Regeringskansliet Faktapromemoria  2022/23:FPM96
Förordning om informationsteknik för tulländamål	2022/23:FPM96
Finansdepartementet
2023-06-15
Dokumentbeteckning
COM(2023) 244
Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING om ändring av rådets beslut 2009/917/RIF vad gäller dess anpassning till unionens bestämmelser om skydd av personuppgifter

Sammanfattning

Rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål fastställer förfaranden som möjliggör för tullmyndigheterna att agera gemensamt och utbyta personuppgifter och andra uppgifter som har samband med olaglig handel genom användning av ny teknik för förvaltning och överföring av sådan information. Europeiska kommissionen har presenterat ett förslag till förordning om ändring av beslutet för att anpassa beslutet till Europaparlamentet och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

Regeringen bedömer att förslaget kommer leda till att bestämmelserna i rådets beslut anpassas till de principer och bestämmelser som fastställs i Europaparlamentet och rådets direktiv (EU) 2016/680. Detta bidrar till ett enhetligt ramverk för personuppgiftsskydd i unionen vilket regeringen anser är positivt.

1                 Förslaget

1.1           Ärendets bakgrund

Medlemsstaternas tullmyndigheter ansvarar tillsammans med andra behöriga myndigheter vid EU:s yttre gränser och inom EU:s territorium för att förebygga, utreda och beivra överträdelser av såväl EU:s regler som nationella lagar.

Rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål syftar till att fastställa förfaranden som möjliggör för tullmyndigheterna att agera gemensamt och utbyta personuppgifter och andra uppgifter som har samband med olaglig handel genom användning av ny teknik för förvaltning och överföring av sådan information.

Tullinformationssystemet (TIS), som inrättades i enlighet med rådets beslut, är ett automatiserat informationssystem för tulländamål som syftar till att göra det lättare att förebygga, utreda och beivra grova överträdelser av nationella lagar genom att göra information snabbare tillgänglig och öka tullmyndigheternas förutsättningar att arbeta på ett ändamålsenligt sätt. TIS används av medlemsstaternas tullmyndigheter för att utbyta information med andra medlemsstater samt med Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och Europeiska unionens byrå för straffrättsligt samarbete (Eurojust) i enlighet med beslutet. TIS består av en central databas som är åtkomlig genom terminaler i varje medlemsstat och ska endast innehålla sådana uppgifter som är nödvändiga för att uppnå målet om att förebygga, utreda och beivra grova överträdelser av nationella lagar genom att göra informationen snabbare tillgänglig och därmed öka ändamålsenligheten i samarbets- och kontrollförfarandena hos tullmyndigheterna i medlemsstaterna. För att få använda uppgifterna för något annat ändamål än detta måste tillstånd ges av den medlemsstat som fört in uppgifterna i systemet och behandlingen måste dessutom vara förenlig med lagar, bestämmelser och förfaranden i den medlemsstat som önskar använda uppgifterna. Med grova överträdelser avses i beslutet överträdelser som kan ge ett frihetsberövande straff om minimum 12 månader eller böter om minst 15 000 euro.

Direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (brottsdatadirektivet) trädde i kraft den 6 maj 2016 och skulle ha införlivats i den nationella lagstiftningen av medlemsstaterna senast den 6 maj 2018. Enligt brottsdatadirektivet skulle kommissionen senast den 6 maj 2019 se över andra EU-rättsakter som reglerar behöriga myndigheters behandling av personuppgifter i samband med brottsbekämpning för att ta ställning till om de behöver anpassas till brottsdatadirektivet och, i förekommande fall, lägga fram förslag till ändring av dessa rättsakter för att säkerställa ett samstämmigt personuppgiftsskydd inom direktivets tillämpningsområde.

Kommissionen redovisade den 24 juni 2020 resultaten av översynen i sitt meddelande Det fortsatta arbetet med att anpassa regelverket för den tidigare tredje pelaren till dataskyddsreglerna (COM(2020) 262 final). Som en följd av detta arbete presenterade kommissionen den 11 maj 2023 det nu aktuella förordningsförslaget.

Rådets beslut antogs innan Lissabonfördraget trädde i kraft. Enligt artikel 16.2 fördraget om Europeiska unionens funktionssätt (FEUF) ska bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter i medlemsstaterna fastställas av rådet och Europaparlamentet gemensamt. Kommissionen har därför valt förordning som rättsligt instrument för att ändra rådets beslut.

1.2           Förslagets innehåll

Avsikten med förslaget om förordning om ändring av rådets beslut om användning av informationsteknik för tulländamål är att anpassa bestämmelserna i beslutet till de principer och bestämmelser som fastställs i brottsdatadirektivet för att på så sätt skapa ett starkt och enhetligt ramverk för personuppgiftsskydd i unionen.

Kommissionen har identifierat sex områden där beslutet måste anpassas till brottsdatadirektivet och förslaget är följaktligen utformat i enlighet med detta. Begreppet ”grova överträdelser” föreslås ersättas med ”brott enligt nationella lagar” för att förtydliga och anpassa regleringen till brottsdatadirektivet. Det föreslås klargörande av villkoren för insamling och registrering av personuppgifter och att det ställs upp ett krav på att personuppgifter förs in i TIS endast om det finns rimliga skäl att anta, i synnerhet på grundval av tidigare olaglig verksamhet, att den berörda personen har gjort, gör eller kommer att göra sig skyldig till ett brott. Det föreslås att ytterligare krav avseende säkerhet vid behandling fastställs så att förteckningen över nödvändiga säkerhetsåtgärder avseende återställande, driftsäkerhet och dataintegritet är anpassad till brottsdatadirektivet. Det föreslås begränsningar för vidarebehandling i enlighet med den princip om ändamålsbegränsning som finns i brottsdatadirektivet. Det innebär att medlemsstaterna, Europol och Eurojust som huvudregel endast får behandla personuppgifter från TIS-systemet för att uppnå målen att förebygga, utreda och beivra överträdelser. Därutöver får uppgifterna endast i vissa specifika situationer och efter medgivande från den medlemsstat som fört in uppgifterna i systemet användas för något annat. Behandlingen av personuppgifter enligt beslutet föreslås underställas den samordnade tillsynsmodellen i form av den europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna som fastställs i artikel 62 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG. Slutligen föreslås alla bestämmelser som överlappar med brottsdatadirektivet (t.ex. definitioner av eller bestämmelser om registrerades rättigheter eller tillgång till rättsmedel och ansvar) utgå eftersom de bedöms vara föråldrade och obsoleta, och hänvisningar till särskilda bestämmelser i rådets rambeslut 2008/977/RIF föreslås uppdateras med specifika motsvarande hänvisningar till brottsdatadirektivet.

1.3           Gällande svenska regler och förslagets effekt på dessa

EU:s dataskyddsdirektiv har i Sverige i huvudsak genomförts genom brottsdatalagen (2018:1177). Brottsdatalagen är en ramlag som syftar till att skydda fysiska personers grundläggande rättigheter och friheter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Lagen är generellt tillämplig inom det område som direktivet reglerar och är subsidiär i förhållande till annan lag eller förordning.

Brottsdatalagen kompletteras för Tullverkets del av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område (tullbrottsdatalagen) och den tillhörande förordningen (2018:1876) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Författningarna gäller utöver brottsdatalagen när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa uppbörd. I lagen (2017:496) om internationellt polisiärt samarbete, lagen (2018:1180) om flygpassageraruppgifter i brottsbekämpningen och lagen (2022:613) om finansiell information i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, tillämpas dessa i stället för bestämmelserna i tulldatalagen.

Förordningen (2016:904) om tullinformationssystemet kompletterar rådets förordning (EG) nr 515/97 av den 13 mars 1997 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen. Genom förordningen genomförs också TIS-beslutet. I förordningen regleras bl.a. personuppgiftsansvar, gallring och sekretess samt vilka myndigheter som får använda uppgifter i tullinformationssystemet.

I lagen (2000:1219) om internationellt tullsamarbete finns regler för internationellt tullsamarbete som följer av en internationell överenskommelse med en annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Av lagen följer att Tullverket och andra behöriga svenska myndigheter ska bistå behöriga utländska myndigheter och mellanfolkliga organisationer om det följer av sådana internationella avtal som lagen tillämpas på. Även formerna och förutsättningarna för sådant bistånd regleras i lagen.

Vissa följdändringar i främst förordningen om tullinformationssystemet kan aktualiseras om kommissionens förslag till förordning om anpassning av rådets beslut till unionens bestämmelser om skydd av personuppgifter antas.

1.4           Budgetära konsekvenser / Konsekvensanalys

Konsekvenserna av förslaget är begränsade till behöriga myndigheters behandling av personuppgifter i de specifika fall som regleras i rådets beslut 2009/917/RIF. Konsekvenserna av de nya skyldigheter som följer av brottsdatadirektivet bedömdes i samband med beredningen av brottsdatadirektivet. Kommissionen bedömer att detta innebär att det därmed inte behövs någon särskild konsekvensbedömning för förslaget. Regeringen har inte något att invända mot denna bedömning.

2                 Ståndpunkter

2.1           Preliminär svensk ståndpunkt

Regeringen bedömer att förslaget kommer leda till att bestämmelserna i rådets beslut 2009/917/RIF av den 30 november 2009 anpassas till de principer och bestämmelser som fastställs i brottsdatadirektivet. Detta bidrar till ett enhetligt ramverk för personuppgiftsskydd i unionen vilket regeringen anser är positivt.

2.2           Medlemsstaternas ståndpunkter

Medlemsstaternas ståndpunkter är inte kända för närvarande.

2.3           Institutionernas ståndpunkter

Institutionernas ståndpunkter är inte kända för närvarande.

2.4           Remissinstansernas ståndpunkter

Regeringen avser att skicka ut kommissionens förslag på remiss. Remissinstansernas ståndpunkter är inte kända för närvarande.

3                 Förslagets förutsättningar

3.1           Rättslig grund och beslutsförfarande

Som rättslig grund anges artikel 16.2 FEUF, som reglerar rätten för var och en till skydd av de personuppgifter som rör honom eller henne hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter och fri.

Ordinarie lagstiftningsförfarande ska tillämpas, vilket innebär att rådet beslutar med kvalificerad majoritet och att Europaparlamentet är medbeslutande.

3.2           Subsidiaritets- och proportionalitetsprincipen

Regeringen instämmer i kommissionens slutsats att bara unionen kan anpassa EU-rättsakter till bestämmelserna i brottsdatadirektivet, vilket betyder att bara unionen kan anta en lagstiftningsakt om ändring av rådets beslut 2009/917/RIF. Regeringen instämmer vidare i kommissionens bedömning att förslaget är begränsat till vad som är nödvändigt för att anpassa rådets beslut till brottsdatadirektivet utan att på något sätt ändra beslutets tillämpningsområde och att förslaget inte går utöver vad som är nödvändigt för att uppnå de eftersträvade målen.

4                 Övrigt

4.1           Fortsatt behandling av ärendet

Kommissionen ska presentera förslaget till förordning i rådsarbetsgruppen för brottsbekämpning (tull) den 12 juni. Mötet är det sista mötet i rådsarbetsgruppen under det svenska ordförandeskapet. Arbetet med förslaget kommer från och med den 1 juli 2023 ledas av det spanska ordförandeskapet.

Ansvarigt utskott i Europaparlamentet förväntas bli utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE).

4.2           Fackuttryck/termer