Regeringskansliets rättsdatabaser

Regeringens proposition 2025/26:126 Uppgiftsskyldighet för vissa elegitimationsföretag Prop. 2025/26:126 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 12 februari 2026 Ebba Busch Niklas Wykman (Finansdepartementet) Propositionens huvudsakliga innehåll För banker och andra finansiella företag gäller uppgiftsskyldighet. Uppgiftsskyldigheten innebär att brottsbekämpande myndigheter, i den brottsbekämpande verksamheten, har rätt att ta del av information om enskildas förhållanden som finns hos företagen och som annars omfattas av tystnadsplikt. För att de finansiella företagens kunder ska kunna tillgodogöra sig tjänster hos företagen krävs ofta att de använder elegitimation, t.ex. för att logga in i en e-tjänst eller för att godkänna transaktioner. I denna proposition föreslås en uppgiftsskyldighet för företag som tillhandahåller elegitimationer som används mot finansiella företag. Genom förslaget får de brottsbekämpande myndigheterna möjlighet att vända sig direkt till ett e-legitimationsföretag för att inhämta information om en persons e-legitimationsanvändning mot finansiella företag. I propositionen föreslås även att uppgiftsskyldigheten för företag som tillhandahåller kryptotillgångar och kryptorelaterade tjänster ska utökas till att gälla i de brottsbekämpande myndigheternas underrättelseverksamhet. Lagändringarna föreslås träda i kraft den 1 maj 2026. Innehållsförteckning 1Förslag till riksdagsbeslut4 2Lagtext5 2.1Förslag till lag om uppgiftsskyldighet för vissa elegitimationsföretag5 2.2Förslag till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål7 2.3Förslag till lag om ändring i lagen (2024:114) om clearing och avveckling av betalningar8 2.4Förslag till lag om ändring i lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar9 3Ärendet och dess beredning10 4Rättslig reglering10 4.1E-legitimationer10 4.2Uppgiftsskyldighet för finansiella företag12 5Behovet av förändring14 6Uppgiftsskyldighet för e-legitimationsföretag18 6.1Uppgiftsskyldighetens omfattning och skyddet för den personliga integriteten18 6.2En ny lag om uppgiftsskyldighet för vissa e-legitimationsföretag22 6.3E-legitimationsföretagens uppgiftsskyldighet23 6.4Tystnadsplikt och meddelandeförbud27 6.5Formerna för uppgiftslämnande29 6.6Personuppgiftsbehandling32 7Uppgiftsskyldighet för företag som omfattas av EU:s förordning om marknader för kryptotillgångar35 7.1En ny bestämmelse om uppgiftsskyldighet i underrättelseverksamhet ska införas35 7.2Personuppgiftsbehandling36 8Ikraftträdande- och övergångsbestämmelser38 9Konsekvensanalys39 10Författningskommentar42 10.1Förslaget till lag om uppgiftsskyldighet för vissa e-legitimationsföretag42 10.2Förslaget till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål47 10.3Förslaget till lag om ändring i lagen (2024:114) om clearing och avveckling av betalningar48 10.4Förslaget till lag om ändring i lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar48 Sammanfattning av promemorian Uppgiftsskyldighet för vissa e-legitimationsföretag50 Promemorians lagförslag51 Förteckning över remissinstanserna57 Lagrådsremissens lagförslag58 Lagrådets yttrande63 Utdrag ur protokoll vid regeringssammanträde den 12 februari 202665 Förslag till riksdagsbeslut Regeringens förslag: Riksdagen antar regeringens förslag till lag om uppgiftsskyldighet för vissa elegitimationsföretag. Riksdagen antar regeringens förslag till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål. Riksdagen antar regeringens förslag till lag om ändring i lagen (2024:114) om clearing och avveckling av betalningar. Riksdagen antar regeringens förslag till lag om ändring i lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Lagtext Regeringen har följande förslag till lagtext. Förslag till lag om uppgiftsskyldighet för vissa elegitimationsföretag Härigenom föreskrivs följande. Lagens innehåll 1 §    Denna lag innehåller bestämmelser om skyldigheter för e-legitimationsföretag att till brottsbekämpande myndigheter lämna uppgifter om enskildas förhållanden till finansiella företag. Med e-legitimationsföretag avses företag som tillhandahåller tjänster för elektronisk identifiering, dock inte tillhandahållare av europeiska digitala identitetsplånböcker. Med finansiella företag avses företag som omfattas av uppgiftsskyldighet enligt – lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument, – lagen (2004:46) om värdepappersfonder, – lagen (2004:297) om bank- och finansieringsrörelse, – lagen (2006:531) om särskild tillsyn över finansiella konglomerat, – lagen (2007:528) om värdepappersmarknaden, – lagen (2010:751) om betaltjänster, – försäkringsrörelselagen (2010:2043), – lagen (2011:755) om elektroniska pengar, – lagen (2013:561) om förvaltare av alternativa investeringsfonder, – lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag, – lagen (2019:742) om tjänstepensionsföretag, – lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering, – lagen (2022:1746) med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt), – lagen (2024:114) om clearing och avveckling av betalningar, eller – lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Uppgiftsskyldighet i underrättelseverksamhet 2 §    Ett e-legitimationsföretag ska på begäran av Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket lämna uppgifter om enskildas förhållanden till finansiella företag, om uppgifterna behövs i ett enskilt fall i myndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det i straffskalan ingår fängelse i ett år eller mer. 3 §    Ett e-legitimationsföretag eller den som är eller har varit verksam i ett sådant företag får inte obehörigen röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt 2 §. Bestämmelser om ansvar för den som bryter mot tystnadsplikten enligt första stycket finns i 20 kap. 3 § brottsbalken. Uppgiftsskyldighet i vissa utredningar och ärenden 4 §    Ett e-legitimationsföretag ska lämna uppgifter om enskildas förhållanden till finansiella företag om det 1. under en utredning enligt bestämmelserna om förundersökning i brottmål begärs av undersökningsledaren, 2. under en utredning om självständigt förverkande begärs av åklagaren, 3. i ett ärende om rättslig hjälp i brottmål begärs av åklagaren på framställning av en annan stat eller en mellanfolklig domstol, eller 4. i ett ärende om erkännande och verkställighet av en europeisk utredningsorder begärs av åklagaren. 5 §    Den undersökningsledare eller åklagare som begär uppgifter enligt 4 § får besluta att e-legitimationsföretaget eller den som är eller har varit verksam i företaget inte får röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt 4 § eller att det pågår en förundersökning, en utredning om självständigt förverkande, ett ärende om rättslig hjälp i brottmål eller ett ärende om erkännande och verkställighet av en europeisk utredningsorder. Ett sådant förbud får meddelas om det krävs för att en utredning om brott eller självständigt förverkande inte ska äventyras eller för att uppfylla en internationell överenskommelse som är bindande för Sverige. Förbudet ska vara tidsbegränsat, med möjlighet till förlängning, och får inte avse längre tid än vad som är motiverat med hänsyn till syftet med förbudet. I ett ärende om rättslig hjälp i brottmål eller om erkännande och verkställighet av en europeisk utredningsorder får dock förbudet tidsbegränsas endast om den stat eller mellanfolkliga domstol som ansökt om rättslig hjälp eller den utländska myndighet som har utfärdat utredningsordern samtycker till detta. Om ett förbud inte längre är motiverat med hänsyn till syftet med förbudet, ska undersökningsledaren eller åklagaren besluta att förbudet ska upphöra. 6 §    Till böter döms den som uppsåtligen eller av grov oaktsamhet bryter mot ett meddelandeförbud enligt 5 §. Hur uppgifterna ska lämnas 7 §    Uppgifter enligt 2 och 4 §§ ska lämnas utan dröjsmål och i elektronisk form. Denna lag träder i kraft den 1 maj 2026. Förslag till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål Härigenom föreskrivs att 5 kap. 10 § lagen (2000:562) om internationell rättslig hjälp i brottmål ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 10 § Bestämmelser om uppgiftsskyldighet finns i – 8 kap. 2 b § lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument, – 2 kap. 20 § lagen (2004:46) om värdepappersfonder, – 1 kap. 11 § lagen (2004:297) om bank- och finansieringsrörelse, – 6 kap. 8 § lagen (2006:531) om särskild tillsyn över finansiella konglomerat, – 1 kap. 12 § lagen (2007:528) om värdepappersmarknaden, – 3 kap. 14 § lagen (2010:751) om betaltjänster, – 19 kap. 46 § försäkringsrörelselagen (2010:2043), – 3 kap. 14 § lagen (2011:755) om elektroniska pengar, – 8 kap. 25 § lagen (2013:561) om förvaltare av alternativa investeringsfonder, – 6 kap. 11 § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag, – 16 kap. 37 § lagen (2019:742) om tjänstepensionsföretag, – 1 kap. 7 § lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering, – 1 kap. 6 § lagen (2022:1746) med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt), – 1 kap. 4 § lagen (2024:114) om clearing och avveckling av betalningar, och – 1 kap. 5 § lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. – 1 kap. 4 § lagen (2024:114) om clearing och avveckling av betalningar, – 1 kap. 5 § lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar, och – 4 § lagen (2026:000) om uppgiftsskyldighet för vissa elegitimationsföretag. I de lagar som anges i första stycket finns även bestämmelser om meddelandeförbud och ansvarsbestämmelser för den som bryter mot ett sådant förbud. Denna lag träder i kraft den 1 maj 2026. Förslag till lag om ändring i lagen (2024:114) om clearing och avveckling av betalningar Härigenom föreskrivs att 6 kap. 7 § lagen (2024:114) om clearing och avveckling av betalningar ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 7 § Om ett clearingbolag inte i tid lämnar de uppgifter som föreskrivits med stöd av 7 kap. 1 § 3, får Finansinspektionen besluta att bolaget ska betala en förseningsavgift med högst 100 000 kronor. Om ett clearingbolag inte i tid lämnar de uppgifter som föreskrivits med stöd av 7 kap. 1 § 4, får Finansinspektionen besluta att bolaget ska betala en förseningsavgift med högst 100 000 kronor. Avgiften tillfaller staten. Denna lag träder i kraft den 1 maj 2026. Förslag till lag om ändring i lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar Härigenom föreskrivs att det i lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar närmast efter rubriken ”Uppgiftsskyldighet” ska införas en ny paragraf, 1 kap. 4 a §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 4 a § Ett företag som omfattas av EU-förordningen ska på begäran av Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket lämna uppgifter om enskildas förhållanden till företaget, om uppgifterna behövs i ett enskilt fall i myndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det i straffskalan ingår fängelse i ett år eller mer. Uppgifterna ska lämnas utan dröjsmål och i elektronisk form. Företaget eller den som är eller har varit verksam i företaget får inte obehörigen röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt första stycket. Bestämmelser om ansvar för den som bryter mot tystnadsplikten enligt andra stycket finns i 20 kap. 3 § brottsbalken. Denna lag träder i kraft den 1 maj 2026. Ärendet och dess beredning Banker och andra finansiella företag är skyldiga att lämna uppgifter om enskildas förhållanden till företaget till brottsbekämpande myndigheter. I betänkandet Stärkta åtgärder mot penningtvätt och finansiering av terrorism framkommer att Polismyndigheten även har ett behov av att få information från företag som tillhandahåller e-legitimationstjänster. De uppgifter om e-legitimationsanvändning som dessa företag har bedöms kunna avslöja avvikande beteenden och misstänkta mönster på en samlad nivå, vilket kan underlätta upptäckt och bekämpande av brott (SOU 2021:42 avsnitt 17.4). I propositionen Samverkan mot penningtvätt och finansiering av terrorism förklarade regeringen att den avsåg att återkomma i fråga om uppgiftsskyldighet för e-legitimationsföretag (prop. 2021/22:251 avsnitt 9). Mot denna bakgrund har promemorian Uppgiftsskyldighet för vissa e-legitimationsföretag tagits fram inom Finansdepartementet. I den föreslås bl.a. en uppgiftsskyldighet för företag som tillhandahåller e-legitimationer som används mot finansiella företag. En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga på regeringens webbplats (regeringen.se) och i Finansdepartementet (Fi2025/00837). I propositionen behandlas promemorians lagförslag. Lagrådet Regeringen beslutade den 15 januari 2026 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet anser att de föreslagna bestämmelserna om tystnadsplikt och meddelandeförbud bör utformas så att det tydligt framgår att även den som har varit verksam i de aktuella företagen omfattas av bestämmelserna. Regeringen följer Lagrådets synpunkter, som behandlas i avsnitt 6.4 och 7.1 samt i författningskommentaren. Rättslig reglering E-legitimationer E-legitimationer och e-legitimationsföretag En e-legitimation är en elektronisk identitetshandling som kan användas för att identifiera innehavaren på distans. En e-legitimation kan finnas som en applikation i en mobiltelefon eller surfplatta eller som en fil på en dator. Den kan också finnas på en fysisk bärare, som ett kort. En innehavare av en e-legitimation kan använda denna för att identifiera sig vid kontakter med företag och myndigheter över internet och telefon. Ofta innefattar elegitimationstjänsten en funktion för elektronisk underskrift, vilket gör det möjligt för innehavaren att på distans t.ex. underteckna ansökningar, ingå avtal och godkänna ekonomiska transaktioner. Sverige har, till skillnad från många andra länder, ännu inte någon statlig elegitimation. Förslag på hur en statlig e-legitimation ska utformas och tillhandahållas lämnas dock i lagrådsremissen En statlig elegitimation. Lagrådsremissen beslutades den 22 januari 2026 och förslagen bereds nu inom Regeringskansliet. På den svenska marknaden finns i dagsläget ett flertal privata aktörer som tillhandahåller e-legitimationstjänster. Två av dessa företag, Finansiell ID-teknik BID AB och Freja eID Group AB, tillhandahåller elegitimationer som kan användas av privatpersoner för legitimering mot banker och andra finansiella företag. Finansiell ID-teknik BID AB ägs och förvaltas av sju svenska banker och tillhandahåller e-legitimationen bank-id. Bank-id finns i tre varianter, mobilt bank-id, bank-id på fil och bank-id på kort. Bank-id ges ut till privatpersoner av tio olika banker. Den som vill skaffa bank-id behöver ha ett svenskt personnummer och vara kund i någon av de tio bankerna. Bank-id är den dominerande e-legitimationen på den svenska marknaden. Under 2024 hade 99,9 procent av alla folkbokförda personer i Sverige mellan 18 och 67 år ett bank-id. Allra vanligast är mobilt bank-id. Samma år var 7 500 organisationer från såväl privat som offentlig sektor anslutna till bank-id, däribland ett stort antal finansiella företag. Freja eID Group AB tillhandahåller e-legitimationen Freja plus. Freja eID Group AB är till skillnad från Finansiell ID-teknik BID AB fristående från banker och andra finansiella företag. Freja plus är den näst mest använda e-legitimationen i Sverige efter bank-id med över 1,2 miljoner användare 2024. Freja plus kan skaffas av personer som är folkbokförda i Sverige och har ett svenskt personnummer eller personer som inte är folkbokförda i landet men som har ett samordningsnummer med styrkt identitet. Freja plus kan användas i över 500 e-tjänster, däribland hos vissa finansiella företag. Utöver bank-id och Freja plus finns e-legitimationer som inte används mot finansiella företag, t.ex. den e-legitimation som finns i Skatteverkets id-kort för personer som är folkbokförda i Sverige och som utfärdas av Aktiebolaget Svenska Pass. Därutöver finns företag som enbart tillhandahåller tjänster för elektronisk underskrift. Dessa tjänster är beroende av att användaren har tillgång till en separat e-legitimation för att kunna identifiera sig i samband med underskriften. I det följande kommer begreppet e-legitimationsföretag användas om sådana företag som tillhandahåller e-legitimationer, dvs. elektroniska identitetshandlingar, och tjänster för elektronisk identifiering. Nyttjandet av ett e-legitimationsföretags tjänster för identifiering och, i förekommande fall, underskrift benämns legitimering. Nuvarande reglering av e-legitimationsföretag I Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 (eIDAS-förordningen) finns viss reglering av företag som tillhandahåller e-legitimationer. Förordningen syftar till att möjliggöra gränsöverskridande användning av elegitimationer och innehåller bland annat bestämmelser om anmälan till EU-kommissionen av system för elektronisk identifiering, tillitsnivåer för sådana system och krav på så kallade betrodda tjänster, dvs. tjänster för elektronisk underskrift. Förordningen kompletteras av bestämmelser i lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering samt förordningen (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering. Därutöver finns viss reglering som berör e-legitimationsföretag i bl.a. lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post. Den 20 maj 2024 trädde en reviderad version av eIDAS-förordningen i kraft, Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 (den reviderade eIDAS-förordningen). Förordningen innebär att medlemsstaterna från november 2026 kommer att vara skyldiga att tillhandahålla alla fysiska och juridiska personer inom EU en s.k. digital identitetsplånbok. Den digitala identitetsplånboken kopplas, med hjälp av en e-legitimation, till plånboksanvändarens identitet. Därefter kan identitetsplånboken bl.a. användas för legitimering och signering i digitala tjänster. I betänkandet Kompletterande bestämmelser till EU:s reviderade förordning om elektronisk identifiering (SOU 2024:45). föreslås att en myndighet som utses av regeringen ska tillhandahålla en sådan identitetsplånbok. Därtill föreslås att privata aktörer ska få tillhandahålla digitala identitetsplånböcker (avsnitt 6.3.1). Enligt den reviderade eIDAS-förordningen ska den som använder en digital identitetsplånbok ha full kontroll över uppgifterna i plånboken och hur dessa används. Den aktör som tillhandahåller plånboken får t.ex. inte samla in information om användningen som inte är nödvändig för tillhandahållandet av tjänster relaterade till plånboken. Inte heller får den som tillhandahåller s.k. elektroniska attributsintyg till plånboken eller någon annan part erhålla data om t.ex. transaktioner och användarbeteende (artikel 5a.14 och 5a.16.a). Uppgiftsskyldighet för finansiella företag Uppgiftsskyldighet i rörelselagstiftningen Den verksamhet som bedrivs av finansiella företag regleras i stor utsträckning av bestämmelser i den så kallade rörelselagstiftningen. I rörelselagarna finns bestämmelser om tystnadsplikt som innebär att finansiella företag inte obehörigen får röja uppgifter om enskildas förhållanden till företaget, se t.ex. 1 kap. 10 § lagen (2004:297) om bank- och finansieringsrörelse (LBF). Tystnadsplikten omfattar bl.a. uppgifter som enskilda lämnar vid en ansökan om att bli kund hos ett finansiellt företag, uppgifter om vilka transaktioner den enskilda genomför hos företaget och uppgifter om vilka tjänster som nyttjas hos företaget. Tystnadsplikten omfattar även teknisk information, t.ex. sådan information som genereras i samband med inloggning med en e-legitimation i företagets e-tjänster. De uppgifter som finansiella företag har om sina kunder kan ha stor betydelse för utredningar om brott. I rörelselagstiftningen finns därför bestämmelser om undantag från tystnadsplikten som innebär att företagen är skyldiga att lämna ut uppgifter om enskildas förhållanden till företaget när detta begärs av brottsbekämpande myndigheter (uppgiftsskyldighet). Uppgiftsskyldigheten gäller under förundersökning samt i vissa andra straffprocessuella ärenden, däribland ärenden om rättslig hjälp i brottmål (se t.ex. 1 kap. 11 § LBF). Sedan den 1 april 2025 gäller uppgiftsskyldighet även i de brottsbekämpande myndigheternas underrättelseverksamhet, dvs. för att förebygga, förhindra eller upptäcka brottslig verksamhet (se t.ex. 1 kap. 10 b § LBF). Uppgiftsskyldigheten gäller samtliga uppgifter om enskildas förhållanden till företaget. För att motverka att den som är misstänkt för brott får kännedom om att uppgifter har lämnats till brottsbekämpningen finns även bestämmelser om tystnadsplikt och meddelandeförbud som innebär att anställda hos företaget inte får avslöja att uppgifter har begärts av eller lämnats till brottsbekämpande myndigheter (se t.ex. 1 kap. 10 b, 12 och 13 §§ LBF). Bestämmelser om uppgiftsskyldighet finns även i penningtvättslagstiftningen, se 4 kap. 6 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen). Uppgiftsskyldighet för företag som omfattas av EU:s förordning om marknader för kryptotillgångar Sedan den 30 december 2024 tillämpas Europaparlamentets och rådets förordning (EU) 2023/1114 av den av den 31 maj 2023 (EU:s förordning om marknader för kryptotillgångar). Förordningen fastställer enhetliga krav för utgivare av kryptotillgångar och leverantörer av kryptotillgångstjänster. Vilka företag som omfattas av bestämmelserna framgår av artikel 2. Förordningen kompletteras i svensk rätt av lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Lagen innehåller en bestämmelse om tystnadsplikt, som innebär att den som är eller har varit knuten till ett företag som omfattas av EU-förordningen som anställd eller uppdragstagare inte obehörigen får röja eller utnyttja vad han eller hon i anställningen eller under uppdraget har fått veta om någon annans affärsförhållanden eller personliga förhållanden (1 kap. 4 §). Därtill finns en bestämmelse om uppgiftsskyldighet (1 kap. 5 §). Uppgiftsskyldigheten gäller uppgifter som begärs av en förundersökningsledare under en förundersökning eller utredning om självständigt förverkande eller av en åklagare i ett ärende om rättslig hjälp i brottmål, på framställning av en annan stat eller en mellanfolklig domstol, eller i ett ärende om erkännande och verkställighet av en europeisk utredningsorder. Lagen innehåller däremot inte någon bestämmelse om uppgiftsskyldighet i underrättelseverksamhet (se föregående avsnitt). Behovet av förändring Regeringens bedömning De brottsbekämpande myndigheterna behöver i sin brottsbekämpande verksamhet få tillgång till uppgifter från e-legitimationsföretag och företag som omfattas av EU:s förordning om marknader för kryptotillgångar. Behovet finns även i underrättelseverksamhet. Det bör därför införas en lagstadgad uppgiftsskyldighet för elegitimationsföretag. Uppgiftsskyldigheten för företag som omfattas av EU:s förordning om marknader för kryptotillgångar bör utökas till att gälla i underrättelseverksamhet. Promemorians bedömning Bedömningen i promemorian stämmer överens med regeringens bedömning. Remissinstanserna Majoriteten av remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Ekobrottsmyndigheten, Skatteverket, Svenska Bankföreningen och Åklagarmyndigheten avstyrker förslaget. Även Finansiell ID-teknik BID AB motsätter sig en lagstadgad uppgiftsskyldighet. Remissinstanserna anser bl.a. att det frivilliga uppgiftslämnande som sker i dag fungerar väl, att förslaget innebär en begränsning av vilka uppgifter som kan lämnas och att det kommer att ta längre tid att få uppgifter från elegitimationsföretagen än genom att vända sig direkt till de finansiella företagen. Enligt Skatteverket kommer betydelsefull information inte längre att kunna delas utan användning av tvångsmedel. Även Uppsala tingsrätt ifrågasätter behovet av en lagstadgad uppgiftsskyldighet och påtalar vikten av förutsebarhet. Enligt Ekobrottsmyndigheten kan dock en ökad användning av andra elegitimationer än bank-id komma att medföra behov av en uppgiftsskyldighet. Åklagarmyndigheten är i grunden positiv till en reglering, men anser att den uppgiftsskyldighet som föreslås riskerar att försena och öka kostnaderna för uppgiftslämnande utan att myndigheten får tillgång till fler uppgifter än idag. Juridiska fakultetsnämnden vid Stockholms universitet avstyrker också förslaget och menar bl.a. att det är oklart på vilket sätt förslaget bidrar till brottsbekämpningen och att förslaget riskerar att leda till intrång i enskildas personliga integritet. Föreningen för Digitala Fri- och Rättigheter, Myndigheten för digital förvaltning och Post- och telestyrelsen påpekar att en uppgiftsskyldighet för elegitimationsföretag kan komma att påverkas av det nya regelverket om digitala plånböcker. Polismyndigheten och Säkerhetspolisen är positiva till att införa en lagreglerad uppgiftsskyldighet för elegitimationsföretag. Polismyndigheten påpekar dock att myndigheten redan har ett helikopterperspektiv på uppgifter om legitimeringar med bank-id, eftersom myndigheten på begäran får uppgifter om samtliga legitimeringar med bank-id med angivande av klockslag och position från Finansiell ID-teknik BID AB. Skälen för regeringens bedömning De brottsbekämpande myndigheterna har behov av finansiell information För att hindra brottsutvecklingen och främja en effektiv brottsbekämpning krävs att brottsbekämpande myndigheter på ett effektivt sätt kan få tillgång till information. Informationsbehovet från bl.a. finansiella företag kartläggs i betänkandet Ökat informationsflöde till brottsbekämpningen – En ny huvudregel (SOU 2023:69). I betänkandet framkommer att myndigheterna har behov av att få tillgång till finansiell information och att behovet föreligger redan i myndigheternas underrättelseverksamhet. Bland annat framförs att finansiell information ger myndigheterna möjlighet att identifiera illegala ekonomiska flöden och brottsvinster. Genom transaktionsförbindelser kan det även vara möjligt att identifiera misstänkta personer och att koppla dem till varandra eller till företag, t.ex. inom ett kriminellt nätverk. Tillgången till finansiell information bedöms vara betydelsefull för bekämpande av alla sorters brottslighet, inte minst den organiserade brottsligheten. Vidare framkommer att privata aktörer många gånger motsätter sig att lämna uppgifter till de brottsbekämpande myndigheterna när lagstöd för detta saknas, bl.a. med hänvisning till att uppgiftslämnandet kan strida mot Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (EU:s dataskyddsförordning). Som ett resultat av kartläggningen infördes de bestämmelser om uppgiftsskyldighet i underrättelseverksamhet för finansiella företag som redogörs för i föregående avsnitt (se avsnitt 6.2, 16.3 och 16.4 i betänkandet samt avsnitt 8 i prop. 2024/25:65). E-legitimationsföretag har ett helikopterperspektiv på uppgifter om enskildas e-legitimationsanvändning mot finansiella företag Bland den finansiella information som är av betydelse för de brottsbekämpande myndigheternas arbete finns uppgifter om enskildas användning av e-legitimation mot finansiella företag. E-legitimationstjänster gör det möjligt för finansiella företag att legitimera sina kunder över internet, t.ex. vid inloggning i e-tjänster och för godkännande av transaktioner. I dag godkänns majoriteten av alla finansiella transaktioner som genomförs med hjälp av en e-legitimation. Brottsbekämpande myndigheter kan begära ut information om enskildas e-legitimationsanvändning mot finansiella företag från de finansiella företagen i fråga, med stöd av bestämmelserna om uppgiftsskyldighet i rörelselagstiftningen. Ett finansiellt företag har dock i regel endast tillgång till uppgifter som rör legitimeringar mot de egna tjänsterna. En kartläggning av en persons elegitimationsanvändning mot finansiella företag riskerar därför att bli resurskrävande, om förfrågningar måste göras mot varje enskilt företag. Ett e-legitimationsföretag har däremot tillgång till samtliga uppgifter om en persons användning av den elegitimation som företaget tillhandahåller och kan därför ge en samlad bild av hur elegitimationen används. Med detta s.k. helikopterperspektiv är det möjligt att upptäcka mönster och beteenden som tyder på att e-legitimationen används vid olika former av brottslig verksamhet. Det kan t.ex. vara fråga om att en elegitimation används för att godkänna betalningar i flera led över olika banker eller för att på kort tid ansöka om lån hos flera olika långivare. Det kan även vara att en viss persons e-legitimationer används från olika platser under samma tid, vilket kan tyda på att e-legitimationerna nyttjas av andra personer än innehavaren. Genom att kontrollera och använda flera digitala identiteter än sin egen i kontakten med finansiella företag kan kriminella personer bl.a. genomföra bedrägerier eller utföra transaktioner med bulvanidentiteter. I dagsläget saknas lagstöd för brottsbekämpande myndigheter att begära uppgifter om enskilda direkt från elegitimationsföretagen. I betänkandet Stärkta åtgärder mot penningtvätt och finansiering av terrorism (SOU 2021:42, avsnitt 17.4) behandlas frågan om en uppgiftsskyldighet för elegitimationsföretag bör införas i penningtvättslagen. I betänkandet framkommer att Polismyndigheten (Finanspolisen) och Säkerhetspolisen har behov av att kunna inhämta uppgifter direkt från elegitimationsföretag för att på så sätt få tillgång till samlade uppgifter om enskildas elegitimationsanvändning mot finansiella företag. I betänkandet bedöms möjligheten för myndigheterna att vända sig direkt till elegitimationsföretagen vara av värde för arbetet med att upptäcka och bekämpa penningtvätt och finansiering av terrorism. Regeringen delar utredningens bedömning att de uppgifter om legitimeringar mot finansiella företag som elegitimationsföretagen har är värdefulla för brottsbekämpande myndigheters arbete. I enlighet med vad som framgår i betänkandet Ökat informationsflöde till brottsbekämpningen – En ny huvudregel (SOU 2023:69, avsnitt 16.3 och 16.4) bedömer regeringen att detta gäller för myndigheternas arbete mot alla sorters brottslighet, inte enbart mot penningtvätt och finansiering av terrorism. Enligt regeringens uppfattning är det därför av stor vikt att de brottsbekämpande myndigheterna får tillgång till uppgifter från elegitimationsföretagen. En lagstadgad uppgiftsskyldighet för e-legitimationsföretag bör införas Till skillnad från vad som gäller för finansiella företag saknas en lagstadgad tystnadsplikt för e-legitimationsföretag. Det finns alltså inte något som hindrar att e-legitimationsföretag vid misstanke om brott lämnar uppgifter om enskildas förhållanden till berörda myndigheter. Det finns emellertid inte heller någon lagstadgad skyldighet för dessa företag att lämna uppgifter till myndigheterna. Under pågående förundersökning kan uppgifter under vissa förhållanden inhämtas med stöd av rättegångsbalkens regler om beslag och husrannsakan (27 kap. 1 § och 28 kap. 1 § rättegångsbalken). Vidare kan en domstol efter framställan från förundersökningsledaren besluta om edition, det vill säga att ett visst skriftligt bevis ska läggas fram (23 kap. 14 § och 38 kap. 2 § rättegångsbalken). Möjligheterna till informationsinhämtning genom beslag, husrannsakan eller edition är dock begränsade i flera avseenden och kan inte användas i underrättelseverksamhet. Finansiell ID-teknik BID AB påtalar att företaget redan lämnar ut den information de har tillgång till beträffande bank-id, vilket bekräftas av Ekobrottsmyndigheten, Polismyndigheten och Svenska Bankföreningen. Polismyndigheten framhåller att myndigheten genom detta frivilliga uppgiftslämnande får ett helikopterperspektiv på enskildas bank-id-användning. Några remissinstanser, däribland Åklagarmyndigheten, menar mot denna bakgrund att det saknas behov av en lagstadgad uppgiftsskyldighet, att en reglering riskerar att medföra att informationsutbytet begränsas eller att kostnaderna för uppgiftslämnande ökar. Enligt regeringens bedömning finns det dock ett tydligt behov av en lagstadgad uppgiftsskyldighet. Dagens ordning, där brottsbekämpande myndigheters rätt att ta del av information från elegitimationsföretag är beroende av överenskommelser med de enskilda företagen, saknar förutsebarhet. Om ett elegitimationsföretag väljer att inte dela uppgifter med brottsbekämpande myndigheter riskerar det att försvåra myndigheternas arbete med att upptäcka och bekämpa brott. För att möjliggöra en effektiv brottsbekämpning bör därför de brottsbekämpande myndigheternas rätt att ta del av information från elegitimationsföretag vara lagstadgad. En lagstadgad uppgiftsskyldighet klargör ramen för uppgiftslämnande, t.ex. i fråga om vilka aktörer som är skyldiga att lämna uppgifter, vilka uppgifter som ska lämnas och i vilka situationer uppgiftsskyldighet gäller. Därigenom säkerställs att myndigheterna får tillgång till viktig information, samtidigt som förutsebarheten ökar, något som Uppsala tingsrätt påtalar vikten av. Som Ekobrottsmyndigheten lyfter fram innebär en lagstadgad skyldighet också att nya elegitimationsföretag direkt omfattas av uppgiftsskyldighet. Samtidigt, vilket framgår i följande avsnitt, skulle en lagstadgad uppgiftsskyldighet för e-legitimationsföretag innebära en miniminivå för vilka uppgifter som ska lämnas. Det är alltså inte fråga om en begränsning av det uppgiftslämnande som i dag sker på frivillig väg, på det sätt som bl.a. Ekobrottsmyndigheten, Finansiell ID-teknik BID AB och Åklagarmyndigheten menar. En särskild skyldighet för elegitimationsföretag hindrar inte heller att de brottsbekämpande myndigheterna vänder sig direkt till de finansiella företagen och begär uppgifter, om det skulle bedömas vara mer ändamålsenligt eller kostnadseffektivt. Till skillnad från bl.a. Juridiska fakultetsnämnden vid Stockholms universitet, Skatteverket och Åklagarmyndigheten bedömer regeringen därför att det finns starka skäl för att införa en lagstadgad uppgiftsskyldighet för e-legitimationsföretag, för att undvika osäkerhet och säkerställa de brottsbekämpande myndigheternas rätt att ta del av uppgifter från företagen. Som framgår i följande avsnitt bör en sådan uppgiftsskyldighet emellertid utformas med hänsyn till skyddet för enskildas personliga integritet. Som Föreningen för Digitala Fri- och Rättigheter, Myndigheten för digital förvaltning och Post- och telestyrelsen påpekar kan det, i slutet av 2026, vara möjligt för privata aktörer att tillhandahålla digitala identitetsplånböcker. Samtidigt beräknas en statlig identitetsplånbok finnas tillgänglig. I betänkandet Kompletterande bestämmelser till EU:s reviderade förordning om elektronisk identifiering (SOU 2024:45) bedöms bestämmelserna om lagrings-, delnings- och uppgiftsminimering i den reviderade eIDAS-förordningen i princip omöjliggöra för brottsbekämpande myndigheter att ta del av uppgifter om användningen av en digital identitetsplånbok (avsnitt 6.9). Även om det inte kan uteslutas att elegitimationsföretag i framtiden väljer att tillhandahålla digitala identitetsplånböcker är det regeringens bedömning att det fortsatt kommer att finnas e-legitimationstjänster som ligger utanför de digitala identitetsplånböckerna. Därmed kommer även behovet av en lagstadgad uppgiftsskyldighet som träffar dessa tjänster att bestå. Företag som tillhandahåller sådana digitala identitetsplånböcker som omfattas av den reviderade eIDAS-förordningen bör dock undantas från uppgiftsskyldighet. Uppgiftsskyldigheten för företag som omfattas av EU:s förordning om marknader för kryptotillgångar bör gälla i underrättelseverksamhet Som redogörs för i föregående avsnitt har de brottsbekämpande myndigheterna behov av finansiell information i sin underrättelseverksamhet. Till skillnad från vad som gäller för andra finansiella företag saknas det bestämmelser om uppgiftsskyldighet i underrättelseverksamhet för företag som omfattas av EU:s förordning om marknader för kryptotillgångar. Det finns inte några skäl för att en sådan uppgiftsskyldighet inte skulle gälla för dessa företag. Regeringen anser att uppgiftsskyldigheten därför bör utökas till att gälla i underrättelseverksamhet. Uppgiftsskyldighet för e-legitimationsföretag Uppgiftsskyldighetens omfattning och skyddet för den personliga integriteten Regeringens bedömning En uppgiftsskyldighet för e-legitimationsföretag bör utformas med beaktande av det grundlagsstadgade skyddet mot betydande intrång i den personliga integriteten. Syftet med uppgiftsskyldigheten bör vara att komplettera uppgiftsskyldigheten för finansiella företag. Uppgiftsskyldigheten bör därför omfatta samma slags uppgifter som omfattas av finansiella företags uppgiftsskyldighet. Promemorians bedömning Bedömningen i promemorian stämmer överens med regeringens bedömning. Remissinstanserna Majoriteten av remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Ekobrottsmyndigheten, Polismyndigheten och Säkerhetspolisen anser att begränsningen av uppgiftsskyldigheten inte är ändamålsenlig och att bl.a. lokaliseringsuppgifter alltid bör omfattas av uppgiftsskyldighet. Säkerhetspolisen anser att det är oklart hur begränsningen förhåller sig till penningtvättslagen. Finansiell ID-teknik BID AB framhåller att företaget, i egenskap av underleverantör till de banker som ger ut bank-id, omfattas av banksekretess och att det inte finns skäl att göra undantag från banksekretessen. Finansiell ID-teknik BID AB påpekar också att företaget inte delar lokaliseringsuppgifter med de företag som använder bank-id som elegitimationstjänst och att i den mån företaget har tillgång till lokaliseringsuppgifter så tillhör dessa den utgivande banken. Om sådana uppgifter skulle lämnas ut anser Finansiell ID-teknik BID AB att samma rättssäkerhetsgarantier bör gälla som för hemliga tvångsmedel. Även Uppsala tingsrätt menar att det är olämpligt att kringgå bestämmelser om hemliga tvångsmedel i bl.a. rättegångsbalken och att det framstår som motsägelsefullt att lokaliseringsuppgifter ibland kommer att kunna lämnas. Juridiska fakultetsnämnden vid Stockholms universitet, Sveriges advokatsamfund och Uppsala tingsrätt delar inte den proportionalitetsbedömning som görs i promemorian i fråga om risken för intrång i enskildas personliga integritet. Enligt fakultetsnämnden finns det risk för att enskildas livsföring kontrolleras och att myndigheterna får tillgång till överskottsinformation, bl.a. i fråga om känsliga personuppgifter. Även Svenska Bankföreningen menar att risken för intrång i enskildas personliga integritet kommer att öka, eftersom e-legitimationsföretag saknar tillräcklig information om vilka aktörer som legitimeringar görs mot. Sveriges advokatsamfund anser att förslagen innebär ett större integritetsintrång än motsvarande uppgiftsskyldighet enligt rörelselagarna eftersom elegitimationsföretagen har fler uppgifter om enskildas förhållanden till finansiella företag än vad enskilda finansiella företag har. Skälen för regeringens bedömning Skyddet för den personliga integriteten Av 2 kap. 6 § andra stycket regeringsformen följer att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet för den personliga integriteten får endast begränsas genom lag och för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till ändamålet (2 kap. 20 och 21 §§ regeringsformen). Rätten till skydd för den personliga integriteten följer även av artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Var och en har enligt konventionen rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Rätten till skydd för privat- och familjeliv omfattar bl.a. skydd mot övervakning i olika former och får inte inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt, till exempel med hänsyn till statens säkerhet och den allmänna säkerheten, förebyggande av oordning och brott eller skydd för andra personers fri- och rättigheter. Ett motsvarande skydd för privat- och familjeliv finns i artikel 7 i EU:s rättighetsstadga. Uppgiftsskyldigheten bör endast omfatta uppgifter om enskildas förhållanden till finansiella företag E-legitimationsföretag har tillgång till uppgifter om de legitimeringar som sker med en e-legitimation som företaget tillhandahåller. Elegitimationer används i stor utsträckning mot andra aktörer än finansiella företag. Elegitimationer kan t.ex. användas vid myndighetskontakter och vårdbesök, för identifikation hos apotek eller postombud eller för att signera handlingar digitalt. Företagen har även tillgång till uppgifter som enskilda lämnar när de införskaffar e-legitimationen. Det kan handla om kontaktuppgifter, uppgifter från pass eller id-kort och fotografier av användaren. När en legitimering genomförs får e-legitimationsföretaget i regel också olika lokaliseringsuppgifter från den enhet, t.ex. mobiltelefon, som elegitimationen finns på. Det kan vara fråga om uppgifter om uppkopplingar mot gps-nätverk, wifi-nätverk eller mobilnätverk. Med hjälp av den stora mängd uppgifter som e-legitimationsföretag har om sina användare kan det, för den som har tillgång till uppgifterna, vara möjligt att skapa en bild av enskilda personers liv och rörelsemönster på ett sätt som innebär kartläggning av deras personliga förhållanden. En lagstadgad rätt för myndigheter att ta del av dessa uppgifter kan därför innebära betydande intrång i enskildas personliga integritet. En begränsning av det grundlagsstadgade skyddet för den personliga integriteten, som en lagstadgad uppgiftsskyldighet innebär, måste utformas på ett sätt som gör att begränsningen inte blir större än vad som är proportionerligt och nödvändigt. Det behov av information från e-legitimationsföretag som framkommit avser i första hand samlade uppgifter om enskildas elegitimationsanvändning mot finansiella företag, dvs. ett helikopterperspektiv på sådana uppgifter som idag kräver att förfrågningar görs hos enskilda finansiella företag. En uppgiftsskyldighet för e-legitimationsföretag bör begränsas till att avse dessa uppgifter, dvs. uppgifter om enskildas förhållanden till finansiella företag som i dag omfattas av de finansiella företagens uppgiftsskyldighet. En lagstadgad uppgiftsskyldighet som omfattar fler uppgifter än så kräver överväganden som inte kan göras inom ramen för detta lagstiftningsärende. E-legitimationsföretag bör inte vara skyldiga att lämna ut andra slags uppgifter än de finansiella företagen De uppgifter som e-legitimationsföretag har om enskildas förhållanden till finansiella företag utgörs i huvudsak av uppgifter om e-legitimationsanvändning mot de finansiella företagen, t.ex. tidpunkten för en legitimering och i vilket syfte legitimeringen har gjorts. När en legitimering görs får det finansiella företaget tillgång till dessa uppgifter och kan lämna ut dem. Uppgifterna bör därför även omfattas av e-legitimationsföretagens uppgiftsskyldighet. Om ett elegitimationsföretag saknar kännedom om vilken aktör som en viss legitimering har skett mot och därför inte kan koppla uppgifter till ett visst finansiellt företag, en situation som Svenska Bankföreningen lyfter, finns dock inga uppgifter att lämna ut. En särskild fråga är i vilken utsträckning uppgiftsskyldigheten även bör omfatta sådana lokaliseringsuppgifter som genereras vid en legitimering mot ett finansiellt företag. De brottsbekämpande myndigheternas rätt att inhämta lokaliseringsuppgifter i samband med brottsutredningar är begränsad och omgärdad av vissa rättssäkerhetsgarantier. Inhämtning under förundersökning regleras i 27 kap. rättegångsbalken. Inhämtning får endast ske i fråga om vissa brottstyper och kräver tillstånd från domstol. I underrättelseverksamhet regleras inhämtning av lokaliseringsuppgifter i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet och lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott. Enligt den förstnämnda lagen krävs tillstånd från åklagare och att Säkerhets- och integritetsskyddsnämnden underrättas om inhämtningen. Enligt den senare lagen krävs tillstånd från domstol. Båda lagarna kräver att det är fråga om särskilt kvalificerad brottslighet. Syftet med uppgiftsskyldigheten är att ge de brottsbekämpande myndigheterna ett helikopterperspektiv på uppgifter om legitimeringar som redan i dag kan lämnas ut av de finansiella företagen. Lokaliseringsuppgifter som genereras vid en legitimering delas i regel inte med det företag som legitimeringen sker mot. Till skillnad från Ekobrottsmyndigheten, Polismyndigheten och Säkerhetspolisen anser regeringen därför att uppgiftsskyldigheten inte bör omfatta sådana lokaliseringsuppgifter som inte har delats med, och därmed inte kan lämnas ut av, ett finansiellt företag. Detsamma bör gälla för andra uppgifter om enskilda som elegitimationsföretagen har och som inte har delats med ett finansiellt företag. Det kan t.ex. handla om uppgifter som rör legitimeringar mot andra aktörer än finansiella företag. När det gäller användningen av bank-id anses dock, enligt Finansiell ID-teknik BID AB, lokaliseringsuppgifter från en legitimering tillhöra den bank som har gett ut elegitimationen. Uppgifterna delas därför med banken i fråga. I den mån uppgifterna där kan kopplas till en kund kan de omfattas av den uppgiftsskyldighet som gäller för banken (se prop. 2024/25:65 s. 166–167). I en sådan situation, där lokaliseringsuppgifter från e-legitimationsanvändning kan lämnas ut av en utgivande bank, bör uppgifterna även omfattas av uppgiftsskyldighet för e-legitimationsföretaget. Motsvarande bör gälla för andra uppgifter, t.ex. uppgifter om legitimeringar mot andra aktörer. Till skillnad från Uppsala tingsrätt anser regeringen att det i dessa situationer framstår som naturligt att uppgifterna omfattas av uppgiftsskyldighet för elegitimationsföretaget, eftersom uppgifterna redan finns tillgängliga via den utgivande banken. Enligt regeringens mening saknas det anledning att i denna situation ställa högre krav för att elegitimationsföretagen ska få lämna ut uppgifterna. Finansiella företag omfattas av tystnadsplikt, se t.ex. 1 kap. 10 § LBF om den tystnadsplikt (banksekretess) som gäller för kreditinstitut. Tystnadsplikten kan sättas åt sidan genom författning, se t.ex. 1 kap. 10 b och 11 §§ LBF. Finansiell ID-teknik BID AB väcker frågan om det är motiverat att sätta tystnadsplikten åt sidan genom en uppgiftsskyldighet för elegitimationsföretag. Som framgår ovan saknas emellertid skäl att ställa högre krav för att elegitimationsföretagen ska få lämna ut uppgifterna än vad som gäller för de finansiella företagen. En uppgiftsskyldighet för elegitimationsföretag påverkar inte heller möjligheterna till informationsdelning enligt befintliga bestämmelser om uppgiftsskyldighet, t.ex. i penningtvättslagen, något som Säkerhetspolisen efterfrågar förtydligande av. Begränsningen av skyddet för den personliga integriteten är proportionerlig Som regeringen konstaterat i föregående avsnitt kan en lagstadgad rätt för myndigheter att ta del av uppgifter om enskilda från elegitimationsföretag i vissa fall medföra betydande intrång i enskildas integritet. Uppgiftsskyldigheten bör emellertid begränsas på så sätt att elegitimationsföretag inte är skyldiga att lämna ut andra uppgifter än sådana uppgifter som de brottsbekämpande myndigheterna redan har rätt att ta del av från de finansiella företagen (se även i det följande angående föreslagna begränsningar av uppgiftsskyldigheten i underrättelseverksamhet). Även om uppgiftsskyldigheten ger de brottsbekämpande myndigheterna en utökad rätt att ta del av uppgifter om enskilda är det alltså inte fråga om några andra slags uppgifter än vad de redan har tillgång till. Förslaget medför inte att de brottsbekämpande myndigheterna får tillgång till andra uppgifter än sådana som i dag omfattas av bestämmelser om uppgiftsskyldighet enligt rörelselagstiftningen, på det sätt som Juridiska fakultetsnämnden vid Stockholms universitet och Sveriges advokatsamfund menar. Däremot kommer förslaget att innebära att det blir enklare att sammanställa uppgifter om enskilda. Uppgiftsskyldigheten kan därmed i vissa fall möjliggöra en ökad kartläggning av enskildas förhållanden och på så sätt medföra en något högre risk för integritetsintrång än motsvarande bestämmelser i rörelselagstiftningen. En lagstadgad uppgiftsskyldighet för elegitimationsföretag kan förväntas effektivisera arbetet med att bekämpa alla former av brott, däribland den allvarliga, organiserade brottsligheten. Den begränsning av skyddet för den personliga integriteten som en lagstadgad uppgiftsskyldighet kan innebära bedöms därför vara nödvändig. De uppgifter som ska lämnas enligt förslaget kommer att omfattas av sekretessbestämmelser i de mottagande myndigheternas verksamhet (18 kap. 1 och 2 §§ samt 35 kap. 1 § offentlighets- och sekretesslagen [2009:400]). Mot denna bakgrund bedömer regeringen, till skillnad från Juridiska fakultetsnämnden vid Stockholms universitet, Sveriges advokatsamfund och Uppsala tingsrätt, att den begränsning av skyddet för den personliga integriteten som en uppgiftsskyldighet skulle innebära är proportionerlig (jfr prop. 2024/25:65 s. 171–172). En ny lag om uppgiftsskyldighet för vissa e-legitimationsföretag Regeringens förslag Det ska införas en ny lag om att vissa elegitimationsföretag ska vara skyldiga att på begäran av brottsbekämpande myndigheter lämna uppgifter om enskildas förhållanden till finansiella företag. Promemorians förslag Förslaget i promemorian stämmer överens med regeringens förslag. Remissinstanserna Remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Skälen för regeringens förslag Till skillnad från vad som gäller för finansiella företag saknas det lagstiftning som, likt rörelselagarna, reglerar elegitimationsföretagens verksamhet på ett övergripande plan. Bestämmelser om uppgiftsskyldighet för elegitimationsföretag bör därför införas genom en ny lag. Som en följd av att det införs en ny bestämmelse om uppgiftsskyldighet som gäller i ärenden om internationell rättslig hjälp i brottmål bör en ändring göras i lagen (2000:562) om internationell rättslig hjälp i brottmål, där nu gällande uppgiftsskyldigheter finns uppräknade. E-legitimationsföretagens uppgiftsskyldighet Regeringens förslag Ett e-legitimationsföretag ska vara skyldigt att på begäran av Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket lämna uppgifter om enskildas förhållanden till finansiella företag. Uppgifterna ska lämnas om de behövs i ett enskilt fall i myndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det i straffskalan ingår fängelse i ett år eller mer. Ett e-legitimationsföretag ska vara skyldigt att lämna uppgifter om enskildas förhållanden till finansiella företag om det begärs av en förundersökningsledare eller en åklagare under en förundersökning, en utredning om självständigt förverkande, ett ärende om rättslig hjälp i brottmål eller ett ärende om erkännande och verkställighet av en europeisk utredningsorder. Regeringens bedömning E-legitimationsföretag bör inte stå under tillsyn. Promemorians förslag och bedömning Förslaget och bedömningen i promemorian stämmer överens med regeringens förslag och bedömning. Remissinstanserna Majoriteten av remissinstanserna tillstyrker förslaget och bedömningen eller har inget att invända mot dem. Ekobrottsmyndigheten, Finansiell ID-teknik BID AB, Myndigheten för digital förvaltning och Post- och telestyrelsen efterfrågar ett förtydligande av innebörden av begreppet e-legitimationsföretag, t.ex. om det omfattar tredje part som anlitas av ett finansiellt företag för att hantera elektroniska underskrifter och om det omfattar banker som ger ut en e-legitimation. Finansinspektionen anser att e-legitimationsföretag bör stå under tillsyn. Föreningen för Digitala Fri- och Rättigheter påpekar att förslaget utgår från hur e-legitimationstjänster är utformade i dag och att förutsättningarna kan komma att ändras. Förvaltningsrätten i Stockholm framhåller att det, i avvägningen mellan skyddet för den personliga integriteten och effektiviteten, är viktigt att uppgiftsskyldigheten i underrättelseverksamhet avgränsas på det sätt som föreslås. Juridiska fakultetsnämnden vid Stockholms universitet, Sveriges advokatsamfund och Uppsala tingsrätt anser att det är oklart vilka uppgifter som omfattas och efterfrågar bl.a. ett förtydligande av vad som avses med uppgifter om enskildas förhållanden till ett finansiellt företag. Fakultetsnämnden framhåller risken för att tillämpningsområdet för uppgiftsskyldigheten i underrättelseverksamhet i framtiden utvidgas på ett sätt som t.ex. inskränker yttrandefriheten. Advokatsamfundet anser att tröskeln för uppgiftsskyldigheten i underrättelseverksamhet bör höjas och att det inte är lämpligt att företagen själva ska avgöra vilka uppgifter som ska lämnas ut. Svenska Bankföreningen föreslår att lagtexten ändras så att enskildas förhållanden byts ut mot enskildas legitimering. Polismyndigheten framhåller att det inte går att ingripa mot ett elegitimationsföretag som inte följer lagen. Skälen för regeringens förslag och bedömning Bestämmelsernas utformning och omfattning För finansiella företag gäller uppgiftsskyldighet dels i de brottsbekämpande myndigheternas underrättelseverksamhet, dels under förundersökning samt vissa andra straffprocessuella ärenden, se t.ex. 1 kap. 10 b och 11 §§ LBF. För att uppgiftsskyldigheten för e-legitimationsföretag ska uppnå sitt syfte bör den gälla i motsvarande utsträckning. Det finns därför anledning att utforma bestämmelserna om uppgiftsskyldighet för elegitimationsföretag på ett sätt som stämmer överens med hur bestämmelserna om uppgiftsskyldighet i rörelselagstiftningen är utformade. Bestämmelserna om uppgiftsskyldighet bör innebära en skyldighet för e-legitimationsföretag att lämna uppgifter om enskildas förhållanden till finansiella företag. Med finansiella företag avses sådana företag som omfattas av bestämmelser om uppgiftsskyldighet i rörelselagstiftningen, t.ex. ett kreditinstitut som omfattas av uppgiftsskyldighet enligt 1 kap. 10 b och 11 §§ LBF. De uppgifter som bör lämnas är, vilket Juridiska fakultetsnämnden vid Stockholms universitet, Sveriges advokatsamfund och Uppsala tingsrätt efterfrågar förtydligande av, uppgifter som finns hos e-legitimationsföretaget och avser enskildas förhållanden till finansiella företag. I praktiken är det fråga om uppgifter om legitimeringar med elegitimationen mot ett finansiellt företaget, ofta av teknisk karaktär. Det kan t.ex. vara uppgifter om vid vilken tidpunkt och i vilket syfte en legitimering har skett. Det kan i vissa fall även vara fråga om andra slags uppgifter, t.ex. lokaliseringsuppgifter eller uppgifter om legitimeringar mot andra aktörer. En förutsättning är dock att uppgifterna har delats med och hade kunnat lämnas ut av det finansiella företaget i fråga. Även om elegitimationsföretagen i regel saknar tillgång till mer ingående information om enskildas kundförhållanden med det finansiella företaget, t.ex. uppgifter om bankkonton, kan det inte uteslutas att de har tillgång till fler uppgifter än sådana som är direkt kopplade till legitimeringar. Uppgiftsskyldigheten bör därför inte begränsas på det sätt som Svenska Bankföreningen föreslår. Som redogörs för i avsnitt 4.1 avses med begreppet e-legitimationsföretag, vilket bl.a. Ekobrottsmyndigheten och Myndigheten för digital förvaltning efterfrågar förtydligande av, sådana företag som tillhandahåller tjänster för elektronisk identifiering, dock inte tillhandahållare av europeiska digitala identitetsplånböcker. I detta ligger att en bank som via en underleverantör erbjuder en e-legitimationstjänst inte omfattas av uppgiftsskyldigheten. Detsamma gäller för företag som enbart tillhandahåller lösningar för elektroniska underskrifter. Detta gäller även när ett sådant företag anlitas av ett finansiellt företag för att hantera underskrifter som sker med t.ex. bank-id. Med anledning av Föreningen för Digitala Fri- och Rättigheters påpekande konstaterar regeringen att den föreslagna regleringen av uppgiftsskyldighet måste utgå från hur marknaden och de tekniska systemen för e-legitimationer ser ut i dag. Det kan däremot inte uteslutas att det i framtiden finns behov av att se över bestämmelsernas tillämpningsområde. Uppgiftsskyldighet i underrättelseverksamhet De brottsbekämpande myndigheter som har rätt att begära uppgifter i underrättelseverksamhet bör, precis som för finansiella företag, vara Polismyndigheten, Skatteverket, Säkerhetspolisen och Tullverket. Polismyndighetens rätt att begära uppgifter omfattar även den underrättelseverksamhet som Polismyndigheten bedriver för Ekobrottsmyndigheten. När uppgifter begärs i underrättelseverksamhet saknas ofta konkreta brottsmisstankar eller en utpekad misstänkt person. Risken för att den information som lämnas ut visar sig vara irrelevant eller avse personer utan koppling till brottslighet får anses större än när uppgifter lämnas under en pågående förundersökning. Bestämmelser om uppgiftsskyldighet i underrättelseverksamhet innebär alltså en ökad risk för att uppgifter lämnas på ett sätt som medför oproportionerliga intrång i enskildas personliga integritet. Bestämmelserna om uppgiftsskyldighet i underrättelseverksamhet för finansiella företag är därför begränsade i vissa avseenden. Uppgiftsskyldigheten gäller endast om det finns behov av uppgifterna i ett enskilt fall. Detta innebär att det måste finnas ett konkret underrättelseärende som ger myndigheten anledning att begära ut uppgifterna. Det ska inte vara fråga om ett systematiskt insamlande av uppgifter. Det måste även vara fråga om misstankar om kvalificerad brottslighet. Med kvalificerad brottslighet avses brott för vilka det i straffskalan ingår fängelse i ett år eller mer. Det är tillräckligt att de uppgifter som begärs typiskt sett behövs för att förebygga, förhindra och upptäcka sådan brottslighet (prop. 2024/25:65 s. 167–169). Precis som Förvaltningsrätten i Stockholm anser regeringen att motsvarande krav bör uppställas när det gäller den nu föreslagna uppgiftsskyldigheten. Uppgiftsskyldigheten i underrättelseverksamhet för e-legitimationsföretag bör därför förutsätta att uppgifterna behövs i ett enskilt fall för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det i straffskalan ingår fängelse i ett år eller mer. Eftersom de uppgifter som kan lämnas är samma slags uppgifter som omfattas av uppgiftsskyldighet för finansiella företag saknas det anledning att, som Sveriges advokatsamfund anser, ha en högre tröskel för när uppgifter får lämnas av ett e-legitimationsföretag än av ett finansiellt företag. Som Juridiska fakultetsnämnden vid Stockholms universitet framhåller kommer det sannolikt att tillkomma nya brott med straffskalor som innebär att bestämmelsen om uppgiftsskyldighet kan tillämpas. Detsamma gäller för motsvarande bestämmelser om uppgiftsskyldighet i rörelselagstiftningen och utgör, enligt regeringens bedömning, inte ett skäl mot en uppgiftsskyldighet för e-legitimationsföretag. Genom avgränsningen till att fängelse i minst ett år ska ingå i straffskalan säkerställs att tillämpningsområdet endast utökas för sådan ny brottslighet som kan anses vara kvalificerad. Uppgiftsskyldighet i vissa utredningar och ärenden Finansiella företag är skyldiga att lämna uppgifter när det begärs av en förundersökningsledare eller en åklagare under en förundersökning, en utredning om självständigt förverkande, ett ärende om rättslig hjälp i brottmål eller ett ärende om erkännande och verkställighet av en europeisk utredningsorder. Motsvarande uppgiftsskyldighet bör gälla för elegitimationsföretag. Uppgiftsskyldigheten bör gälla oavsett om de uppgifter som begärs avser en misstänkt person eller inte, så länge uppgifterna har betydelse för ärendet. E-legitimationsföretag bör inte stå under tillsyn För de finansiella företag som står under Finansinspektionens tillsyn, dvs. företag som bedriver verksamhet som omfattas av tillstånds- eller registreringsplikt, omfattar tillsynen att bestämmelserna om uppgiftsskyldighet efterlevs (se t.ex. 13 kap. 2 § LBF). E-legitimationsföretag är inte finansiella företag och deras verksamhet omfattas inte av någon rörelselagstiftning eller av Finansinspektionens tillsyn. Även om den föreslagna uppgiftsskyldigheten avser finansiell information anser regeringen, till skillnad från Finansinspektionen, att det i nuläget inte finns tillräckliga skäl att överväga en rörelsereglering på finansmarknadsområdet för underleverantörer till finansiella företag, såsom e-legitimationsföretag. En följd av detta är emellertid, vilket Polismyndigheten påpekar, att det inte heller går att ingripa mot ett e-legitimationsföretag som inte uppfyller sina skyldigheter. Som flera remissinstanser påpekar lämnar dock e-legitimationsföretagen redan uppgifter till de brottsbekämpande myndigheterna på frivillig väg. De brottsbekämpande myndigheterna har därtill möjlighet att vända sig direkt till de finansiella företagen för att inhämta uppgifter. Detta begränsar behovet av att kunna ingripa mot elegitimationsföretagen. Tystnadsplikt och meddelandeförbud Regeringens förslag Ett e-legitimationsföretag eller den som är eller har varit verksam i företaget ska inte obehörigen få röja att en myndighet har gjort en begäran om uppgifter eller att uppgifter har lämnats i myndighetens underrättelseverksamhet. En förundersökningsledare eller åklagare som begär uppgifter från ett e-legitimationsföretag ska få besluta om meddelandeförbud. Promemorians förslag Förslaget i promemorian stämmer överens med regeringens förslag i sak, men har en annan redaktionell utformning. Remissinstanserna Majoriteten av remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Polismyndigheten anser att tystnadsplikt bör gälla även när uppgifter lämnas under t.ex. pågående förundersökning. Uppsala tingsrätt ifrågasätter om det är nödvändigt att bestämmelsen om tystnadsplikt innehåller en upplysning om ansvar enligt brottsbalken. Skälen för regeringens förslag Röjandeförbud ska gälla för att uppgifter har begärts eller lämnats De föreslagna bestämmelserna om uppgiftsskyldighet syftar till att möjliggöra och effektivisera upptäckt och bekämpande av brott. För att uppnå detta syfte är det viktigt att införa mekanismer för att förhindra att personer som misstänks för brott får kännedom om att uppgifter som rör dem har begärts av eller lämnats ut till de brottsbekämpande myndigheterna. Det bör därför införas förbud för e-legitimationsföretag, eller de som är eller har varit verksamma i ett sådant företag, att röja att uppgifter har begärts eller lämnats i enlighet med de föreslagna bestämmelserna om uppgiftsskyldighet. Ett röjandeförbud kan utformas antingen som en tystnadsplikt eller som ett meddelandeförbud. En tystnadsplikt är generell och kräver inte något särskilt beslut för att gälla. Ett meddelandeförbud innebär att den förundersökningsledare eller åklagare som begärt uppgifterna får besluta att uppgiftslämnaren inte får röja att uppgifter har begärts eller lämnats. Meddelandeförbudet kan förenas med en ansvarsbestämmelse. Bestämmelser om tystnadsplikt och meddelandeförbud utgör begränsningar av yttrandefriheten enligt 2 kap. 1 § första stycket 1 regeringsformen och artikel 10.1 i Europakonventionen Bestämmelserna om uppgiftsskyldighet i rörelselagarna kompletteras med bestämmelser om tystnadsplikt i fråga om underrättelseverksamhet och meddelandeförbud i fråga om förundersökning m.m. (se t.ex. 1 kap. 10 b och 12 §§ LBF). Tystnadsplikt ska gälla för att uppgifter har begärts eller lämnats i underrättelseverksamhet Frågan om tystnadsplikt eller meddelandeförbud bör gälla när uppgifter begärs och lämnas i underrättelseverksamhet behandlas i förarbetena till bestämmelserna om uppgiftsskyldighet i underrättelseverksamhet för finansiella företag. Där konstateras att det, eftersom det gäller just underrättelseverksamhet, kan förutses att ett meddelandeförbud skulle behöva beslutas i den stora majoriteten av alla de ärenden där en begäran kan komma att göras. Begränsningen av yttrandefriheten bedöms därmed i praktiken knappast blir nämnvärt större med en tystnadsplikt än med ett meddelandeförbud, samtidigt som en ordning med meddelandeförbud riskerar att bli administrativt krävande (prop. 2024/25:65 s. 173). Samma skäl gör sig gällande vid utformningen av ett röjandeförbud beträffande den nu föreslagna uppgiftsskyldigheten i underrättelseverksamhet. Röjandeförbudet bör därför utformas som en tystnadsplikt. Tystnadsplikten bör omfatta både att uppgifter har begärts och att de har lämnats och gälla för såväl e-legitimationsföretaget i sig som den som är eller har varit verksam i företaget. Att även den som har varit verksam i företaget omfattas bör, som Lagrådet påpekar, komma till uttryck i lagtexten. Med den som är eller har varit verksam i företaget avses en person som är eller har varit knuten till företaget i egenskap av arbets- eller uppdragstagare. Tystnadsplikten bör endast avse obehörigt röjande, vilket innebär att det är tillåtet att lämna uppgifter t.ex. om det sker med stöd av lag (jfr prop. 2024/25:65 s. 173–174). Om en uppgift lämnas av personal i en enskild verksamhet i enlighet med en lagstadgad uppgiftsskyldighet eller en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen, bör det alltså inte betraktas som ett obehörigt röjande av uppgiften (prop. 2005/06:161 s. 82 och 93 och prop. 2017/18:147 s. 285). För brott mot tystnadsplikten gäller ansvar enligt 20 kap. 3 § brottsbalken. Till skillnad från Uppsala tingsrätt anser regeringen att det för tydlighets skull bör införas en upplysning om detta i bestämmelsen om tystnadsplikt. Meddelandeförbud ska kunna meddelas när uppgifter har begärts eller lämnats i vissa utredningar och ärenden När det gäller uppgiftsskyldighet inom ramen för bl.a. förundersökning innehåller rörelselagarna bestämmelser om rätt för förundersökningsledaren eller åklagaren att besluta om meddelandeförbud, se t.ex. 1 kap. 12 § LBF. I förarbetena till den bestämmelsen anges, som skäl för ett meddelandeförbud i stället för en generell tystnadsplikt, att ett generellt förbud är för långtgående när förbudet ska gälla oavsett vilken brottslighet det är fråga om. Vidare anges att det kan finnas situationer då det saknas behov av att förbjuda ett röjande, t.ex. då den misstänkte inom kort ska konfronteras med bevisningen, samt situationer där ett förbud bör kunna tidsbegränsas (prop. 2004/05:144 s. 187). Samma skäl gör sig gällande när det kommer till utformningen av ett röjandeförbud för e-legitimationsföretag som lämnar uppgifter under förundersökning m.m. Till skillnad från Polismyndigheten anser regeringen därför att röjandeförbudet bör utformas som ett meddelandeförbud. Meddelandeförbudet bör omfatta både att uppgifter har begärts och lämnats och beslutas av den förundersökningsledare eller åklagare som har begärt uppgifterna. Förbudet bör kunna riktas mot samma krets som omfattas av tystnadsplikt och vara tidsbegränsat. Om förbudet avser uppgifter som lämnats i ett ärende om rättslig hjälp eller europeisk utredningsorder krävs dock samtycke till tidsbegränsningen från den stat, mellanfolkliga domstol eller utländska myndighet som gjort ansökan. När förbudet inte tidsbegränsats bör det hävas när det inte längre är motiverat. För att säkerställa efterlevnaden av meddelandeförbudet bör detta, i enlighet med vad som gäller för meddelandeförbud för finansiella företag, förenas med en bestämmelse om straffansvar. Den som uppsåtligen eller av grov oaktsamhet bryter mot förbudet bör därför kunna dömas till böter (jfr 1 kap. 13 § LBF och prop. 2004/05:144 s. 187–188). Tystnadsplikt och meddelandeförbud utgör proportionerliga begränsningar av yttrandefriheten Begränsningar av yttrandefriheten får enligt regeringsformen endast göras genom lag och med hänsyn till vissa särskilt angivna ändamål, bl.a. förebyggandet och beivrandet av brott. Begränsningarna måste också tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har motiverat dem (2 kap. 20, 21 och 23 §§ regeringsformen). Enligt artikel 10.2 i Europakonventionen får yttrandefriheten begränsas genom lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till bl.a. förebyggande av oordning eller brott. De föreslagna bestämmelserna om tystnadsplikt och meddelandeförbud har ett angeläget syfte, nämligen att förhindra att brottsmisstänkta personer får reda på att det har inletts ett underrättelseärende eller att uppgifter har inhämtats inom ramen för t.ex. en förundersökning. Detta är nödvändigt för att ge den föreslagna uppgiftsskyldigheten avsedd effekt och säkerställa en effektiv brottsbekämpning. Tystnadsplikten har därtill begränsats till att endast omfatta obehörigt röjande och meddelandeförbudet till att endast gälla efter särskilt beslut. Någon mindre ingripande åtgärd bedöms inte vara tillräcklig. Den begränsning av yttrandefriheten som förslaget innebär bedöms därför vara proportionerlig. Formerna för uppgiftslämnande Regeringens förslag Uppgifter ska lämnas till de brottsbekämpande myndigheterna utan dröjsmål och i elektronisk form. Promemorians förslag Förslaget i promemorian stämmer delvis överens med regeringens förslag. I promemorian föreslås även ett bemyndigande. Remissinstanserna Majoriteten av remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Finansiell ID-teknik BID AB framhåller att den föreslagna uppgiftsskyldigheten kräver manuell bedömning av vilka uppgifter som kan lämnas ut och anser att regeringen bör instruera de brottsbekämpande myndigheterna att använda Finansiell ID-teknik BID AB:s myndighetsportal vid förfrågningar. Integritetsskyddsmyndigheten påpekar att det kan vara svårt för e-legitimationsföretagen att avgöra vilka uppgifter som omfattas av skyldigheten och betonar vikten av samarbete med de finansiella företagen. Myndigheten för digital förvaltning och Post- och telestyrelsen framhåller att det inte finns något krav på att e-legitimationsföretag ska lagra uppgifter. Ekobrottsmyndigheten anser att ett sådant krav bör införas. Polismyndigheten menar att en uttrycklig tidsfrist för uppgiftslämnande bör anges eller att innebörden av ”utan dröjsmål” bör definieras, samt att uppgiftsskyldigheten bör utformas så att bedömningar inte måste göras från fall till fall. Myndigheten påpekar även att det inte är möjligt att ha gemensamma datasystem för uppgiftslämnande utan lagstöd för personuppgiftsbehandlingen och anser att det bör införas en särskild bestämmelse om uppgiftsskyldighet i penningtvättslagen, så att Finanspolisen kan inhämta uppgifter genom systemet goAML. Sveriges advokatsamfund är kritiskt till att en mottagande myndighet ges rätt att meddela föreskrifter om hur uppgifterna ska lämnas. Uppsala tingsrätt anser att bedömningarna av vilka uppgifter som omfattas av uppgiftsskyldigheten är svåra att göra och att det är olämpligt att företagen ska samråda i frågan om vilka uppgifter som ska lämnas ut. Skälen för regeringens förslag Det är viktigt att brottsutredningar kan bedrivas på ett effektivt sätt, inte minst i ärenden där frihetsberövanden förekommer. Uppgifter som begärs enligt de föreslagna bestämmelserna bör därför lämnas utan dröjsmål. Eftersom omständigheterna och omfattningen av en begäran varierar i varje enskilt fall är det emellertid enligt regeringens bedömning inte lämpligt att, som Polismyndigheten föreslår, ange en tidsfrist för uppgiftslämnandet i lagen. Att uppgifterna ska lämnas utan dröjsmål innebär dock att elegitimationsföretaget ska prioritera handläggningen av begäran och skyndsamt pröva om förutsättningar för utlämnande finns. Det är i praktiken fråga om en formell prövning som omfattar att kontrollera att begäran innehåller den information som krävs för uppgiftsskyldighet, t.ex. att det finns ett pågående underrättelseärende avseende tillräckligt kvalificerad brottslighet. E-legitimationsföretaget kan utgå från att de materiella förutsättningarna för att lämna uppgifter är uppfyllda (jfr prop. 2024/25:65 s. 169–170). E-legitimationsföretaget bör ansvara för att ta ställning till vilka uppgifter som omfattas av uppgiftsskyldigheten. Det bör i de allra flesta fall stå klart för e-legitimationsföretagen vilka uppgifter som omfattas. Precis som Integritetsskyddsmyndigheten framhåller kan det dock i vissa fall krävas att e-legitimationsföretagen samråder med de finansiella företagen, eftersom uppgiftsskyldigheten tar sikte på sådana uppgifter som ett elegitimationsföretag har utbytt med de finansiella företag som det tillhandahåller e-legitimationstjänster till. Regeringen instämmer inte i Uppsala tingsrätts mening att det är fråga om svåra bedömningar eller att det är olämpligt att företagen i detta avseende samråder med varandra. I sammanhanget ska också framhållas att de föreslagna bestämmelserna om uppgiftsskyldighet utgör en miniminivå för vilka uppgifter som ett elegitimationsföretag är skyldigt att lämna till brottsbekämpningen. Uppgifter om enskilda som finns hos elegitimationsföretag omfattas inte av någon lagstadgad tystnadsplikt. Det finns därför inte något lagstadgat hinder mot att elegitimationsföretaget lämnar fler uppgifter än vad det finansiella företaget hade kunnat lämna. Som Myndigheten för digital förvaltning och Post- och telestyrelsen påpekar finns det inte något krav på att e-legitimationsföretagen ska lagra vissa uppgifter i syfte att kunna lämna ut dem till brottsbekämpande myndigheter. Regeringen anser, i enlighet med vad som gäller för uppgiftsskyldigheten för finansiella företag, att uppgiftsskyldigheten för e-legitimationsföretag bör tar sikte på uppgifter som företaget innehar vid tidpunkten för begäran. Till skillnad från vad Ekobrottsmyndigheten anser bör det därför inte införas någon skyldighet för företagen att lagra uppgifter. När uppgifter lämnas bör detta ske i elektronisk form på samma sätt som gäller för finansiella företag (se t.ex. 1 kap. 10 b och 11 §§ LBF samt prop. 2017/18:291 s. 36–37). Den information som begärs ut kan behöva lämnas på olika sätt, t.ex. beroende på vad det är fråga om för uppgifter och om informationen inhämtas i underrättelseverksamhet eller inte. Det kan därför behövas mer detaljerad reglering av hur uppgiftslämnandet ska ske. En sådan reglering bör inte ske i lag. Det är inte heller lämpligt att, som Finansiell ID-teknik BID AB anser, i lag ge instruktioner om att ett visst system ska användas. I rörelselagstiftningen finns i flera fall bemyndiganden som innebär att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om hur uppgifter ska lämnas. Genom bemyndigandena har Polismyndigheten fått rätt att meddela föreskrifter (se t.ex. 16 kap. 1 § 2 LBF och 5 kap. 4 § förordningen [2004:329] om bank- och finansieringsrörelse). Till skillnad från Sveriges advokatsamfund anser regeringen att det kan vara lämpligt att låta mottagande myndigheter meddela föreskrifter, t.ex. om hur uppgiftslämnande ska ske. Enligt regeringens bedömning är det i sådana fall fråga om verkställighetsföreskrifter som omfattas av föreskriftsrätten enligt 8 kap. 7 § regeringsformen och som regeringen enligt 8 kap. 11 § regeringsformen kan bemyndiga en myndighet att meddela. Ett särskilt bemyndigande i den föreslagna lagen bedöms därför inte vara nödvändigt. I 4 kap. 6 § penningtvättslagen finns en bestämmelse om uppgiftsskyldighet som omfattar uppgifter som behövs för en utredning om penningtvätt eller finansiering av terrorism. Med stöd av bestämmelsen inhämtas uppgifter inom ramen för Polismyndighetens system goAML. De bestämmelser om uppgiftsskyldighet som nu föreslås har ett vidare tillämpningsområde än uppgiftsskyldigheten i penningtvättslagen. Enligt regeringens bedömning saknas det därmed skäl att införa en särskild bestämmelse om uppgiftsskyldighet för elegitimationsföretag i penningtvättslagen, på det sätt som Polismyndigheten efterfrågar. När det kommer till möjligheten att använda ett visst system för inhämtande av uppgifter är det regeringens bedömning att detta bör kunna hanteras genom sådana verkställighetsföreskrifter som regeringen eller den myndighet som regeringen bestämmer får meddela. Även om det meddelas ytterligare föreskrifter om hur uppgifterna ska lämnas ankommer det på elegitimationsföretagen och de brottsbekämpande myndigheterna att upprätta rutiner och system som möjliggör ett effektivt informationsutbyte, t.ex. i syfte att undvika att manuella bedömningar behöver göras vid varje enskild begäran på det sätt som Finansiell ID-teknik BID AB och Polismyndigheten befarar. Precis som Polismyndigheten påpekar måste dataskyddsregleringen beaktas vid utformningen av system för informationsutbyte. Som framgår i följande avsnitt bedömer regeringen att det finns lagstöd för den personuppgiftsbehandling som är nödvändig för att uppgiftsskyldigheten ska kunna fullgöras. Personuppgiftsbehandling Regeringens bedömning Det behöver inte införas någon ytterligare reglering av den personuppgiftsbehandling som följer av förslaget om uppgiftsskyldighet. Promemorians bedömning Bedömningen i promemorian stämmer överens med regeringens bedömning. Remissinstanserna Majoriteten av remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Finansiell ID-teknik BID AB framhåller att företaget är personuppgiftsbiträde till de utgivande bankerna och efterfrågar förtydligande av vilken rättslig grund som gäller för personuppgiftsbehandlingen. Sveriges advokatsamfund efterfrågar ytterligare analys i frågor om uppgiftsminimering och säkerhet för personuppgifter. Skälen för regeringens bedömning EU:s dataskyddsförordning är tillämplig på den personuppgiftsbehandling som sker hos elegitimationsföretag. I dataskyddsförordningen görs skillnad mellan den som är personuppgiftsansvarig och s.k. personuppgiftsbiträden. Personuppgiftsansvarig är den organisation som bestämmer för vilket ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till. Den personuppgiftsansvarige måste se till att behandlingen sker i enlighet med dataskyddsförordningen. Ett personuppgiftsbiträde behandlar personuppgifter för den personuppgiftsansvariges räkning och endast i enlighet med instruktioner från den personuppgiftsansvarige. Det kan t.ex. vara fråga om en situation där ett företag i egenskap av underleverantör tillhandahåller en tjänst till den personuppgiftsansvarige, på det sätt som Finansiell ID-teknik BID AB framhåller. När ett e-legitimationsföretag behandlar personuppgifter i syfte att lämna ut dem till brottsbekämpande myndigheter bör det emellertid vara fråga om en sådan självständig behandling att e-legitimationsföretaget är personuppgiftsansvarig. Behandlingen är nödvändig för att fullgöra rättsliga förpliktelser och för att utföra uppgifter av allmänt intresse och bör därför vara tillåten (laglig) enligt artikel 6.1 c och e i förordningen. De personuppgifter som lämnas enligt uppgiftsskyldigheterna har dock i regel samlats in i samband med enskildas e-legitimationsanvändning, vilket väcker frågan om en vidarebehandling av uppgifterna ska anses tillåten. Av artikel 5.1 b följer att personuppgifter endast får samlas in för vissa särskilda, uttryckligt angivna och berättigade ändamål och att de därefter inte får bli föremål för vidarebehandling på ett sätt som är oförenligt med ändamålet. Av artikel 6.4 framgår dock att sådan vidarebehandling är tillåten om den grundar sig på en medlemsstats nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, däribland förebyggande, utredning eller lagföring av brott. De föreslagna bestämmelserna om uppgiftsskyldighet syftar till att effektivisera brottsbekämpningen och förutsätter att e-legitimationsföretag behandlar personuppgifter i syfte att lämna dessa till brottsbekämpande myndigheter. Bestämmelserna utgör därmed rättslig grund enligt artikel 6.4 för vidarebehandling av personuppgifter. Med anledning av de frågor som Sveriges advokatsamfund lyfter bedömer regeringen att den personuppgiftsbehandling som förslaget medför är förenlig med principen om uppgiftsminimering i artikel 5.1 c. Uppgiftsskyldigheten för elegitimationsföretag är begränsad till att endast omfatta de uppgifter som är nödvändiga för att uppfylla syftet med förslaget, dvs. att ge ett helikopterperspektiv på legitimeringar mot finansiella företag. Därtill ansvarar elegitimationsföretagen för att säkerställa att personuppgiftsbehandlingen även i övrigt är förenlig med de krav som uppställs i EU:s dataskyddsförordning, bl.a. de krav på säkerhet i samband med behandlingen som följer av artikel 32. Fullgörande av uppgiftsskyldigheten kan komma att innebära behandling av känsliga personuppgifter, t.ex. uppgifter om legitimeringar mot vårdgivare eller fackföreningar, eller uppgifter om lagöverträdelser (artiklarna 9.1 och 10). Känsliga personuppgifter får behandlas om det är nödvändigt med hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Att effektivisera brottsbekämpningen är ett sådant viktig allmänt intresse som kan motivera behandling av känsliga personuppgifter. Uppgifter om lagöverträdelser får behandlas av andra än myndigheter om det är nödvändigt för att fullgöra en rättslig förpliktelse enligt lag (artikel 10 och 5 § 2 förordningen [2018:219] med kompletterande bestämmelser till EU:s dataskyddsförordning). De föreslagna bestämmelserna innebär en rättslig förpliktelse för e-legitimationsföretag. Sådan behandling av uppgifter om lagöverträdelser som är nödvändig för att fullgöra uppgiftsskyldigheten bör därför vara tillåten. Vidare är skyldigheten att lämna uppgifter begränsad på flera sätt och de uppgifter som lämnas kan komma att omfattas av sekretess i de brottsbekämpande myndigheternas verksamhet. Sammanfattningsvis bedöms därför den personuppgiftsbehandling som förslaget medför för e-legitimationsföretagen vara förenlig med EU:s dataskyddsförordning. Förslaget medför inte behov av att införa några särskilda bestämmelser för personuppgiftsbehandlingen. I artiklarna 13–15 i EU:s dataskyddsförordning finns bestämmelser om enskildas rätt att få information om att deras personuppgifter behandlas och att få tillgång till uppgifterna. Av 5 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) följer att rätten till information och tillgång inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Detta innebär att e-legitimationsföretag inte är skyldiga att lämna ut sådana uppgifter om personuppgiftsbehandling som omfattas av tystnadsplikt eller meddelandeförbud enligt de föreslagna bestämmelserna. När de brottsbekämpande myndigheterna tar emot begärda uppgifter gäller brottsdatalagen (2018:1177). Brottsdatalagen kompletteras av de brottsbekämpande myndigheternas registerförfattningar. Det finns rättslig grund för den personuppgiftsbehandling som aktualiseras hos myndigheterna i dessa lagar, se t.ex. 2 kap. 1 § lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område. När Säkerhetspolisen behandlar personuppgifter som rör nationell säkerhet i myndighetens brottsbekämpande verksamhet gäller dock inte brottsdatalagen. I stället är lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter (Säkerhetspolisens datalag) tillämplig. Rättslig grund för Säkerhetspolisens personuppgiftsbehandling finns i 2 kap. 1 § i den lagen. De föreslagna bestämmelserna kommer innebära ökad personuppgiftsbehandling för de brottsbekämpande myndigheterna. Det är däremot inte fråga om behandling av några andra slags personuppgifter än vad myndigheterna redan har rätt att ta del av från de finansiella företagen. Det integritetsintrång som den aktuella behandlingen hos de brottsbekämpande myndigheterna ger upphov till för den enskilde bedöms stå i proportion till det eftersträvade syftet, nämligen att effektivisera arbetet med att bekämpa brott. Mot den bakgrunden medför inte förslaget något behov av ytterligare bestämmelser för de brottsbekämpande myndigheternas personuppgiftsbehandling. Uppgiftsskyldighet för företag som omfattas av EU:s förordning om marknader för kryptotillgångar En ny bestämmelse om uppgiftsskyldighet i underrättelseverksamhet ska införas Regeringens förslag Företag som omfattas av EU:s förordning om marknader för kryptotillgångar ska vara uppgiftsskyldiga i de brottsbekämpande myndigheternas verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet. Promemorians förslag Förslaget i promemorian stämmer delvis överens med regeringens förslag. I promemorian föreslås även ett bemyndigande. Remissinstanserna Majoriteten av remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Blockchain Sweden och The Swedish Financial Technology Association anser att uppgiftsskyldigheten ska avgränsas till att gälla företag som har auktorisation enligt EU:s förordning om marknader för kryptotillgångar. Uppsala tingsrätt ifrågasätter om det är nödvändigt att bestämmelsen om tystnadsplikt innehåller en upplysning om ansvar enligt brottsbalken. Skälen för regeringens förslag Uppgiftsskyldigheten ska gälla i underrättelseverksamhet Avsaknaden av möjlighet för de brottsbekämpande myndigheterna att i deras underrättelseverksamhet begära in uppgifter från företag som omfattas av EU:s förordning om marknader för kryptotillgångar medför en risk för att brottslighet inte upptäcks, att utredningar försvåras och att gärningsmän undgår lagföring. En bestämmelse om uppgiftsskyldighet i underrättelseverksamhet bör därför införas i lagen med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Bestämmelsen bör utformas på samma sätt och med samma begränsningar som motsvarande bestämmelser för andra finansiella företag. Uppgiftsskyldigheten bör därför endast gälla när uppgifter begärs i ett enskilt fall och det finns behov av uppgifterna i den begärande myndighetens brottsbekämpande verksamhet. De brottsmisstankar som underrättelseärendet avser bör också vara kvalificerade på så sätt att det för den aktuella brottsligheten ska vara föreskrivet minst ett års fängelse. Till skillnad från Blockchain Sweden och The Swedish Financial Technology Association anser regeringen att den nu föreslagna uppgiftsskyldigheten bör gälla för samma företag som redan omfattas av uppgiftsskyldighet vid t.ex. förundersökning. Det innebär att skyldigheten bör gälla för företag som omfattas av EU-förordningen, oavsett om företagets verksamhet kräver auktorisation (tillstånd) enligt förordningen eller inte. När uppgifter begärts ansvarar företaget som har uppgifterna för att pröva om förutsättningarna för utlämnande är uppfyllda. I praktiken blir det fråga om en formell prövning (jfr prop. 2024/25:65 s. 166–170). De hänvisningar som görs till EU-förordningen i de övriga bestämmelserna i lagen är dynamiska, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen. Det är också den hänvisningsteknik som används på finansmarknadsområdet (se t.ex. prop. 2024/25:43 avsnitt 5.2). Den hänvisning som görs i den nya bestämmelsen om uppgiftsskyldighet bör därför också vara dynamisk. Tystnadsplikt ska gälla för att uppgifter har begärts eller lämnats För att uppgiftsskyldighet ska fungera som ett effektivt verktyg i brottsbekämpningen bör personer som kan misstänkas för brottslig verksamhet inte kunna få kännedom om att ett underrättelseärende pågår. Det finns därför anledning att införa en tystnadsplikt för att uppgifter har begärts eller lämnats, motsvarande den som gäller för andra finansiella företag (jfr prop. 2024/25:65 s. 172–174). Som Lagrådet påpekar bör det komma till uttryck i lagtexten att tystnadsplikten omfattar både den som är och den som har varit verksam i företaget. Det bör även, till skillnad från vad Uppsala tingsrätt anser, införas en upplysning om att ansvar enligt 20 kap. 3 § brottsbalken kan aktualiseras för brott mot tystnadsplikten (se t.ex. 1 kap. 10 b § LBF). Formerna för uppgiftslämnande Uppgiftslämnande bör ske på samma sätt som när uppgifter lämnas under pågående förundersökning, det vill säga utan dröjsmål och i elektronisk form. Skulle det behövas ytterligare reglering av t.ex. formerna för uppgifternas lämnande bör detta ske genom föreskrifter på lägre nivå än lag. Det är då fråga om sådana verkställighetsföreskrifter som regeringen kan meddela alternativt bemyndiga en myndighet att meddela enligt 8 kap. 7 och 11 §§ regeringsformen. Det krävs därför inte att något särskilt bemyndigande införs i lagen med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Personuppgiftsbehandling Regeringens bedömning Det behöver inte införas någon ytterligare reglering av den personuppgiftsbehandling som följer av bestämmelsen om uppgiftsskyldighet. Den begränsning av det grundlagsstadgade skyddet mot betydande intrång i den personliga integriteten som förslaget innebär är proportionerlig. En tystnadsplikt som omfattar att uppgifter har begärts eller lämnats med stöd av bestämmelsen om uppgiftsskyldighet utgör en proportionerlig begränsning av yttrandefriheten. Promemorians bedömning Bedömningen i promemorian stämmer överens med regeringens bedömning. Remissinstanserna Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning Den föreslagna bestämmelsen om uppgiftsskyldighet utgör grund för personuppgiftsbehandling EU:s dataskyddsförordning är tillämplig på den personuppgiftsbehandling som sker hos företag som omfattas av EU:s förordning om marknader för kryptotillgångar. Att behandla personuppgifter för att lämna ut dem i enlighet med den föreslagna uppgiftsskyldigheten innebär ett fullgörande av rättsliga förpliktelser och att uppgifter av allmänt intresse utförs och bör därför vara tillåtet (lagligt) enligt artikel 6.1 c och e i förordningen. De personuppgifter som lämnas enligt uppgiftsskyldigheten har dock i regel samlats in för andra ändamål, t.ex. när företagets kunder nyttjar dess tjänster. Som redogörs för beträffande e-legitimationsföretagens personuppgiftsbehandling bör bestämmelser om uppgiftsskyldighet i förhållande till brottsbekämpande myndigheter utgöra grund för vidarebehandling av personuppgifter. En förutsättning är dock att vidarebehandlingen även i övrigt är förenlig med de krav som uppställs i EU:s dataskyddsförordning. Detsamma gäller i den mån uppgiftsskyldigheten innebär behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser. Även den nu föreslagna uppgiftsskyldigheten för företag som omfattas av EU:s förordning om marknader för kryptotillgångar utgör en rättslig förpliktelse och syftar till att effektivisera brottsbekämpningen. Den föreslagna bestämmelsen utgör därför grund för att behandla känsliga personuppgifter och uppgifter om lagöverträdelser. Den föreslagna tystnadsplikten innebär ett undantag från skyldigheterna enligt artiklarna 13–15 i EU:s dataskyddsförordning att lämna uppgifter om personuppgiftsbehandling till den enskilde, se 5 kap. 1 § dataskyddslagen. Som redogörs för beträffande e-legitimationsföretagens uppgiftslämnande är brottsdatalagen och myndigheternas egna kompletterande registerförfattningar, respektive Säkerhetspolisens datalag, tillämpliga när de brottsbekämpande myndigheterna tar emot uppgifter. Samma bedömning görs beträffande myndigheternas personuppgiftsbehandling enligt den utökade uppgiftsskyldighet som föreslås för företag som omfattas av EU:s förordning om marknader för kryptotillgångar. Begränsningen av skyddet för den personliga integriteten är proportionerlig Den föreslagna bestämmelsen om uppgiftsskyldighet omfattar alla slags uppgifter om enskildas förhållanden till företaget och innebär en ökad personuppgiftsbehandling av såväl företaget som de myndigheter som begär uppgifterna. När uppgifter begärs i underrättelseverksamhet finns en risk för att de personuppgifter som behandlas dels visar sig vara av begränsat värde för brottsbekämpningen, dels avser personer som varken är eller blir misstänkta för brott. I förarbetena till motsvarande bestämmelser om uppgiftsskyldighet för andra finansiella företag konstateras att skälen för en uppgiftsskyldighet i underrättelseverksamhet för finansiella företag är starka, eftersom tillgången till information om enskilda som finns hos företagen kan förväntas innebära att de brottsbekämpande myndigheternas förmåga att beivra brott ökar betydligt. Till detta kommer att uppgiftsskyldigheten är begränsad i sin omfattning och att de uppgifter som lämnas i stor utsträckning omfattas av sekretess hos de mottagande myndigheterna (prop. 2024/25:65 s. 171–172). Samma skäl gör sig gällande beträffande den nu föreslagna bestämmelsen. Den begränsning av skyddet för den personliga integriteten som bestämmelsen innebär bedöms därför vara proportionerlig. Tystnadsplikten utgör en proportionerlig begränsning av yttrandefriheten Den tystnadsplikt som föreslås för att uppgifter har begärts eller lämnats utgör en begränsning av yttrandefriheten enligt 2 kap. 1 § första stycket regeringsformen och artikel 10 i Europakonventionen. En sådan begränsning får enbart göras genom lag och för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle, t.ex. med hänsyn till förebyggande och beivrande av brott. Begränsningen måste vara proportionerlig i förhållande till ändamålet. Den föreslagna tystnadsplikten är inskränkt till att endast gälla obehörigt röjande. Tystnadsplikten har också ett angeläget syfte, nämligen att säkerställa en effektiv brottsbekämpning genom att hindra att personer som är inblandade i brottslig verksamhet får kännedom om att det pågår ett underrättelseärende. Någon mindre ingripande åtgärd bedöms inte vara tillräcklig. Under dessa förhållanden bedöms tystnadsplikten utgöra en proportionerlig begränsning av yttrandefriheten (jfr prop. 2024/25:65 s. 174). Ikraftträdande- och övergångsbestämmelser Regeringens förslag Den nya lagen och lagändringarna ska träda i kraft den 1 maj 2026. Regeringens bedömning Det saknas behov av övergångsbestämmelser. Promemorians förslag och bedömning Förslaget och bedömningen i promemorian stämmer delvis överens med regeringens förslag och bedömning. I promemorian föreslås att den nya lagen och lagändringarna ska träda i kraft den 1 januari 2026. Remissinstanserna Remissinstanserna tillstyrker förslaget och bedömningen eller har inget att invända mot dem. Skälen för regeringens förslag och bedömning Den nya lagen om uppgiftsskyldighet för vissa e-legitimationsföretag bör träda i kraft så snart som möjligt. Detsamma gäller de nya bestämmelserna i lagen med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Det är samtidigt viktigt att de berörda aktörerna ges tid att utveckla nödvändiga rutiner och system för att kunna fullgöra de nya skyldigheterna. Den tidigaste tidpunkten för ikraftträdande bedöms därför vara den 1 maj 2026. Följdändringen i lagen om internationell rättslig hjälp i brottmål samt den ändring av rättelsekaraktär som görs i lagen (2024:114) om clearing och avveckling av betalningar bör träda i kraft vid samma tidpunkt. Den nya lagen och lagändringarna bör tillämpas omedelbart efter ikraftträdandet. Det saknas behov av att införa särskilda övergångsbestämmelser. Konsekvensanalys Regeringens bedömning Förslagen har inga offentligfinansiella effekter. Förslagen bidrar till att öka effektiviteten i de brottsbekämpande myndigheternas arbete med att motverka brottslighet. Förslagen har konsekvenser för enskildas personliga integritet. Förslagen ökar kostnaderna för e-legitimationsföretag. Förslagen ökar kostnaderna för företag som omfattas av EU:s förordning om marknader för kryptotillgångar. Förslagen påverkar inte myndigheters eller domstolars resursbehov. Promemorians bedömning Bedömningen i promemorian stämmer överens med regeringens bedömning. Remissinstanserna Majoriteten av remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Ekobrottsmyndigheten ifrågasätter bedömningen att förslaget kommer att leda till effektivitetsvinster när det gäller uppgifter om bank-id-användning. Även Åklagarmyndigheten menar att förslaget inte bidrar till någon förbättring av det uppgiftslämnande som redan sker. Finansiell ID-teknik BID AB, Föreningen för Digitala Fri- och Rättigheter, Juridiska fakultetsnämnden vid Stockholms universitet, Svenska Bankföreningen, The Swedish Financial Technology Association och Åklagarmyndigheten menar att förslagen kommer att innebära en ökning av den administrativa bördan och kostnaderna för berörda företag, varvid Finansiell ID-teknik BID AB anser att företaget bör kompenseras för kostnaderna. Föreningen för Digitala Fri- och Rättigheter framhåller att det finns risk för att uppgiftsskyldigheten kan medföra att elegitimationsföretag avstår från att tillhandahålla tjänster i förhållande till finansiella företag, vilket kan påverka konkurrensen på området. Regelrådet anser att konsekvensanalysen brister i vissa avseenden, bl.a. i fråga om redovisningen av formerna för uppgiftslämnande, antalet berörda företag, effekterna för konkurrensen mellan företagen och den ökade administrativa bördan. Regelrådet framhåller också att det är oklart när och hur förslagen ska utvärderas. Skälen för regeringens bedömning Offentligfinansiella och samhällsekonomiska effekter Förslagen har inga offentligfinansiella effekter. Förslagen om uppgiftsskyldighet kommer att öka effektiviteten i det brottsbekämpande arbetet, vilket i sig har positiva samhällsekonomiska effekter då kriminell verksamhet medför stora kostnader och andra negativa effekter för såväl samhället som enskilda. Effekter för skyddet för den personliga integriteten Förslagen om uppgiftsskyldighet kan, på det sätt som redogörs för i delavsnitten, innebära viss ökad risk för intrång i enskildas personliga integritet. Förslagen har utformats med beaktande av detta och omfattningen har begränsats för att minska risken för intrång. Uppgiftsskyldigheten för elegitimationsföretag har av denna anledning avgränsats till att endast omfatta uppgifter som i dag kan begäras ut från finansiella företag. Med de begränsningar som gjorts bedömer regeringen att förslaget innebär en rimlig avvägning mellan behovet av en effektiv brottsbekämpning och enskildas rätt till skydd för sin personliga integritet. Effekter för företagen Regelrådet efterfrågar en uppskattning av antalet berörda företag. Den föreslagna uppgiftsskyldigheten för e-legitimationsföretag omfattar i dagsläget två företag, Finansiell ID-teknik BID AB och Freja eID Group AB. När det kommer till den föreslagna uppgiftsskyldigheten för företag som tillhandahåller kryptotillgångar och kryptorelaterade tjänster finns det i dagsläget ett sjuttiotal sådana företag, varav ett svenskt, registrerade i Finansinspektionens företagsregister. Ett antal remissinstanser, däribland Finansiell ID-teknik BID AB, The Swedish Financial Technology Association och Åklagarmyndigheten, framhåller att den administrativa bördan och kostnaderna för företagen kommer att öka. Regelrådet anser att konsekvensanalysen brister i fråga om redovisningen av formerna för uppgiftslämnandet. Beträffande dessa frågor konstaterar regeringen att förslagen kan komma att innebära ett ökat antal förfrågningar från de brottsbekämpande myndigheterna till de berörda företagen och öka den administrativa bördan för företagen. Behovet av rutiner eller administrativa system för att kunna lämna uppgifter kan initialt leda till ökade kostnader. Den ökade administrativa bördan är svår att beräkna, eftersom den är beroende av omfattningen av myndigheternas förfrågningar. Hur uppgiftslämnandet ska gå till i praktiken är i alla händelser i första hand en fråga för berörda företag och de brottsbekämpande myndigheterna. Även om förslagen innebär en ökad administrativ börda för företagen ger de samtidigt bättre möjligheter för företagen att undvika att bli utnyttjade för brottslig verksamhet. I förlängningen kan detta minska företagens kostnader för att motverka missbruk av deras tjänster. Sammanfattningsvis bedömer regeringen att kostnaderna och den eventuella administrativa bördan för företagen som förslagen innebär är proportionerliga i förhållande till nyttan för de brottsbekämpande myndigheterna och för samhället i stort. Regelrådet anser även att konsekvensanalysen brister i fråga om redovisningen av effekterna för konkurrensen mellan företagen. Förslagen omfattar emellertid företag som befinner sig i samma rättsliga och faktiska situation och påverkar inte konkurrensen mellan dessa företag. Till skillnad från Föreningen för Digitala Fri- och Rättigheter bedömer regeringen att förslagen inte påverkar förutsättningarna för företagen att bedriva kommersiell verksamhet. Regelrådet framhåller slutligen att det är oklart när och hur förslagen ska utvärderas. En utvärdering och uppföljning av den nya ordningen förutsätter emellertid att den har tillämpats under tillräcklig tid. Effekter för myndigheter och domstolar Till skillnad från Ekobrottsmyndigheten och Åklagarmyndigheten bedömer regeringen att förslaget kommer att effektivisera det brottsbekämpande arbetet för de myndigheter som har rätt att begära uppgifter. Som framgår i avsnitt 5 innebär förslaget bl.a. att myndigheternas rätt att ta del av uppgifter inte blir beroende av frivilliga överenskommelser med enskilda elegitimationsföretag samt att ramarna för uppgiftslämnande klargörs. Förslagen bedöms inte leda till några ökade kostnader för myndigheterna. Finansinspektionen har tillsyn över att företag som omfattas av EU:s förordning om marknader för kryptotillgångar bedriver sin verksamhet i enlighet med lagen med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar, däribland bestämmelserna om uppgiftsskyldighet. Tillsynen bör vara begränsad till att tillse att uppgiftsskyldigheten fullgörs. Eftersom uppgiftsskyldighet redan gäller under bl.a. förundersökning för dessa företag bör den tillkommande bestämmelsen endast leda till marginellt ökade kostnader för tillsyn för Finansinspektionen. Kostnader till följd av förslaget ska hanteras inom Finansinspektionens befintliga ekonomiska ramar. Förslagen ger inte upphov till några nya måltyper eller ökad måltillströmning vid domstolarna. Effekter för hållbarhet och jämställdheten Förslagen bedöms inte medföra några konsekvenser för hållbarhet eller jämställdheten mellan män och kvinnor. Överensstämmelse med unionsrätten Förslagen står i överensstämmelse med EU-rätten. Författningskommentar Förslaget till lag om uppgiftsskyldighet för vissa e-legitimationsföretag 1 §    Denna lag innehåller bestämmelser om skyldigheter för e-legitimationsföretag att till brottsbekämpande myndigheter lämna uppgifter om enskildas förhållanden till finansiella företag. Med e-legitimationsföretag avses företag som tillhandahåller tjänster för elektronisk identifiering, dock inte tillhandahållare av europeiska digitala identitetsplånböcker. Med finansiella företag avses företag som omfattas av uppgiftsskyldighet enligt – lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument, – lagen (2004:46) om värdepappersfonder, – lagen (2004:297) om bank- och finansieringsrörelse, – lagen (2006:531) om särskild tillsyn över finansiella konglomerat, – lagen (2007:528) om värdepappersmarknaden, – lagen (2010:751) om betaltjänster, – försäkringsrörelselagen (2010:2043), – lagen (2011:755) om elektroniska pengar, – lagen (2013:561) om förvaltare av alternativa investeringsfonder, – lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag, – lagen (2019:742) om tjänstepensionsföretag, – lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering, – lagen (2022:1746) med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt), – lagen (2024:114) om clearing och avveckling av betalningar, eller – lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Paragrafen innehåller bestämmelser om lagens innehåll. Övervägandena finns i avsnitt 6.1 och 6.3. I första stycket anges att lagen innehåller bestämmelser om skyldigheter för vissa e-legitimationsföretag att till brottsbekämpande myndigheter lämna uppgifter om enskildas förhållanden till finansiella företag. Vilka brottsbekämpande myndigheter som har rätt att begära uppgifter framgår av 2 och 4 §§. I andra stycket anges vad som i lagen avses med e-legitimationsföretag. Det är fråga om sådana företag som tillhandahåller tjänster för elektronisk identifiering. I detta ligger att ett finansiellt företag, t.ex. en bank, som via en underleverantör erbjuder en e-legitimationstjänst inte omfattas av uppgiftsskyldighet enligt lagen. Inte heller företag som enbart tillhandahåller lösningar för elektroniska underskrifter omfattas av bestämmelsen. Detta gäller även när ett sådant företag anlitas av ett finansiellt företag för att hantera underskrifter som sker med t.ex. bank-id. Bestämmelsen omfattar inte tillhandahållare av europeiska digitala identitetsplånböcker enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet. I tredje stycket anges vad som avses med finansiella företag, nämligen företag som omfattas av bestämmelser om uppgiftsskyldighet beträffande enskildas förhållanden enligt de lagar som räknas upp i bestämmelsen. Detta innebär att företag som är uppgiftsskyldiga enligt någon av följande bestämmelser omfattas av uttrycket finansiella företag i lagens mening: – 8 kap. 2 a och 2 b §§ lagen om värdepapperscentraler och kontoföring av finansiella instrument, – 2 kap. 19 a och 20 §§ lagen om värdepappersfonder, – 1 kap. 10 b och 11 §§ lagen om bank- och finansieringsrörelse, – 6 kap. 7 a och 8 §§ lagen om särskild tillsyn över finansiella konglomerat, – 1 kap. 11 b och 12 §§ lagen om värdepappersmarknaden, – 3 kap. 13 a och 14 §§ lagen om betaltjänster, – 19 kap. 45 a och 46 §§ försäkringsrörelselagen, – 3 kap. 13 a och 14 §§ lagen om elektroniska pengar, – 8 kap. 24 a och 25 §§ lagen om förvaltare av alternativa investeringsfonder, – 6 kap. 10 a och 11 §§ lagen om särskild tillsyn över kreditinstitut och värdepappersbolag, – 16 kap. 36 a och 37 §§ lagen om tjänstepensionsföretag, – 1 kap. 6 a och 7 §§ lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering, – 1 kap. 5 a och 6 §§ lagen med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt), – 1 kap. 3 a och 4 §§ lagen om clearing och avveckling av betalningar, eller – 1 kap. 4 a och 5 §§ lagen med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar, se avsnitt 10.4. 2 §    Ett e-legitimationsföretag ska på begäran av Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket lämna uppgifter om enskildas förhållanden till finansiella företag, om uppgifterna behövs i ett enskilt fall i myndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det i straffskalan ingår fängelse i ett år eller mer. Paragrafen innehåller en bestämmelse om uppgiftsskyldighet för elegitimationsföretag i vissa brottsbekämpande myndigheters underrättelseverksamhet. Paragrafen är utformad efter förebild av bl.a. 1 kap. 10 b § första stycket lagen (2004:297) om bank- och finansieringsrörelse (LBF), se författningskommentaren till den paragrafen (prop. 2024/25:65 s. 216–217). Övervägandena finns i avsnitt 6.3. Enligt paragrafen ska e-legitimationsföretag på begäran av Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket lämna uppgifter om enskildas förhållanden till finansiella företag. Det kommer i första hand vara fråga om uppgifter som rör enskildas användning av elegitimation mot finansiella företag. Uppgiftsskyldigheten omfattar endast sådana uppgifter som hade kunnat lämnas ut direkt av ett finansiellt företag med stöd av de bestämmelser om uppgiftsskyldighet som gäller för företaget i fråga. Till skillnad från finansiella företag omfattas elegitimationsföretag inte av bestämmelser om tystnadsplikt för uppgifter om enskildas förhållanden till företaget. Paragrafen utgör inte något hinder mot att e-legitimationsföretag på frivillig väg lämnar fler uppgifter än vad som omfattas av uppgiftsskyldigheten. En förutsättning för att e-legitimationsföretaget ska vara skyldigt att lämna uppgifter är att uppgifterna behövs i ett enskilt fall i myndighetens verksamhet för att förebygga, förhindra eller upptäcka viss brottslig verksamhet. Den brottsliga verksamheten ska innefatta brott för vilket det i straffskalan ingår fängelse i ett år eller mer. Med verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet avses myndigheternas underrättelseverksamhet. Polismyndighetens underrättelseverksamhet omfattar även underrättelseverksamhet hos Ekobrottsmyndigheten. Att det ska finnas behov av uppgifterna i ett enskilt fall innebär att det ska finnas ett pågående underrättelseärende i vilket uppgifterna behövs. Det ska alltså inte vara fråga om ett generellt uppgiftsinhämtande utan koppling till viss brottslighet. Det ankommer på det e-legitimationsföretag som får en begäran att pröva om förutsättningarna för uppgiftslämnande är uppfyllda. Prövningen är av formell karaktär och syftar till att kontrollera att begäran uppfyller de krav som anges i paragrafen. E-legitimationsföretaget behöver även säkerställa att omfattningen av de uppgifter som lämnas motsvarar de uppgifter som den brottsbekämpande myndigheten hade kunnat få genom att vända sig direkt till det finansiella företaget i fråga. 3 §    Ett e-legitimationsföretag eller den som är eller har varit verksam i ett sådant företag får inte obehörigen röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt 2 §. Bestämmelser om ansvar för den som bryter mot tystnadsplikten enligt första stycket finns i 20 kap. 3 § brottsbalken. Paragrafen, som utformas efter synpunkter från Lagrådet, innehåller bestämmelser om tystnadsplikt. Paragrafen är utformad efter förebild av bl.a. 1 kap. 10 b § andra och tredje styckena LBF, se författningskommentaren till den paragrafen (prop. 2024/25:65 s. 216–217). Övervägandena finns i avsnitt 6.4. Första stycket innebär att e-legitimationsföretaget eller den som är verksam i företaget inte får avslöja för den enskilde eller någon annan att uppgifter har begärts eller lämnats med stöd av 2 §. Med den som är eller har varit verksam i företaget avses den som är eller har varit knuten till företaget i egenskap av arbets- eller uppdragstagare. Tystnadsplikten omfattar endast obehörigt röjande. Röjande som sker t.ex. med stöd av bestämmelser i andra författningar är alltså tillåtet. Om en uppgift lämnas av personal i en enskild verksamhet i enlighet med en lagstadgad uppgiftsskyldighet eller en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen (2009:400), bör det alltså inte betraktas som ett obehörigt röjande av uppgiften (prop. 2005/06:161 s. 82 och 93 och prop. 2017/18:147 s. 285). I andra stycket finns en upplysning om att bestämmelser om brott mot tystnadsplikten finns i brottsbalken. 4 §    Ett e-legitimationsföretag ska lämna uppgifter om enskildas förhållanden till finansiella företag om det 1. under en utredning enligt bestämmelserna om förundersökning i brottmål begärs av undersökningsledaren, 2. under en utredning om självständigt förverkande begärs av åklagaren, 3. i ett ärende om rättslig hjälp i brottmål begärs av åklagaren på framställning av en annan stat eller en mellanfolklig domstol, eller 4. i ett ärende om erkännande och verkställighet av en europeisk utredningsorder begärs av åklagaren. Paragrafen innehåller bestämmelser om skyldighet för e-legitimationsföretag att lämna uppgifter under förundersökning och vissa andra straffprocessuella förfaranden. Paragrafen är utformad efter förebild av bl.a. 1 kap. 11 § LBF, se författningskommentarerna till den paragrafen (prop. 2002/03:139 Del 1 s. 517–518, prop. 2016/17:218 s. 309–310 och prop. 2023/24:144 s. 486). Övervägandena finns i avsnitt 6.3. Uppgiftsskyldigheten gäller enskildas förhållanden till finansiella företag. Med detta avses samma sak som i 2 §, dvs. i praktiken uppgifter som rör enskildas användning av e-legitimation mot finansiella företag. Uppgiftsskyldigheten gäller endast i den utsträckning som uppgifterna hade kunnat lämnas av ett finansiellt företag. Precis som i 2 § utgör paragrafen inte något hinder mot att fler uppgifter än så lämnas. Uppgifter ska lämnas när de begärs av en förundersökningsledare eller åklagare. Det ankommer på e-legitimationsföretaget att bedöma om de formella förutsättningarna för uppgiftslämnande är uppfyllda, t.ex. att uppgifterna begärs inom ramen för en förundersökning, och att omfattningen av de uppgifter som lämnas motsvarar de uppgifter som förundersökningsledaren eller åklagaren hade kunnat få genom att vända sig direkt till det finansiella företaget. 5 §    Den undersökningsledare eller åklagare som begär uppgifter enligt 4 § får besluta att e-legitimationsföretaget eller den som är eller har varit verksam i företaget inte får röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt 4 § eller att det pågår en förundersökning, en utredning om självständigt förverkande, ett ärende om rättslig hjälp i brottmål eller ett ärende om erkännande och verkställighet av en europeisk utredningsorder. Ett sådant förbud får meddelas om det krävs för att en utredning om brott eller självständigt förverkande inte ska äventyras eller för att uppfylla en internationell överenskommelse som är bindande för Sverige. Förbudet ska vara tidsbegränsat, med möjlighet till förlängning, och får inte avse längre tid än vad som är motiverat med hänsyn till syftet med förbudet. I ett ärende om rättslig hjälp i brottmål eller om erkännande och verkställighet av en europeisk utredningsorder får dock förbudet tidsbegränsas endast om den stat eller mellanfolkliga domstol som ansökt om rättslig hjälp eller den utländska myndighet som har utfärdat utredningsordern samtycker till detta. Om ett förbud inte längre är motiverat med hänsyn till syftet med förbudet, ska undersökningsledaren eller åklagaren besluta att förbudet ska upphöra. Paragrafen, som utformas efter synpunkter från Lagrådet, innehåller bestämmelser om meddelandeförbud. Paragrafen är utformad efter förebild av bl.a. 1 kap. 12 § LBF, se författningskommentaren till den paragrafen (prop. 2004/05:144 s. 216). Övervägandena finns i avsnitt 6.4. Enligt första stycket får den förundersökningsledare eller åklagare som har begärt uppgifter besluta att e-legitimationsföretaget eller den som är eller har varit verksam i företaget inte får röja för den enskilde eller för någon utomstående att en begäran har gjorts eller att uppgifter har lämnats enligt 4 § eller att det pågår ett sådant ärendet som avses i 4 § 1–4. Med den som är eller har varit verksam i företaget avses samma som i 3 §. Av andra stycket följer att en förutsättning för att meddela ett förbud är att det krävs för att inte äventyra t.ex. en förundersökning eller för att uppfylla ett internationellt åtagande. Så kan vara fallet när en misstänkt person av utredningsskäl inte bör känna till vilka uppgifter kring honom eller henne som har inhämtats. I tredje stycket anges att förbudet ska vara tidsbegränsat. Förbudet får inte vara längre än vad som är nödvändigt för att uppfylla syftet med förbudet. När det är fråga om ett internationellt åtagande krävs dock samtycke till tidsbegränsning från den stat, mellanfolkliga domstol eller utländska myndighet som ansökt om rättslig hjälp eller utfärdat utredningsordern. Enligt fjärde stycket ska meddelandeförbudet, oavsett om det är tidsbegränsat eller inte, upphöra att gälla när det inte längre är motiverat. En sådan situation kan t.ex. vara att uppgifterna har avslöjats för den enskilde i samband med ett förhör. Det är förundersökningsledaren eller åklagaren som tar ställning till detta i det enskilda fallet. När det är fråga om rättslig hjälp eller en europeisk utredningsorder är det dock upp till den ansökande staten, utländska myndigheten eller mellanfolkliga domstolen att avgöra om och i så fall när förbudet kan upphöra att gälla. 6 §    Till böter döms den som uppsåtligen eller av grov oaktsamhet bryter mot ett meddelandeförbud enligt 5 §. Paragrafen innehåller en bestämmelse om straffansvar för den som uppsåtligen eller av grov oaktsamhet bryter mot meddelandeförbudet i 5 §. Paragrafen är utformad efter förebild av bl.a. 1 kap. 13 § LBF, se författningskommentaren till den paragrafen (prop. 2004/05:144 s. 216). Övervägandena finns i avsnitt 6.4. Paragrafen innebär att den som bryter mot ett meddelandeförbud kan dömas till böter. 7 §    Uppgifter enligt 2 och 4 §§ ska lämnas utan dröjsmål och i elektronisk form. Paragrafen innehåller en bestämmelse om hur uppgifterna ska lämnas. Paragrafen är utformad efter förebild av bl.a. 1 kap. 10 b § första stycket andra meningen och 11 § andra stycket LBF, se författningskommentaren till de paragraferna (prop. 2017/18:291 s. 43 och prop. 2024/25:65 s. 216–217). Övervägandena finns i avsnitt 6.5. När uppgifter lämnas enligt bestämmelserna om uppgiftsskyldighet i 2 och 4 §§ ska detta ske utan dröjsmål och i elektronisk form. Detta innebär att e-legitimationsföretaget ska prioritera handläggningen av en begäran om uppgifter. Med elektronisk form avses att uppgifterna ska lämnas i ett elektroniskt läsbart format. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 och 11 §§ regeringsformen meddela ytterligare föreskrifter om hur uppgifter ska lämnas. Förslaget till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål 5 kap 10 § Bestämmelser om uppgiftsskyldighet finns i – 8 kap. 2 b § lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument, – 2 kap. 20 § lagen (2004:46) om värdepappersfonder, – 1 kap. 11 § lagen (2004:297) om bank- och finansieringsrörelse, – 6 kap. 8 § lagen (2006:531) om särskild tillsyn över finansiella konglomerat, – 1 kap. 12 § lagen (2007:528) om värdepappersmarknaden, – 3 kap. 14 § lagen (2010:751) om betaltjänster, – 19 kap. 46 § försäkringsrörelselagen (2010:2043), – 3 kap. 14 § lagen (2011:755) om elektroniska pengar, – 8 kap. 25 § lagen (2013:561) om förvaltare av alternativa investeringsfonder, – 6 kap. 11 § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag, – 16 kap. 37 § lagen (2019:742) om tjänstepensionsföretag, – 1 kap. 7 § lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering, – 1 kap. 6 § lagen (2022:1746) med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt), – 1 kap. 4 § lagen (2024:114) om clearing och avveckling av betalningar, – 1 kap. 5 § lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar, och – 4 § lagen (2026:000) om uppgiftsskyldighet för vissa e-legitimationsföretag. I de lagar som anges i första stycket finns även bestämmelser om meddelandeförbud och ansvarsbestämmelser för den som bryter mot ett sådant förbud. Paragrafen innehåller upplysningar om i vilka lagar det finns bestämmelser om uppgiftsskyldighet. Övervägandena finns i avsnitt 6.2. Första stycket sista strecksatsen, som är ny, är en följd av att den nya lagen om uppgiftsskyldighet för vissa e-legitimationsföretag innehåller en bestämmelse om uppgiftsskyldighet i ärenden om internationell rättslig hjälp i brottmål (4 §). Förslaget till lag om ändring i lagen (2024:114) om clearing och avveckling av betalningar 6 kap. 7 § Om ett clearingbolag inte i tid lämnar de uppgifter som föreskrivits med stöd av 7 kap. 1 § 4, får Finansinspektionen besluta att bolaget ska betala en förseningsavgift med högst 100 000 kronor. Avgiften tillfaller staten. Paragrafen innehåller en bestämmelse om att Finansinspektionen har rätt att ta ut förseningsavgift från clearingbolag. I första stycket ändras hänvisningen till 7 kap. 1 § 4 i stället för 7 kap. 1 § 3. Ändringen är av rättelsekaraktär (jfr prop. 2024/25:65 s. 56–57). Förslaget till lag om ändring i lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar 1 kap. 4 a § Ett företag som omfattas av EU-förordningen ska på begäran av Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket lämna uppgifter om enskildas förhållanden till företaget, om uppgifterna behövs i ett enskilt fall i myndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det i straffskalan ingår fängelse i ett år eller mer. Uppgifterna ska lämnas utan dröjsmål och i elektronisk form. Företaget eller den som är eller har varit verksam i företaget får inte obehörigen röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt första stycket. Bestämmelser om ansvar för den som bryter mot tystnadsplikten enligt andra stycket finns i 20 kap. 3 § brottsbalken. Paragrafen, som är ny och som utformas efter synpunkter från Lagrådet, innehåller bl.a. bestämmelser om uppgiftsskyldighet och tystnadsplikt för företag som omfattas av Europaparlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937. Paragrafen är utformad efter förebild av bl.a. 1 kap. 10 b § LBF, se författningskommentaren till den paragrafen (prop. 2024/25:65 s. 216–217). Övervägandena finns i avsnitt 7.1. Första stycket innebär en skyldighet för företag som omfattas av EU-förordningen att lämna uppgifter om enskildas förhållanden till företaget till Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket. Polismyndighetens underrättelseverksamhet omfattar även underrättelseverksamhet hos Ekobrottsmyndigheten. Uppgifterna ska lämnas utan dröjsmål och i elektronisk form. Bestämmelsen bryter den tystnadsplikt som finns i 4 §. Av andra stycket följer att företaget eller den som är eller har varit verksam i företaget inte obehörigen får röja att uppgifter har begärts eller lämnats. Med den som är eller har varit verksam i företaget avses den som är eller har varit knuten till företaget i egenskap av arbets- eller uppdragstagare. Förbudet är begränsat till obehörigt röjande. Sådant röjande som sker t.ex. med stöd av lag till en tillsynsmyndighet är därmed tillåtet. I tredje stycket finns en upplysning om att det i brottsbalken finns bestämmelser om brott mot tystnadsplikten. Hänvisningen till EU-förordningen är dynamisk och avser förordningen i den vid varje tidpunkt gällande lydelsen, se 1 §. Sammanfattning av promemorian Uppgiftsskyldighet för vissa e-legitimationsföretag För banker och andra finansiella företag gäller uppgiftsskyldighet. Uppgiftsskyldigheten innebär att brottsbekämpande myndigheter, i den brottsbekämpande verksamheten, har rätt att ta del av information om enskildas förhållanden som finns hos företagen och som annars omfattas av tystnadsplikt. För att tillgodogöra sig tjänster hos finansiella företag krävs ofta att en e-legitimation används, t.ex. för att logga in i en e-tjänst eller godkänna transaktioner. I denna promemoria föreslås en uppgiftsskyldighet för företag som tillhandahåller e-legitimationer som används mot finansiella företag. Genom förslaget får de brottsbekämpande myndigheterna möjlighet att vända sig direkt till ett e-legitimationsföretag för att inhämta information om en persons e-legitimationsanvändning mot finansiella företag. I promemorian föreslås även att uppgiftsskyldigheten för företag som tillhandahåller kryptotillgångar och kryptorelaterade tjänster ska utökas till att gälla i de brottsbekämpande myndigheternas underrättelseverksamhet. Lagändringarna föreslås träda i kraft den 1 januari 2026. Promemorians lagförslag Förslag till lag om uppgiftsskyldighet för vissa elegitimationsföretag Härigenom föreskrivs följande. Lagens innehåll 1 §    Denna lag innehåller bestämmelser om skyldigheter för e-legitimationsföretag att till brottsbekämpande myndigheter lämna uppgifter om enskildas förhållanden till ett finansiellt företag. Med e-legitimationsföretag avses företag som tillhandahåller tjänster för elektronisk identifiering och elektronisk underskrift. Med finansiellt företag avses företag som omfattas av uppgiftsskyldighet enligt – lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument, – lagen (2004:46) om värdepappersfonder, – lagen (2004:297) om bank- och finansieringsrörelse, – lagen (2006:531) om särskild tillsyn över finansiella konglomerat, – lagen (2007:528) om värdepappersmarknaden, – lagen (2010:751) om betaltjänster, – försäkringsrörelselagen (2010:2043), – lagen (2011:755) om elektroniska pengar, – lagen (2013:561) om förvaltare av alternativa investeringsfonder, – lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag, – lagen (2019:742) om tjänstepensionsföretag, – lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering, – lagen (2022:1746) med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt), – lagen (2024:114) om clearing och avveckling av betalningar, eller – lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Uppgiftsskyldighet i underrättelseverksamhet 2 §    Ett e-legitimationsföretag ska på begäran av Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket lämna uppgifter om enskildas förhållanden till ett finansiellt företag, om uppgifterna behövs i ett enskilt fall i myndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det i straffskalan ingår fängelse i ett år eller mer. 3 §    Ett e-legitimationsföretag eller den som är verksam i ett sådant företag får inte obehörigen röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt 2 §. Bestämmelser om ansvar för den som bryter mot tystnadsplikten enligt första stycket finns i 20 kap. 3 § brottsbalken. Uppgiftsskyldighet i vissa utredningar och ärenden 4 §    Ett e-legitimationsföretag ska lämna uppgifter om enskildas förhållanden till ett finansiellt företag om det 1. under en utredning enligt bestämmelserna om förundersökning i brottmål begärs av undersökningsledaren, 2. under en utredning om självständigt förverkande begärs av åklagaren, 3. i ett ärende om rättslig hjälp i brottmål begärs av åklagaren på framställning av en annan stat eller en mellanfolklig domstol, eller 4. i ett ärende om erkännande och verkställighet av en europeisk utredningsorder begärs av åklagaren. 5 §    Den undersökningsledare eller åklagare som begär uppgifter enligt 4 § får besluta att e-legitimationsföretaget eller den som är verksam i ett sådant företag inte får röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt 4 § eller att det pågår en förundersökning, en utredning om självständigt förverkande, ett ärende om rättslig hjälp i brottmål eller ett ärende om erkännande och verkställighet av en europeisk utredningsorder. Ett sådant förbud får meddelas om det krävs för att en utredning om brott eller självständigt förverkande inte ska äventyras eller för att uppfylla en internationell överenskommelse som är bindande för Sverige. Förbudet ska vara tidsbegränsat, med möjlighet till förlängning, och får inte avse längre tid än vad som är motiverat med hänsyn till syftet med förbudet. I ett ärende om rättslig hjälp i brottmål eller om erkännande och verkställighet av en europeisk utredningsorder får dock förbudet tidsbegränsas endast om den stat eller mellanfolkliga domstol som ansökt om rättslig hjälp eller den utländska myndighet som har utfärdat utredningsordern samtycker till detta. Om ett förbud inte längre är motiverat med hänsyn till syftet med förbudet, ska undersökningsledaren eller åklagaren besluta att förbudet ska upphöra. 6 §    Till böter döms den som uppsåtligen eller av grov oaktsamhet bryter mot ett meddelandeförbud enligt 5 §. Formerna för uppgifternas lämnande 7 §    Uppgifter enligt 2 och 4 §§ ska lämnas utan dröjsmål och i elektronisk form. 8 §    Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om hur uppgifter enligt 2 och 4 §§ ska lämnas. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål Härigenom föreskrivs att 5 kap. 10 § lagen (2000:562) om internationell rättslig hjälp i brottmål ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 10 § Bestämmelser om uppgiftsskyldighet finns i – 8 kap. 2 b § lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument, – 2 kap. 20 § lagen (2004:46) om värdepappersfonder, – 1 kap. 11 § lagen (2004:297) om bank- och finansieringsrörelse, – 6 kap. 8 § lagen (2006:531) om särskild tillsyn över finansiella konglomerat, – 1 kap. 12 § lagen (2007:528) om värdepappersmarknaden, – 3 kap. 14 § lagen (2010:751) om betaltjänster, – 19 kap. 46 § försäkringsrörelselagen (2010:2043), – 3 kap. 14 § lagen (2011:755) om elektroniska pengar, – 8 kap. 25 § lagen (2013:561) om förvaltare av alternativa investeringsfonder, – 6 kap. 11 § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag, – 16 kap. 37 § lagen (2019:742) om tjänstepensionsföretag, – 1 kap. 7 § lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering, – 1 kap. 6 § lagen (2022:1746) med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt), – 1 kap. 4 § lagen (2024:114) om clearing och avveckling av betalningar, och – 1 kap. 5 § lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. – 1 kap. 4 § lagen (2024:114) om clearing och avveckling av betalningar, – 1 kap. 5 § lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar, och – 4 § lagen (2025:000) om uppgiftsskyldighet för vissa elegitimationsföretag. I de lagar som anges i första stycket finns även bestämmelser om meddelandeförbud och ansvarsbestämmelser för den som bryter mot ett sådant förbud. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2024:114) om clearing och avveckling av betalningar Härigenom föreskrivs att 6 kap. 7 § lagen (2024:114) om clearing och avveckling av betalningar ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 7 § Om ett clearingbolag inte i tid lämnar de uppgifter som föreskrivits med stöd av 7 kap. 1 § 3, får Finansinspektionen besluta att bolaget ska betala en förseningsavgift med högst 100 000 kronor. Om ett clearingbolag inte i tid lämnar de uppgifter som föreskrivits med stöd av 7 kap. 1 § 4, får Finansinspektionen besluta att bolaget ska betala en förseningsavgift med högst 100 000 kronor. Avgiften tillfaller staten. Denna lag träder i kraft den 1 januari 2026. Förslag till lag om ändring i lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar Härigenom föreskrivs i fråga om lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar dels att det närmast efter rubriken ”Uppgiftsskyldighet” ska införas en ny paragraf, 1 kap. 4 a §, dels att det ska införas en ny paragraf, 1 kap. 8 §, och närmast före 1 kap. 8 § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 4 a § Ett företag som omfattas av EU-förordningen ska på begäran av Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket lämna uppgifter om enskildas förhållanden till företaget, om uppgifterna behövs i ett enskilt fall i myndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det i straffskalan ingår fängelse i ett år eller mer. Uppgifterna ska lämnas utan dröjsmål och i elektronisk form. Företaget eller den som är verksam i företaget får inte obehörigen röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt första stycket. Bestämmelser om ansvar för den som bryter mot tystnadsplikten enligt andra stycket finns i 20 kap. 3 § brottsbalken. Bemyndigande 8 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om hur uppgifter enligt 4 a och 5 §§ ska lämnas. Denna lag träder i kraft den 1 januari 2026. Förteckning över remissinstanserna Efter remiss har yttranden kommit in från Bankgirocentralen BGC AB, Brottsförebyggande rådet, Ekobrottsmyndigheten, Finansbolagens Förening, Finansiell ID-teknik BID AB, Finansinspektionen, Fondbolagens förening, Förvaltningsrätten i Stockholm, Integritetsskyddsmyndigheten, Myndigheten för digital förvaltning, Polismyndigheten, Post- och telestyrelsen, Regelrådet, Riksgälden, Skatteverket, Stockholms universitet (Juridiska fakultetsnämnden), Svenska Bankföreningen, Sveriges advokatsamfund, Sveriges riksbank, Swedish FinTech Association, Säkerhetspolisen, Tullverket, Uppsala tingsrätt och Åklagarmyndigheten. Därutöver har yttranden inkommit från Blockchain Sweden och Föreningen för Digitala Fri- och Rättigheter. Följande remissinstanser har inte svarat eller angett att de avstår från att lämna några synpunkter: Aktiebolaget Svenska Pass, Centrum för rättvisa, Freja eID Group AB, Getswish AB, Konsumenternas Bank- och finansbyrå, Riksdagens ombudsmän, Svensk Försäkring, Svensk Värdepappersmarknad, Swedish Blockchain Association och Swedish Private Equity & Venture Capital Association (SVCA). Lagrådsremissens lagförslag Förslag till lag om uppgiftsskyldighet för vissa elegitimationsföretag Härigenom föreskrivs följande. Lagens innehåll 1 §    Denna lag innehåller bestämmelser om skyldigheter för e-legitimationsföretag att till brottsbekämpande myndigheter lämna uppgifter om enskildas förhållanden till finansiella företag. Med e-legitimationsföretag avses företag som tillhandahåller tjänster för elektronisk identifiering, dock inte tillhandahållare av europeiska digitala identitetsplånböcker. Med finansiella företag avses företag som omfattas av uppgiftsskyldighet enligt – lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument, – lagen (2004:46) om värdepappersfonder, – lagen (2004:297) om bank- och finansieringsrörelse, – lagen (2006:531) om särskild tillsyn över finansiella konglomerat, – lagen (2007:528) om värdepappersmarknaden, – lagen (2010:751) om betaltjänster, – försäkringsrörelselagen (2010:2043), – lagen (2011:755) om elektroniska pengar, – lagen (2013:561) om förvaltare av alternativa investeringsfonder, – lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag, – lagen (2019:742) om tjänstepensionsföretag, – lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering, – lagen (2022:1746) med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt), – lagen (2024:114) om clearing och avveckling av betalningar, eller – lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Uppgiftsskyldighet i underrättelseverksamhet 2 §    Ett e-legitimationsföretag ska på begäran av Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket lämna uppgifter om enskildas förhållanden till finansiella företag, om uppgifterna behövs i ett enskilt fall i myndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det i straffskalan ingår fängelse i ett år eller mer. 3 §    Ett e-legitimationsföretag eller den som är verksam i ett sådant företag får inte obehörigen röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt 2 §. Bestämmelser om ansvar för den som bryter mot tystnadsplikten enligt första stycket finns i 20 kap. 3 § brottsbalken. Uppgiftsskyldighet i vissa utredningar och ärenden 4 §    Ett e-legitimationsföretag ska lämna uppgifter om enskildas förhållanden till finansiella företag om det 1. under en utredning enligt bestämmelserna om förundersökning i brottmål begärs av undersökningsledaren, 2. under en utredning om självständigt förverkande begärs av åklagaren, 3. i ett ärende om rättslig hjälp i brottmål begärs av åklagaren på framställning av en annan stat eller en mellanfolklig domstol, eller 4. i ett ärende om erkännande och verkställighet av en europeisk utredningsorder begärs av åklagaren. 5 §    Den undersökningsledare eller åklagare som begär uppgifter enligt 4 § får besluta att e-legitimationsföretaget eller den som är verksam i företaget inte får röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt 4 § eller att det pågår en förundersökning, en utredning om självständigt förverkande, ett ärende om rättslig hjälp i brottmål eller ett ärende om erkännande och verkställighet av en europeisk utredningsorder. Ett sådant förbud får meddelas om det krävs för att en utredning om brott eller självständigt förverkande inte ska äventyras eller för att uppfylla en internationell överenskommelse som är bindande för Sverige. Förbudet ska vara tidsbegränsat, med möjlighet till förlängning, och får inte avse längre tid än vad som är motiverat med hänsyn till syftet med förbudet. I ett ärende om rättslig hjälp i brottmål eller om erkännande och verkställighet av en europeisk utredningsorder får dock förbudet tidsbegränsas endast om den stat eller mellanfolkliga domstol som ansökt om rättslig hjälp eller den utländska myndighet som har utfärdat utredningsordern samtycker till detta. Om ett förbud inte längre är motiverat med hänsyn till syftet med förbudet, ska undersökningsledaren eller åklagaren besluta att förbudet ska upphöra. 6 §    Till böter döms den som uppsåtligen eller av grov oaktsamhet bryter mot ett meddelandeförbud enligt 5 §. Hur uppgifterna ska lämnas 7 §    Uppgifter enligt 2 och 4 §§ ska lämnas utan dröjsmål och i elektronisk form. Denna lag träder i kraft den 1 maj 2026. Förslag till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål Härigenom föreskrivs att 5 kap. 10 § lagen (2000:562) om internationell rättslig hjälp i brottmål ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 10 § Bestämmelser om uppgiftsskyldighet finns i – 8 kap. 2 b § lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument, – 2 kap. 20 § lagen (2004:46) om värdepappersfonder, – 1 kap. 11 § lagen (2004:297) om bank- och finansieringsrörelse, – 6 kap. 8 § lagen (2006:531) om särskild tillsyn över finansiella konglomerat, – 1 kap. 12 § lagen (2007:528) om värdepappersmarknaden, – 3 kap. 14 § lagen (2010:751) om betaltjänster, – 19 kap. 46 § försäkringsrörelselagen (2010:2043), – 3 kap. 14 § lagen (2011:755) om elektroniska pengar, – 8 kap. 25 § lagen (2013:561) om förvaltare av alternativa investeringsfonder, – 6 kap. 11 § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag, – 16 kap. 37 § lagen (2019:742) om tjänstepensionsföretag, – 1 kap. 7 § lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering, – 1 kap. 6 § lagen (2022:1746) med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt), – 1 kap. 4 § lagen (2024:114) om clearing och avveckling av betalningar, och – 1 kap. 5 § lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. – 1 kap. 4 § lagen (2024:114) om clearing och avveckling av betalningar, – 1 kap. 5 § lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar, och – 4 § lagen (2026:000) om uppgiftsskyldighet för vissa elegitimationsföretag. I de lagar som anges i första stycket finns även bestämmelser om meddelandeförbud och ansvarsbestämmelser för den som bryter mot ett sådant förbud. Denna lag träder i kraft den 1 maj 2026. Förslag till lag om ändring i lagen (2024:114) om clearing och avveckling av betalningar Härigenom föreskrivs att 6 kap. 7 § lagen (2024:114) om clearing och avveckling av betalningar ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 7 § Om ett clearingbolag inte i tid lämnar de uppgifter som föreskrivits med stöd av 7 kap. 1 § 3, får Finansinspektionen besluta att bolaget ska betala en förseningsavgift med högst 100 000 kronor. Om ett clearingbolag inte i tid lämnar de uppgifter som föreskrivits med stöd av 7 kap. 1 § 4, får Finansinspektionen besluta att bolaget ska betala en förseningsavgift med högst 100 000 kronor. Avgiften tillfaller staten. Denna lag träder i kraft den 1 maj 2026. Förslag till lag om ändring i lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar Härigenom föreskrivs att det i lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar närmast efter rubriken ”Uppgiftsskyldighet” ska införas en ny paragraf, 1 kap. 4 a §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 4 a § Ett företag som omfattas av EU-förordningen ska på begäran av Polismyndigheten, Skatteverket, Säkerhetspolisen eller Tullverket lämna uppgifter om enskildas förhållanden till företaget, om uppgifterna behövs i ett enskilt fall i myndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det i straffskalan ingår fängelse i ett år eller mer. Uppgifterna ska lämnas utan dröjsmål och i elektronisk form. Företaget eller den som är verksam i företaget får inte obehörigen röja för den enskilde eller för någon utomstående att en myndighet har gjort en begäran eller att uppgifter har lämnats enligt första stycket. Bestämmelser om ansvar för den som bryter mot tystnadsplikten enligt andra stycket finns i 20 kap. 3 § brottsbalken. Denna lag träder i kraft den 1 maj 2026. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2026-01-27 Närvarande: F.d. justitieråden Kerstin Calissendorff och Mats Melin samt justitierådet Martin Nilsson Uppgiftsskyldighet för vissa e-legitimationsföretag Enligt en lagrådsremiss den 15 januari 2026 har regeringen (Finansdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om uppgiftsskyldighet för vissa e-legitimationsföretag, lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål, lag om ändring i lagen (2024:114) om clearing och avveckling av betalningar, lag om ändring i lagen (2024:1159) med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Förslagen har inför Lagrådet föredragits av rättssakkunniga Anna Bergqvist. Förslagen föranleder följande yttrande. Förslaget till lag om uppgiftsskyldighet för vissa e-legitimationsföretag och förslaget till lag om ändring i lagen med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar I 3 och 5 §§ i förslaget till lag om uppgiftsskyldighet för vissa e-legitimationsföretag föreskrivs i vissa fall en tystnadsplikt respektive ett meddelandeförbud för bl.a. den som ”är verksam” i företaget. På motsvarande sätt finns en bestämmelse om tystnadsplikt i 1 kap. 4 a § i förslaget till lag om ändring i lagen med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar. Även i denna bestämmelse anges att den bl.a. träffar den som ”är verksam” i företaget. Av författningskommentaren till 3 § i förslaget till lag om uppgiftsskyldighet för vissa e-legitimationsföretag framgår att ”med den som är verksam i företaget avses den som är eller har varit knuten till företaget i egenskap av arbets- eller uppdragstagare”. I författningskommentaren till 5 § anges att ”med den som är verksam i företaget avses samma personkrets som i 3 §”. I författningskommentaren till 1 kap. 4 a § i förslaget till lag om ändring i lagen med kompletterande bestämmelser till EU:s förordning om marknader för kryptotillgångar kommenteras inte frågan vilken personkrets som avses. Avsikten är alltså – även i den sistnämnda lagen får det förmodas – att bestämmelserna ska träffa arbets- och uppdragstagare som är eller har varit verksamma i företaget. Lagrådet noterar att tystnadsplikt och meddelandeförbud är straffsanktionerade. Av den anledningen bör det framgå direkt av lagtexten att personkretsen är den som är eller har varit verksam i eller för företaget i egenskap av arbets- eller uppdragstagare. Vid föredragningen har framkommit att avsikten med de föreslagna bestämmelserna om tystnadsplikt och meddelandeförbud är att de ska ges ett tillämpningsområde som överensstämmer med motsvarade bestämmelser i rörelselagstiftningen. Lagrådet har förståelse för detta. Det hindrar emellertid inte att ny lagstiftning utformas så att kravet på begriplighet och precision på ett bättre sätt reflekteras i lagtexten (jfr t.ex. diskussionen om straffrättens legalitetsprincip i NJA 2016 s. 169, särskilt punkt 13). Övriga lagförslag Lagrådet lämnar övriga förslag utan erinran. Finansdepartementet Utdrag ur protokoll vid regeringssammanträde den 12 februari 2026 Närvarande: statsrådet Busch, ordförande, och statsråden Svantesson, Edholm, Waltersson Grönvall, Strömmer, Forssmed, Tenje, Forssell, Slottner, Wykman, Malmer Stenergard, Kullgren, Liljestrand, Bohlin, Carlson, Pourmokhtari, Rosencrantz, Larsson, Britz, Mohamsson Föredragande: statsrådet Wykman Regeringen beslutar proposition Uppgiftsskyldighet för vissa e-legitimationsföretag