska föras in i nya förordningar. I förordningarna ska även bestämmelser om myndigheternas rätt att ta ut avgifter i vissa fall finnas. Bestämmelserna i de nya förordningarna föreslås i huvudsak motsvara dagens bestämmelser. Vi föreslår dock vissa justeringar av bestämmelsernas utformning, huvudsakligen i syfte att kompensera för att viss befintlig särreglering av när direktåtkomst är tillåten föreslås upphävas. För att möjliggöra olika former av elektroniskt utlämnande föreslår vi även att de nya bestämmelserna inte ska avse utlämnande som får ske endast på begäran av den mottagande myndigheten. I de fall den nuvarande regleringen avser ett utlämnande på begäran föreslår vi i stället att de nya bestämmelserna förenas med ett förbud mot utlämnande på initiativ av den utlämnande myndigheten. Initiativförbudet avser enbart det faktiska utlämnandet och syftar till att förhindra spontant utlämnande utan att det föregåtts av kontakt med mottagaren. Reglering om gallring ska ersättas med bestämmelser om längsta tid för behandling I de befintliga registerförfattningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten finns bestämmelser om gallring och bevarande. Enligt vår bedömning är dock både gallring och bevarande begrepp som främst hör till det arkivrättsliga regelverket och som inte bör användas om syftet är integritetsskydd. Den arkivrättsliga utgångspunkten är nämligen att allmänna handlingar ska bevaras. Vi föreslår därför att det fortsättningsvis görs en tydlig uppdelning mellan arkivrättsliga bestämmelser å ena sidan och dataskyddsbestämmelser å andra sidan, och att den kompletterande dataskyddsregleringen inte ska innehålla bestämmelser om gallring. En grundläggande princip för personuppgiftsbehandling enligt EU:s dataskyddsförordning är den om lagringminimering, dvs. att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för ändamålet med behandlingen (artikel 5.1 e). Vi föreslår att en bestämmelse som motsvarar principen om lagringsminimering ska finnas i lag, men att det i övrigt inte anges någon yttersta tidsgräns för behandling. Myndigheterna måste därför som regel själva avgöra hur lång tid det är motiverat att behandla uppgifter för ett särskilt ändamål. Däremot kan regeringen eller den myndighet regeringen bestämmer föreskriva om yttersta tidsgränser för behandling för vissa ändamål, om det är påkallat av exempelvis integritetshänsyn eller effektivitetshänsyn. Bestämmelsen om längsta tid för behandling avser endast sådana ändamål som omfattas av det materiella tillämpningsområdet. Det innebär att det inte finns något hinder mot fortsatt behandling för arkivändamål. När uppgifter enbart behandlas för arkivändamål är det arkivlagstiftningens bestämmelser, dvs. i praktiken Riksarkivets beslut eller föreskrifter, som avgör hur länge uppgifter (som ingår i en allmän handling) ska behandlas för detta ändamål. Enskildas rättigheter ska begränsas i vissa fall Rätten att göra invändningar mot behandling av personuppgifter regleras i artikel 21 i EU:s dataskyddsförordning. Vi föreslår att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska föreskrivas att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte ska gälla vid sådan behandling som är tillåten enligt lagarna eller föreskrifter som har meddelats i anslutning till lagarna. Denna begränsning innebär inte något nytt utan finns i dag i motsvarande registerlagar. Vidare föreslår vi att det ska införas en bestämmelse i beskattningsdatalagen som reglerar att vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska vissa bestämmelser om rätt till information och tillgång till personuppgifter i dataskyddsförordningen inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. Särskilda bestämmelser om rättelse och överklagande för Kronofogdemyndigheten I dag finns särskilda bestämmelser om rättelse m.m. och överklagande i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Bestämmelserna är motiverade av de potentiella effekterna av att registreras hos myndigheten. Vi föreslår att det ska införas sådana särskilda bestämmelser även i den nya kronofogdedatalagen, dock med vissa ändringar i förhållande till vad som gäller i dag. Bestämmelsen om rättelse m.m. ska ange att på begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som inte har behandlats i enlighet med den lagen eller anslutande författningar, eller som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Bestämmelsen ska inte vara tillämplig på uppgifter om avlidna personer. Avseende juridiska personer ska bestämmelsen vara tillämplig enbart beträffande om uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd att rätta, blockera eller utplåna uppgifter om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse ska inte behöva lämnas om det skulle innebära en oproportionerligt stor arbetsinsats. Vi föreslår också att beslut om rättelse, liksom i dag, ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten. Dataanalyser och urval för en effektiv kontrollverksamhet Vi anser att Skatteverket, Tullverket och Kronofogdemyndigheten bör ges utökade möjligheter att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. Dataanalyser och urval bedöms vara ett effektivt verktyg i myndigheternas verksamheter som exempelvis kan underlätta arbetet med att identifiera felaktigheter. Vi föreslår därför att det ska införas särskilda ändamålsbestämmelser i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att respektive myndighet får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i de verksamheter som omfattas av lagarna. Kronofogdemyndigheten ska även få behandla personuppgifter för att göra sådana analyser och urval i syfte att motverka överskuldsättning. Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att myndigheterna ges ett tydligt rättsligt stöd för att använda analyser och urval även i syfte att identifiera olika risker för felaktigheter redan innan det finns ett ärende och inte enbart för efterhandskontroller. Som underlag för att göra dataanalyser och urval behöver myndigheterna tillgång till adekvata och relevanta uppgifter, däribland personuppgifter. En allt för kringskuren möjlighet att behandla uppgifter för dataanalyser och urval kan i praktiken leda till att myndigheternas möjligheter att behandla personuppgifter styr vilka företeelser myndigheterna kan rikta sina kontroller mot, snarare än att kontroller kan riktas mot de områden där det faktiskt finns störst risk för fel eller fusk. Samtidigt måste intentionerna att effektivisera kontrollverksamheten balanseras mot skyddet för den personliga integriteten. Vi föreslår att det i de nya lagarna ska anges att för att göra dataanalyser och urval får de personuppgifter behandlas som respektive myndighet förfogar över eller samlar in till följd av den verksamhet som omfattas av respektive lags tillämpningsområde. Myndigheterna ska även få behandla uppgifter som lämnas till dem för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. De personuppgifter som behandlas måste alltid vara nödvändiga för de i lagarna angivna syftena. Om det finns alternativa och mindre integritetskränkande sätt för myndigheterna att utföra sina uppdrag på med samma grad av effektivitet, ska dessa i stället användas i syfte att minska integritetsintrånget. Vidare föreslår vi bestämmelser som innebär utökade uppgifts-skyldigheter gentemot Skatteverket och Tullverket i syfte att möjliggöra adekvata och effektiva dataanalyser och urval i kontrollverksamhet. Vi föreslår också att det ska införas särskilda skydds- och säkerhetsåtgärder som ska gälla när myndigheterna utför dataanalyser och urval med hjälp av personuppgifter. I lagarna ska det föreskrivas att myndigheterna ska dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Vidare ska det i förordning föreskrivas att myndigheterna ansvarar för att det inom respektive myndighet finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval. I övrigt kommer de generella skydds- och säkerhetsåtgärderna i EU:s dataskyddsförordning, dataskyddslagen samt i förslagen till beskattningsdatalag, folkbokföringsdatalag, tulldatalag och kronofogdedatalag med tillhörande förordningar att vara tillämpliga även vid behandling av personuppgifter för dataanalyser och urval. Offentlighet och sekretess Till följd av våra förslag om ändrade bestämmelser avseende sök-begrepp inom Skatteverkets folkbokföringsverksamhet finns det behov av en ny sekretessregel till skydd för vissa uppgifter. Detta eftersom vissa sammanställningar med våra förslag – till skillnad från i dag – kan bli allmänna handlingar. Vi föreslår därför att absolut sekretess ska gälla i Skatteverkets folkbokföringsverksamhet för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen ska dock inte gälla för uppgifter som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). Vi har också funnit att det finns behov av ändringar av vissa be-fintliga regler om sekretess samt av nya sekretessbestämmelser till följd av våra förslag om utökade möjligheter för myndigheterna att göra dataanalyser och urval. Absolut sekretess föreslås gälla vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet samt i Tullverkets och Kronofogdemyndighetens verksamheter för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretessen ska även gälla i Kronofogdemyndighetens verksamhet med dataanalyser och urval i syfte att motverka överskuldsättning. Vi föreslår också att myndigheterna ska kunna sekretessbelägga uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör Skatteverkets beskattnings- eller folkbokföringsverksamheter, Tullverkets verksamhet eller Kronofogdemyndighetens verksamhet som omfattas av de nya lagarna. Sådana uppgifter ska också vara möjliga att sekretessbelägga i Kronofogdemyndighetens verksamhet enligt kronofogdedatalagen om de hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. Vidare innebär vissa av våra förslag i övrigt att också andra befintliga sekretessbestämmelser behöver ändras. Vi föreslår därför att bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400), OSL, som i dag omfattar verksamhet som avser förande av eller uttag ur Skatteverkets beskattningsdatabas, Tullverkets tulldatabas och Krono-fogdemyndighetens utsöknings- och indrivningsdatabas ska ändras. Det ska i stället föreskrivas att sekretessen gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som respektive myndighet använder i viss verksamhet som avses i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen. Sekretessen vid myndigheterna ska inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket, Tullverket eller Kronofogdemyndigheten. Syftet med bestämmelserna är främst att garantera sekretess hos en annan mottagande myndighet som har direktåtkomst till sådana uppgifter som i dag behandlas i myndigheternas databaser. Det statliga personadressregistret (SPAR) Skatteverkets verksamhet med det statliga personadressregistret, SPAR, är särpräglad och avgränsad. Genom verksamheten med SPAR fullgörs det statliga åtagandet att hålla ett register med befolkningsuppgifter av hög kvalitet för att tillgodose behovet av kontroll av personuppgifter. Lagen om det statliga personadressregistret, SPAR-lagen, och tillhörande förordning reglerar både förandet av ett särskilt register och utlämnandet av uppgifter från det, vilket inkluderar den personuppgiftsbehandling som detta medför. Författningarna skiljer sig därför från exempelvis regleringen av personuppgiftsbehandling vid Skatteverkets beskattningsverksamhet. Flera av de generella bedömningarna för övriga verksamheter är därför inte relevanta i SPAR-verksamheten. SPAR-författningarna är dock i behov av modernisering avseende språk, struktur och i viss mån avseende vilka bestämmelser författningarna bör innehålla. Vi bedömer att förändringsbehovet är tillräckligt stort för att motivera att den nuvarande SPAR-lagen med tillhörande förordning upphävs och ersätts av nya författningar, med uppdaterat språk, vissa förtydliganden, samt en anpassning av termer och struktur till övrig dataskyddsreglering. Vi föreslår även att den nya lagen ska omfatta en sådan syftes-bestämmelse som vi har föreslagit i övriga dataskyddslagar, samt vissa justeringar av regleringen av personuppgiftsansvar för behandling enligt SPAR-lagen och förordningen. Vi föreslår att bestämmelser om gallring ersätts med bestämmelser om längsta tid för behandling i förhållande till de ändamål uppgifter behandlas för, i likhet med övrig dataskyddsreglering. Dessutom föreslår vi att enskildas anmälningsskyldighet vid misstanke om oriktig uppgift, som i dag regleras i förordning, i fortsättningen ska regleras i lag. Däremot föreslår vi att alla begränsningar av utlämnandet från SPAR ska göras i förordning, vilket innebär att begränsningar avseende vissa uppgifter som i dag regleras i lag ska flyttas ner till förordningsnivå. Avseende utlämnandet till myndigheter föreslår vi att begränsningar i förhållande till myndigheters möjlighet att få ut samma uppgifter från Skatteverkets folkbokföringsverksamhet ska tas bort. Skatteverkets äktenskapsregister- och bouppteckningsverksamheter Den befintliga regleringen av personuppgiftsbehandling inom Skatteverkets äktenskapsregister- och bouppteckningsverksamheter är förhållandevis modern. Regleringen innehåller i flera fall bestämmelser som motsvarar vad vi föreslår ska gälla enligt de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Exempelvis finns ingen databasreglering och inga detaljerade ändamålsbestämmelser. Enligt vår bedömning bör dock nuvarande reglering i flera avseenden anpassas till de förslag vi lämnat i fråga om struktur, terminologi och generella dataskyddsbestämmelser. En ändring av den befintliga lagen hade inneburit att flertalet paragrafer hade ändrats och den konsoliderade versionen skulle framstå som helt omgjord. Vi föreslår därför att den befintliga lagen med tillhörande förordning ska upphävas och ersättas av en ny lag med tillhörande förordning. Det övergripande syftet med förslaget är att skapa enhetlighet i utformningen av de nya dataskyddslagarna. I den nya lagen föreslår vi vissa strukturella ändringar i förhållande till den befintliga, som t.ex. att ändamålsbestämmelserna utformas enhetligt i förhållande till övrig dataskyddsreglering. Vi föreslår även vissa förändringar i sak. Den nya lagen föreslås inte tillämpas vid behandling av uppgifter om avlidna. Vidare föreslår vi att dagens begränsningar av när Skatteverket får behandla känsliga personuppgifter ersätts av en bestämmelse som tillåter sådan behandling om det är nödvändigt för ändamålet med behandlingen, i likhet med hur övrig reglering föreslås utformas i detta avseende. Vi föreslår även att sökbegränsningar i den nya lagen utformas i enhetlighet med motsvarande reglering i övriga dataskyddslagar. Det innebär att förbudet ska avse sådan sökning som syftar till att åstadkomma ett urval av personer grundat på känsliga personuppgifter. Något undantag från förbudet för vissa kategorier av uppgifter föreslås inte i detta sammanhang. Förbudet ska dock inte omfatta sökningar i en viss handling eller i ett visst ärende. Vi föreslår även nya bestämmelser om åtkomstbegränsning och om längsta tid för behandling som saknar motsvarighet i befintlig reglering. Bestämmelserna motsvarar de som föreslås i övrig dataskyddsreglering. Ikraftträdande Våra förslag föreslås träda i kraft den 1 januari 2026. Vi har då beaktat att förslagen bör träda i kraft så snart som möjligt för att de i största möjliga utsträckning ska kunna leda till effektivare kontrollverksamhet vid Skatteverket, Tullverket och Kronofogdemyndigheten. Samtidigt har vi tagit hänsyn till att förslagen är omfattande vilket kräver sedvanlig tid för remissbehandling och beredning inom Regeringskansliet och att berörda myndigheter ges viss tid att förbereda sig. Konsekvenser Syftet med våra förslag är att åstadkomma en ändamålsenlig kompletterande dataskyddsreglering som ger enskilda ett adekvat integritetsskydd samtidigt som Skatteverket, Tullverket och Kronofogdemyndigheten ges förutsättningar att utföra sina samhällsviktiga uppgifter så som de kommer till uttryck i den materiella verksamhetsregleringen. Förslagen om utökade möjligheter för myndigheterna att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel syftar till att ge myndigheterna adekvata verktyg för att effektivisera kontrollverksamheten. Våra förslag kommer att medföra konsekvenser för enskildas personliga integritet. Vi bedömer dock att integritetsintrången är motiverade och proportionerliga. Vårt förslag om att myndigheter ska kunna få motsvarande uppgifter som de i dag kan få från folkbokföringsverksamheten (via Navet) genom SPAR kommer att kräva systemutveckling. Vidare bedömer vi att våra förslag innebär en viss ökning av planerade utbildningsinsatser vid myndigheterna. De ställer också nya krav på att myndigheterna ansvarar för att ta fram vissa rutiner och följa ett särskilt dokumentationskrav vid dataanalyser och urval. Våra förslag om att nuvarande regler om gallring ska ersättas med bestämmelser om längsta tid som personuppgifter får behandlas kommer att leda till vissa indirekta kostnader för Riksarkivet, Skatteverket, Tullverket och Kronofogdemyndigheten fram till dess att nya myndighetsspecifika föreskrifter eller beslut om gallring finns på plats. Sammantaget kommer våra förslag alltså initialt att medföra vissa kostnader för det allmänna. Dessa kostnader bedömer vi inte vara större än att de kan täckas av myndigheternas ordinarie anslag. På längre sikt gör vi dessutom bedömningen att våra förslag bör medföra besparingar för berörda myndigheter och ökade statsintäkter till följd av att verksamheterna vid ärendehanteringen och med kontroll kan bedrivas mer effektivt. I övrigt förväntas våra förslag ha vissa positiva effekter för brottsligheten och det brottsförebyggande arbetet och indirekt för offentlig service samt företags konkurrensförmåga. Förslagen är förenliga med EU-rätten och andra relevanta internationella rättsakter till skydd för den personliga integriteten. Betänkandets lagförslag Regeringen har följande förslag på lagtext. Förslag till beskattningsdatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Lagen gäller även vid behandling av personuppgifter i Skatteverkets verksamhet enligt 1. lagen (1991:1047) om sjuklön, 2. lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, 3. lagen (2013:948) om stöd vid korttidsarbete, 4. lagen (2020:548) om omställningsstöd, och 5. lagen (2023:230) om förfarande för elstöd till företag. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. 3 §    Skatteverkets verksamhet enligt 2 § första stycket avser 1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, 2. bestämmande av pensionsgrundande inkomst, 3. fastighetstaxering, 4. revision och annan analys eller kontroll, 5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 6. fullgörande av förpliktelser som följer av internationella åtaganden, och 7. annan liknande uppgift som Skatteverket ska utföra. 4 §    Bestämmelserna i denna lag gäller inte vid Skatteverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Förhållandet till annan reglering 5 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 6 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 7 §    Skatteverket får behandla personuppgifter om det är nödvändigt för 1. att utföra verksamhet enligt 2 §, eller 2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 8 §    Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 9 §    Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 10 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 11 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Särskilda bestämmelser om dataanalyser och urval 12 §    För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 13 §    När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 14 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 15 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 16 §    Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Begränsning av information m.m. till den registrerade 17 §    Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. Begränsning av rätten att göra invändningar 18 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Förslag till folkbokföringsdatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. 3 §    Skatteverkets verksamhet enligt 2 § första stycket avser 1. folkbokföring, 2. samordningsnummer, 3. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, 4. framställning av personbevis och andra registerutdrag, 5. aktualisering, komplettering och kontroll av personuppgifter, 6. uttag av urval av personuppgifter, och 7. annan liknande uppgift som Skatteverket ska utföra. Förhållandet till annan reglering 4 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 5 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 6 §    Skatteverket får behandla personuppgifter om det är nödvändigt för 1. att utföra verksamhet enligt 2 §, eller 2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 7 §    Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 8 §    Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 9 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 10 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende. 11 §    Det är förbjudet att som sökbegrepp använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption. Särskilda bestämmelser om dataanalyser och urval 12 §    För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 13 §    När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 14 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 15 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 16 §    Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 17 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Förslag till tulldatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Tullverkets verksamhet 1. med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter, 2. med övervakning, revision och annan analys eller kontroll, 3. i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande, 4. med fullgörande av förpliktelser som följer av internationella åtaganden, och 5. med annan liknande uppgift som Tullverket ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. 3 §    Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Bestämmelserna i denna lag gäller inte heller vid Tullverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Förhållandet till annan reglering 4 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 5 §    Tullverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 6 §    Tullverket får behandla personuppgifter om det är nödvändigt för 1. att utföra verksamhet enligt 2 §, eller 2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 7 §    Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 8 §    Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 9 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 10 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Särskilda bestämmelser om dataanalyser och urval 11 §    För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Tullverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Tullverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 12 §    När personuppgifter behandlas för att göra dataanalyser och urval ska Tullverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 13 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 14 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 15 §    Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 16 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. Förslag till kronofogdedatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Kronofogdemyndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med 1. utsökning och indrivning, 2. skuldsanering och F-skuldsanering, 3. betalningsföreläggande och handräckning, 4. europeiskt betalningsföreläggande, 5. ansökan om och tillsyn över näringsförbud, 6. tillsyn i konkurs och över rekonstruktörer, 7. att motverka överskuldsättning, 8. analys eller kontroll, 9. fullgörande av förpliktelser som följer av internationella åtaganden, och 10. annan liknande uppgift som Kronofogdemyndigheten ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelserna i 18 § första stycket 2 och andra stycket och 19 § gäller även vid behandling av uppgifter om juridiska personer. 3 §    Bestämmelserna i denna lag gäller inte vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. Bestämmelserna i denna lag gäller inte heller vid Kronofogdemyndighetens behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Förhållandet till annan reglering 4 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 5 §    De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur gäller i stället för denna lag. Personuppgiftsansvar 6 §    Kronofogdemyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 7 §    Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för 1. att utföra verksamhet enligt 2 §, eller 2. att göra dataanalyser och urval i syfte att a) förebygga, förhindra och upptäcka fel i den verksamheten, och b) motverka överskuldsättning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 8 §    Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 9 §    Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 10 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 11 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Särskilda bestämmelser om dataanalyser och urval 12 §    För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Kronofogdemyndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Kronofogdemyndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 13 §    När personuppgifter behandlas för att göra dataanalyser och urval ska Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 14 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 15 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 16 §    Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 17 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rättelse av uppgifter och överklagande 18 §    På begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som 1. inte har behandlats i enlighet med denna lag eller anslutande författningar, eller 2. vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats. 19 §    Beslut om rättelse enligt 18 § första stycket får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. 1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. 3. Den upphävda lagen gäller dock fortfarande för en begäran om rättelse som har kommit in före ikraftträdandet. Förslag till lag om det statliga personadressregistret Härigenom föreskrivs följande. Inledande bestämmelser 1 §    För de kontroll- och urvalsändamål som anges i 5 § ska det föras ett statligt personadressregister (SPAR). Registret får användas för elektroniskt utlämnande av uppgifter. 2 §    Syftet med denna lag är att ge den myndighet som regeringen utser att ansvara för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 4 §    Den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 5 §    Uppgifterna i SPAR får behandlas för att 1. aktualisera, komplettera och kontrollera personuppgifter (kontrolländamål), och 2. ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsändamål). Registerinnehåll 6 §    SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Följande uppgifter får anges: 1. namn, 2. person- eller samordningsnummer, 3. födelsetid, 4. adress, 5. folkbokföringsort och distrikt, 6. födelsehemort, 7. svenskt medborgarskap, 8. make eller vårdnadshavare, 9. avregistrering enligt 19–22 §§ folkbokföringslagen, med angivande av tidpunkt, 10. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor, 11. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), 12. taxeringsvärde för småhusenhet, 13. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer, 14. tidpunkt för vilandeförklaring av ett samordningsnummer enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, 15. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och 16. om den enskildes identitet vid tilldelning eller förnyelse av samordningsnummer har styrkts eller gjorts sannolik. På begäran av en registrerad ska det i SPAR också anges att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2. 7 §    Uppgifter som avses i 6 § första stycket 1–9 och 13–16 hämtas från Skatteverkets folkbokföringsverksamhet. Övriga uppgifter som avses i 6 § första stycket hämtas från Skatteverkets beskattningsverksamhet. Utlämnande av uppgifter 8 §    En enskild som begär att en myndighet ska lämna ut personuppgifter för kontrolländamål eller urvalsändamål ska hänvisas till SPAR, om inte annat följer av lag eller förordning. 9 §    Regeringen får meddela föreskrifter om begränsningar av utlämnande av uppgifter från SPAR. Sökbegrepp 10 §    Regeringen får meddela föreskrifter om begränsningar av de sökbegrepp som får användas vid sökning i SPAR. Begränsning av rätten att göra invändningar 11 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning. Längsta tid för behandling 12 §    Uppgifter får inte behandlas i SPAR under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Anmälan om misstänkt oriktig uppgift 13 §    Vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR. 1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (1998:527) om det statliga personadressregistret. Förslag till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 4 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 5 §    Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. 6 §    Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 7 §    Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 8 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 9 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende. Tillgång till personuppgifter 10 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 11 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 12 §    Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 13 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Förslag till lag om ändring i kreditupplysningslagen (1973:1173) Härigenom föreskrivs att 8 § kreditupplysningslagen (1973:1173) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 § En uppgift om en fysisk person ska gallras när det inte längre är nödvändigt att bevara uppgiften med hänsyn till ändamålet med behandlingen. En uppgift om en fysisk person som inte är näringsidkare ska, om uppgiften inte gäller skuldsanering eller F-skuldsanering, gallras senast tre år efter den dag då den omständighet inträffade eller det förhållande upphörde som uppgiften avser. Om uppgiften rör en begäran om eller ett utlämnande av en kreditupplysning, ska den dock gallras senast ett år efter den dag då begäran framställdes. En uppgift om skuldsanering ska gallras senast fem år efter den dag då inledandebeslutet meddelades eller, om uppgiften gäller F–skuldsanering, senast tre år efter den dagen. Om en betalningsplan löper ut senare, ska dock uppgiften gallras senast den dag då planen löper ut. En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Kronofogdemyndigheten ska också gallras när den har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Kronofogdemyndigheten ska också gallras när den har blockerats av Kronofogdemyndigheten med stöd av 18 § kronofogdedatalagen (0000:00). 1. Denna lag träder i kraft den 1 januari 2026. 2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Förslag till lag om ändring i lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter Härigenom föreskrivs att 2 och 15 §§ lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § Om någon har rätt till ett belopp som avses i 1 § och om det allmänna mot denna person har en fordran, som är registrerad för indrivning i utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och drivs in enligt bestämmelserna i lagen (1993:891) om indrivning av statliga fordringar m.m. skall från beloppet räknas av så mycket som kan gå till betalning av fordringen, om inte något annat följer av vad som nedan sägs. Med det allmännas fordran avses också förrättningskostnader i målet enligt 17 kap. 1 § utsökningsbalken. Endast vad som överstiger det allmännas fordran får betalas ut. Om någon har rätt till ett belopp som avses i 1 § och om det allmänna mot denna person har en fordran, som är registrerad för indrivning hos Kronofogdemyndigheten och drivs in enligt bestämmelserna i lagen (1993:891) om indrivning av statliga fordringar m.m. ska från beloppet räknas av så mycket som kan gå till betalning av fordringen, om inte något annat följer av vad som nedan sägs. Med det allmännas fordran avses också förrättningskostnader i målet enligt 17 kap. 1 § utsökningsbalken. Endast vad som överstiger det allmännas fordran får betalas ut. 15 § Kan för betalning av en i Kronofogdemyndighetens utsöknings- och indrivningsdatabas, registrerad fordran avräkning från belopp som avses i 1 § göras både enligt denna lag och enligt annan författning, skall denna lag tillämpas. Kan för betalning av en hos Kronofogdemyndigheten registrerad fordran avräkning från belopp som avses i 1 § göras både enligt denna lag och enligt annan författning, ska denna lag tillämpas. Kan en myndighet enligt annan författning göra avräkning från belopp, som avses i 1 §, för betalning av en fordran, som inte är registrerad i utsöknings- och indrivningsdatabasen, får myndigheten göra avräkningen utan hinder av att förutsättningar föreligger för avräkning enligt denna lag. Kan en myndighet enligt annan författning göra avräkning från belopp, som avses i 1 §, för betalning av en fordran, som inte är registrerad hos Kronofogdemyndigheten, får myndigheten göra avräkningen utan hinder av att förutsättningar föreligger för avräkning enligt denna lag. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i folkbokföringslagen (1991:481) Härigenom föreskrivs i fråga om folkbokföringslagen (1991:481) dels att 1, 26 c, 28 och 31 §§ ska ha följande lydelse, dels att det ska införas en ny paragraf, 1 a §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får förekomma i folkbokföringsdatabasen. Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som får registreras enligt 1 a §. Vigsel, födelse och dödsfall i landet ska registreras även i fråga om en person som inte är eller har varit folkbokförd. Folkbokföring och sådan registrering som avses i andra stycket sker genom Skatteverkets försorg. Skatteverket ansvarar för folkbokföring och sådan registrering som avses i andra stycket. Bestämmelser om samordningsnummer för den som inte är eller har varit folkbokförd finns i lagen (2022:1697) om samordningsnummer. 1 a § Skatteverket får registrera följande uppgifter om en person: 1. personnummer, 2. samordningsnummer, 3. namn, 4. födelsetid, 5. födelsehemort, 6. födelseort och födelseland, 7. adress, 8. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt, 9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, 12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering enligt 19–22 §§, 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, och 17. uppehållsrätt. 26 c § Om en handling som överlämnats enligt 26 b § har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. 28 § En anmälan enligt 25 eller 26 § ska innehålla följande uppgifter: 1. namn och person- eller samordningsnummer, 2. datum för ändring av bostads- eller postadress, 3. ny bostads- och postadress samt beräknad giltighetstid, 4. registerbeteckning för den fastighet som den nya bostadsadressen avser och, om fastigheten innehåller flera bostadslägenheter med samma belägenhetsadress, lägenhetsnummer som avses i lagen (2006:378) om lägenhetsregister, och 5. vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser. En anmälan enligt 26 § första stycket ska dessutom innehålla 1. uppgift om födelsetid och medborgarskap, 2. uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess beräknade varaktighet, 3. uppgift om personnummer som personen har tilldelats i ett annat nordiskt land, och 4. övriga uppgifter som får föras in i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. 4. övriga uppgifter som får registreras enligt 1 a §. 31 § Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt denna lag eller för kontroll eller komplettering av andra uppgifter om en person som får föras in i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp. Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt denna lag eller för kontroll eller komplettering av andra uppgifter om en person som får registreras enligt 1 a §. I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (1991:483) om fingerade personuppgifter Härigenom föreskrivs att 9 § lagen (1991:483) om fingerade personuppgifter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 9 § När ett medgivande att an-vända fingerade personuppgifter har upphört att gälla ska Polismyndigheten underrätta Skatteverket om detta. Verket ska skyndsamt se till att de fingerade uppgifterna inte längre används inom folkbokföringen. Verket ska göra de ändringar i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet som krävs. När ett medgivande att an-vända fingerade personuppgifter har upphört att gälla ska Polismyndigheten underrätta Skatteverket om detta. Skatteverket ska skyndsamt se till att de fingerade uppgifterna inte längre används inom folkbokföringsverksamheten och göra de ändringar av registrerade uppgifter i folkbokföringsverksamheten som krävs. Sedan Polismyndigheten har underrättat Skatteverket om att ett medgivande att använda fingerade personuppgifter har upphört får den enskilde använda de fingerade uppgifterna fram till dess verket har registrerat ändringarna i folkbokföringsdatabasen men inte för tid därefter. Sedan Polismyndigheten har underrättat Skatteverket om att ett medgivande att använda fingerade personuppgifter har upphört får den enskilde använda de fingerade uppgifterna fram till dess Skatteverket har registrerat ändringarna i folkbokföringsverksamheten men inte för tid därefter. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i sametingslagen (1992:1433) Härigenom föreskrivs att 3 kap. 3 § sametingslagen (1992:1433) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 3 kap. 3 § Rösträtt till Sametinget har den som är upptagen i sameröstlängd. I sameröstlängden tas den same upp som anmäler sig till valnämnden och som är svensk medborgare och på den samiska valdagen fyllt eller fyller 18 år. Under de förutsättningar som i andra stycket anges för svenska medborgare skall i röstlängden tas upp även de utlänningar som enligt folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet har varit folkbokförda i landet tre år i följd före valdagen och som anmäler sig till valnämnden. Under de förutsättningar som i andra stycket anges för svenska medborgare ska i röstlängden tas upp även de utlänningar som har varit folkbokförda enligt folkbokföringslagen (1991:481) i landet tre år i följd före valdagen och som anmäler sig till valnämnden. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (1994:692) om kommunala folkomröstningar Härigenom föreskrivs att 6 § lagen (1994:692) om kommunala folkomröstningar ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 § När en kommunal folkomröstning ska hållas, ska en röstlängd upprättas för varje omröstningsdistrikt. Det är uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet och i fastighetsregistret enligt lagen (2000:224) om fastighetsregister 30 dagar före dagen för folkomröstningen som ska ligga till grund för uppgifterna i röstlängderna. När en kommunal folkomröstning ska hållas, ska en röstlängd upprättas för varje omröstningsdistrikt. Det är uppgifterna som har registrerats i Skatteverkets folkbokföringsverksamhet och i fastighetsregistret enligt lagen (2000:224) om fastighetsregister 30 dagar före dagen för folkomröstningen som ska ligga till grund för uppgifterna i röstlängderna. Uppgifter för framställning av röstlängder och röstkort tillhandahålls av den centrala valmyndigheten efter anmälan. Ska folkomröstning äga rum samtidigt med ett allmänt val eller en nationell folkomröstning, får röstlängderna och röstkorten för den kommunala folkomröstningen samordnas med valet eller den nationella folkomröstningen. I annat fall och för de personer som inte är röstberättigade i det allmänna valet eller den nationella folkomröstningen ska kommunen eller regionen framställa röstlängd och upprätta röstkort med ledning av registeruppgifterna från den centrala valmyndigheten. Centrala valmyndigheten har rätt till ersättning för de kostnader som föranleds av den kommunala folkomröstningen. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (1994:1776) om skatt på energi Härigenom föreskrivs att 4 b kap. 1 § och 4 e kap. 1 § lagen (1994:1776) om skatt på energi ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 b kap. 1 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att bränsle inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare. 4 e kap. 1 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 3 § första stycket, 2. förenklade administrativa referenskoder enligt 3 § tredje stycket, 3. uppgifter om ändrad destination enligt 5 §, och 4. mottagningsrapporter enligt 6 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 9 och 10 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. Härigenom föreskrivs att 10, 13 och 14 §§ lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 10 § Regeringen får meddela andra föreskrifter om behandling av personuppgifter i Skatteverkets beskattningsdatabas och folkbokföringsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Tullverkets tulldatabas än dem som annars gäller. Regeringen får meddela andra föreskrifter om behandling av personuppgifter än de som annars gäller enligt 1. beskattningsdatalagen (0000:00), 2. folkbokföringsdatalagen (0000:00), 3. tulldatalagen (0000:00), och 4. kronofogdedatalagen (0000:00) för verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud. 13 § Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att meddela föreskrifter på Skatteverket eller, beträffande utsöknings- och indrivningsdatabasen, Kronofogdemyndigheten eller, beträffande tulldatabasen, Tullverket. Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Skatteverket eller, beträffande tullar, Tullverket. Regeringen får överlåta sin befogenhet enligt 9 eller 10 §§ att meddela föreskrifter på 1. Skatteverket, 2. Kronofogdemyndigheten beträffande behandling av personuppgifter i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud enligt kronofogdedatalagen (0000:00), eller 3. Tullverket beträffande behandling av personuppgifter enligt tulldatalagen (0000:00). Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Skatteverket eller, beträffande tullar, Tullverket. 14 § Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts- och folkbokföringsförfattningar samt de författningar om behandling av personuppgifter och andra uppgifter som reglerar förhållanden som omfattas av denna lag på Skatteverket eller, beträffande indrivning av fordringar och behandling av uppgifter i Kronofogdemyndighetens verksamhet, Kronofogdemyndigheten eller, beträffande tullar och behandling av uppgifter i Tullverkets verksamhet, Tullverket. Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts- och folkbokföringsförfattningar samt de författningar om behandling av personuppgifter som reglerar förhållanden som omfattas av denna lag på 1. Skatteverket, 2. Kronofogdemyndigheten beträffande indrivning av fordringar och behandling av personuppgifter i Kronofogdemyndighetens verksamhet, eller 3. Tullverket beträffande tullar och behandling av personuppgifter i Tullverkets verksamhet. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (1999:291) om avgift till registrerat trossamfund Härigenom föreskrivs att 8 § lagen (1999:291) om avgift till registrerat trossamfund ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 § Om staten till följd av behandlingen av en uppgift som avses i 5 § betalar skadestånd till en person som är registrerad i beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet skall det trossamfund som lämnat uppgiften ersätta staten i motsvarande utsträckning. Om staten till följd av behandlingen av en uppgift som avses i 5 § betalar skadestånd till en person som är registrerad i Skatteverkets beskattningsverksamhet ska det trossamfund som lämnat uppgiften ersätta staten i motsvarande utsträckning. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i studiestödslagen (1999:1395) Härigenom föreskrivs i fråga om studiestödslagen (1999:1395) dels att 4 kap. 26 § och 5 kap. 6 a § ska ha följande lydelse, dels att punkt 20 i ikraftträdande- och övergångsbestämmelserna ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 26 § Låntagaren ska lämna de uppgifter som är av betydelse för tillämpningen av detta kapitel till Centrala studiestödsnämnden. En låntagare som har fått årsbeloppet nedsatt är skyldig att omedelbart underrätta Centrala studiestödsnämnden, om någon omständighet som föranlett nedsättningen inte längre finns. En låntagare som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. En låntagare som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. 5 kap. 6 a § En återbetalningsskyldig som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. En återbetalningsskyldig som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. 20. Den som är återbetalningsskyldig för studielån, studiemedel eller återkrav enligt studiestödslagen (1973:349) och som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. 20. Den som är återbetalningsskyldig för studielån, studiemedel eller återkrav enligt studiestödslagen (1973:349) och som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i vallagen (2005:837) Härigenom föreskrivs att 4 kap. 1 och 12 §§, 5 kap. 1 § och 6 kap. 8 § vallagen (2005:837) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 1 § För val till riksdagen, regionfullmäktige och kommunfullmäktige ska det finnas geografiskt avgränsade områden för vilka det ska väljas ledamöter till den beslutande församling valet gäller (valkretsar). För val till Europaparlamentet utgör landet en enda valkrets. Om inte annat anges ska vid tillämpningen av detta kapitel antalet röstberättigade vid ett val beräknas på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars valåret. Om inte annat anges ska vid tillämpningen av detta kapitel antalet röstberättigade vid ett val beräknas på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet och uppgifter om personer som ska tas upp i röstlängden enligt 5 kap. 2 § första stycket. Beräkningen ska ske på grundval av de uppgifter som finns den 1 mars valåret. 12 § Om en kommun har 36 000 personer eller fler som har rösträtt, får kommunen delas in i två eller flera valkretsar. En kommun som har färre än 36 000 personer som har rösträtt får delas in i valkretsar endast om det finns särskilda skäl för det. Antalet röstberättigade ska beräknas på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars det år beslutet om valkretsindelning fattas. Antalet röstberättigade ska beräknas på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars det år beslutet om valkretsindelning fattas. En valkrets bör utformas så att den kan beräknas få minst 13 fasta valkretsmandat. Den ska ha en sammanhängande gränslinje, om det inte finns särskilda skäl för något annat. 5 kap. 1 § Vid val skall den centrala valmyndigheten för varje valdistrikt upprätta en förteckning över dem som är röstberättigade i valet (röstlängd). Vid val ska den centrala valmyndigheten för varje valdistrikt upprätta en förteckning över dem som är röstberättigade i valet (röstlängd). Röstlängderna skall grundas på de uppgifter som 30 dagar före valdagen finns i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och i fastighetsregistret enligt lagen (2000:224) om fastighetsregister. Röstlängderna ska grundas på uppgifter i Skatteverkets folkbokföringsverksamhet, i fastighetsregistret enligt lagen (2000:224) om fastighetsregister och uppgifter om personer som ska tas upp i röstlängden enligt 2 § första stycket. Röstlängderna ska grundas på de uppgifter som finns 30 dagar före valdagen. 6 kap. 8 § Följande partier som ställer upp i ett val har rätt till valsedlar på statens bekostnad: 1. vid val till riksdagen: parti som vid valet får eller vid något av de två senaste riksdagsvalen har fått mer än 1 procent av rösterna i hela landet eller som ändå är eller genom valet blir representerat i riksdagen, 2. vid val till region- eller kommunfullmäktige: parti som är eller genom valet blir representerat i fullmäktige, 3. vid val till Europaparlamentet: parti som vid valet får eller vid något av de två senaste valen till Europaparlamentet har fått mer än 1 procent av rösterna i hela landet. I samtliga fall avser rätten till fria valsedlar ett antal som mot-svarar högst tre gånger antalet röstberättigade i 1. vid val till riksdagen: valkretsen, 2. vid övriga val: valet. Vid tillämpningen av andra stycket beräknas antalet röstberättigade på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars valåret. Vid tillämpningen av andra stycket beräknas antalet röstberättigade på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet och uppgifter om personer som ska tas upp i röstlängden enligt 5 kap. 2 § första stycket. Beräkningen ska ske på grundval av de uppgifter som finns den 1 mars valåret. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar Härigenom föreskrivs att 6 § lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 § Med ett års tillväxt avses i denna lag produkten av lantbruksenhetens skogsmarksareal den 1 januari 2005 enligt den beskattningsdatabas som Skatteverket för enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och det tillväxttal som enligt bilaga 2 till denna lag gäller för det län där lantbruksenheten är belägen. Med ett års tillväxt avses i denna lag produkten av lantbruksenhetens skogsmarksareal den 1 januari 2005 enligt uppgift som har registrerats i Skatteverkets be-skattningsverksamhet och det tillväxttal som enligt bilaga 2 till denna lag gäller för det län där lantbruksenheten är belägen. Om lantbruksenheten har bildats efter den 1 januari 2005, beräknas tillväxten på enhetens skogsmarksareal vid tidpunkten för enhetens bildande. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2006:939) om kvalificerade skyddsidentiteter Härigenom föreskrivs att 4 och 10 §§ lagen (2006:939) om kvalificerade skyddsidentiteter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 § I ett beslut om kvalificerad skyddsidentitet får det förordnas 1. att Transportstyrelsen skall utfärda körkort i den kvalificerade skyddsidentitetens namn, 1. att Transportstyrelsen ska utfärda körkort i den kvalificerade skyddsidentitetens namn, 2. att andra statliga myndigheter skall utfärda pass eller andra identitetshandlingar i den kvalificerade skyddsidentitetens namn, eller 2. att andra statliga myndig-heter ska utfärda pass eller andra identitetshandlingar i den kvalificerade skyddsidentitetens namn, eller 3. att Skatteverket skall registrera den kvalificerade skyddsidentiteten i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. 3. att Skatteverket ska registrera den kvalificerade skyddsidentiteten i folkbokföringsverksamheten. Ett förordnande enligt första stycket 1 får meddelas endast för den som innehar motsvarande körkort. I samband med förordnandet får det beslutas att Transportstyrelsen eller någon annan körkortsmyndighet skall föra in uppgifter om körkortet i väg-trafikregistret. Ett förordnande enligt första stycket 1 får meddelas endast för den som innehar motsvarande körkort. I samband med förordnandet får det beslutas att Transportstyrelsen eller någon annan körkortsmyndighet ska föra in uppgifter om körkortet i vägtrafikregistret. I samband med ett förordnande enligt första stycket 2 får det beslutas att den myndighet som utfärdar handlingen även skall föra in uppgifter om handlingen i det register där handlingar av det aktuella slaget registreras. I samband med ett förordnande enligt första stycket 2 får det beslutas att den myndighet som utfärdar handlingen även ska föra in uppgifter om handlingen i det register där handlingar av det aktuella slaget registreras. Ett förordnande enligt första stycket 3 får meddelas endast om åtgärder enligt första stycket 1 eller 2 inte är tillräckliga. 10 § När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 1 eller 2 har upphört att gälla, ska körkort, pass eller andra identitetshandlingar som omfattas av förordnandet lämnas in till beslutsmyndigheten. När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 3 har upphört att gälla, ska Skatteverket, efter anmälan från beslutsmyndigheten, avregistrera den kvalificerade skyddsidentiteten. Om det fortfarande finns en sådan risk som anges i 3 § 2, får beslutsmyndigheten bestämma att avregistreringen ska anstå till dess att risken har upphört. När uppgiften att det som har registrerats i folkbokföringsdatabasen utgör en kvalificerad skyddsidentitet inte längre omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), ska Skatteverket, efter anmälan från beslutsmyndigheten, i folkbokföringsdatabasen ange att registreringen avser en kvalificerad skyddsidentitet. När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 3 har upphört att gälla, ska Skatteverket, efter anmälan från beslutsmyndigheten, avregistrera den kvalificerade skyddsidentiteten. Om det fortfarande finns en sådan risk som anges i 3 § 2, får beslutsmyndigheten bestämma att avregistreringen ska anstå till dess att risken har upphört. När uppgiften att det som har registrerats i folkbokföringsverksamheten utgör en kvalificerad skyddsidentitet inte längre omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), ska Skatteverket, efter anmälan från beslutsmyndigheten, i folkbokföringsverksamheten ange att registreringen avser en kvalificerad skyddsidentitet. Denna lag träder i kraft den i januari 2026. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) dels att 17 kap. 1 a §, 22 kap. 1 a och 6 §§, 27 kap. 1, 3, 4, 7, 8 och 10 §§, 34 kap. 2, 3, 4 och 11 §§ och rubriken närmast före 17 kap. 1 a § och 34 kap. 2 § ska ha följande lydelse, dels att det ska införas fyra nya paragrafer, 22 kap. 1 b §, 27 kap. 2 a och 3 a §§ och 34 kap. 10 b §, och närmast före 34 kap. 10 b § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 17 kap. Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel m.m. i vissa verksamheter 1 a § Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör 1. Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) eller 2 § folkbokföingsdatalagen (0000:00), 2. Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00), eller 3. Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00). Sekretessen gäller även i verksamhet som avses i första stycket 3 för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. 22 kap. 1 a § Sekretess gäller i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 1 b § Sekretess gäller i Skatteverkets verksamhet som avses i 2 § folk-bokföringsdatalagen (0000:00) för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen gäller inte för uppgift som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 6 § Den tystnadsplikt som följer av 1 § första stycket, 1 a och 2 §§ inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av 1 § första stycket och 1 a–2 §§ inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. 27 kap. 1 § Sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretess gäller vidare 1. i verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen, 1. vid förande av eller uttag ur en automatiserad uppgiftssamling som Skatteverket använder i verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden, 2. hos kommun eller region för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatterättsnämnden har lämnat i ett ärende om förhandsbesked i en skatte- eller taxeringsfråga, och 3. hos Försäkringskassan för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatteverket har lämnat i ett ärende om särskild sjukförsäkringsavgift. Med skatt avses i detta kapitel skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund, skattetillägg, återkallelseavgift, rapporteringsavgift, plattformsavgift och förseningsavgift samt expeditionsavgift och tilläggsavgift enligt lagen (2004:629) om trängselskatt och tilläggsavgift enligt 8 a § lagen (2016:1067) om skatt på kemikalier i viss elektronik. Med verksamhet som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst. Första och andra styckena gäller inte om annat följer av 3, 4 eller 6 §. Första och andra styckena gäller inte om annat följer av 3, 4 eller 6 §. Andra stycket 1 gäller inte heller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket. För uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år. 2 a § Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 3 § Sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Motsvarande sekretess gäller i en myndighets verksamhet som avser förande av eller uttag ur tulldatabasen enligt lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet för uppgift som har tillförts databasen. Motsvarande sekretess gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift som finns i den uppgiftssamlingen. Första och andra styckena gäller inte om annat följer av 6 §. Första och andra styckena gäller inte om annat följer av 6 §. Andra stycket gäller inte heller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Tullverket. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 3 a § Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 4 § Sekretessen enligt 1–3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Får en domstol i ett mål från en annan myndighet en sekretessreglerad uppgift och saknar uppgiften betydelse i målet, blir dock sekretessbestämmelsen tillämplig på uppgiften även hos domstolen. Sekretessen enligt 1, 2 och 3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Får en domstol i ett mål från en annan myndighet en sekretessreglerad uppgift och saknar uppgiften betydelse i målet, blir dock sekretessbestämmelsen tillämplig på uppgiften även hos domstolen. 7 § Sekretessen enligt 1, 3 och 4 §§ hindrar inte att uppgift lämnas till en enskild enligt vad som föreskrivs i 1. lag om förfarande vid beskattning, 2. lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 3. lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energiproduktion, eller 2. lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energiproduktion, 3. förordningen (0000:00) om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet, eller 4. förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet. 4. förordningen (0000:00) om utlämnande av uppgifter från Tullverket. 8 § Sekretessen enligt 1–4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs. Sekretessen enligt 1, 2, 3 och 4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs. Sekretessen enligt 2–4 §§ hindrar inte att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs. Sekretessen enligt 2, 3 och 4 §§ hindrar inte att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs. Om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen. 10 § Den tystnadsplikt som följer av 1 §, 2 § första stycket och 3–5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av 1 §, 2 § första stycket och 2 a–5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. 34 kap. Utsöknings- och indrivningsdatabasen Uppgifter i automatiserade uppgiftssamlingar 2 § Under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur utsöknings- och in-drivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. Under motsvarande förutsättningar som i 1 § gäller sekretess vid förande av eller uttag ur en automatiserad uppgiftssamling som Kronofogdemyndigheten använder i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud som avses i 2 § kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Första stycket gäller inte om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Kronofogdemyndigheten. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. 3 § Uppgift i mål, ärende eller verksamhet som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. Uppgift som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 18 § kronofogdedatalagen (0000:00) omfattas av sekretess oavsett vad som före-skrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. 4 § Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 §§ för sådan uppgift om en enskilds per-sonliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 och 10 b §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Om sekretess gäller enligt första stycket, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel m.m. i Kronofogdemyndighetens verksamhet 10 b § Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel samt motverka överskuldsättning i Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. 11 § Den tystnadsplikt som följer av 4 § och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 5 § andra stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av 4 § och 10 b § och den tystnadsplikt som följer av ett för-behåll som har gjorts med stöd av 5 § andra stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. 1. Denna lag träder i kraft den 1 januari 2026. 2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Förslag till lag om ändring i skatteförfarandelagen (2011:1244) Härigenom föreskrivs att 65 kap. 13 § skatteförfarandelagen (2011:1244) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 65 kap. 13 § Om skatt eller avgift inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning eller för verkställighet av betalningssäkring registreras i utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Därefter beräknas kostnadsräntan efter en räntesats som motsvarar basräntan. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Krono-fogdemyndigheten för indrivning eller för verkställighet av betalningssäkring registreras hos Kronofogdemyndigheten. Därefter beräknas kostnadsräntan efter en räntesats som motsvarar basräntan. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter Härigenom föreskrivs att 8 § lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 § Om skatten inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats till och med den dag då beloppet betalas. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen (2011:1244) plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning registreras i utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Därefter beräknas kostnadsräntan med en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen (2011:1244) plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning registreras hos Kronofogdemyndigheten. Därefter beräknas kostnadsräntan med en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Om skatt ska betalas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska kostnadsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag. Kostnadsränta ska beräknas till och med den dag då betalning senast ska ske. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Om det finns synnerliga skäl, ska beskattningsmyndigheten besluta om befrielse från kostnadsränta. Om skatt ska tillgodoräknas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska intäktsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag till och med den dag omprövning beslutats. Intäktsränta ska beräknas efter en räntesats som motsvarar intäktsräntan enligt 65 kap. 4 § tredje stycket skatteförfarandelagen. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i tullagen (2016:253) Härigenom föreskrivs att 1 kap. 4 och 5 §§ tullagen (2016:253) ska upphöra att gälla den 1 januari 2026. Förslag till lag om ändring i kommunallagen (2017:725) Härigenom föreskrivs att 5 kap. 6 § kommunallagen (2017:725) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 6 § Vid tillämpningen av 5 § ska antalet röstberättigade beräknas på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars året före valåret. Vid tillämpningen av 5 § ska antalet röstberättigade beräknas på grundval av de uppgifter som har registrerats i Skatteverkets folkbokföringsverksamhet den 1 mars året före valåret. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs att 2 kap. 6 § och rubriken närmast före 2 kap. 6 § lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. Beskattningsdatabasen Sökning i beskattningsverksamheten 6 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen. Vid sökning i beskattningsdatabasen som görs för att utföra en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas. I beskattningsdatalagen (0000:00) finns bestämmelser om hur personuppgifter får behandlas i Skatteverkets beskattningsverksamhet. Vid sökning i beskattningsverksamheten som görs för att utföra en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2022:155) om tobaksskatt Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:155) om tobaksskatt ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare. 8 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 4 § första stycket, 2. förenklade administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, och 4. mottagningsrapporter enligt 7 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 10 och 11 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2022:156) om alkoholskatt Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:156) om alkoholskatt ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare. 8 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 4 § första stycket, 2. förenklade administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, och 4. mottagningsrapporter enligt 7 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 10 och 11 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2022:856) om omställningsstudiestöd Härigenom föreskrivs att 45 § lagen (2022:856) om omställningsstudiestöd ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 45 § Den som är återbetalnings-skyldig för återkrav och som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. Den som är återbetalnings-skyldig för återkrav och som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2022:1697) om samordningsnummer Härigenom föreskrivs att 1 kap. 2 §, 2 kap. 4 § och 4 kap. 1 och 2 §§ lagen (2022:1697) om samordningsnummer ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 2 § Skatteverket beslutar i ärenden enligt denna lag. Uppgifter om personer som har tilldelats samordningsnummer registreras i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Skatteverket får registrera följande uppgifter om en person som har tilldelats samordningsnummer: 1. samordningsnummer, 2. personnummer, 3. namn, 4. födelsetid, 5. medborgarskap, 6. födelseort och födelseland 7. kontaktadress, 8. om personens identitet är styrkt, sannolik eller osäker, 9. tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1, 10. vilandeförklaring enligt 3 kap. 2 §, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, och 11. tidpunkt för när en person har avlidit. Bestämmelser om folkbokföring och personnummer finns i folk¬bokföringslagen (1991:481). 2 kap. 4 § Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. 4 kap. 1 § En myndighet ska underrätta Skatteverket om det kan antas att en uppgift i folkbokföringsdatabasen om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. En myndighet ska underrätta Skatteverket om det kan antas att en uppgift som får registreras om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. En sådan underrättelse behöver inte lämnas om särskilda skäl talar mot det. Skyldigheten i första stycket gäller inte för Skatteverkets brottsbekämpande verksamhet. Den gäller inte heller i fråga om uppgifter som omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400). 2 § Om en person med ett sam-ordningsnummer har en kontaktadress registrerad i folkbokföringsdatabasen, ska han eller hon anmäla ändringar av adressen till Skatteverket. Om en person med ett sam-ordningsnummer har en kontaktadress registrerad, ska han eller hon anmäla ändringar av adressen till Skatteverket. Anmälningsskyldigheten gäller inte om samordningsnumret är vilande eller personen omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall. Denna lag träder i kraft den 1 januari 2026. Förteckning över remissinstanserna Arbetsförmedlingen, Arbetsgivarverket, Bolagsverket, Brottsförebyggande rådet, Centrala studiestödsnämnden, Diskrimineringsombudsmannen, Ekobrottsmyndigheten, Ekonomistyrningsverket, Finansinspektionen, Forum för Dataskydd, Företagarna, Försvarsmakten, Försäkringskassan, Förvaltningsrätten i Malmö, Förvaltningsrätten i Stockholm, Göteborgs tingsrätt, Göteborgs universitet (Juridiska institutionen), Hovrätten över Skåne och Blekinge, Inspektionen för arbetslöshetsförsäkringen, Institutet för mänskliga rättigheter, Integritetsskyddsmyndigheten, Journalistförbundet, Justitiekanslern, Kammarrätten i Göteborg, Kammarrätten i Stockholm Konkurrensverket, Konsumentverket, Kronofogdemyndigheten, Kustbevakningen, Landsorganisationen i Sverige (LO), Lantmäteriet Lunds universitet (Juridiska fakulteten), Läkemedelsverket, Migrationsverket, Myndigheten för digital förvaltning, Näringslivets Regelnämnd, Näringslivets Skattedelegation, Pensionsmyndigheten, Polismyndigheten, Riksarkivet, Riksdagens ombudsmän, Sametinget, Skatteverket, Statistiska centralbyrån (SCB), Statskontoret, Svenska Bankföreningen, Svenska Kreditföreningen, Svensk Försäkring, Svensk Inkasso, Svenskt Näringsliv, Sveriges advokatsamfund, Sveriges akademikers centralorganisation (SACO), Sveriges a-kassor, Sveriges Kommuner och Regioner, Säkerhets- och integritetsskyddsnämnden, Säkerhetspolisen, Tidningsutgivarna, Tjänstemännens centralorganisation (TCO), Transportstyrelsen, Tullverket, Upplysningscentralen, Utbetalningsmyndigheten, Valmyndigheten, Yrkesföreningen för budget- och skuldrådgivare i kommunal tjänst, Åklagarmyndigheten. Lagrådsremissens lagförslag Regeringen har följande förslag på lagtext. Förslag till beskattningsdatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Lagen gäller även vid behandling av personuppgifter i Skatteverkets verksamhet enligt 1. lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, 2. lagen (2013:948) om stöd vid korttidsarbete, 3. lagen (2020:548) om omställningsstöd, 4. lagen (2023:230) om förfarande för elstöd till företag, 5. lagen (2024:404) om skattefrihet och förfarande för kompensation till personer födda 1957 på grund av höjd åldersgräns för förhöjt grundavdrag, 6. lagen (2024:1300) om uppgiftsskyldighet i fråga om frånvaro på grund av vård av barn, och 7. 5 kap. 3 § lagen (2024:782) om förfarandet vid förverkande av egendom och åläggande av företagsbot. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. 3 §    Skatteverkets beskattningsverksamhet enligt 2 § första stycket avser 1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, 2. bestämmande av pensionsgrundande inkomst, 3. fastighetstaxering, 4. revision och annan kontroll eller analys, 5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 6. fullgörande av förpliktelser som följer av internationella åtaganden, och 7. någon annan liknande uppgift som Skatteverket ska utföra. 4 §    Bestämmelserna i denna lag gäller inte vid Skatteverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Förhållandet till annan reglering 5 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 6 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 7 §    Skatteverket får behandla personuppgifter om det är nödvändigt för att 1. utföra verksamhet enligt 2 §, eller 2. göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 8 §    Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 9 §    Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 10 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 11 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Särskilda bestämmelser om dataanalyser och urval 12 §    För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 13 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 7 § första stycket 2 ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 14 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 15 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 16 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Begränsning av information till den registrerade 17 §    Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning, ska artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning inte tillämpas om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. Begränsning av rätten att göra invändningar 18 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Förslag till folkbokföringsdatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet med 1. folkbokföring, 2. handläggning av ärenden om samordningsnummer, 3. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, 4. framställning av personbevis och andra registerutdrag, 5. aktualisering, komplettering och kontroll av personuppgifter, 6. uttag av urval av personuppgifter, och 7. någon annan liknande uppgift som Skatteverket ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 4 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 5 §    Skatteverket får behandla personuppgifter om det är nödvändigt för att 1. utföra verksamhet enligt 2 §, eller 2. göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 6 §    Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 7 §    Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 8 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 9 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende. 10 §    Om ett samband inom folkbokföringen är grundat på adoption är det förbjudet att som sökbegrepp använda uppgifter om barn, föräldrar eller vårdnadshavare. Särskilda bestämmelser om dataanalyser och urval 11 §    För att göra dataanalyser och urval enligt 5 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 12 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 5 § första stycket 2 ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 13 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 14 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 15 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 16 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Förslag till tulldatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Tullverkets verksamhet med 1. bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter, 2. övervakning, revision och annan kontroll eller analys, 3. förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande, 4. fullgörande av förpliktelser som följer av internationella åtaganden, och 5. någon annan liknande uppgift som Tullverket ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. 3 §    Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Förhållandet till annan reglering 4 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 5 §    Tullverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 6 §    Tullverket får behandla personuppgifter om det är nödvändigt för att 1. utföra verksamhet enligt 2 §, eller 2. göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 7 §    Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 8 §    Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 9 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 10 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Särskilda bestämmelser om dataanalyser och urval 11 §    För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Tullverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Tullverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 12 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 6 § första stycket 2 ska Tullverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 13 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 14 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 15 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 16 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. Förslag till kronofogdedatalag Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Kronofogdemyndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med 1. utsökning och indrivning, 2. skuldsanering och F-skuldsanering, 3. betalningsföreläggande och handräckning, 4. europeiskt betalningsföreläggande, 5. ansökan om och tillsyn över näringsförbud, 6. tillsyn i konkurs, andra konkursärenden, tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497), 7. att motverka överskuldsättning, 8. analys eller kontroll, 9. fullgörande av förpliktelser som följer av internationella åtaganden, och 10. någon annan liknande uppgift som Kronofogdemyndigheten ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelserna i 18 § första stycket 2 och andra stycket och 19 § gäller även vid behandling av uppgifter om juridiska personer. 3 §    Bestämmelserna i denna lag gäller inte vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. Bestämmelserna i denna lag gäller inte heller vid Kronofogdemyndighetens behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Förhållandet till annan reglering 4 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 5 §    De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur gäller i stället för denna lag. Personuppgiftsansvar 6 §    Kronofogdemyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 7 §    Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för att 1. utföra verksamhet enligt 2 §, eller 2. göra dataanalyser och urval i syfte att a) förebygga, förhindra och upptäcka fel i den verksamheten, och b) motverka överskuldsättning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen. 8 §    Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 9 §    Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 10 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 11 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende. Särskilda bestämmelser om dataanalyser och urval 12 §    För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Kronofogdemyndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Kronofogdemyndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval. 13 §    När personuppgifter behandlas för att göra dataanalyser och urval enligt 7 § första stycket 2 ska Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Tillgång till personuppgifter 14 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 15 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 16 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 17 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rättelse av uppgifter och överklagande 18 §    På begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som 1. inte har behandlats i enlighet med denna lag eller anslutande författningar, eller 2. vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Om uppgifterna har lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om en åtgärd som görs enligt första stycket, om den enskilde begär det eller om mer betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats. 19 §    Beslut om rättelse enligt 18 § första stycket får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. 3. Den upphävda lagen gäller dock fortfarande för en begäran om rättelse som har kommit in före ikraftträdandet. Förslag till lag om ändring i lagen (2025:803) om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet Härigenom föreskrivs att lagen (2025:803) om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska utgå. Förslag till lag om det statliga personadressregistret Härigenom föreskrivs följande. Inledande bestämmelser 1 §    För de kontroll- och urvalsändamål som anges i 5 § ska det föras ett statligt personadressregister (SPAR). Registret får användas för elektroniskt utlämnande av uppgifter. 2 §    Syftet med denna lag är att ge den myndighet som regeringen utser att ansvara för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 4 §    Den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 5 §    Uppgifterna i SPAR får behandlas för att 1. aktualisera, komplettera och kontrollera personuppgifter (kontrolländamål), och 2. ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsändamål). Registerinnehåll 6 §    SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Följande uppgifter får anges: 1. namn, 2. personnummer, 3. samordningsnummer, 4. födelsetid, 5. adress, 6. folkbokföringsort och distrikt, 7. födelsehemort, 8. svenskt medborgarskap, 9. make eller vårdnadshavare, 10. avregistrering enligt 19–22 §§ folkbokföringslagen, med angivande av tidpunkt, 11. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor, 12. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), 13. taxeringsvärde för småhusenhet, 14. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer, 15. tidpunkt för vilandeförklaring av ett samordningsnummer enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, 16. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och 17. om den enskildes identitet vid tilldelning eller förnyelse av samordningsnummer har styrkts eller gjorts sannolik. På begäran av en registrerad ska det i SPAR också anges att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2. 7 §    Uppgifter som avses i 6 § första stycket 1–10 och 14–17 hämtas från Skatteverkets folkbokföringsverksamhet. Övriga uppgifter som avses i 6 § första stycket hämtas från Skatteverkets beskattningsverksamhet. Utlämnande av uppgifter 8 §    En enskild som begär att en myndighet ska lämna ut personuppgifter för kontrolländamål eller urvalsändamål ska hänvisas till SPAR, om inte annat följer av lag eller förordning. 9 §    Regeringen får meddela föreskrifter om begränsningar av utlämnande av uppgifter från SPAR. Sökbegrepp 10 §    Regeringen får meddela föreskrifter om begränsningar av de sökbegrepp som får användas vid sökning i SPAR. Begränsning av rätten att göra invändningar 11 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning. Längsta tid för behandling 12 §    Uppgifter får inte behandlas i SPAR under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Anmälan om misstänkt oriktig eller ofullständig uppgift 13 §    Vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig eller ofullständig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (1998:527) om det statliga personadressregistret. Förslag till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter Härigenom föreskrivs följande. Lagens syfte 1 §    Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 §    Denna lag gäller vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Förhållandet till annan reglering 3 §    Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 4 §    Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ändamål 5 §    Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §. 6 §    Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. 7 §    Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in. Känsliga personuppgifter 8 §    Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sökbegränsningar 9 §    Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende. Tillgång till personuppgifter 10 §    Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Elektroniskt utlämnande av personuppgifter 11 §    Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Längsta tid för behandling 12 §    Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter som längst får behandlas under viss tid. Begränsning av rätten att göra invändningar 13 §    Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 2 april 2026. 2. Genom lagen upphävs lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Förslag till lag om ändring i kreditupplysningslagen (1973:1173) Härigenom föreskrivs att 8 § kreditupplysningslagen (1973:1173) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 § En uppgift om en fysisk person ska gallras när det inte längre är nödvändigt att bevara uppgiften med hänsyn till ändamålet med behandlingen. En uppgift om en fysisk person som inte är näringsidkare ska, om uppgiften inte gäller skuldsanering eller F-skuldsanering, gallras senast tre år efter den dag då den omständighet inträffade eller det förhållande upphörde som uppgiften avser. Om uppgiften rör en begäran om eller ett utlämnande av en kreditupplysning, ska den dock gallras senast ett år efter den dag då begäran framställdes. En uppgift om skuldsanering ska gallras senast fem år efter den dag då inledandebeslutet meddelades eller, om uppgiften gäller F–skuldsanering, senast tre år efter den dagen. Om en betalningsplan löper ut senare, ska dock uppgiften gallras senast den dag då planen löper ut. En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Kronofogdemyndigheten ska också gallras när den har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Kronofogdemyndigheten ska också gallras när den har blockerats av Kronofogdemyndigheten med stöd av 18 § kronofogdedatalagen (0000:00). 1. Denna lag träder i kraft den 2 april 2026. 2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § den upphävda lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Förslag till lag om ändring i lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter Härigenom föreskrivs att 2 och 15 §§ lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § Om någon har rätt till ett belopp som avses i 1 § och om det allmänna mot denna person har en fordran, som är registrerad för indrivning i utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och drivs in enligt bestämmelserna i lagen (1993:891) om indrivning av statliga fordringar m.m. skall från beloppet räknas av så mycket som kan gå till betalning av fordringen, om inte något annat följer av vad som nedan sägs. Med det allmännas fordran avses också förrättningskostnader i målet enligt 17 kap. 1 § utsökningsbalken. Endast vad som överstiger det allmännas fordran får betalas ut. Om någon har rätt till ett belopp som avses i 1 § och det allmänna har en fordran mot denna person som är registrerad för indrivning hos Kronofogdemyndigheten och drivs in enligt bestämmelserna i lagen (1993:891) om indrivning av statliga fordringar m.m., ska så mycket räknas av från beloppet att det kan gå till betalning av fordringen. Detta gäller om inte något annat följer av vad som sägs i de följande paragraferna. Med det allmännas fordran avses också förrättningskostnader i målet enligt 17 kap. 1 § utsökningsbalken. Endast vad som överstiger det allmännas fordran får betalas ut. 15 § Kan för betalning av en i Kronofogdemyndighetens utsöknings- och indrivningsdatabas, registrerad fordran avräkning från belopp som avses i 1 § göras både enligt denna lag och enligt annan författning, skall denna lag tillämpas. Om både denna lag och annan författning kan ligga till grund för att avräkna hela eller delar av ett belopp som avses i 1 § från en fordran som är registrerad hos Kronofogdemyndigheten, ska denna lag tillämpas. Kan en myndighet enligt annan författning göra avräkning från belopp, som avses i 1 §, för betalning av en fordran, som inte är registrerad i utsöknings- och indrivningsdatabasen, får myndigheten göra avräkningen utan hinder av att förutsättningar föreligger för avräkning enligt denna lag. Om en myndighet med stöd av någon annan författning kan räkna av hela eller delar från ett sådant belopp som avses i 1 § för att betala en fordran som inte är registrerad hos Kronofogdemyndigheten, får myndigheten göra avräkningen även om det finns förutsättningar för avräkning enligt denna lag. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i folkbokföringslagen (1991:481) Härigenom föreskrivs i fråga om folkbokföringslagen (1991:481) dels att 1, 26 c, 28 och 31 §§ ska ha följande lydelse, dels att det ska införas en ny paragraf, 1 a §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får förekomma i folkbokföringsdatabasen. Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som får registreras enligt 1 a §. Vigsel, födelse och dödsfall i landet ska registreras även i fråga om en person som inte är eller har varit folkbokförd. Folkbokföring och sådan registrering som avses i andra stycket sker genom Skatteverkets försorg. Skatteverket ansvarar för folkbokföring och sådan registrering som avses i andra stycket. Bestämmelser om samordningsnummer för den som inte är eller har varit folkbokförd finns i lagen (2022:1697) om samordningsnummer. 1 a § Skatteverket får registrera följande uppgifter om en person: 1. personnummer, 2. samordningsnummer, 3. namn, 4. födelsetid, 5. födelsehemort, 6. födelseort och födelseland, 7. adress, 8. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt, 9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och någon annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, 12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering enligt 19–22 §§, 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, och 17. uppehållsrätt. 26 c § Om en handling som överlämnats enligt 26 b § har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. 28 § En anmälan enligt 25 eller 26 § ska innehålla följande uppgifter: 1. namn och person- eller samordningsnummer, 2. datum för ändring av bostads- eller postadress, 3. ny bostads- och postadress samt beräknad giltighetstid, 4. registerbeteckning för den fastighet som den nya bostadsadressen avser och, om fastigheten innehåller flera bostadslägenheter med samma belägenhetsadress, lägenhetsnummer som avses i lagen (2006:378) om lägenhetsregister, och 5. vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser. En anmälan enligt 26 § första stycket ska dessutom innehålla 1. uppgift om födelsetid och medborgarskap, 2. uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess beräknade varaktighet, 3. uppgift om personnummer som personen har tilldelats i ett annat nordiskt land, och 4. övriga uppgifter som får föras in i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. 4. övriga uppgifter som får registreras enligt 1 a §. 31 § Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt denna lag eller för kontroll eller komplettering av andra uppgifter om en person som får föras in i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp. Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt denna lag eller för kontroll eller komplettering av andra uppgifter om en person som får registreras enligt 1 a §. I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (1991:483) om fingerade personuppgifter Härigenom föreskrivs att 9 § lagen (1991:483) om fingerade personuppgifter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 9 § När ett medgivande att använda fingerade personuppgifter har upphört att gälla ska Polismyndigheten underrätta Skatteverket om detta. Verket ska skyndsamt se till att de fingerade uppgifterna inte längre används inom folkbokföringen. Verket ska göra de ändringar i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet som krävs. När ett medgivande att använda fingerade personuppgifter har upphört att gälla ska Polismyndigheten underrätta Skatteverket om detta. Skatteverket ska skyndsamt se till att de fingerade uppgifterna inte längre används inom folkbokföringsverksamheten och göra de ändringar av registrerade uppgifter i folkbokföringsverksamheten som krävs. Sedan Polismyndigheten har underrättat Skatteverket om att ett medgivande att använda fingerade personuppgifter har upphört får den enskilde använda de fingerade uppgifterna fram till dess verket har registrerat ändringarna i folkbokföringsdatabasen men inte för tid därefter. Sedan Polismyndigheten har underrättat Skatteverket om att ett medgivande att använda fingerade personuppgifter har upphört får den enskilde använda de fingerade uppgifterna fram till dess att Skatteverket har registrerat ändringarna i folkbokföringsverksamheten men inte för tid därefter. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lönegarantilagen (1992:497) Härigenom föreskrivs att 23 a § lönegarantilagen (1992:497) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 23 a § Innan ett garantibelopp betalas ut ska den utbetalande myndigheten skyndsamt kontrollera ett beslut eller en underrättelse om löne-garanti från en förvaltare, en rekonstruktör eller tillsynsmyndigheten i syfte att motverka felaktiga utbetalningar. Kontrollen ska göras mot sådana uppgifter i Skatte-verkets beskattningsdatabas som avses i 2 kap. 3 § första stycket 1–5, 7, 8 och 11 lagen (2001:181) om behandling av uppgifter i Skatte-verkets beskattningsverksamhet och mot andra uppgifter som förekommer i den utbetalande myndighetens lönegarantiverksam-het. Innan ett garantibelopp betalas ut ska den utbetalande myndigheten skyndsamt kontrollera ett beslut eller en underrättelse om löne-garanti från en förvaltare, en rekonstruktör eller tillsynsmyndigheten i syfte att motverka felaktiga utbetalningar. Kontrollen ska göras mot följande uppgifter i Skatteverkets beskattningsverk-samhet: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firma-tecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter, 5. bestämmande av skatter och avgifter, 6. revision och annan kontroll av skatter och avgifter, 7. uppgifter som behövs för handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsupp-gifter, och 8. beslut, betalning, redovisning och övriga åtgärder i ett ärende. Kontrollen ska även göras mot andra uppgifter som förekommer i den utbetalande myndighetens lönegarantiverksamhet. En sådan kontroll ska även göras efter det att ett garantibelopp har betalats ut, om det finns skäl för det. En sådan kontroll som avses i första och andra styckena ska också göras efter det att ett garantibelopp har betalats ut, om det finns skäl för det. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i sametingslagen (1992:1433) Härigenom föreskrivs att 3 kap. 3 § sametingslagen (1992:1433) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 3 kap. 3 § Rösträtt till Sametinget har den som är upptagen i sameröstlängd. I sameröstlängden tas den same upp som anmäler sig till valnämnden och som är svensk medborgare och på den samiska valdagen fyllt eller fyller 18 år. Under de förutsättningar som i andra stycket anges för svenska medborgare skall i röstlängden tas upp även de utlänningar som enligt folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet har varit folkbokförda i landet tre år i följd före valdagen och som anmäler sig till valnämnden. Under de förutsättningar som i andra stycket anges för svenska medborgare ska i röstlängden tas upp även de utlänningar som har varit folkbokförda enligt folkbokföringslagen (1991:481) i landet tre år i följd före valdagen och som anmäler sig till valnämnden. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (1994:692) om kommunala folkomröstningar Härigenom föreskrivs att 6 § lagen (1994:692) om kommunala folkomröstningar ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 § När en kommunal folkomröstning ska hållas, ska en röstlängd upprättas för varje omröstningsdistrikt. Det är uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet och i fastighetsregistret enligt lagen (2000:224) om fastighetsregister 30 dagar före dagen för folkomröstningen som ska ligga till grund för uppgifterna i röstlängderna. När en kommunal folkomröstning ska hållas, ska en röstlängd upprättas för varje omröstningsdistrikt. Det är uppgifterna som har registrerats i Skatteverkets folkbokföringsverksamhet och i fastighetsregistret enligt lagen (2000:224) om fastighetsregister 30 dagar före dagen för folkomröstningen som ska ligga till grund för uppgifterna i röstlängderna. Uppgifter för framställning av röstlängder och röstkort tillhandahålls av den centrala valmyndigheten efter anmälan. Ska folkomröstning äga rum samtidigt med ett allmänt val eller en nationell folkomröstning, får röstlängderna och röstkorten för den kommunala folkomröstningen samordnas med valet eller den nationella folkomröstningen. I annat fall och för de personer som inte är röstberättigade i det allmänna valet eller den nationella folkomröstningen ska kommunen eller regionen framställa röstlängd och upprätta röstkort med ledning av registeruppgifterna från den centrala valmyndigheten. Centrala valmyndigheten har rätt till ersättning för de kostnader som föranleds av den kommunala folkomröstningen. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (1994:1776) om skatt på energi Härigenom föreskrivs att 4 b kap. 1 § och 4 e kap. 1 § lagen (1994:1776) om skatt på energi ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 b kap. 1 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att bränsle inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare. 4 e kap. 1 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 3 § första stycket, 2. förenklade administrativa referenskoder enligt 3 § tredje stycket, 3. uppgifter om ändrad destination enligt 5 §, och 4. mottagningsrapporter enligt 6 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 9 och 10 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. Härigenom föreskrivs att 10, 13 och 14 §§ lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 10 § Regeringen får meddela andra föreskrifter om behandling av personuppgifter i Skatteverkets beskattningsdatabas och folkbokföringsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Tullverkets tulldatabas än dem som annars gäller. Regeringen får meddela andra föreskrifter om behandling av personuppgifter än de som annars gäller enligt 1. beskattningsdatalagen (0000:00), 2. folkbokföringsdatalagen (0000:00), 3. tulldatalagen (0000:00), och 4. kronofogdedatalagen (0000:00) för verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud. 13 § Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att meddela föreskrifter på Skatteverket eller, beträffande utsöknings- och indrivningsdatabasen, Kronofogdemyndigheten eller, beträffande tulldatabasen, Tullverket. Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Skatteverket eller, beträffande tullar, Tullverket. Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att meddela föreskrifter på 1. Skatteverket, 2. Kronofogdemyndigheten om det rör behandling av personuppgifter i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud enligt kronofogdedatalagen (0000:00), eller 3. Tullverket om det rör behandling av personuppgifter enligt tulldatalagen (0000:00). Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Skatteverket eller, beträffande tullar, Tullverket. 14 § Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts- och folkbokföringsförfattningar samt de författningar om behandling av personuppgifter och andra uppgifter som reglerar förhållanden som omfattas av denna lag på Skatteverket eller, beträffande indrivning av fordringar och behandling av uppgifter i Kronofogdemyndighetens verksamhet, Kronofogdemyndigheten eller, beträffande tullar och behandling av uppgifter i Tullverkets verksamhet, Tullverket. Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts- och folkbokföringsförfattningar samt de författningar om behandling av personuppgifter som reglerar förhållanden som omfattas av denna lag på 1. Skatteverket, 2. Kronofogdemyndigheten om det rör indrivning av fordringar och behandling av personuppgifter i Kronofogdemyndighetens verksamhet, eller 3. Tullverket om det rör tullar och behandling av personuppgifter i Tullverkets verksamhet. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (1999:291) om avgift till registrerat trossamfund Härigenom föreskrivs att 8 § lagen (1999:291) om avgift till registrerat trossamfund ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 § Om staten till följd av behandlingen av en uppgift som avses i 5 § betalar skadestånd till en person som är registrerad i beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet skall det trossamfund som lämnat uppgiften ersätta staten i motsvarande utsträckning. Om staten till följd av behandlingen av en uppgift som avses i 5 § betalar skadestånd till en person som är registrerad i Skatteverkets beskattningsverksamhet, ska det trossamfund som lämnat uppgiften ersätta staten i motsvarande utsträckning. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i studiestödslagen (1999:1395) Härigenom föreskrivs i fråga om studiestödslagen (1999:1395) dels att 4 kap. 26 § och 5 kap. 6 a § ska ha följande lydelse, dels att punkt 20 i ikraftträdande- och övergångsbestämmelserna ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 26 § Låntagaren ska lämna de uppgifter som är av betydelse för tillämpningen av detta kapitel till Centrala studiestödsnämnden. En låntagare som har fått årsbeloppet nedsatt är skyldig att omedelbart underrätta Centrala studiestödsnämnden, om någon omständighet som föranlett nedsättningen inte längre finns. En låntagare som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. En låntagare som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. 5 kap. 6 a § En återbetalningsskyldig som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. En återbetalningsskyldig som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. 20. Den som är återbetalningsskyldig för studielån, studiemedel eller återkrav enligt studiestödslagen (1973:349) och som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. 20. Den som är återbetalningsskyldig för studielån, studiemedel eller återkrav enligt studiestödslagen (1973:349) och som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i vallagen (2005:837) Härigenom föreskrivs att 4 kap. 1 och 12 §§, 5 kap. 1 § och 6 kap. 8 § vallagen (2005:837) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 1 § För val till riksdagen, regionfullmäktige och kommunfullmäktige ska det finnas geografiskt avgränsade områden för vilka det ska väljas ledamöter till den beslutande församling valet gäller (valkretsar). För val till Europaparlamentet utgör landet en enda valkrets. Om inte annat anges ska vid tillämpningen av detta kapitel antalet röstberättigade vid ett val beräknas på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars valåret. Om inte annat anges ska vid tillämpningen av detta kapitel antalet röstberättigade vid ett val beräknas på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet och uppgifter om personer som ska tas upp i röstlängden enligt 5 kap. 2 § första stycket. Beräkningen ska ske på grundval av de uppgifter som finns den 1 mars valåret. 12 § Om en kommun har 36 000 personer eller fler som har rösträtt, får kommunen delas in i två eller flera valkretsar. En kommun som har färre än 36 000 personer som har rösträtt får delas in i valkretsar endast om det finns särskilda skäl för det. Antalet röstberättigade ska beräknas på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars det år beslutet om valkretsindelning fattas. Antalet röstberättigade ska beräknas på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars det år beslutet om valkretsindelning fattas. En valkrets bör utformas så att den kan beräknas få minst 13 fasta valkretsmandat. Den ska ha en sammanhängande gränslinje, om det inte finns särskilda skäl för något annat. 5 kap. 1 § Vid val skall den centrala valmyndigheten för varje valdistrikt upprätta en förteckning över dem som är röstberättigade i valet (röstlängd). Vid val ska den centrala valmyndigheten för varje valdistrikt upprätta en förteckning över dem som är röstberättigade i valet (röstlängd). Röstlängderna skall grundas på de uppgifter som 30 dagar före valdagen finns i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och i fastighetsregistret enligt lagen (2000:224) om fastighetsregister. Röstlängderna ska grundas på uppgifter i Skatteverkets folkbokföringsverksamhet, uppgifter i fastighetsregistret enligt lagen (2000:224) om fastighetsregister och uppgifter om personer som ska tas upp i röstlängden enligt 2 § första stycket. Röstlängderna ska grundas på de uppgifter som finns 30 dagar före valdagen. 6 kap. 8 § Följande partier som ställer upp i ett val har rätt till valsedlar på statens bekostnad: 1. vid val till riksdagen: parti som vid valet får eller vid något av de två senaste riksdagsvalen har fått mer än 1 procent av rösterna i hela landet eller som ändå är eller genom valet blir representerat i riksdagen, 2. vid val till region- eller kommunfullmäktige: parti som är eller genom valet blir representerat i fullmäktige, 3. vid val till Europaparlamentet: parti som vid valet får eller vid något av de två senaste valen till Europaparlamentet har fått mer än 1 procent av rösterna i hela landet. I samtliga fall avser rätten till fria valsedlar ett antal som motsvarar högst tre gånger antalet röstberättigade i 1. vid val till riksdagen: valkretsen, 2. vid övriga val: valet. Vid tillämpningen av andra stycket beräknas antalet röstberättigade på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars valåret. Vid tillämpningen av andra stycket beräknas antalet röstberättigade på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet och uppgifter om personer som ska tas upp i röstlängden enligt 5 kap. 2 § första stycket. Beräkningen ska ske på grundval av de uppgifter som finns den 1 mars valåret. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar Härigenom föreskrivs att 6 § lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 § Med ett års tillväxt avses i denna lag produkten av lantbruksenhetens skogsmarksareal den 1 januari 2005 enligt den beskattningsdatabas som Skatteverket för enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och det tillväxttal som enligt bilaga 2 till denna lag gäller för det län där lantbruksenheten är belägen. Med ett års tillväxt avses i denna lag produkten av lantbruksenhetens skogsmarksareal den 1 januari 2005 enligt uppgift som har registrerats i Skatteverkets be-skattningsverksamhet och det tillväxttal som enligt bilaga 2 till denna lag gäller för det län där lantbruksenheten är belägen. Om lantbruksenheten har bildats efter den 1 januari 2005, beräknas tillväxten på enhetens skogsmarksareal vid tidpunkten för enhetens bildande. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2006:939) om kvalificerade skyddsidentiteter Härigenom föreskrivs att 4 och 10 §§ lagen (2006:939) om kvalificerade skyddsidentiteter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 § I ett beslut om kvalificerad skyddsidentitet får det förordnas 1. att Transportstyrelsen skall utfärda körkort i den kvalificerade skyddsidentitetens namn, 1. att Transportstyrelsen ska utfärda körkort i den kvalificerade skyddsidentitetens namn, 2. att andra statliga myndigheter skall utfärda pass eller andra identitetshandlingar i den kvalificerade skyddsidentitetens namn, eller 2. att andra statliga myndigheter ska utfärda pass eller andra identitetshandlingar i den kvalificerade skyddsidentitetens namn, eller 3. att Skatteverket skall registrera den kvalificerade skyddsidentiteten i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. 3. att Skatteverket ska registrera den kvalificerade skyddsidentiteten i folkbokföringsverksamheten. Ett förordnande enligt första stycket 1 får meddelas endast för den som innehar motsvarande körkort. I samband med förordnandet får det beslutas att Transportstyrelsen eller någon annan körkortsmyndighet skall föra in uppgifter om körkortet i väg-trafikregistret. Ett förordnande enligt första stycket 1 får meddelas endast för den som innehar motsvarande körkort. I samband med förordnandet får det beslutas att Transportstyrelsen eller någon annan körkortsmyndighet ska föra in uppgifter om körkortet i vägtrafikregistret. I samband med ett förordnande enligt första stycket 2 får det beslutas att den myndighet som utfärdar handlingen även skall föra in uppgifter om handlingen i det register där handlingar av det aktuella slaget registreras. I samband med ett förordnande enligt första stycket 2 får det beslutas att den myndighet som utfärdar handlingen även ska föra in uppgifter om handlingen i det register där handlingar av det aktuella slaget registreras. Ett förordnande enligt första stycket 3 får meddelas endast om åtgärder enligt första stycket 1 eller 2 inte är tillräckliga. 10 § När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 1 eller 2 har upphört att gälla, ska körkort, pass eller andra identitetshandlingar som omfattas av förordnandet lämnas in till beslutsmyndigheten. När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 3 har upphört att gälla, ska Skatteverket, efter anmälan från beslutsmyndigheten, avregistrera den kvalificerade skyddsidentiteten. Om det fortfarande finns en sådan risk som anges i 3 § 2, får beslutsmyndigheten bestämma att avregistreringen ska anstå till dess att risken har upphört. När uppgiften att det som har registrerats i folkbokföringsdatabasen utgör en kvalificerad skyddsidentitet inte längre omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), ska Skatteverket, efter anmälan från beslutsmyndigheten, i folkbokföringsdatabasen ange att registreringen avser en kvalificerad skyddsidentitet. När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 3 har upphört att gälla, ska Skatteverket, efter anmälan från beslutsmyndigheten, avregistrera den kvalificerade skyddsidentiteten. Om det fortfarande finns en sådan risk som anges i 3 § 2, får beslutsmyndigheten bestämma att avregistreringen ska anstå till dess att risken har upphört. När uppgiften att det som har registrerats i folkbokföringsverksamheten utgör en kvalificerad skyddsidentitet inte längre omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), ska Skatteverket, efter anmälan från beslutsmyndigheten, i folkbokföringsverksamheten ange att registreringen avser en kvalificerad skyddsidentitet. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) dels att 17 kap. 1 a §, 22 kap. 1 a och 6 §§, 27 kap. 1, 3, 4, 7, 8 och 10 §§, 34 kap. 2–4 och 11 §§ och rubrikerna närmast före 17 kap. 1 a § och 34 kap. 2 § ska ha följande lydelse, dels att det ska införas fyra nya paragrafer, 22 kap. 1 c §, 27 kap. 2 a och 3 a §§ och 34 kap. 10 b §, och närmast före 34 kap. 10 b § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 17 kap. Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i vissa verksamheter 1 a § Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00), om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, i syfte att förebygga, förhindra och upptäcka fel i 1. Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00), 2. Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00), eller 3. Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00). 22 kap. 1 a § Sekretess gäller i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 1 c § Sekretess gäller i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift i en sammanställning ur en upptagning för automatiserad behandling, om sammanställningen grundar sig på uppgift om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen enligt första stycket gäller inte för uppgift om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 6 § Den tystnadsplikt som följer av 1 § första stycket och 1 a, 1 b och 2 §§ inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av 1 § första stycket och 1 a–2 §§ inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. 27 kap. 1 § Sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretess gäller vidare 1. i verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen, 1. i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Skatteverket och används i verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden, 2. hos kommun eller region för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatterättsnämnden har lämnat i ett ärende om förhandsbesked i en skatte- eller taxeringsfråga, och 3. hos Försäkringskassan för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatteverket har lämnat i ett ärende om särskild sjukförsäkringsavgift. Med skatt avses i detta kapitel skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund, skattetillägg, återkallelseavgift, dokumentationsavgift enligt 49 b kap. 3 § skatteförfarandelagen (2011:1244), rapporteringsavgift, plattformsavgift och förseningsavgift samt expeditionsavgift och tilläggsavgift enligt lagen (2004:629) om trängselskatt och tilläggsavgift enligt 8 a § lagen (2016:1067) om skatt på kemikalier i viss elektronik. Med verksamhet som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst. Första och andra styckena gäller inte om annat följer av 3, 4 eller 6 §. För uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år. 2 a § Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 3 § Sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Motsvarande sekretess gäller i en myndighets verksamhet som avser förande av eller uttag ur tulldatabasen enligt lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet för uppgift som har tillförts databasen. Motsvarande sekretess gäller i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Tullverket och används i sådan verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Första och andra styckena gäller inte om annat följer av 6 §. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 3 a § Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 4 § Sekretessen enligt 1–3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Får en domstol i ett mål från en annan myndighet en sekretessreglerad uppgift och saknar uppgiften betydelse i målet, blir dock sekretessbestämmelsen tillämplig på uppgiften även hos domstolen. Sekretessen enligt 1, 2 och 3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Om en domstol i ett mål får en sekretessreglerad uppgift från en annan myndighet och den uppgiften saknar betydelse i målet, blir sekretessbestämmelsen tillämplig på uppgiften även hos domstolen. 7 § Sekretessen enligt 1, 3 och 4 §§ hindrar inte att uppgift lämnas till en enskild enligt vad som föreskrivs i 1. lag om förfarande vid beskattning, 2. lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 3. lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energiproduktion, eller 2. lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energiproduktion, 3. förordningen (0000:00) om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet, eller 4. förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet. 4. förordningen (0000:00) om utlämnande av uppgifter från Tullverket. 8 § Sekretessen enligt 1–4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs. Sekretessen enligt 1, 2, 3 och 4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs. Sekretessen enligt 2–4 §§ hindrar inte att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs. Sekretessen enligt 2, 3 och 4 §§ hindrar inte att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs. Om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen. 10 § Den tystnadsplikt som följer av 1 §, 2 § första stycket och 3–5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av 1 §, 2 § första stycket och 2 a–5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. 34 kap. Utsöknings- och indrivningsdatabasen Uppgifter i automatiserade uppgiftssamlingar 2 § Under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur utsöknings- och in-drivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. Under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur en automatiserad uppgiftssamling som har upprättats av Kronofogdemyndigheten och används i verksamhet som avses i 2 § första stycket 1 och 5 kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. 3 § Uppgift i mål, ärende eller verksamhet som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. Uppgift som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 18 § kronofogdedatalagen (0000:00) omfattas av sekretess oavsett vad som före-skrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. 4 § Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 §§ för sådan uppgift om en enskilds per-sonliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 och 10 b §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Om sekretess gäller enligt första stycket, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Kronofogdemyndighetens verksamhet samt motverka överskuldsättning 10 b § Sekretess gäller i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Detsamma gäller i Kronofogdemyndighetens verksamhet som avser dataanalyser och urval i syfte att motverka överskuldsättning. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år. 11 § Den tystnadsplikt som följer av 4 § och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 5 § andra stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av 4 och 10 b §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 5 § andra stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. 1. Denna lag träder i kraft den 2 april 2026. 2. För uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § den upphävda lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet gäller 34 kap. 3 § i den äldre lydelsen. Förslag till lag om ändring i skatteförfarandelagen (2011:1244) Härigenom föreskrivs att 65 kap. 13 § skatteförfarandelagen (2011:1244) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 65 kap. 13 § Om skatt eller avgift inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning eller för verkställighet av betalningssäkring registreras i utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Därefter beräknas kostnadsräntan efter en räntesats som motsvarar basräntan. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Krono-fogdemyndigheten för indrivning eller för verkställighet av betalningssäkring registreras hos Kronofogdemyndigheten. Därefter beräknas kostnadsräntan efter en räntesats som motsvarar basräntan. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter Härigenom föreskrivs att 8 § lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 § Om skatten inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats till och med den dag då beloppet betalas. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen (2011:1244) plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning registreras i utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Därefter beräknas kostnadsräntan med en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen (2011:1244) plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning registreras hos Kronofogdemyndigheten. Därefter beräknas kostnadsräntan med en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Om skatt ska betalas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska kostnadsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag. Kostnadsränta ska beräknas till och med den dag då betalning senast ska ske. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Om det finns synnerliga skäl, ska beskattningsmyndigheten besluta om befrielse från kostnadsränta. Om skatt ska tillgodoräknas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska intäktsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag till och med den dag omprövning beslutats. Intäktsränta ska beräknas efter en räntesats som motsvarar intäktsräntan enligt 65 kap. 4 § tredje stycket skatteförfarandelagen. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i tullagen (2016:253) Härigenom föreskrivs att 1 kap. 4 och 5 §§ tullagen (2016:253) ska upphöra att gälla den 2 april 2026. Förslag till lag om ändring i kommunallagen (2017:725) Härigenom föreskrivs att 5 kap. 6 § kommunallagen (2017:725) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 6 § Vid tillämpningen av 5 § ska antalet röstberättigade beräknas på grundval av uppgifterna i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars året före valåret. Vid tillämpningen av 5 § ska antalet röstberättigade beräknas på grundval av de uppgifter som har registrerats i Skatteverkets folkbokföringsverksamhet den 1 mars året före valåret. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs att 2 kap. 6 § och rubriken närmast före 2 kap. 6 § lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. Beskattningsdatabasen Sökning i beskattningsverksamheten 6 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen. Vid sökning i beskattningsdatabasen som görs för att utföra en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas. I beskattningsdatalagen (0000:00) finns bestämmelser om hur personuppgifter får behandlas i Skatteverkets beskattningsverksamhet. Vid sökning i beskattningsverksamheten som görs för att utföra en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2022:155) om tobaksskatt Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:155) om tobaksskatt ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare. 8 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 4 § första stycket, 2. förenklade administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, och 4. mottagningsrapporter enligt 7 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 10 och 11 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2022:156) om alkoholskatt Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:156) om alkoholskatt ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare. 8 kap. 2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 4 § första stycket, 2. förenklade administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, och 4. mottagningsrapporter enligt 7 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskattningsdatalagen (0000:00). När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 10 och 11 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2022:856) om omställningsstudiestöd Härigenom föreskrivs att 45 § lagen (2022:856) om omställningsstudiestöd ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 45 § Den som är återbetalnings-skyldig för återkrav och som inte har sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. Den som är återbetalnings-skyldig för återkrav och som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden. Denna lag träder i kraft den 2 april 2026. Förslag till lag om ändring i lagen (2022:1697) om samordningsnummer Härigenom föreskrivs att 1 kap. 2 §, 2 kap. 4 § och 4 kap. 1 och 2 §§ lagen (2022:1697) om samordningsnummer ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 2 § Skatteverket beslutar i ärenden enligt denna lag. Uppgifter om personer som har tilldelats samordningsnummer registreras i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Skatteverket får registrera följande uppgifter om en person: 1. samordningsnummer, 2. personnummer, 3. namn, 4. födelsetid, 5. medborgarskap, 6. födelseort och födelseland 7. kontaktadress, 8. om personens identitet är styrkt, sannolik eller osäker, 9. tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1, 10. vilandeförklaring enligt 3 kap. 2 §, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, och 11. tidpunkt för när en person har avlidit. Bestämmelser om folkbokföring och personnummer finns i folkbokföringslagen (1991:481). 2 kap. 4 § Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. 4 kap. 1 § En myndighet ska underrätta Skatteverket om det kan antas att en uppgift i folkbokföringsdatabasen om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. En myndighet ska underrätta Skatteverket om det kan antas att en uppgift som har registrerats om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. En sådan underrättelse behöver inte lämnas om särskilda skäl talar mot det. Skyldigheten i första stycket gäller inte för Skatteverkets brottsbekämpande verksamhet. Den gäller inte heller i fråga om uppgifter som omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400). 2 § Om en person med ett sam-ordningsnummer har en kontaktadress registrerad i folkbokföringsdatabasen, ska han eller hon anmäla ändringar av adressen till Skatteverket. Om en person med ett sam-ordningsnummer har en kontaktadress registrerad, ska han eller hon anmäla ändringar av adressen till Skatteverket. Anmälningsskyldigheten gäller inte om samordningsnumret är vilande eller personen omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall. Denna lag träder i kraft den 2 april 2026. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2025-12-08 Närvarande: F.d. justitieråden Gudmund Toijer och Mats Anderson samt justitierådet Marie Jönsson Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten Enligt en lagrådsremiss den 6 november 2025 har regeringen (Finansdepartementet) beslutat inhämta Lagrådets yttrande över förslag till beskattningsdatalag, folkbokföringsdatalag, tulldatalag, kronofogdedatalag, lag om det statliga personadressregistret, lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, lag om ändring i kreditupplysningslagen (1973:1173), lag om ändring i lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter, lag om ändring i folkbokföringslagen (1991:481), lag om ändring i lagen (1991:483) om fingerade personuppgifter, lag om ändring i lönegarantilagen (1992:497), lag om ändring i sametingslagen (1992:1433), lag om ändring i lagen (1994:692) om kommunala folkomröstningar, lag om ändring i lagen (1994:1776) om skatt på energi, lag om ändring i lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m., lag om ändring i lagen (1999:291) om avgift till registrerat trossamfund, lag om ändring i studiestödslagen (1999:1395), lag om ändring i vallagen (2005:837), lag om ändring i lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar, lag om ändring i lagen (2006:939) om kvalificerade skyddsidentiteter, lag om ändring i offentlighets- och sekretesslagen (2009:400), lag om ändring i skatteförfarandelagen (2011:1244), lag om ändring i lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter, lag om ändring i tullagen (2016:253), lag om ändring i kommunallagen (2017:725), lag om ändring i lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område, lag om ändring i lagen (2022:155) om tobaksskatt, lag om ändring i lagen (2022:156) om alkoholskatt, lag om ändring i lagen (2022:856) om omställningsstudiestöd, lag om ändring i lagen (2022:1697) om samordningsnummer. Förslagen har inför Lagrådet föredragits av rättssakkunniga Sofie Abdsaleh och rättssakkunniga Sofia Kinnunen Bengtsson, biträdda av rättssakkunniga Linda Olander. Förslagen föranleder följande yttrande. Allmänt I remissen till Lagrådet föreslås att de registerlagar som i dag tillämpas av Skatteverket, Tullverket och Kronofogdemyndigheten ska ersättas med nya lagar om personuppgiftsbehandling. Avsikten är att de föreslagna lagarna i huvudsak ska ha samma tillämpningsområden som de hittills gällande. Lagarna ska komplettera EU:s dataskyddsförordning (förordning [EU] 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG [allmän dataskyddsförordning]). Det föreslås också att de angivna myndigheterna ska få ett uttryckligt rättsligt stöd för att använda dataanalyser och urval i sin kontrollverksamhet. Förslagen är alltså i stor utsträckning inriktade på en modernisering av lagstiftningen och på en anpassning till unionsrätten, och förslagen ska innebära bara mindre ändringar av gällande rätt. De förslag som läggs fram i remissen är strikt avgränsade till dataskyddsrättsliga bestämmelser. Detta för med sig en begränsning av Lagrådets granskning. Sålunda har det inte funnits något egentligt utrymme för Lagrådet att bedöma hur förslagen förhåller sig till och samverkar med den materiella lagstiftningen. Upplysningsbestämmelser I de föreslagna myndighetsspecifika lagarna finns ett flertal s.k. upplysningsbestämmelser som erinrar om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om vissa frågor. Det finns emellertid exempel också på att sådana upplysningar inte tas in i lagen, trots att avsikten är att kompletterande föreskrifter ska kunna meddelas. Det belyses av 14 § i den föreslagna kronofogdedatalagen där det endast av författningskommentaren framgår att ytterligare föreskrifter kan meddelas. Upplysningar kan i vissa situationer vara motiverade då riksdagen lagstiftar inom området för regeringens restkompetens (jfr HFD 2023 ref. 2). Det bör tydliggöras i vad mån överväganden av det slaget ligger bakom upplysningarna i detta ärende. En konsekvent användning av s.k. upplysningsbestämmelser bör eftersträvas i det fortsatta lagstiftningsarbetet. Förslaget till beskattningsdatalag 1 § I paragrafen anges syftet med lagen. Syftet är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid en sådan behandling. Syftet är generellt utformat. Det är först i 2 § som det anges att lagen gäller vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Enligt Lagrådets uppfattning bör det av en portalparagraf framgå att syftet inte är att reglera hela Skatteverkets verksamhet utan enbart beskattningsverksamheten. Lagrådet föreslår därför att paragrafen ges följande lydelse. Syftet med denna lag är att ge Skatteverket möjlighet att inom beskattningsverksamheten behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. 3 § I paragrafen definieras vad som avses med begreppet beskattningsverksamhet vid behandling av personuppgifter. Någon sådan definition har tidigare inte funnits. Den föreslagna regleringen avser personuppgiftsbehandling generellt i beskattningsverksamheten. Skatteverket bedriver även annan verksamhet än beskattningsverksamhet och behandlar personuppgifter som inte ska omfattas av regleringen. Lagrådet har inget att invända mot att regleringen knyts till beskattningsverksamheten men vill understryka att det är viktigt att såväl de som är verksamma inom Skatteverket som andra berörda är medvetna om och får rimliga möjligheter att bedöma när uppgiftsbehandlingen sker inom ramen för lagstiftningen och när den faller utanför. Det är därför viktigt att vad som avses med beskattningsverksamhet är tydligt definierat. Som exempel kan nämnas att det av punkt 1 framgår att med beskattningsverksamhet avses fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. I författningskommentaren har någon närmare beskrivning eller exemplifiering inte gjorts. Vid föredragningen har upplysts om att hantering av kontrolluppgifter och eventuell ränteberäkning omfattas av den verksamheten. Av punkt 4 framgår att beskattningsverksamhet även omfattar revision och annan kontroll eller analys. Av författningskommentaren framgår inte vilken kontroll utöver revisioner som avses. För Lagrådet framstår det som oklart om t.ex. behandlingen av kontrolluppgifter även kan omfattas av denna punkt. Det är vidare inte självklart att ränteberäkning omfattas av betalning av skatter och avgifter. Enligt Lagrådet är det svårt att avgöra om definitionen är tillräcklig eller om det behövs ytterligare avgränsningar. Lagrådet anser därför att definitionen bör övervägas ytterligare i det fortsatta arbetet och i vart fall bör författningskommentaren byggas ut och fler förtydligande exempel ges. 7 § Förslaget till 7 § anger de ändamål som Skatteverkets behandling av personuppgifter får avse. Där anges att behandling får ske om det är ”nödvändigt” för att verket ska kunna utföra sina uppgifter enligt lagen. I hittills gällande reglering har det talats om att behandlingen ”behövs”. Rent språkligt kan det ändrade ordvalet uppfattas som en skärpning av kravet för behandling av personuppgifter. Av lagrådsremissen framgår dock att ingen ändring i sak är avsedd. Förklaringen till valet av ”nödvändig” är i stället att den svenska lagtexten ska ligga nära ordalydelsen i (den svenska översättningen av) EU:s dataskyddsförordning. Ett ändrat ordval är dock ägnat att skapa oklarhet hos den som tar del av lagtexten. I den följande lagtexten används också omväxlande orden ”nödvändig” (se 10 § om känsliga personuppgifter, 11 § om sökbegränsningar och 17 § om begränsning av information till den registrerade) och ”behövs” (se 14 § om tillgång till personuppgifter och 16 § om längsta tid för behandling), utan att det tydligt framgår om någon skillnad i betydelse är avsedd. Det bör under det fortsatta lagstiftningsarbetet klargöras hur uttrycken används och vilken betydelse de har. 8 § I paragrafen anges att personuppgifter som behandlas för de primära ändamålen även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Av författningskommentaren framgår att utlämnande av personuppgifter genom överföring, spridning eller tillhandhållande hör till de sekundära ändamålen som alltså omfattas av bestämmelsen. Enligt Lagrådet är det oklart vad som avses med kommentaren. Det torde inte vara ett ändamål att t.ex. lämna ut uppgifter genom spridning. Författningskommentaren bör förtydligas i detta avseende. Rubriken före 11 § Bestämmelserna i 11 § står under rubriken Sökbegränsningar. Det är emellertid inte fråga om någon generell begränsning av sökmöjligheterna utan om sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sålunda har 11 § ett nära samband med 10 § som handlar om behandling av känsliga personuppgifter. Det kan därför övervägas att låta 11 § stå under samma rubrik som 10 §, nämligen Känsliga personuppgifter. I vart fall bör det av en särskild rubrik till 11 § framgå att den avser sökbegränsningar avseende känsliga personuppgifter. 13 § I paragrafens första stycke regleras kravet på dokumentation vid behandling av personuppgifter för att göra dataanalyser och urval. Dokumentationskravet innefattar den avvägning som Skatteverket ska göra mellan det avsedda resultatet med åtgärden och intrånget i enskildes personliga integritet. Kravet innefattar också de metoder och sökbegrepp som används för att ta fram urvalet. Vidare föreskrivs i paragrafens andra stycke att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. I den verksamhet som dokumentationskravet tar sikte på, alltså dataanalyser och urval, torde det i ökande utsträckning bli aktuellt att använda ett maskinbaserat system som utformas för att fungera med varierande grad av autonomi, och i vart fall bör regelverket omfatta en sådan utveckling. Sådana processer är dynamiska på ett annat sätt än traditionell databehandling. Det kan föra med sig exempelvis att andra sökbegrepp än de som initialt använts under processen befinns mer effektiva och därför kommer till användning i den analys som görs. Dokumentationskravet torde avse inte bara det inledande skedet utan hela den process i vilken personuppgifter behandlas. Detta bör klargöras i författningskommentaren. 14 § Den föreslagna paragrafen handlar om den interna tillgången till personuppgifter i Skatteverkets beskattningsverksamhet. Tillgången ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Författningskommentaren ger närmast intrycket att bestämmelsen tar sikte enbart på den som är anställd direkt hos Skatteverket. Det framgår inte i vilken utsträckning som personuppgifter kommer att behandlas också av andra, t.ex. konsulter, som anlitas av Skatteverket, utan att vara anställda där, och om en reglering för deras del i så fall erfordras. Saken bör klargöras under det fortsatta lagstiftningsarbetet. 15 § I första stycket anges att personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom exempelvis e-post som genom direktåtkomst. Den som har direktåtkomst till uppgifterna kan på egen hand göra sökningar men kan inte påverka innehållet i uppgifterna. Den föreslagna regleringen innebär att det är Skatteverket som ska avgöra om t.ex. en annan myndighet ska ha direktåtkomst till uppgifterna. De uppgifter som Skatteverket behandlar är ofta uppgifter som omfattas av sekretess och i många fall av absolut sekretess. Vid direktåtkomst fattas inte något beslut om utlämnande av uppgifter i varje enskilt fall. Det går visserligen inte att ge direktåtkomst till uppgifterna utan att det finns en sekretessbrytande bestämmelse. Direktåtkomst innebär dock ett stort informationsöverskott och leder till att informationen får en större spridning, vilket ökar risken för kränkningar av den personliga integriteten. I lagrådsremissen berörs frågorna enbart översiktligt. Enligt Lagrådets uppfattning är det mindre lämpligt att överlåta till myndigheten att utan restriktioner eller närmare vägledning på egen hand avgöra i vilka situationer det kan anses vara lämpligt att ge direktåtkomst till uppgifterna. I vart fall bör förslagen kompletteras med en närmare analys av vilka situationer det kan vara möjligt att överväga direktåtkomst och hur avvägningen mellan behovet av informationsöverföring och skyddet av den personliga integriteten ska göras. Förslaget till folkbokföringsdatalag 1 § I paragrafen anges syftet med lagen. Här gör sig samma synpunkter gällande som beträffande 1 § i förslaget till beskattningsdatalag. Lagrådet föreslår att paragrafen ges följande lydelse. Syftet med denna lag är att ge Skatteverket möjlighet att inom folkbokföringsverksamheten behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. 2 § Paragrafen reglerar lagens tillämpningsområde. Enligt första stycket så gäller lagen vid behandling av personuppgifter i viss angiven folkbokföringsverksamhet. Som sista punkt (punkt 7) anges ”någon annan liknade uppgift som Skatteverket ska utföra”. Utformningen av bestämmelsen kan både ge intryck av att det finns annan folkbokföringsverksamhet som inte omfattas av lagens tillämpningsområde samtidigt som punkt 7 verkar fånga upp all eventuell icke tidigare nämnd verksamhet. Enligt Lagrådet bör författningskommentaren förtydligas så att det framgår om all folkbokföringsverksamhet omfattas eller om något faller utanför. 5 § I linje med vad som har anförts i anslutning till 7 § i förslaget till beskattningsdatalag bör det klargöras hur uttrycken ”nödvändig” och ”behövs” används i författningstexten och vilken betydelse de har i lagen. Jämför i förslaget till folkbokföringsdatalag 8 § om känsliga personuppgifter respektive 13 § om tillgång till personuppgifter och 15 § om längsta tid för behandling av personuppgifter. 6 § Här gör sig samma synpunkter gällande som beträffande 8 § i förslaget till beskattningsdatalag. Rubriken före 9 § Det kan övervägas att ta bort eller modifiera rubriken före 9 § i enlighet med vad som har anförts om rubriken före 11 § i förslaget till beskattningsdatalag. 12 § Här gör sig samma synpunkter gällande som beträffande 13 § i förslaget till beskattningsdatalag. 13 § Den föreslagna paragrafen handlar om den interna tillgången till personuppgifter i Skatteverkets folkbokföringsverksamhet. Lagrådet anser, liksom när det gäller 14 § beskattningsdatalagen, att det behövs ett förtydligande av hur reglerna ska tillämpas om Skatteverket anlitar någon som inte är anställd hos verket. Förslaget till tulldatalag 1 § I paragrafen anges syftet med lagen. Här gör sig samma synpunkter gällande som beträffande 1 § i förslaget till beskattningsdatalag. Lagrådet föreslår att paragrafen ges följande lydelse. Syftet med denna lag är att ge Tullverket möjlighet att inom sådan verksamhet som anges i 2 § behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. 6 § I linje med vad som har anförts i anslutning till 7 § i förslaget till beskattningsdatalag bör det klargöras hur uttrycken ”nödvändig” och ”behövs” används i författningstexten och vilken betydelse de har i lagen. Jämför i förslaget till tulldatalag 9 § om känsliga personuppgifter och 10 § om sökbegränsningar respektive 13 § om tillgång till personuppgifter och 15 § om längsta tid för behandling av personuppgifter. 7 § Här gör sig samma synpunkter gällande som beträffande 8 § i förslaget till beskattningsdatalag. Rubriken före 10 § Det kan övervägas att ta bort eller modifiera rubriken före 10 § i enlighet med vad som har anförts om rubriken före 11 § i förslaget till beskattningsdatalag. 12 § Här gör sig samma synpunkter gällande som beträffande 13 § i förslaget till beskattningsdatalag. 13 § Den föreslagna paragrafen handlar om den interna tillgången till personuppgifter i Tullverkets verksamhet. Lagrådet anser, liksom när det gäller 14 § beskattningsdatalagen, att det behövs ett förtydligande av hur reglerna ska tillämpas om Tullverket anlitar någon som inte är anställd hos verket. 14 § Här gör sig liknande synpunkter gällande som beträffande 15 § i förslaget till beskattningsdatalag. Förslaget till kronofogdedatalag 1 § I paragrafen anges syftet med lagen. Här gör sig samma synpunkter gällande som beträffande 1 § i förslaget till beskattningsdatalag. Lagrådet föreslår att paragrafen ges följande lydelse. Syftet med denna lag är att ge Kronofogdemyndigheten möjlighet att inom sådan verksamhet som anges i 2 § behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. 7 § I linje med vad som har anförts i anslutning till 7 § i förslaget till beskattningsdatalag bör det klargöras hur uttrycken ”nödvändig” och ”behövs” används i författningstexten och vilken betydelse de har i lagen. Jämför i förslaget till kronofogdedatalag 10 § om känsliga personuppgifter och 11 § om sökbegränsningar respektive 14 § om tillgång till personuppgifter och 16 § om längsta tid för behandling av personuppgifter. 8 § Här gör sig samma synpunkter gällande som beträffande 8 § i förslaget till beskattningsdatalag. Rubriken före 11 § Det kan övervägas att ta bort eller modifiera rubriken före 11 § i enlighet med vad som har anförts om rubriken före 11 § i förslaget till beskattningsdatalag. 12 § Här gör sig samma synpunkter gällande som beträffande 13 § i förslaget till beskattningsdatalag. 14 § Den föreslagna paragrafen handlar om den interna tillgången till personuppgifter i Kronofogdemyndighetens verksamhet. Lagrådet anser, liksom när det gäller 14 § beskattningsdatalagen, att det behövs ett förtydligande av hur reglerna ska tillämpas om Kronofogdemyndigheten anlitar någon som inte är anställd hos myndigheten. 15 § Här gör sig liknande synpunkter gällande som beträffande 15 § i förslaget till beskattningsdatalag. Förslaget till lag om det statliga personadressregistret 11 § I remissens lagförslag anges i 5 § att uppgifterna i det statliga personadressregistret (SPAR) får behandlas bland annat för att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam. 11 § andra stycket upplyser att rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i EU:s dataskyddsförordning. Vid behandlingen i Lagrådet har det upplysts att begreppet direktreklam kan uppfattas som ett snävare begrepp än begreppet direkt marknadsföring. Begreppen är snarlika och för att undvika problem i tillämpningen bör det i författningskommentaren till 11 § föras in en upplysning om skillnaden mellan de båda begreppen. 12 § Paragrafen handlar om längsta tid för behandling av personuppgifter. Uppgifterna får inte behandlas i SPAR under längre tid än vad som ”behövs” med hänsyn till ändamålet med behandlingen. I författningskommentaren lämnas ingen vägledning om vilken tid som personuppgiftsbehandlingen behövs. Ändamålet synes dock vara att behandla uppgifter så länge de är aktuella. Som Lagrådet har påpekat i anslutning till bland annat 7 § i förslaget till beskattningsdatalag anges omväxlande att personuppgiftsbehandlingen ska vara ”nödvändig” och att den ”behövs”. Lagrådet har där framhållit att det bör klargöras hur uttrycken används och vilken betydelse de har. 13 § Paragrafen innebär att misstänkt oriktiga och ofullständiga uppgifter i SPAR ska anmälas. Bestämmelsen gäller för den som i tjänsten har tagit del av en uppgift som är hämtad från SPAR, och anmälan ska göras till den myndighet som ansvarar för registret. Tanken är att anmälningarna ska bidra till registrets kvalitet och tillförlitlighet. Det är emellertid inte tydligt varför anmälan ska göras till den myndighet som ansvarar för registret. Sålunda bygger registret på uppgifter som kommer från annan verksamhet. Möjligen är tanken att registermyndigheten ska fungera som en central mottagare av anmälningarna för att i sin tur vidarebefordra de misstänkt oriktiga eller ofullständiga uppgifterna till andra myndigheter för utredning och kontroll. Frågan bör belysas under det fortsatta arbetet. Vidare framstår bestämmelsens rättsliga innebörd som oklar. Enligt författningskommentaren uttrycker 13 § en generell anmälningsskyldighet för samtliga som nyttjar SPAR:s tjänster avseende alla uppgifter som är hämtade från registret. Det kopplas emellertid inte några rättsliga följder till vad som alltså betecknas som en skyldighet. Som skyldighet betraktad ter sig bestämmelsen också som långtgående i sin omfattning. Inte minst gäller det mot bakgrund av att den riktar sig till den som i tjänsten har tagit del av uppgiften. Bestämmelsen synes alltså ta sikte på alla som hos en juridisk person – inom ramen för sitt arbete där – tar del av uppgifterna. Den angivna skyldigheten, som ska fullgöras genast, ska också inträda redan vid misstanken att en uppgift är oriktig eller ofullständig, och efter vad som anges i författningskommentaren är tröskeln för att göra en anmälan låg. Enligt Lagrådets uppfattning är bestämmelsens funktion oklar och det är i vart fall angeläget att den rättsliga innebörden klargörs och preciseras i det fortsatta lagstiftningsarbetet. Förslaget till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter 1 § I paragrafen anges syftet med lagen. Här gör sig samma synpunkter gällande som beträffande 1 § i förslaget till beskattningsdatalag. Lagrådet föreslår att paragrafen ges följande lydelse. Syftet med denna lag är att ge Skatteverket möjlighet att inom sådana verksamheter som anges i 2 § behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. 5 § I linje med vad som har anförts i anslutning till 7 § i förslaget till beskattningsdatalag bör det klargöras hur uttrycken ”nödvändig” och ”behövs” används i författningstexten och vilken betydelse de har i lagen. Jämför i det nu aktuella lagförslaget 5 § om ändamål och 8 § om känsliga personuppgifter respektive 10 § om tillgång till personuppgifter och 12 § om längsta tid för behandling av personuppgifter. Rubriken före 9 § Det kan övervägas att ta bort eller modifiera rubriken före 9 § i enlighet med vad som har anförts om rubriken före 11 § i förslaget till beskattningsdatalag. 10 § Den föreslagna paragrafen handlar om den interna tillgången till personuppgifter i Skatteverkets verksamhet. Lagrådet anser, liksom när det gäller 14 § beskattningsdatalagen, att det behövs ett förtydligande av hur reglerna ska tillämpas om Skatteverket anlitar någon som inte är anställd hos verket. Förslaget till lag om ändring i folkbokföringslagen 1 a § I 1 § anges att folkbokföring enligt lagen innebär fastställande av en persons bosättning samt registrering av de uppgifter om en person som får registreras enligt 1 a §. I denna anges vilka uppgifter som Skatteverket får registrera om en person. Formuleringen med får ger intryck av att det inte är nödvändigt att Skatteverket registrerar uppgifterna. Samtidigt är det fråga om sådana uppgifter som enligt 1 § utgör folkbokföringen. Det torde således vara fråga om uppgifter som ska registreras av Skatteverket, när förutsättningar för detta finns. Det kan i det här sammanhanget påpekas att det av 1 § andra stycket framgår att vigsel, födelse och dödsfall i landet ska registreras även i fråga om en person som inte är eller har varit folkbokförd. Den formuleringen talar för att motsvarande uppgifter ska registreras för den som är folkbokförd. Formuleringen med får ger vidare intryck av att det är en uttömmande lista över vilka uppgifter som får registreras. Vid föredragningen har upplysts om att det inte är avsikten utan att Skatteverket får registrera även andra uppgifter om en person. Enligt Lagrådets uppfattning måste det klargöras i vilken utsträckning som den aktuella bestämmelsen ger uttryck för de uppgifter som Skatteverket ska registrera. Lagtexten kan även behöva kompletteras med att Skatteverket får registrera andra uppgifter. Som ovan har angivits ska Skatteverket registrera uppgift om vigsel, födelse och dödsfall i landet även i fråga om en person som inte är eller har varit folkbokförd. Av listan i aktuell paragraf framgår inte att uppgift om vigsel ska registreras. Listan bör således kompletteras med denna uppgift. Förslaget till lag om ändring i offentlighets- och sekretesslagen 17 kap. 1 a § Denna paragraf som gäller sekretess för vissa uppgifter som hänför sig till dataanalys och urval i syfte att skydda allmänna intressen reglerar i dess gällande lydelse endast Skatteverkets folkbokföringsverksamhet. Paragrafen föreslås ändras så att den omfattar verksamheter enligt alla de fyra föreslagna datalagarna. Lagrådet förordar att lagtexten utformas så att folkbokföringsverksamheten inte ges någon särställning i förhållande till verksamhet enligt de andra lagarna. Lagtexten kan därför ges följande lydelse. Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i 1. Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00), 2. Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00), 3. Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00), eller 4. Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00). Sekretess enligt första stycket gäller om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. I författningskommentaren bör det upplysas att begreppet fel är vidare än begreppet felaktighet, vilket är det begrepp som finns i lagrummets gällande lydelse. 34 kap. 10 b § Den föreslagna paragrafen reglerar sekretess i verksamhet som avser dataanalyser och urval i Kronofogdemyndighetens verksamhet. Sekretess gäller enligt första stycket första meningen i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Kronofogdemyndighetens verksamhet enligt 2 § kronofogdedatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden. Enligt andra meningen ska detsamma gälla i Kronofogdemyndighetens verksamhet som avser dataanalyser och urval i syfte att motverka överskuldsättning. Enligt Lagrådets uppfattning bör det även av andra meningen framgå att sekretessen ska gälla i verksamhet enligt 2 § kronofogdedatalagen. Lagrådet noterar att den sekretess som enligt 17 kap. 1 a § ska gälla för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Kronofogdemyndighetens verksamhet inte omfattar uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. Förslaget till lag om ändring i lagen om samordningsnummer 1 kap. 2 § I andra stycket anges de uppgifter om en person som Skatteverket får registrera. Här gör sig samma synpunkter gällande som beträffande 1 a § folkbokföringslagen avseende huruvida uppgifterna får eller ska registreras av Skatteverket. Lagrådet noterar även att uppräkningen av vilka uppgifter som registreringen ska avse är avsedd att vara uttömmande. Övriga lagförslag Lagrådet lämnar övriga lagförslag utan erinran. Finansdepartementet Utdrag ur protokoll vid regeringssammanträde den 16 december 2025 Närvarande: statsrådet Svantesson, ordförande och stadsråden Edholm, Waltersson Grönvall, Jonson, Forssmed, Tenje, Forssell, Slottner, Wykman, Liljestrand, Bohlin, Britz, Mohamsson, Föredragande: statsrådet Svantesson Regeringen beslutar proposition Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten