Verktyg för skydd av EU-medel
Statens offentliga utredningar 2025:112
Verktyg för skydd av EU-medel
Rättsliga förutsättningar för svenska myndigheter att använda Arachne och Edes
Betänkande av Utredningen om användningen av vissa verktyg för att skydda EU:s finansiella intressen
Stockholm 2025
SOU 2025:112
SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2021:1.
Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Layout: Kommittéservice, Regeringskansliet
Omslag: Åtta45
Tryck och remisshantering: Åtta45, Stockholm 2025
ISBN 978-91-525-1407-8 (tryck)
ISBN 978-91-525-1408-5 (pdf)
ISSN 0375-250X
Till statsrådet och chefen för Finansdepartementet Elisabeth Svantesson
Regeringen beslutade den 12 december 2024 att ge en särskild ut- redare i uppdrag att undersöka de rättsliga förutsättningarna för svenska myndigheter att använda riskbedömningsverktyget Arachne och uppfylla kraven enligt den omarbetade budgetförordningen, bland annat skyldigheterna inom ramen för systemet för tidig upp- täckt och uteslutning (Edes), för att motverka felaktiga utbetalningar och bedrägerier i samband med hantering av EU-medel.
Till särskild utredare förordnades från och med den 3 februari 2025 rättsliga experten Leena Mildenberger.
Som experter förordnades från och med den 10 februari 2025 stf. enhetschefen vid Statens Jordbruksverk (Jordbruksverket) Annika Boiardt, stabsjuristen vid Ekobrottsmyndigheten Olof Hallström, revisorn vid Ekonomistyrningsverket (ESV) Hoger Ibrahim, verk- samhetsexperten vid Polismyndigheten Teresa Klett, departements- sekreteraren vid Finansdepartementet Mats Kullander, verksamhets- experten vid Migrationsverket Jonas Lidström, verksjuristen vid Tillväxtverket Meliha Sevinc Husberg och verksjuristen vid Rådet för Europeiska socialfonden i Sverige (Svenska ESF-rådet) Joel Sjödin. Rättsliga experten Liselotte Westerlind förordnades som expert från och med den 7 april 2025. Från och med den 15 maj 2025 entlediga- des Teresa Klett från uppdraget och ersattes samma dag med juristen vid Polismyndigheten Mathias Lassinantti Jansson. Från och med den 1 juli 2025 entledigades Mats Kullander från uppdraget och er- sattes samma dag med ämnesrådet Ricky Ifwarsson.
Som sekreterare i utredningen anställdes från och med den 4 mars 2025 hyresrådet Per Lindblom.
SOU 2025:112
Arbetet har bedrivits i nära samråd med experterna. Experterna har i allt väsentligt ställt sig bakom de förslag och bedömningar som lämnas.
Härmed överlämnas betänkandet Verktyg för skydd av EU-medel. Rättsliga förutsättningar för svenska myndigheter att använda Arachne och Edes (SOU 2025:112). Utredningens uppdrag är med detta slutfört.
Stockholm november 2025
Leena Mildenberger
Per Lindblom
Innehåll
1.1Förslag till lag om ändring i offentlighets-
3.1Det är viktigt att motverka felaktig hantering
3.4Budgetförordningens reglering av intern kontroll samt
Innehåll | SOU 2025:112 |
3.4.5Det kan finnas fördelar med ett användande
3.5.3Myndigheter som hanterar EU-medel genom
delad förvaltning...................................................... |
3.5.4Myndigheter som hanterar medel genom direkt förvaltning tillsammans med medlemsstaterna
| – RRF....................................................................... | |
3.5.7Departement har roller som behörig
3.5.8Organisationsstrukturen kan förändras
och nya fonder kan tillkomma................................ |
3.5.9Exempel på hur begreppen fond, program
4.3.3Lämnande av uppgifter vid användning
av Arachnes förhandsfunktion ............................... |
4.4Ett nytt krav på tillgängliggörande av uppgifter
från och med 2028 .................................................................. | ||
4.4.2Vilka svenska myndigheter omfattas
av skyldigheten? ...................................................... |
6
SOU 2025:112 |
| Innehåll |
4.4.4Skyldigheten gäller bara när det finns
sektorsspecifika regler ............................................. |
4.4.5Uppgifter från medlemsländerna kommer
att tillföras Arachne ................................................. | |
4.5 Tillgängliggörande av frivilliga uppgifter............................... |
4.5.1Frivilligt tillgängliggörande enligt
| ||
| ||
| av värde att tillgängliggöra?..................................... |
4.5.3Även myndigheter som inte har någon skyldighet att tillgängliggöra uppgifter
bör kunna göra det .................................................. |
4.6Inget nytt krav på tillgängliggörande av uppgifter
när det gäller Edes................................................................... |
4.6.1Om innehållet i artikel 36.8 och kopplingen
| till Edes..................................................................... | |
För vilka gäller kraven i artikel 36.8?...................... | ||
4.7Ett nytt krav på offentliggörande av uppgifter
från och med 2028................................................................... | ||
4.7.2En upplysning om skyldigheter att offentliggöra
4.8.2Olika aktörer kommer att få tillgång
7
Innehåll |
| SOU 2025:112 |
Arachne består av olika delar.................................. | ||
| ||
| ||
| att bygga på interoperabilitet ................................ | |
5.3Vilka svenska myndigheter kan komma att använda
Arachne? ............................................................................... | ||
Vissa utgångspunkter............................................ | ||
5.3.2Myndigheter som hanterar EU-medel genom
delad förvaltning.................................................... |
5.3.3Myndigheter som hanterar medel genom direkt
| ||
Ekonomistyrningsverket ...................................... | ||
5.3.6Departement som behörig eller
samordnande myndighet....................................... |
5.3.7Slutsatser om vilka myndigheter som
6.2.2Det finns oklarheter gällande regleringen
6.2.5Beslut om uteslutning, ekonomisk sanktion
| och offentliggörande ............................................. | |
Vilka uppgifter finns i Edes? ................................ | ||
| ||
|
8
SOU 2025:112 | Innehåll |
6.2.8Vilka träffas av skyldigheten att tillämpa
Edes-regelverket? .................................................. 134
6.2.9Bestämmelser som rör så kallade utanordnare
| ||
Vissa utgångspunkter ............................................ | ||
6.3.2Myndigheter som förvaltar EU-medel genom
delad förvaltning .................................................... |
6.3.3Myndigheter som hanterar medel genom direkt
| ||
Ekonomistyrningsverket....................................... | ||
Ekobrottsmyndigheten ......................................... | ||
| ||
|
7 Övergripande om offentlighet, sekretess och dataskydd. 141
7.1Övergripande om offentlighet, sekretess
och ärendehantering.............................................................. | ||
7.1.4Allmänt om offentlighet och sekretess inom
| EU-samarbetet....................................................... | |
7.1.6Frågor om allmänna handlingar
| och sekretess aktualiseras ...................................... | |
7.2 Övergripande om behandling av personuppgifter .............. | ||
7.2.1Den personliga integriteten skyddas genom
| flera olika regelverk................................................ | |
EU:s dataskyddslagstiftning ................................. |
7.2.3Nationell reglering som kompletterar
EU:s dataskyddslagstiftning ................................. |
7.2.4Dataskyddsförordningen och dataskyddslagen
är tillämplig lagstiftning ........................................ |
7.2.5Rättsliga grunder och principer för
9
InnehållSOU 2025:112
8.3Lämnande av uppgifter utan att det finns
en rättslig skyldighet ............................................................ | ||
Uppdraget i denna del........................................... | ||
8.3.3Uppgifter som kan komma att lämnas kommer
| ||
| ||
|
| |
|
8.3.5Det krävs inte författningsändringar
| |
8.4 Offentliggörande av uppgifter ............................................. |
8.4.1Betydelsen av att skyldigheten gäller endast vid direkt förvaltning tillsammans
med medlemsstaterna............................................ |
8.4.2Det krävs inte författningsändringar
|
| |
| av uppgifter............................................................ | |
| ||
|
| |
| av uppgifter............................................................ |
10
SOU 2025:112 |
| Innehåll |
8.5 Användande av Arachne som verktyg ................................. | ||
Uppdraget i denna del ........................................... | ||
8.5.2Blir uppgifterna i Arachne allmänna handlingar
hos svenska myndigheter? .................................... |
8.5.3Finns det behov av sekretesskydd för uppgifter
som finns i Arachne? ............................................. |
8.5.4Vilket skydd ger gällande sekretessreglering
för allmänna intressen?.......................................... |
8.5.5Vilket skydd ger gällande sekretessreglering för enskildas personliga och ekonomiska
| förhållanden? ......................................................... | |
8.5.7Hur en ny sekretessreglering skulle
kunna utformas...................................................... |
8.5.8Det krävs inte författningsändringar på
dataskyddsområdet för användande av Arachne... 266
8.6 Användande av Edes som verktyg ....................................... | ||
Uppdraget i denna del ........................................... | ||
8.6.2Blir uppgifterna i Edes allmänna handlingar
hos svenska myndigheter? .................................... |
8.6.3Finns det behov av sekretesskydd för uppgifter
som finns i Edes? ................................................... |
8.6.4Vilket skydd ger gällande sekretessreglering
för allmänna intressen?.......................................... |
8.6.5Vilket skydd ger gällande sekretessreglering
8.6.6Det krävs inte författningsändringar
9.2Vad är personlig integritet och hur görs bedömningar
om skyddet för den personliga integriteten?....................... |
11
Innehåll | SOU 2025:112 |
9.3Den aktuella personuppgiftsbehandlingen
9.4.2Hur omfattande är
personuppgiftsbehandlingen? .............................. 314
9.4.3Vilka andra omständigheter kan vara relevanta
| ||
9.5 AI-förordningen behöver beaktas ....................................... | ||
9.6Samlad nödvändighets- och proportionalitetsbedömning.. 320
12
13
Begrepp och förkortningar
Amif: Asyl-, migrations- och integrationsfonden. (På engelska: Asylum, Migration and Integration Fund.)
Arachne: Ett it-verktyg för riskvärdering och datautvinning som kommissionen har tagit fram och tillhandahåller för att stödja an- svariga myndigheter i kontroller av stödmottagare av EU-medel.
Arachne-stadgan: Arachne, Charter for the introduction, the appli- cation and the integration of the Arachne risk scoring tool (senaste tillgängliga version: 2.4).1
Attesterande organ: Ett offentligt eller privat organ som utses av varje medlemsstat för att granska medlemsstatens styrningssystem och utbetalande organs årsräkenskaper och prestationsrapportering avseende utgifter med finansiering från EU:s jordbruksfonder.
BAR – Brexit Adjustment Reserve: Brexitjusteringsreserven.
Behörig myndighet: Myndighet som utses av varje medlemsstat för att utfärda, granska och återkalla ackrediteringen av utbetalande organ.
Beskrivning av personuppgiftsbehandlingen för Arachne: Den beskrivning av personuppgiftsbehandling avseende Arachne som kommissionen har anmält till EU:s dataskyddsombuds register.2
1https://employment-social-affairs.ec.europa.eu/policies-and-activities/funding/european- social-fund-plus-esf/what-arachne_en. Hämtat 2025-10-22.
2Record for processing of personal data. Title: Risk analysis for fraud prevention and detec- tion in the management of EU funds (ARACHNE SYSTEM). Reference: DPR-EC-00598.4, publicerad den 27 november 2023. https://ec.europa.eu/dpo-register/detail/DPR-EC-00598. Hämtat 2025-10-29.
15
Begrepp och förkortningar | SOU 2025:112 |
Beskrivning av personuppgiftsbehandlingen för Edes: Den be- skrivning av personuppgiftsbehandling avseende Edes som kom- missionen har anmält till EU:s dataskyddsombuds register.3
BMVI – Border Management and Visa Instrument: Instrumentet för ekonomiskt stöd för gränsförvaltning och viseringspolitik.
Budgetförordningen (ibland den omarbetade budgetförord- ningen): Europaparlamentets och rådets förordning (EU, Eura- tom) 2024/2509 av den 23 september 2024 om finansiella regler för unionens allmänna budget (omarbetning).
Budgetgenomförande: Utförande av verksamheter som rör för- valtning, övervakning, kontroll och revision av budgetanslag i en- lighet med de metoder som föreskrivs i artikel 62 i budgetförord- ningen (enligt definition i artikel 2.7 i budgetförordningen).
CAP – Common Agricultural Policy: EU:s gemensamma jord- brukspolitik. (GJP i svensk förkortning.)
CPR – Common Provisions Regulation: Europaparlamentets och rådets förordning (EU) 2021/1060 av den 24 juni 2021 om faststäl- lande av gemensamma bestämmelser för Europeiska regionala utveck- lingsfonden, Europeiska socialfonden+, Sammanhållningsfonden, Fonden för en rättvis omställning och Europeiska havs-, fiskeri- och vattenbruksfonden samt finansiella regler för dessa och för Asyl-, migrations- och integrationsfonden, Fonden för inre säkerhet samt instrumentet för ekonomiskt stöd för gränsförvaltning och viserings- politik. Avser programperioden 2021–2027.
Dataskyddsförordningen (ibland EU:s dataskyddsförordning): Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning).
3Record for processing of personal data, Title: Entry of a Data Subject in the Early Detection and Exclusion System (EDES-DB), Reference DPR-EC-04410.2, publicerad den 8 februari 2022. https://ec.europa.eu/dpo-register/detail/DPR-EC-04410. Hämtat 2025-10-29.
16
SOU 2025:112 | Begrepp och förkortningar |
Dataskyddsförordningen för EU:s institutioner: Europaparlamen- tets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG.
Delad förvaltning: En metod för att genomföra EU-budgeten där kommissionen behåller det yttersta ansvaret för genomförandet men där medlemsstaterna ansvarar för nationella förvaltnings- och kontrollsystem.
Delegerade organ: Organ som utför uppgifter på delegation av ett utbetalande organ. Det utbetalande organet får delegera utförandet av alla uppgifter utom utbetalningar.
Den tidigare budgetförordningen: Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finan- siella regler för unionens allmänna budget, om ändring av förord- ningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU) nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012.
Direkt förvaltning: En metod för att genomföra EU-budgeten där kommissionen på egen hand förvaltar en EU-fond eller ett program, till skillnad från delad förvaltning eller indirekt förvaltning.
ECA – European Court of Auditors: Europeiska unionens revi- sionsrätt.
Edes – Early Detection and Exclusion System: Systemet för tidig upptäckt och uteslutning. Inrättat av kommissionen för att stärka skyddet av EU:s ekonomiska intressen och säkerställa sund ekono- misk förvaltning.
EGF – European Globalisation Adjustment Fund for Displaced Workers: Europeiska fonden för justering för globaliseringseffekter för uppsagda arbetstagare.
17
Begrepp och förkortningar | SOU 2025:112 |
EGFJ: Europeiska garantifonden för jordbruket. (På engelska: Euro- pean Agricultural Guarantee Fund [EAGF].)
EHFVF: Europeiska havs-, fiskeri- och vattenbruksfonden. (På
engelska: European Maritime, Fisheries and Aquaculture Fund [EMFAF]).
Ejflu: Europeiska jordbruksfonden för landsbygdsutveckling. (På
engelska: Agricultural Fund for Rural Development [EAFRD].)
Eppo – European Public Prosecutor’s Office: Europeiska åklagar- myndigheten.
Eruf: Europeiska regionala utvecklingsfonden. (På engelska: Euro- pean Regional Development Fund [ERDF].)
ESF+: Europeiska socialfonden+. Föregångaren under program- perioden 2014–2020 benämndes Europeiska socialfonden (ESF). (På engelska: European Social Fund Plus.)
ESI-fonder: Europeiska struktur- och investeringsfonderna. De fem fonder som under programperioden 2014–2020 omfattades av gemen- samma regler: Eruf, ESF, Efjlu, EHFF och Sammanhållningsfonden (ej verksam i Sverige). Under programperioden 2021–2027 omfattas Ejflu inte längre av CPR. (På engelska: European Structural and Investment Funds, ESIF.)
Ex ante-kontroller: Kontroller som utförs innan en ansökan om EU-medel beviljas och som kan bidra till att EU-medel inte betalas ut i fall då det finns risk för felaktiga utbetalningar, dubbelfinansi- eringar, bedrägerier, korruption och intressekonflikter.
Ex post-kontroller: Kontroller som utförs efter det att en ansökan om EU-medel har beviljats och som kan bidra till att felaktigheter upptäcks i efterhand.
FRO: Fonden för en rättvis omställning. (På engelska: Just Tran- sition Fund [JTF].)
18
SOU 2025:112 | Begrepp och förkortningar |
FTS – Financial Transparency System: Systemet för finansiell öppenhet. Offentlig onlinedatabas över mottagare av finansiering vid direkt och indirekt förvaltning.
Förmedlande organ: En förvaltande myndighet får ange ett eller flera förmedlande organ som ska utföra vissa uppgifter under den förvaltande myndighetens ansvar.
Förvaltande myndighet: Myndighet som utses av medlemsstaterna för att förvalta program med finansiering från fonder som regleras av CPR. Kan också avse den nationella förvaltande myndighet som medlemsstaterna ska utse för sina GJP-planer.
Genomförandemyndighet: Myndighet som inom RRF motsvarar förvaltande myndighet.
GJP: EU:s gemensamma jordbrukspolitik. (CAP i engelsk förkort- ning.)
IAKS: Förordningsstyrt administrations- och kontrollsystem som tillämpas på areal- och djurbaserade interventioner med finansier- ing från både EGFJ och Ejflu. (På engelska: Integrated Administra- tion and Control System [IACS].)
Indirekt förvaltning: En metod för att genomföra EU-budgeten där kommissionen anförtror genomförandeuppgifter åt till exempel länder utanför EU och internationella organisationer.
Interoperabilitet: Förmåga som gör det möjligt för nätverks- och informationssystem hos olika aktörer att interagera med varandra genom datadelning med hjälp av elektronisk kommunikation.
Interreg: Program som stöder gränsöverskridande samarbetspro- jekt mellan regioner och länder till stöd för regional utveckling.
IMS – Irregularity Management System: Systemet för hantering av oriktigheter. Ett elektroniskt system för informationsutbyte som underlättar rapportering av oriktigheter på olika områden. Det till- handahålls medlemsstaterna och stödmottagarna av EU-medel.
19
Begrepp och förkortningar | SOU 2025:112 |
ISF – Internal Security Fund: Fonden för inre säkerhet.
Olaf: Europeiska byrån för bedrägeribekämpning. (På engelska: European Anti-Fraud Office.)
Personuppgiftspolicy för Arachne: Kommissionens information som riktar sig till den vars personuppgifter behandlas.4
Personuppgiftspolicy för Edes: Kommissionens information som riktar sig till den vars personuppgifter behandlas.5
Programperiod: Program med finansiering från EU löper över peri- oder som normalt varar i sju år. Med nuvarande programperiod av- ses 2021–2027. Föregående programperiod avser 2014–2021. Nuva- rande programperiod för EU:s jordbruksutgifter avser 2023–2027 då GJP under föregående period förlängdes med två år.
Revisionsmyndighet: Utses av medlemsstaterna för revision av pro- gram med finansiering från fonder som regleras av CPR. Revisions- myndigheten utför systemrevisioner, insatsrevisioner och räkenskaps- revisioner i syfte att ge kommissionen en oberoende försäkran om att förvaltnings- och kontrollsystemen fungerar effektivt och att utgifterna i de räkenskaper som lämnas till kommissionen är lagliga och korrekta. Uttrycket används också nationellt när det gäller RRF, men i regelverket används ”revisionsorgan”.
RRF – The Recovery and Resilience Facility: EU:s facilitet för återhämtning och resiliens som kanaliserar medel från EU:s kris- återhämtningspaket Next Generation EU (Faciliteten för återhämt- ning och resiliens).
4Protection of your personal data, Processing operation: Risk analysis for fraud prevention and detection in the management of European Structural Funds (ARACHNE), Data Con- troller: DAC, Record reference: DPR-EC-00598. https://employment-social- affairs.ec.europa.eu/policies-and-activities/funding/european-social-fund-plus-esf/what- arachne_en. Hämtat 2025-10-23.
5Protection of your personal data, Processing operation: Privacy Statement for the database of the Early Detection and Exclusion System (EDES), Record reference: DPR-EC-04410. https://commission.europa.eu/system/files/2023-06/Privacy_statement-edes-June-2023.pdf. Hämtat 2025-10-23.
20
SOU 2025:112 | Begrepp och förkortningar |
Sammanhållningspolitiken: Den europeiska sammanhållnings- politiken har som mål att bidra till ekonomisk, social och territo- riell sammanhållning inom unionen. Den motsvaras i EU:s budget av utgiftsområdet Sammanhållning, resiliens och värden. I samman- hållningspolitiken ingår Eruf, ESF+, FRO och Sammanhållnings- fonden.
SEFI-rådet: Rådet för skydd av EU:s finansiella intressen.
Utbetalande organ: Myndighet eller organ som utses av en med- lemsstat för att förvalta och kontrollera utgifter med finansiering från EU:s jordbruksfonder.
VIES – VAT Information Exchange System: Ett system för ut- byte av information om mervärdesskatt och ett sökverktyg som ägs av kommissionen.
21
Sammanfattning
Uppdraget
Utredningen har haft i uppdrag att undersöka de rättsliga förutsätt- ningarna för svenska myndigheter att använda riskbedömningsverk- tyget Arachne och uppfylla kraven enligt den omarbetade budget- förordningen, Europaparlamentets och rådets förordning (EU, Euratom) 2024/2509 av den 23 september 2024 om finansiella re- gler för unionens allmänna budget (omarbetning), bland annat skyl- digheterna inom ramen för systemet för tidig upptäckt och uteslut- ning (Edes), för att motverka felaktiga utbetalningar och bedrägerier i samband med hantering av EU-medel. I uppdraget har ingått att
•kartlägga vilka uppgifter myndigheterna skulle få tillgång till, registrera eller annars utbyta vid en användning av Arachne och inom ramen för Edes, samt vilken tillgång andra aktörer skulle få till uppgifterna,
•kartlägga och bedöma vilka skyldigheter som svenska myndig- heter skulle ha vid en användning av Arachne och inom ramen för Edes,
•utifrån kartläggningen bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna använda Arachne och uppfylla sina skyldigheter inom ramen för Edes,
•bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna uppfylla kraven i den omarbetade bud- getförordningen, särskilt i fråga om rapportering av uppgifter för registrering i Arachne,
•lämna nödvändiga författningsförslag.
23
Sammanfattning | SOU 2025:112 |
Det övergripande syftet med uppdraget är att EU:s finansiella in- tressen ska skyddas. För skyddet av EU:s finansiella intressen är det centralt att motverka felaktiga utbetalningar, bedrägerier, kor- ruption, intressekonflikter, dubbelfinansiering och andra oegent- ligheter. De svenska myndigheter som deltar i genomförandet av EU:s budget behöver ha ändamålsenliga system för att säkerställa tillgång till den information som behövs för att göra riskbedöm- ningar av stödsökande och slutliga stödmottagare, och för att i efter- hand kontrollera dessa.
Centralt för utredningen är innehållet i den omarbetade budget- förordningen. Huvudsakligen ska de delar av budgetförordningen som är relevanta i denna utredning tillämpas på program som antas eller finansieras från och med den 1 januari 2028.
Budgetförordningen medför krav på medlemsstaterna att tillgäng- liggöra uppgifter för kommissionen, samt att i vissa fall offentlig- göra information.
Arachne är ett datautvinnings- och riskvärderingsverktyg som Europeiska kommissionen (härefter kommissionen) har tagit fram för att hjälpa medlemsstaternas myndigheter att kontrollera hur EU- stöd används och förvaltas. Verktyget är i dag frivilligt att använda och detta gäller även enligt den omarbetade budgetförordningen. De som i dag väljer att använda Arachne behöver lämna vissa uppgif- ter för att Arachne ska fungera som avsett. Lämnandet av uppgifter som ska tillföras Arachne är avsett att från med 2028 ske genom det ovan nämnda kravet på tillgängliggörande som budgetförordningen medför.
Edes är ett system som kommissionen har utvecklat och som syf- tar till att göra det lättare att tidigt upptäcka personer eller enheter som är ett hot mot unionens ekonomiska intressen, att utesluta per- soner eller enheter från att ta del av EU-medel och att ålägga eko- nomiska sanktioner mot mottagare av EU-medel som befinner sig i en uteslutningssituation. Systemet har hittills enbart omfattat EU- medel under vissa förvaltningsformer. Det kommer att bli obligato- riskt att använda Edes vid hantering av i princip samtliga EU-stöd när det gäller program som antas eller finansieras från och med den 1 januari 2028. Vid svenska myndigheters användning av Edes kom- mer det att gälla en partiell tillämpning på så sätt att endast vissa av uteslutningsgrunderna gäller.
24
SOU 2025:112 | Sammanfattning |
Utredningen har inte haft i uppdrag att analysera om svenska
myndigheter bör eller inte bör använda de system som EU tillhanda- håller för att skydda EU:s finansiella intressen i de delar ett sådant användande är eller kommer att vara frivilligt. Utredningens upp- drag är begränsat till att undersöka de rättsliga förutsättningarna för svenska myndigheter att använda Arachne och för att uppfylla kraven enligt den omarbetade budgetförordningen, bland annat när det gäller Edes.
Betänkandet innehåller en kartläggningsdel där det huvudsakligen behandlas vilka svenska myndigheter som får vissa skyldigheter eller kan komma att vidta vissa åtgärder på frivillig basis samt vad detta innebär, särskilt när det gäller hanteringen av information av olika slag. Betänkandet innehåller också en del där det analyseras om det behöver vidtas några åtgärder för att svenska myndigheter ska kunna uppfylla dessa skyldigheter eller för att de ska kunna vidta vissa åtgär- der på frivillig väg. Kartläggningen och övervägandena om behov av åtgärder fokuserar på följande moment.
•Lämnande av uppgifter vid ett användande av Arachne (före 2028)
•Tillgängliggörande av obligatoriska uppgifter för kommissionen
•Tillgängliggörande av frivilliga uppgifter för kommissionen
•Offentliggörande av uppgifter på kommissionens webbsida
•Användande av Arachne som verktyg
•Användande av Edes som verktyg.
Utredningens kartläggningsarbete
Fonder som omfattas
Utredningen har till att börja med undersökt vad som gäller för EU- medel som hanteras genom så kallad delad förvaltning, det vill säga gemensamt av kommissionen och Sverige. Betänkandet omfattar i denna del främst bedömningar rörande hanteringen av Europeiska garantifonden för jordbruket, Europeiska jordbruksfonden för lands- bygdsutveckling, Europeiska regionala utvecklingsfonden, Euro- peiska socialfonden+, Europeiska havs-, fiskeri- och vattenbruks- fonden, Asyl-, migrations- och integrationsfonden, Fonden för inre
25
Sammanfattning | SOU 2025:112 |
säkerhet, Fonden för en rättvis omställning samt Instrumentet för ekonomiskt stöd för gränsförvaltning och viseringspolitik.
Utredningen har också i viss utsträckning undersökt vad som gäller för direkt förvaltning tillsammans med medlemsstaterna, en förvaltningsform som för närvarande används endast när det gäller Faciliteten för återhämtning och resiliens (RRF).
Även om förhållandena vid förvaltning av RRF behandlas, läggs i detta betänkande störst fokus på de EU-medel som hanteras genom delad förvaltning. Det regelverk som styr förvaltningen av RRF har i praktiken begränsad tillämplighet i tid genom att reformer och in- vesteringar ska ha genomförts till den 31 augusti 2026 och utbetal- ningar till den 31 december samma år.
Program med finansiering från EU löper över perioder som nor- malt varar i sju år. Med nuvarande programperiod avses 2021–2027. Nuvarande programperiod för EU:s jordbruksutgifter avser dock 2023–2027. Det kan komma att ske förändringar för den program- period som börjar 2028 när det gäller vilka fonder som finns och hur de förvaltas.
Myndigheter som omfattas
Flera svenska myndigheter har roller när det gäller genomförandet av EU:s budget och hanteringen av EU-medel. Myndigheter som han- terar EU-medel genom delad förvaltning i dag är bland annat Statens jordbruksverk (Jordbruksverket), Tillväxtverket, Rådet för Europé- iska socialfonden i Sverige (Svenska ESF-rådet), Migrationsverket, Polismyndigheten och länsstyrelserna. Även till exempel Skogssty- relsen, Sametinget och Havs- och vattenmyndigheten har funktio- ner inom delad förvaltning som är relevanta för detta betänkande.
När det gäller RRF finns det totalt 62 så kallade genomförande- myndigheter. Tio myndigheter har fått ett särskilt ansvar för genom- förandet och rapporterar in resultatinformation till Ekonomistyr- ningsverket (ESV), nämligen Boverket, Myndigheten för digital förvaltning, Myndigheten för yrkeshögskolan, Naturvårdsverket, Post- och telestyrelsen, Skolverket, Socialstyrelsen, Statens energi- myndighet, Trafikverket samt Universitetskanslersämbetet. Utöver dessa tio myndigheter är även samtliga länsstyrelser och 31 lärosäten genomförandemyndigheter.
26
SOU 2025:112 | Sammanfattning |
ESV har en roll som revisionsmyndighet med ansvar att granska hanteringen av de medel som Sverige tar emot inom ramen för delad förvaltning samt att granska genomförandet av den svenska återhämt- ningsplanen inom ramen för RRF.
Ekobrottsmyndigheten ansvarar för samordningen av de natio- nella åtgärderna mot oegentlig och ineffektiv hantering och använd- ning av EU-medel i Sverige.
Även Regeringskansliet har vissa uppgifter relaterade till hanter- ingen av EU-medel. Landsbygds- och infrastrukturdepartementet har rollen som behörig myndighet för jordbruksfonderna och an- svarar bland annat för att ackreditera utbetalande organ och utse attesterande organ. Finansdepartementet är samordnande myndig- het för genomförandet av Sveriges återhämtningsplan inom ramen för RRF.
Den svenska organisationsstrukturen kan komma att förändras i framtiden, bland annat på grund av tillkomsten av nya fonder på EU- nivå. Förändringar i den svenska organisationsstrukturen har också föreslagits av Utredningen om hantering av EU-medel i betänkandet En ny organisation för förvaltning av EU-medel (SOU 2024:22), för- slag som bereds i Regeringskansliet.
Tillgängliggörande av obligatoriska uppgifter
Av budgetförordningen följer från och med 2028 ett krav på svenska myndigheter som deltar i genomförandet av EU:s budget att göra viss information tillgänglig för kommissionen. Avsikten är att denna information ska tillföras Arachne. De uppgifter som ska tillgänglig- göras avser mottagare av stöd, insatsen och mottagarens verkliga huvudmän. Skyldigheten gäller dock bara sådan information som myndigheterna ska registrera och lagra enligt sektorsspecifika regler, vilket innebär att kraven varierar mellan olika sektorer. De uppgif- ter som tillgängliggörs kan komma att få betydande spridning, bland annat genom att användare av Arachne i andra länder får tillgång till dem och genom att uppgifterna också kan komma att offentliggöras på en webbsida.
De myndigheter som omfattas av skyldigheten bedöms vara alla myndigheter som tar emot, förvaltar, övervakar, kontrollerar och
27
Sammanfattning | SOU 2025:112 |
reviderar EU-medel, om de har skyldigheter enligt sektorsspecifika regler att registrera och lagra information av aktuellt slag.
Tillgängliggörande av frivilliga uppgifter
Vid sidan av de uppgifter som måste tillgängliggöras för kommis- sionen möjliggör budgetförordningen ett frivilligt tillgängliggörande av uppgifter. De frivilliga uppgifter som tillgängliggörs kan komma att få betydande spridning, bland annat genom att användare av Arachne i andra länder kan få tillgång till dem. Det finns vissa be- gränsningar rörande vilka uppgifter som kan lämnas på frivillig basis. Det kan vara bra att vissa uppgifter, som inte är rättsligt obligatoriska, ändå tillgängliggörs och tillförs Arachne, då det kan öka värdet av systemet. Utredningen behandlar vilka uppgifter det kan finnas skäl att tillgängliggöra på frivillig basis men konstaterar att det finns ut- maningar när det gäller att identifiera vilka uppgifter det kan vara fråga om.
Offentliggörande av uppgifter
Budgetförordningen innebär en ny skyldighet för svenska myndig- heter som hanterar EU-medel inom ramen för förvaltningsformen direkt förvaltning tillsammans med medlemsstaterna. Skyldigheten gäller att säkerställa ett offentliggörande i efterhand av viss informa- tion på en centraliserad webbplats. Skyldigheten kommer inte att gälla RRF, som hanteras inom ramen för den förvaltningsformen. Det kan dock inte uteslutas att det under kommande programperio- der kommer nya fonder och program som förvaltas på detta sätt. Sverige kommer då att vara skyldigt att uppfylla skyldigheten.
Den information som ska offentliggöras motsvarar vissa av de uppgifter som ska tillgängliggöras för kommissionen. Vidare finns det undantagssituationer då uppgifter inte ska offentliggöras.
28
SOU 2025:112 | Sammanfattning |
Användande av Arachne som verktyg
Utredningen bedömer att följande slags myndigheter kan komma att använda Arachne som verktyg.
•De myndigheter som deltar i genomförandet av budgeten inom ramen för delad förvaltning och därvid har någon roll i tilldel- ning av medel eller kontroll av utbetalda medel.
•De myndigheter som inom ramen för RRF deltar i genomföran- det av budgeten och därvid har någon roll i tilldelning av medel eller kontroll av utbetalda medel, samt de myndigheter som i fram- tiden eventuellt kommer att på det sättet förvalta EU-fonder med en liknande förvaltningsform, det vill säga genom direkt förvalt- ning tillsammans med medlemsstaterna.
•De myndigheter som har i uppgift att i efterhand genomföra granskningar eller revisioner av utbetalade stöd, såsom ESV i egenskap av revisionsmyndighet.
Uppgifterna i Arachne består i dagsläget av både så kallade interna data och externa data. Det interna datainnehållet består av uppgif- ter om program och beviljade stöd från de deltagande medlemssta- terna och uppgifter från kommissionen.
Arachne innehåller också externa data från olika kommersiella databaser, nämligen Orbis och World Compliance. Informationen kan exempelvis avse information om företag och personer. Informa- tionen kan inkludera uppgifter om att personer förekommer på olika listor som andra aktörer har tagit fram med avseende på bland annat politiskt utsatta personer och olika sanktionslistor. Informationen kan även inkludera negativ publicitet om personer och företag.
Arachne genererar automatiskt riskvärderingar rörande stöd som har beviljats. Dessa sparas också i Arachne. Det är också möjligt för en användare att begära att Arachne ska göra en riskvärdering under processen att välja vilka som ska tilldelas EU-medel. Detta sker genom en så kallad förhandsfunktion. Riskvärderingar inom ramen för förhandsfunktionen kan bara göras på begäran av en användare.
Det finns begränsningar när det gäller vilka uppgifter som använ- dare av Arachne får tillgång till. I allmänhet är behörigheten för myn- digheter begränsad till uppgifter om de program de själva hanterar.
29
Sammanfattning | SOU 2025:112 |
Användande av Edes som verktyg
Utredningen bedömer att följande slags myndigheter kan komma att använda Edes som verktyg.
•De myndigheter som deltar i genomförandet av budgeten inom ramen för delad förvaltning och därvid har någon roll i tilldelning av medel eller kontroll av utbetalade medel. För de myndigheter som har en roll i tilldening av medel blir det obligatoriskt att till- lämpa Edes-regelverket och därmed också att använda Edes-data- basen. Vid delad förvaltning är tillämpningen partiell på det sättet att endast vissa uteslutningsgrunder är aktuella.
•De myndigheter som inom ramen för RRF deltar i genomföran- det av budgeten och därvid har någon roll i tilldelning av medel eller kontroll av utbetalda medel – på frivillig basis.
•De myndigheter som eventuellt i framtiden kommer att förvalta EU-fonder genom direkt förvaltning tillsammans med medlems- staterna och därvid har någon roll i tilldelning av medel eller kon- troll av utbetalda medel. För de myndigheter som har en roll i till- delning av medel kommer det att vara obligatoriskt att tillämpa Edes-regelverket och därmed också att använda Edes-databasen. Tillämpningen är partiell på det sättet att endast vissa uteslut- ningsgrunder är aktuella.
•De myndigheter som har i uppgift att i efterhand genomföra granskningar eller revisioner av utbetalade stöd, såsom ESV. För dessa myndigheter är det inte obligatoriskt att tillämpa Edes- regelverket.
I Edes finns det uppgifter om fall som avser tidig upptäckt, uteslut- ning och ekonomiska sanktioner. Där finns uppgifter om företag och om personer, och det kan då handla om namn, kontaktuppgif- ter, identifikationsnummer och födelsedatum. Där finns vidare upp- gifter om grunderna bakom en uteslutning eller en sanktion. Grun- derna kan exempelvis bestå i vissa allvarliga fel i yrkesutövningen eller av brottsligt beteende av vissa slag.
Utredningen gör bedömningen att svenska myndigheters till- gång till uppgifter i Edes kommer att vara begränsad till uppgifter om uteslutning, och alltså inte omfatta uppgifter om tidig upptäckt
30
SOU 2025:112 | Sammanfattning |
och ekonomiska sanktioner. Tillgången kan också komma att vara begränsad till uppgifter om uteslutning på vissa grunder.
Behovet av åtgärder
Utredningen föreslår en ny bestämmelse i offentlighets- och sekretesslagen
Utredningen har bedömt behovet av ny sekretessreglering när det gäller tillgängliggörande av obligatoriska uppgifter, lämnande av uppgifter i situationer där det inte finns någon rättslig skyldighet att lämna uppgifter, offentliggörande av uppgifter samt användande av Arachne respektive Edes som verktyg.
Utredningen har kommit fram till att det inte krävs några författ- ningsändringar på sekretessområdet när det gäller tillgängliggörande av obligatoriska uppgifter. Utredningen gör samma bedömning när det gäller de situationer då svenska myndigheter kan ha anledning att lämna uppgifter utan att det finns en rättslig skyldighet. Inte heller när det gäller kravet på offentliggörande av uppgifter finns det enligt utredningens bedömning något behov av författningsändringar på sekretessområdet.
När det gäller användande av Arachne och Edes som verktyg gör utredningen bedömningen att uppgifter i systemen kan komma att bli allmänna handlingar hos de svenska myndigheter som använder systemen. Det kan vidare beträffande båda systemen inte uteslutas att det finns behov av sekretesskydd för uppgifter som finns i syste- men. Beträffande Edes bedömer utredningen att befintliga sekretess- bestämmelser är tillräckliga och i det avseendet finns det inte något behov av författningsändringar.
Beträffande Arachne gör utredningen bedömningen att gällande sekretessregler i stor utsträckning är tillräckliga. Det är enligt utred- ningens mening ett fullt möjligt alternativ för regeringen att välja att inte gå vidare med något förslag om en ny sekretessbestämmelse. Det kan samtidigt argumenteras för att de oklarheter som finns beträf- fande möjligheterna att sekretessbelägga uppgifter som härrör från riskvärderingar enligt gällande sekretessbestämmelser kan leda till att viktiga allmänna intressen inte får genomslag. Utredningen läm- nar därför ett förslag på hur en sekretessbestämmelse skulle kunna utformas.
31
Sammanfattning | SOU 2025:112 |
Förslaget innebär att sekretess ska gälla för uppgift som härrör från en riskvärdering som har gjorts genom Arachne, om det kan antas att syftet med den förvaltning, övervakning, kontroll och revision som ska ske i enlighet med budgetförordningen motverkas om uppgiften röjs. Den nya bestämmelsen föreslås träda i kraft den 1 januari 2027.
Det krävs inte några författningsändringar på dataskyddsområdet eller ändringar i myndigheternas instruktioner
Utredningen har bedömt behovet av författningsändringar på data- skyddsområdet när det gäller tillgängliggörande av obligatoriska upp- gifter, lämnande av uppgifter i situationer där det inte finns någon rättslig skyldighet att lämna uppgifter, offentliggörande av uppgif- ter samt användande av Arachne respektive Edes som verktyg. Det bedöms inte i något avseende krävas några författningsändringar på dataskyddsområdet. Befintlig dataskyddsreglering ger ett tillräckligt stöd och skydd för den personuppgiftsbehandling som förväntas bli aktuell.
Utredningen har också bedömt behovet av ändringar i myndig- heternas instruktioner och har inte funnit något sådant behov uti- från de frågor som utredningen haft att bedöma.
32
1 Författningsförslag
1.1Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att det i offentlighets- och sekretesslagen (2009:400) ska införas en ny paragraf, 17 kap. 7 d §, och närmast före 17 kap. 7 d § en ny rubrik av följande lydelse.
Nuvarande lydelse | Föreslagen lydelse |
17 kap.
Riskvärderingar vid genom- förande av EU:s budget
7 d §
Sekretess gäller för uppgift som härrör från en riskvärdering som har gjorts genom ett sådant system som avses i artikel 36.2 d i Europa- parlamentets och rådets förordning (EU, Euratom) 2024/2509 av den 23 september 2024 om finansiella regler för unionens allmänna bud- get (omarbetning), om det kan antas att syftet med den förvaltning, övervakning, kontroll och revision som ska ske i enlighet med Europa- parlamentets och rådets förordning (EU, Euratom) 2024/2509 mot- verkas om uppgiften röjs.
33
Författningsförslag | SOU 2025:112 |
Denna lag träder i kraft den 1 januari 2027.
34
2Utredningens uppdrag och arbete
2.1Utredningens uppdrag
Regeringen beslutade den 12 december 2024 att ge en särskild utre- dare i uppdrag att undersöka de rättsliga förutsättningarna för svenska myndigheter att använda riskbedömningsverktyget Arachne och uppfylla kraven enligt den omarbetade budgetförordningen1, bland annat skyldigheterna inom ramen för systemet för tidig upptäckt och uteslutning (Edes), för att motverka felaktiga utbetalningar och bedrägerier i samband med hantering av EU-medel (bilaga 1).
I kommittédirektiven anger regeringen att det är viktigt att de svenska myndigheter som deltar i genomförandet av EU:s budget har ändamålsenliga system för att säkerställa tillgång till den infor- mation som behövs för att göra riskbedömningar av stödsökande och slutliga stödmottagare, och för att i efterhand kontrollera dessa. Bristfälliga kontroller av de stödsökande riskerar att leda till felaktiga utbetalningar av EU-medel.
Enligt regeringen saknar myndigheterna i dagsläget tillräckliga möjligheter att strukturerat och regelmässigt utbyta och samköra uppgifter om utbetalda medel och stödsökande respektive slutliga stödmottagare. Detta medför svårigheter att kontrollera riktigheten i vissa ingivna underlag som ligger till grund för beslut om stöd. Ett förbättrat informationsutbyte mellan myndigheterna kan bidra till att förebygga och motverka otillåten dubbelfinansiering och andra typer av bedrägerier.
1Europaparlamentets och rådets förordning (EU, Euratom) 2024/2509 av den 23 september 2024 om finansiella regler för unionens allmänna budget (omarbetning).
35
Utredningens uppdrag och arbete | SOU 2025:112 |
Utredningens uppdrag beskrivs sammanfattat så att utredaren bland annat ska
•kartlägga vilka uppgifter myndigheterna skulle få tillgång till, regi- strera eller annars utbyta vid en användning av Arachne och inom ramen för Edes, samt vilken tillgång andra aktörer skulle få till uppgifterna,
•kartlägga och bedöma vilka skyldigheter som svenska myndig- heter skulle ha vid en användning av Arachne och inom ramen för Edes,
•utifrån kartläggningen bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna använda Arachne och uppfylla sina skyldigheter inom ramen för Edes,
•lämna nödvändiga författningsförslag.
2.2Utredningens arbetssätt
Fyra möten har ägt rum med utredningens expertgrupp. En anställd vid kommissionen har vid ett av mötena hållit en presentation av Arachne. Därutöver har bilaterala kontakter och kontakter med hela expertgruppen ägt rum.
Utredningen har hållit sig informerad om och beaktat relevant arbete på området som pågår inom Regeringskansliet och EU. Ut- redningen har vid genomförandet av uppdraget samrått med de delar av Regeringskansliet som ansvarar för hantering av EU-medel, samt övriga berörda myndigheter och organisationer.
2.3Betänkandets disposition
Betänkandet är indelat i tolv kapitel. I kapitel 1 finns författnings- förslag. Kapitel 2 behandlar utredningens uppdrag och arbete. I kapi- tel 3 finns en övergripande beskrivning av regleringen och organisa- tionen av förvaltningen och kontrollen av EU-medel. Kapitel 4–6 innehåller kartläggningar som bland annat behandlar vilka myndighe- ter som berörs och vilka slags uppgifter som aktualiseras när det gäller lämnande och offentliggörande av uppgifter (kapitel 4), användande av Arachne som verktyg (kapitel 5) samt användande av Edes som
36
SOU 2025:112 | Utredningens uppdrag och arbete |
verktyg (kapitel 6). I kapitel 7 görs en övergripande beskrivning av vad som gäller beträffande offentlighet, sekretess och dataskydd.
I kapitel 8 behandlas behovet av åtgärder. Kapitel 9 innehåller en sam- lad integritetsanalys. Kapitel 10 behandlar frågor om ikraftträdande och behov av övergångsbestämmelser. Kapitel 11 innehåller en kon- sekvensbeskrivning och kapitel 12 en författningskommentar.
37
3Förvaltning och kontroll av EU-medel
3.1Det är viktigt att motverka felaktig hantering av EU-medel
EU-budgeten samlar resurser på EU-nivå så att det finns nödvän- diga medel för att unionen ska nå sina mål och genomföra sin poli- tik. Budgeten finansieras av medlemsländernas EU-avgift. Den kan genomföras på olika sätt och med olika förvaltningsformer. Ansvaret för att budgetmedlen hanteras på rätt sätt åligger flera olika aktörer. Det pågår arbete med att motverka olika former av oriktigheter
vid utbetalningar av allmänna medel, både på EU-nivå och i Sverige. Det som ska motverkas kan vara felaktiga utbetalningar, dubbel- finansieringar, bedrägerier, korruption och intressekonflikter. Det är viktigt att det finns ändamålsenliga verktyg och system för att motverka sådana oriktigheter. I det arbetet är det centralt att myn- digheter som förvaltar EU-medel har tillgång till relevant och aktu- ell information, bland annat om de juridiska och fysiska personer som är aktuella som mottagare av stöd. Sådan information är avgö- rande för att det ska kunna göras erforderliga kontroller innan stöd betalas ut och för att löpande och efterföljande kontroller, revisio- ner och granskningar ska kunna göras sedan stöd har betalats ut. Det i sin tur förutsätter ett effektivt och ändamålsenligt informations- utbyte mellan olika aktörer. Frågor om utökat informationsutbyte mellan myndigheter i Sverige har varit i fokus under ett antal år och lett till flera lagändringar på senare tid. På EU-nivå finns flera verk- tyg för att få tillgång till information av betydelse vid hantering av EU-medel.
39
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
3.2Tre olika former för förvaltning av EU-medel
Det är Europeiska kommissionen (härefter kommissionen) som genomför EU-budgeten och alla program och fonder omfattas av någon av tre förvaltningsformer: direkt, indirekt eller delad förvalt- ning. Metoderna för genomförande av budgeten framgår av arti- kel 62 i budgetförordningen.
Vid direkt förvaltning förvaltar kommissionen på egen hand en EU-fond eller ett program.
Delad förvaltning innebär att kommissionen behåller det yttersta ansvaret för genomförandet men medlemsstaterna ansvarar för natio- nella förvaltnings- och kontrollsystem.
Indirekt förvaltning är en metod för att genomföra EU-budgeten där kommissionen anförtror genomförandeuppgifter åt till exempel länder utanför EU eller internationella organisationer.
Som medlem i EU tar Sverige del av EU-medel från unionens ge- mensamma budget. Huvuddelen av dessa medel förvaltas enligt prin- cipen om delad förvaltning, alltså gemensamt av kommissionen och svenska myndigheter. Sverige ansvarar för att bygga upp förvaltnings- och kontrollsystem som garanterar en sund ekonomisk förvaltning av EU:s medel.
När kommissionen genomför budgeten inom ramen för delad förvaltning ska uppgifter som har samband med genomförandet dele- geras till medlemsstaterna. När medlemsstaterna utför uppgifter som har samband med genomförandet av budgeten inom ramen för delad förvaltning ska de utse organ som ska ansvara för förvaltningen och kontrollen av unionsmedel. Dessa organ får i sin tur anförtro några av sina uppgifter på andra organ (artikel 63 i budgetförordningen). Det förekommer också att svenska myndigheter hanterar EU- stöd som förvaltas genom direkt förvaltning tillsammans medlems-
staterna.
40
SOU 2025:112 | Förvaltning och kontroll av EU-medel |
3.3Regelverket kring hanteringen av EU-medel
3.3.1EU-lagstiftning
EUF-fördraget
Vikten av att skydda EU:s finansiella intressen, bland annat avseende EU-medel, betonas i flera EU-rättsakter. I fördraget om den Euro- peiska unionens funktionssätt (EUF-fördraget) föreskrivs bland annat att unionen och medlemsstaterna ska bekämpa bedrägerier och all annan olaglig verksamhet som riktar sig mot unionens ekonomiska intressen, att medlemsstaterna ska vidta samma åtgärder för att be- kämpa bedrägerier som riktar sig mot unionens ekonomiska intres- sen som de vidtar för att bekämpa bedrägerier som riktar sig mot deras egna ekonomiska intressen och att medlemsstaterna ska sam- ordna sina åtgärder för att skydda unionens ekonomiska intressen mot bedrägerier. Europaparlamentet och rådet ska i enlighet med det ordinarie lagstiftningsförfarandet besluta om nödvändiga åtgär- der som rör förebyggande av och kamp mot bedrägerier som riktar sig mot unionens ekonomiska intressen för att ge effektivt och lik- värdigt skydd i medlemsstaterna liksom i unionens institutioner, organ och byråer (artikel 325).
Budgetförordningen
Inom EU har det som berörs ovan vidtagits åtgärder för att stärka skyddet av unionens ekonomiska intressen. I bland annat detta syfte har EU:s budgetförordning omarbetats. Den omarbetade budgetför- ordningen ska – till stora delar – tillämpas från och med den 30 sep- tember 2024. Vissa övergångsbestämmelser innebär att delar av för- ordningen ska börja tillämpas senare. Huvudsakligen gäller – i de delar som är relevanta i denna utredning – att den omarbetade budget- förordningen endast tillämpas på program som antas eller finansieras från och med den 1 januari 2028. Förordningen benämns härefter i detta betänkande budgetförordningen eller ibland den omarbetade
41
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
budgetförordningen. I den mån den tidigare gällande budgetförord- ningen1 avses benämns denna den tidigare budgetförordningen.
Budgetförordningen är central för hanteringen av EU:s budget. Den tar bland annat sikte på att förbättra skyddet av budgeten mot oriktigheter, inbegripet bedrägerier, korruption, intressekonflikter och dubbelfinansiering. Det handlar bland annat om åtgärder för att samla in, jämföra och sammanställa information om mottagare och att identifiera de fysiska personer som i slutändan drar nytta av missbruk av EU-medel (se exempelvis skäl 3 och 29 till budgetför- ordningen).
I förordningen finns bland annat bestämmelser om system för att skydda EU:s finansiella intressen, såsom Arachne och Edes, vilka behandlas närmare nedan, om medlemsstaters och myndigheters tillgängliggörande av uppgifter till kommissionen samt om offent- liggörande av uppgifter. Eftersom det är en EU-förordning är den direkt tillämplig.
Budgetförordningen innebär att skärpta krav kan komma att ställas på medlemsländerna. Vilka dessa krav är behandlas mer in- gående i detta betänkande.
Sektorsspecifika bestämmelser
Det finns ett antal sektorsspecifika EU-förordningar som reglerar villkor för särskilda politikområden och EU-fonder. I budgetför- ordningen görs i flera fall hänvisningar till sådana rättsakter. I det följande nämns några centrala sådana förordningar, med fokus på bestämmelser om kontroll och insamling och annan behandling av uppgifter.
1Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finansiella regler för unionens allmänna budget, om ändring av förordningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU)
nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012.
42
SOU 2025:112 | Förvaltning och kontroll av EU-medel |
CPR
En viktig sektorsspecifik reglering är förordningen om gemensamma bestämmelser, den så kallade CPR (Common Provisions Regula- tion)2. Den innehåller gemensamma bestämmelser för ett flertal fon- der, nämligen Europeiska regionala utvecklingsfonden (Eruf), Euro- peiska socialfonden+ (ESF+), Sammanhållningsfonden, Fonden för en rättvis omställning (FRO) samt Europeiska havs-, fiskeri- och vattenbruksfonden (EHFVF). CPR innehåller vidare finansiella regler för nämnda fonder liksom för Asyl-, migrations- och integrations- fonden (Amif), Fonden för inre säkerhet (ISF) samt för Instrumen- tet för ekonomiskt stöd för gränsförvaltning och viseringspolitik (BMVI).
Förordningen innehåller bland annat bestämmelser om förval- tande myndigheters ansvar, till exempel att ha förvaltnings- och kon- trollsystem samt att samla in och publicera uppgifter. Exempelvis föreskrivs i artikel 49.3 att den förvaltande myndigheten ska offent- liggöra en förteckning på en webbplats över de insatser som har valts ut för att få stöd från fonderna. I artikel 69.12 finns skyldigheter för medlemsstaterna att rapportera vissa oriktigheter i systemet för han- tering av oriktigheter, IMS (Irregularity Management System). Arti- kel 74.1 c föreskriver att förvaltande myndigheter ska ha effektiva och proportionerliga förfaranden för bedrägeribekämpning.
Regelverket gäller stödgivning som sker eller har skett med stöd av förordningen under programperioden 2021–2027.
CAP-förordningen
Inom ramen för den gemensamma jordbrukspolitiken (GJP) finns den så kallade CAP-förordningen (Common Agricultural Policy)3. Den tar sikte på bland annat utbetalande organ och ekonomisk för- valtning när det gäller jordbruksfonderna Europeiska garantifonden
2Europaparlamentets och rådets förordning (EU) 2021/1060 av den 24 juni 2021 om faststäl- lande av gemensamma bestämmelser för Europeiska regionala utvecklingsfonden, Europeiska socialfonden+, Sammanhållningsfonden, Fonden för en rättvis omställning och Europeiska havs-, fiskeri- och vattenbruksfonden samt finansiella regler för dessa och för Asyl-, migra- tions- och integrationsfonden, Fonden för inre säkerhet samt instrumentet för ekonomiskt stöd för gränsförvaltning och viseringspolitik.
3Europaparlamentets och rådets förordning (EU) 2021/2116 av den 2 december 2021 om finansiering, förvaltning och övervakning av den gemensamma jordbrukspolitiken och om upphävande av förordning (EU) nr 1306/2013.
43
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
för jordbruket (EGFJ) och Europeiska jordbruksfonden för lands- bygdsutveckling (Ejflu) och innehåller regler om krav på förvalt- nings- och kontrollsystem och skyldigheter att samla in och publi- cera uppgifter. Som exempel kan nämnas att medlemsstaterna ska inrätta effektiva förvaltnings- och kontrollsystem för att säkerställa att unionslagstiftningen om unionens interventioner efterlevs (arti- kel 59.2) och säkerställa att det offentliggörs information om mot- tagare av stöd (artikel 98.1).
Förordningen omfattar programperioden 2021–2027.
RRF-förordningen
Den så kallade RRF-förordningen4 (The Recovery and Resilience Facility, Faciliteten för återhämtning och resiliens) kanaliserar medel från EU:s krisåterhämtningspaket Next Generation EU. Faciliteten genomförs av kommissionen genom direkt förvaltning, men sam- tidigt tillsammans med medlemsstaterna. Förordningen innehåller likt ovan nämnda förordningar bland annat bestämmelser om skydds- mekanismer för EU-medel och om uppgiftslämnande och offentlig- görande. Förordningen har i praktiken begränsad tillämplighet i tid genom att reformer och investeringar ska ha genomförts till den
31 augusti 2026 och utbetalningar till den 31 december samma år. För att medlemsstaterna ska få medel från RRF ska de uppnå mål och delmål som är fastställda och beskrivna i en nationell återhämt- ningsplan. Den svenska regeringen har beslutat om en sådan åter- hämtningsplan. Alla åtgärder i Sveriges återhämtningsplan, och vilka mål och delmål som ska nås för varje åtgärd, finns beskrivna i bilagan till Rådets genomförandebeslut om godkännande av bedömningen av Sveriges återhämtnings- och resiliensplan (COM [2024] 557 final). Det har också slutits ett finansieringsavtal mellan Sverige och kom- missionen som beskriver hur medlen ska disponeras.
Inom ramen för budgetförordningens systematik faller förvalt- ningen av RRF under direkt förvaltning. Det är dock fråga om en särskild form av direkt förvaltning, som i detta betänkande kallas för direkt förvaltning tillsammans med medlemsstaterna.
4Europaparlamentets och rådets förordning (EU) 2021/241 av den 12 februari 2021 om inrättande av faciliteten för återhämtning och resiliens.
44
SOU 2025:112 | Förvaltning och kontroll av EU-medel |
Övergripande om de sektorsspecifika regelverken
Samtliga ovan nämnda förordningar hänvisar till ett datautvinnings- verktyg, med vilket avses Arachne. Samtliga innehåller också hänvis- ningar till reglering om skydd för uppgifter och för den personliga integriteten.
Det bör beaktas att ovan nämnda förordningar avser vad som gäller i nuläget och att det inte står klart vad som kommer att gälla under nästa programperiod, alltså från och med 2028. Ändringar av- seende såväl fonder som EU-förordningar kan förväntas. Det är dock sannolikt att de grundläggande kraven på myndigheter att motverka felaktigheter och möjligheten att använda Arachne kommer att gälla även i den kommande regleringen. Utredningen bedömer det som sannolikt att sådana funktioner snarare kan komma att stärkas i kom- mande reglering.
Nedan i tabell 3.1 redogörs samlat för de EU-fonder och instru- ment som främst är relevanta för denna utredning och vilka sektors- specifika regler som i dag reglerar de olika fonderna och instrumenten.
Tabell 3.1 | Relevanta EU-fonder och instrument med |
|
| tillhörande sektorsspecifika regelverk |
|
|
|
|
EU-fond |
| Sektorsspecifikt |
|
| regelverk |
Europeiska garantifonden för jordbruket (EGFJ) | CAP (2021/2116) | |
Europeiska jordbruksfonden för landsbygdsutveckling (Ejflu) | CAP | |
Europeiska regionala utvecklingsfonden (Eruf) | CPR (2021/1060) | |
Europeiska socialfonden+ (ESF+) | CPR | |
|
| |
Fonden för en rättvis omställning (FRO) | CPR | |
Europeiska havs-, fiskeri- och vattenbruksfonden (EHFVF) | CPR | |
|
| |
Asyl-, migrations- och integrationsfonden (Amif) | CPR | |
Fonden för inre säkerhet (ISF) | CPR | |
Instrumentet för ekonomiskt stöd för gränsförvaltning | CPR | |
och viseringspolitik (BMVI) |
| |
Faciliteten för återhämtning och resiliens | RRF (2021/241) | |
Källa: Egen sammanställning.
45
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
3.3.2Nationell lagstiftning
Ett antal svenska författningar reglerar de närmare förutsättningarna för hanteringen av EU-medel. Några exempel nämns i det följande.
Lagen (1994:1708) om EU:s förordningar om strukturstöd och om stöd till utveckling av landsbygden kompletterar sådana EU-för- ordningar som innehåller bestämmelser om stöd från Eruf, ESF+, FRO och Ejflu (1 § första stycket). Tillsyn och annan kontroll över att de EU-förordningar som lagen kompletterar följs utövas av den eller de myndigheter som regeringen bestämmer (2 § första stycket). Förordningen (2022:1379) om förvaltning av program för vissa
EU-fonder innehåller bestämmelser för programperioden 2021– 2027 om förvaltningen av vissa program (se 1 kap. 1 §). Den inne- håller kompletterande bestämmelser till flera EU-förordningar, däri- bland till den tidigare budgetförordningen och CPR (1 kap. 2 §). Den svenska förordningen pekar ut vilka myndigheter som är för- valtande myndigheter respektive revisionsmyndighet samt anger uppgifter som myndigheterna ska ha, med hänvisning till specifika artiklar i EU-förordningarna.
I förordningen (2022:1826) om EU:s gemensamma jordbruks- politik pekas Statens jordbruksverk (Jordbruksverket) ut som bland annat utbetalande organ enligt CAP-förordningen (1 kap. 11 §).
Förordningen (2022:1461) om stöd från Europeiska havs-, fiskeri- och vattenbruksfonden samt förordningen (2021:846) om förvalt- ning av fonden för inre säkerhet och instrumentet för ekonomiskt stöd för gränsförvaltning och viseringspolitik är ytterligare exempel på svensk reglering som kompletterar EU-lagstiftningen.
Myndigheternas instruktioner innehåller också bestämmelser av betydelse för hanteringen av EU-medel i Sverige. Som exempel kan nämnas 6 § förordningen (2009:145) med instruktion för Tillväxt- verket enligt vilken Tillväxtverket har det övergripande ansvaret för samordning, förvaltning och utveckling av genomförandet av Eruf och FRO i Sverige. Tillväxtverket har också det ansvar och utför de uppgifter som framgår av förordningen om förvaltning av program för vissa EU-fonder.
Det bör noteras att ovan nämnda författningar förväntas ändras eller ersättas av nya, när den nya programperiodens fonder och mål har fastställts.
46
SOU 2025:112 | Förvaltning och kontroll av EU-medel |
3.4Budgetförordningens reglering av intern kontroll samt övergripande om Arachne och Edes
3.4.1Intern kontroll av budgetgenomförandet
Budgetförordningen innehåller bestämmelser om intern kontroll av budgetgenomförandet och dessa finns i artikel 36. Artikeln innehåller 11 punkter och föreskriver bland annat följande. Enligt principen om sund ekonomisk förvaltning ska budgeten genomföras med hjälp av en ändamålsenlig och effektiv intern kontroll som är avpassad för respektive metod för genomförande och i enlighet med relevanta sektorsspecifika regler (artikel 36.1). Intern kontroll ska tillämpas på alla förvaltningsnivåer och vara utformad för att ge rimliga garan- tier för att ett antal uppräknade mål ska uppnås (artikel 36.2). Målen i artikel 36.2 rör i korthet att verksamheter ska präglas av ändamåls- enlighet, effektivitet och sparsamhet, att rapporteringen ska vara till- förlitlig, att tillgångar och information ska skyddas, att oriktigheter ska motarbetas (särskilt om detta mål, se avsnitt 3.4.2) och att det ska finnas fullgod riskhantering med avseende på underliggande trans- aktioners laglighet och korrekthet.
Vidare anges närmare vad en ändamålsenlig intern kontroll i syn- nerhet ska omfatta (artikel 36.3), vad en effektiv intern kontroll ska grundas på (artikel 36.4), vilken information som unionsinstitutioner och unionsorgan och personer eller enheter som genomför budgeten ska göra tillgänglig för kommissionen vid motverkade av oriktigheter (artikel 36.6 – som behandlas särskilt i flera avsnitt nedan) och när- mare om det system som kan användas vid motverkandet av felak- tigheter (artikel 36.7). Det anges också att vissa uppgifter om fakta ska översändas till kommissionen (artikel 36.8 – som behandlas sär- skilt i avsnitt 4.6).
3.4.2Oriktigheter ska motverkas
Ett av de uppräknade målen i artikel 36.2 i budgetförordningen är att oriktigheter såsom bedrägerier, korruption, intressekonflikter och dubbelfinansiering förebyggs, upptäcks, korrigeras och följs upp (härefter förenklat: att oriktigheter ska motverkas). Detta kan enligt bestämmelsen ske genom den frivilliga användningen av ett gemen- samt integrerat och interoperabelt informations- och övervaknings-
47
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
system som tillhandahålls av kommissionen. Systemet inbegriper ett gemensamt datautvinnings- och riskgraderingsverktyg. Det möj- liggör tillgång till och elektronisk automatisk hämtning, registrering, lagring och analys av data om mottagarna av unionsfinansiering, in- begripet deras verkliga huvudmän, i enlighet med sektorsspecifika regler (artikel 36.2 d).
Systemet och verktyget som avses med denna skrivning är Arachne. Liknande skrivningar finns också i sektorsspecifik reglering såsom i CAP-förordningen och i RRF-förordningen. Vad gäller begreppet verkliga huvudmän hänvisas det till definitionen i artikel 3.6 i EU:s penningtvättsdirektiv från 2015.5
En hänvisning till artikel 36.2 d i budgetförordningen kan avse såväl målet att motverka oriktigheter som användandet av Arachne. Det kan noteras att målet att motverka oriktigheter inte är frivilligt, medan användandet av Arachne är frivilligt enligt budgetförordningen.
Budgetförordningen ska tillämpas från och med
den 30 september 2024 (artikel 280) men enligt artikel 277.5 ska den skyldighet som anges i artikel 36.2 d (och 36.6) när det gäller till- gång till uppgifter om mottagarna av medel och deras verkliga huvud- män endast tillämpas på program som antas inom och finansieras genom fleråriga budgetramar efter 2027. Kraven i bestämmelserna gäller således inte för de program som löper nu, utan först från och med 2028.
3.4.3Översiktligt om Arachne
Ett datautvinnings- och riskvärderingsverktyg
Arachne är ett datautvinnings- och riskvärderingsverktyg som kom- missionen har tagit fram för att hjälpa medlemsstaternas myndig- heter att kontrollera hur EU-stöd som hanteras inom ramen för delad förvaltning används och förvaltas. Det introducerades inför program- perioden 2014–2020. Systemet syftar till att bland annat förvaltande myndigheter ska kunna identifiera projekt och kontrakt med hög risk samt identifiera potentiella risker med kopplingar till andra pro-
5Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terro- rism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direk- tiv 2006/70/EG.
48
SOU 2025:112 | Förvaltning och kontroll av EU-medel |
jekt. Verktyget är i dag frivilligt att använda och tillhandahålls avgifts- fritt från kommissionen.
Arachne, som det fungerar i dag, kopplar ihop data om projekt och kontrakt från deltagande medlemsstaters nationella projektdata- baser med två kommersiella databaser, en som samlar in offentligt tillgängliga uppgifter om cirka 400 miljoner aktiva och vilande bolag samt 200 miljoner huvudmän från hela världen och en som bland annat innehåller sanktionslistor och listor över politiskt utsatta perso- ner. Uppgifter från databaserna uppdateras varje kvartal. Med hjälp av dessa uppgifter skapas en automatgenererad riskvärdering utifrån ett hundratal riskparametrar. Parametrarna är indelade i sju katego- rier, nämligen upphandling, avtalsförvaltning, stödberättigande, re- sultat, koncentration, rimlighet samt anseende och bedrägeri. Risk- indikatorerna hjälper myndigheter att identifiera de mest riskfyllda projekten, stödmottagarna, leverantörerna och avtalen. Riskerna poängsätts med ett värde från 1 till 50.
Genom verktyget kan myndigheter få en uppfattning om eventu- ella intressekonflikter och risker för dubbelfinansiering från olika fonder och program. I början av 2022 infördes en funktion i verk- tyget som gör det möjligt att göra riskvärderingar av företag och pro- jekt som ännu inte har fått medel beviljade. Denna funktion kallas i detta betänkande förhandsfunktionen. Det innebär att verktyget också kan användas som ett stöd vid handläggning av projektansökningar.
Arachne tillhandahåller information och varnar för risker men tillhandahåller inte bevis för olika felaktigheter. De riskvärderingar som Arachne producerar är inte tänkta att direkt leda till beslut. Syste- met ger i stället myndigheterna en möjlighet att med utgångspunkt i riskindikationerna från systemet göra en egen värdering av vilka projekt som ska analyseras vidare (se mer i avsnitt 5.2.2).
De riskvärderingar som görs i Arachne kan avse enskilda pro- jekt, kontrakt eller stödmottagare med mera. Arachne kan endast göra en riskvärdering om alla nödvändiga data har tillförts Arachne och alla nödvändiga externa data finns i de externa databaserna.
När det gäller medlemsstaternas och nationella myndigheters förhållande till Arachne kan det finnas skäl att skilja mellan å ena sidan att använda systemet i meningen att bereda sig tillgång till det och utnyttja den information som finns eller kan tas fram därifrån exempelvis vid riskvärderingar och å andra sidan lämnande av upp- gifter till systemet. Det finns också olika behörighetsroller i Arachne,
49
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
där en särskild behörighet är att ha rätt att föra in uppgifter i syste- met. Behörigheter tilldelas av en lokal administratör.
Principer för tillämpningen av Arachne
Utöver artikel 36.2 d i budgetförordningen finns reglering som tar sikte på Arachne i bland annat artikel 36.6 och 36.7. Skäl 29–32 be- handlar också Arachne. Artikel 36.7 är central i fråga om de princi- per som gäller för Arachne. Där anges vad systemet syftar till, vad det får användas för, att åtkomsten ska vara förenlig med bland annat dataskyddsprinciper och att åtkomsten ska begränsas till vissa aktö- rer. Vidare behandlas personuppgiftsansvar och lagringsperioder.
För Arachne finns också en stadga (Arachne, Charter for the in- troduction, the application and the integration of the Arachne risk scoring tool) här benämnd Arachne-stadgan. I detta betänkande an- vänds version 2.4, som är den i skrivande stund senaste tillgängliga versionen av stadgan.6
Stadgan innehåller ett antal principer men också information. De gemensamma principerna i stadgan ska enligt punkt 1 tillämpas av de programmyndigheter och avdelningar vid kommissionen som an- svarar för genomförandet av bland annat CAP och RRF. Det anges också vilka som innefattas i begreppet programmyndigheter. Genom att använda Arachne accepterar programmyndigheterna att följa prin- ciperna i stadgan. När det gäller dataskydd anges bland annat att pro- grammyndigheterna måste följa nationell och EU-rättslig dataskydds- lagstiftning.
Arachne är under utveckling och det kan komma att bli obligatoriskt att använda det
När Arachne introducerades inför programperioden 2014–2020 om- fattade det enbart fonderna under sammanhållningspolitiken. Nu- mera omfattas fler fonder och användningen har vuxit i takt med att fler länder och användare har anslutit sig. I januari 2025 använde samt- liga medlemsstater Arachne för minst en EU-fond, utom Sverige, Danmark, Finland och Tyskland.
6https://employment-social-affairs.ec.europa.eu/policies-and-activities/funding/european- social-fund-plus-esf/what-arachne_en. Hämtat 2025-10-22.
50
SOU 2025:112 | Förvaltning och kontroll av EU-medel |
Systemet har utvecklats under åren och nya funktioner har till- kommit, bland annat för att kunna användas inom ramen för RRF. Det pågår arbete med att utveckla och modernisera Arachne ytter- ligare, och kommissionen har tillsatt en expertgrupp med bland annat deltagare från medlemsstaterna i detta syfte. Expertgruppens arbete kommer att pågå under 2025 och 2026. I planerna för verktyget in- går att uppgifter framöver ska kunna överföras automatiserat. En ny version av verktyget tas fram och avses anpassas till den omarbetade budgetförordningen.
Systemet har hittills varit frivilligt att använda och även enligt bud- getförordningen är verktyget frivilligt att använda (artikel 36.2 d). Kommissionen ska före utgången av 2027 lägga fram en bedömning av hur Arachne fungerar med avseende på flera kriterier (artikel 36.6 tredje stycket). Europaparlamentet, rådet och kommissionen har ge- mensamt uttalat att de ska undersöka och på nytt diskutera den obli- gatoriska användningen av Arachne under den fleråriga budgetramen efter 2027 (se Gemensamt uttalande från Europaparlamentet, rådet och kommissionen om det gemensamma verktyg för datautvinning och riskgradering som föreskrivs i artikel 36 i budgetförordningen i samband med antagandet av förordning 2024/2509 [C/2024/5767]). Det kan alltså inte uteslutas att det blir obligatoriskt för medlems- länderna att använda Arachne i sin handläggning och kontroll av EU-medel i framtiden.
3.4.4Översiktligt om Edes
Systemet för tidig upptäckt och uteslutning (Edes) är ett system som kommissionen inrättade 2016. Det övergripande syftet är att skydda unionens ekonomiska intressen. Systemet har hittills enbart omfattat EU-medel under direkt och indirekt förvaltning. Budgetförordningen innehåller ett antal förändringar i förhållande till tidigare regelverk. Det kommer att bli obligatoriskt att använda Edes vid hantering av samtliga EU-stöd, förutom avseende RRF, när det gäller program som antas eller finansieras från och med den 1 januari 2028 (se arti- kel 144.5 och 277 i budgetförordningen). Det är redan i dag i princip möjligt för svenska myndigheter som deltar i budgetgenomförandet att använda Edes.
51
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
Edes syftar till att göra det lättare att tidigt upptäcka personer eller enheter som är ett hot mot unionens ekonomiska intressen, att utesluta personer eller enheter från att ta del av EU-medel och att ålägga ekonomiska sanktioner mot mottagare av EU-medel som befinner sig i en uteslutningssituation (artikel 137.1 i budgetförord- ningen). I allvarliga fall kan information om uteslutningar och sank- tioner offentliggöras på en webbplats som hanteras av kommissionen.
Grunderna för uteslutning är listade i budgetförordningen och avser bland annat konkurs- och insolvenssituationer, underlåtenhet att betala skatter eller socialförsäkringsavgifter, allvarliga fel i yrkes- utövningen samt slutgiltiga brottmålsdomar rörande vissa brotts- typer, såsom viss ekonomisk brottslighet, terroristbrott och männi- skohandel (artikel 138 i budgetförordningen).
Så kallade behöriga utanordnare har flera roller inom ramen för Edes. Det är exempelvis en behörig utanordnare som beslutar om att någon ska uteslutas från att delta i förfaranden för tilldelning eller från att genomföra unionsmedel7 när det föreligger en uteslut- ningssituation.
Det finns en panel som bland annat har till uppgift att göra preli- minära bedömningar som kan ligga till grund för beslut om uteslut- ning i situationer där det saknas ett slutgiltigt avgörande.
I Edes-databasen samlas bland annat information om uteslutningar. Personer och enheter som genomför budgeten inom ramen för delad förvaltning ska konsultera Edes-databasen innan de tilldelar unions- medel eller väljer ut bidragsmottagare. De ska också verkställa de uteslutningar som har registrerats i databasen, vilket innebär att de ska avslå ansökningar om EU-medel.
Edes kommer att utvecklas för att anpassas till det nya tillämp- ningsområdet.8
7I den svenska versionen av budgetförordningen har uttrycket ”the implementation of Union funds” översatts med ”förvaltningen av unionsmedel” (i olika grammatiska former). På tyska används uttrycket ”Ausführung von Unionsmitteln”. Enligt utredningen framstår det som mer korrekt att på svenska beskriva detta som ”genomförandet av unionsmedel”. Se exempelvis artiklarna 62.1 första stycket c ix och 152.8 samt skäl 51. Utredningen använder därför begreppet
”genomförande” av unionsmedel när det i den engelska versionen handlar om ”implementa- tion” av sådana medel.
8Komm2025/00388-8.
52
SOU 2025:112 | Förvaltning och kontroll av EU-medel |
3.4.5Det kan finnas fördelar med ett användande av Arachne och Edes
Utredningen om hantering av EU-medel har i betänkandet En ny organisation för förvaltning av EU-medel (SOU 2024:22) uttalat sig positivt till ett användande av Arachne och Edes. Utredningen anförde att en anslutning till Arachne kan öka svenska myndighe- ters förmåga att på ett ändamålsenligt, effektivt och rättssäkert sätt upptäcka dubbelfinansiering, intressekonflikter och oegentligheter. Att regeringen utser en nationell administratör och att förvaltande myndigheter ansluter sig till Edes bedömdes vara ett grundläggande och ändamålsenligt krav för att säkerställa att fondmedel inte utbe- talas till uppenbart olämpliga aktörer. Utredningen framförde också att en anslutning till Arachne och Edes medför en rad juridiska fråge- ställningar, som bör analyseras vidare innan en anslutning kan ske (SOU 2024:22, s. 23 och 448–457).
I betänkandet gjordes en omfattande genomgång av organisatio- nen för förvaltning av EU-medel och den genomgången används i stor utsträckning som grund för den kartläggning och de bedöm- ningar som görs i detta betänkande.
3.5Organisationen för förvaltning av EU-medel i Sverige
3.5.1Inledning
I detta avsnitt redogör utredningen översiktligt för organisationen för förvaltning av EU-medel i Sverige och vilka roller som olika myn- digheter har i den organisationen. Det kan här nämnas att föränd- ringar kan förväntas för den programperiod som börjar 2028 och att en ny organisation har föreslagits i betänkandet SOU 2024:22. Det kan också komma nya fonder och instrument som behöver han- teras. Som exempel kan nämnas EU:s sociala klimatfond, som ska inrättas 2026 som en del av det så kallade 55 %-paketet (Fit for 55).9 Utredningen gör inte några överväganden när det gäller vilka fonder och organisationsförändringar som kan vara aktuella framöver, men
9https://regeringen.se/regeringens-politik/miljo-och-klimat/genomforandet-av-eus-sociala- klimatfond/. Hämtat 2025-10-16.
53
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
beaktar dessa förhållanden i möjligaste mån, i syfte att bedömningar och eventuella förslag ska kunna vara relevanta även i framtiden.
3.5.2EU-fonder med delad förvaltning samt RRF
EU-medel med delad förvaltning förmedlas till stödmottagare i med- lemsstaterna genom nationella program för olika EU-fonder eller samarbetsprogram som rör flera medlemsstater. Programmen löper över perioder som normalt varar i sju år. De flesta av de aktuella fond- programmen gäller åren 2021–2027. Det nuvarande programmet med finansiering från de två jordbruksfonderna, den så kallade strategiska planen för den gemensamma jordbrukspolitiken (GJP,) gäller dock för åren 2023–2027.
Särskilt följande EU-fonder med delad förvaltning är aktuella i Sverige under den nuvarande programperioden.
•Europeiska garantifonden för jordbruket (EGFJ)
•Europeiska jordbruksfonden för landsbygdsutveckling (Ejflu)
•Europeiska regionala utvecklingsfonden (Eruf)
•Europeiska socialfonden+ (ESF+)
•Fonden för inre säkerhet (ISF)
•Europeiska havs-, fiskeri- och vattenbruksfonden (EHFVF)
•Asyl-, migrations- och integrationsfonden (Amif)
•Fonden för en rättvis omställning (FRO)
•Instrumentet för ekonomiskt stöd för gränsförvaltning och viseringspolitik (BMVI).
Utöver de ovan nämnda fonderna finns det ytterligare fonder med delad förvaltning, nämligen till att börja med den tillfälliga så kallade Brexitjusteringsreserven (BAR) som inrättades för att kompensera företag och myndigheter i vissa sektorer för negativa effekter av Stor- britanniens utträde ur EU. Den är numera avslutad men kontroller kan utföras under ytterligare cirka fyra år. Även Europeiska fonden för justering för globaliseringseffekter för uppsagda arbetstagare (EGF) kan nämnas. EGF ska stödja sådana socioekonomiska om-
54
SOU 2025:112 | Förvaltning och kontroll av EU-medel |
vandlingar som uppstår till följd av globaliseringen och tekniska och miljömässiga förändringar genom att hjälpa uppsagda arbetstagare och egenföretagare vars verksamhet har upphört att anpassa sig till strukturförändringar. EGF skiljer sig från EU:s struktur- och inve- steringsfonder bland annat på så sätt att de sistnämnda arbetar stra- tegiskt och långsiktigt för att föregripa och hantera de sociala konse- kvenserna av näringslivsförändringar, till exempel genom livslångt lärande. EGF ger däremot ett tidsbegränsat individuellt engångsstöd. EGF ska utgöra en krisfond som fungerar reaktivt. EGF upphör att gälla efter 2027 (se Commission staff working document, A dynamic EU budget for the priorities of the future: the Multiannual Financial Framework 2028-2034, SWD [2025] 570 final/2, s. 34).
Ett antal svenska myndigheter är vidare involverade i hanteringen av EU:s facilitet för återhämtning och resiliens (RRF) som kanali- serar medel från EU:s krisåterhämtningspaket Next Generation EU. RRF förvaltas direkt av kommissionen, men åtgärderna som Sverige söker finansiellt stöd för beslutas inom ramen för den ordinarie svenska budgetprocessen. Det är således fråga om direkt förvaltning tillsammans med medlemsstaterna (se avsnitt 3.3.1).
3.5.3Myndigheter som hanterar EU-medel genom delad förvaltning
Ansvaret för hantering av medel från EU-fonder med delad förvalt- ning är fördelat på ett antal svenska myndigheter. I detta betänkande behandlas särskilt åtta myndigheter som har roller som förvaltande myndigheter eller utbetalande organ under programperioden 2021– 2027. Rollen som benämns utbetalande organ tar sikte på Jordbruks- verket när det gäller CAP-förordningen, se 1 kap. 11 § förordningen om EU:s gemensamma jordbrukspolitik.
De myndigheter som hanterar EU-medel inom ramen för delad förvaltning och som behandlas särskilt här är Jordbruksverket, Till- växtverket, Rådet för Europeiska socialfonden i Sverige (Svenska ESF-rådet), Migrationsverket och Polismyndigheten samt länssty- relserna i Jämtlands, Västerbottens och Norrbottens län (se till ex- empel förordningen om förvaltning av program för vissa EU-fonder).
55
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
Tabell 3.2 Ansvariga myndigheter för vissa fondprogram med delad förvaltning
Fondprogram och myndigheter avser programperioden 2021–2027 och GJP 2023–2027
Finansie- | Förvaltande | Utbetalande | Delegerade | Förmedlande |
ring från | myndighet | organ | organ | organ |
|
|
|
|
|
EGFJ | Jordbruksverket | Jordbruksverket | Länsstyrelserna |
|
Ejflu | Jordbruksverket | Jordbruksverket | Länsstyrelserna |
|
|
|
| Sametinget |
|
|
|
| Skogsstyrelsen |
|
EHFVF | Jordbruksverket |
|
| Fem länsstyrelser |
|
|
|
| Havs- och vatten- |
|
|
|
| myndigheten |
Eruf | Tillväxtverket |
|
|
|
| Länsstyrelserna |
|
|
|
| i Jämtlands, |
|
|
|
| Västerbottens och |
|
|
|
| Norrbottens län |
|
|
|
FRO | Tillväxtverket |
|
|
|
ESF+ | Svenska ESF-rådet |
|
|
|
|
|
|
|
|
Amif | Migrationsverket |
|
|
|
BMVI | Polismyndigheten |
|
|
|
|
|
|
|
|
ISF | Polismyndigheten |
|
|
|
Källa: SOU 2024:22, s. 115 och egen sammanställning.
3.5.4Myndigheter som hanterar medel genom direkt förvaltning tillsammans med medlemsstaterna – RRF
På EU-nivå regleras som nämns ovan EU:s facilitet för återhämtning och resiliens (RRF) genom RRF-förordningen. RRF är ett resultat- baserat instrument där utbetalning av medel sker i efterhand när åt- gärderna har genomförts. Medlemsstater ansöker om medel genom att lämna in betalningsansökningar. Vissa svenska myndigheter läm- nar uppgifter till Ekonomistyrningsverket (ESV) inom ramen för rapportering i enlighet med artikel 22.2 d i RRF-förordningen.
Ett antal svenska myndigheter hanterar och handlägger ärenden avseende medel från RRF. ESV och Ekobrottsmyndigheten har fått i uppdrag att stödja övriga myndigheter vid deras genomförande av Sveriges återhämtningsplan.
Det finns totalt 62 så kallade genomförandemyndigheter. Tio myndigheter har fått ett särskilt ansvar för genomförandet och rap-
56
SOU 2025:112 | Förvaltning och kontroll av EU-medel |
porterar in resultatinformation till ESV. Vilka dessa myndigheter är och vilka åtgärder inom ramen för RRF respektive myndighet ansvarar för framgår av tabell 3.3 nedan. Utöver dessa tio myndigheter är även samtliga länsstyrelser och 31 lärosäten genomförandemyndigheter.
Tabell 3.3 De tio särskilt ansvariga myndigheterna och åtgärder inom ramen för RRF
Myndighet | Åtgärder som myndigheten ansvarar för |
Boverket | Stöd till energieffektivisering av flerbostadshus |
| Investeringsstöd för hyresbostäder och bostäder |
| för studerande |
Myndigheten för digital förvaltning | Förvaltningsgemensam digital infrastruktur |
Myndigheten för yrkeshögskolan | Fler platser inom yrkeshögskolan |
Naturvårdsverket | Klimatklivet |
| Skydd av värdefull natur |
Post- och telestyrelsen | Bredbandsutbyggnad |
Skolverket | Fler platser i regional yrkesinriktad vuxenutbildning |
| (yrkesvux) |
Socialstyrelsen | Äldreomsorgslyftet |
Statens energimyndighet | Industriklivet |
|
|
Trafikverket | Järnvägssatsningar |
Universitetskanslersämbetet | Resurser för att möta efterfrågan på utbildning |
| vid universitet och högskolor |
|
3.5.5Ekonomistyrningsverket är revisionsmyndighet
ESV har enligt sin instruktion bland annat i uppgift att utveckla och förvalta den ekonomiska styrningen av den statliga verksamheten samt utföra revision av Sveriges hantering av EU-medel och främja en effektiv och korrekt hantering av dessa medel (1 § förordningen [2016:1023] med instruktion för Ekonomistyrningsverket). Det kan noteras att ESV och Statskontoret ska slås samman under det gemen- samma namnet Statskontoret. Organisationsförändringen ska träda i kraft den 1 januari 2026. Uppgiften att utföra revision av Sveriges hantering av EU-medel och främja en effektiv och korrekt hanter- ing av dessa kommer då att framgå av 1 § förordningen (2025:681) med instruktion för Statskontoret. Eftersom organisationsföränd-
10https://www.esv.se/statistik-och-data/statistik/mottagare-av-rrf-medel/ansvariga-myndigheter- och-atgarder/. Hämtat 2025-10-28.
57
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
ringen ännu inte har ägt rum använder utredningen i detta betän- kande namnet ESV på myndigheten.
Regeringen har utsett ESV till centraliserad nationell revisions- myndighet i Sverige med ansvaret att granska de EU-medel som Sverige tar emot inom den delade förvaltningen. Det betyder att ESV på regeringens uppdrag ansvarar för att granska att ansvariga myndigheter hanterar medlen i enlighet med EU:s och nationella regelverk, samt att pengarna som de ansvariga myndigheterna beta- lar ut används till rätt saker och på ett effektivt sätt. Det gör myndig- heten genom att granska både hur myndigheterna förvaltar fonderna och att utbetalningar för enskilda projekt och insatser är korrekta.
ESV har även utsetts till revisionsmyndighet och har fått i upp- drag att granska genomförandet av den svenska återhämtningsplanen inom ramen för RRF. Revisionsuppdraget omfattar hela förvaltnings- och kontrollsystemet för genomförandet av RRF i Sverige.
3.5.6Ekobrottsmyndigheten har en samordnande roll
Ekobrottsmyndigheten är en åklagarmyndighet som ansvarar för bekämpning av ekonomisk brottslighet. Myndigheten ska bland annat se till att personer som begår ekonomiska brott blir föremål för brottsutredning och lagföring, arbeta för att begränsa vinsterna av brott och brottslig verksamhet och delta i det myndighetsgemen- samma arbetet mot den grova och organiserade brottsligheten samt mot arbetslivskriminalitet. Myndigheten ska följa och analysera ut- vecklingen och rättstillämpningen när det gäller ekonomisk brotts- lighet och utarbeta förslag till åtgärder och samordna åtgärder mot ekonomisk brottslighet, se 1, 2 och 5 §§ förordningen (2015:744) med instruktion för Ekobrottsmyndigheten.
Ekobrottsmyndigheten ansvarar för samordningen av de natio- nella åtgärderna mot bedrägerier, missbruk och annan oegentlig och ineffektiv hantering och användning av EU-relaterade medel i Sverige (6 § förordningen med instruktion för Ekobrottsmyndigheten).
Ekobrottsmyndigheten ska även vara sambandscentral för bedrä- geribekämpning i frågor som rör Europeiska byrån för bedrägeri- bekämpning (Olaf). Rollen som sambandscentral innebär att myn- digheten ska ta emot anmälningar från Olaf om utredningar i Sverige och därefter hänvisa till behörig myndighet (13 § förordningen med
58
SOU 2025:112 | Förvaltning och kontroll av EU-medel |
instruktion för Ekobrottsmyndigheten). Ekobrottsmyndigheten är vidare behörig myndighet vid Olaf:s kontroller och inspektioner i Sverige om inte någon annan myndighet har utsetts (13 a § förord- ningen med instruktion för Ekobrottsmyndigheten). Myndigheten bistår Olaf i de utredningar som byrån genomför i Sverige.
Rådet för skydd av EU:s finansiella intressen (SEFI-rådet) ansva- rar för att samordna åtgärder i Sverige mot bedrägerier och andra missbruk av EU-relaterade medel. Bland annat ska rådet främja en effektiv och korrekt hantering av EU-medel i Sverige och göra det enklare för berörda myndigheter att samarbeta kring att förebygga, upptäcka, utreda och vidta åtgärder när det finns misstanke om att EU-relaterade medel används på fel sätt. Ekobrottsmyndigheten an- svarar för rådets kanslifunktioner och är ständig ordförande i rådet, se förordningen (2015:745) om rådet för skydd av Europeiska unio- nens finansiella intressen.
3.5.7Departement har roller som behörig och samordnande myndighet
Regeringskansliet har uppgifter relaterade till hanteringen av EU- medel. När det gäller särskilt utpekade roller kan nämnas att Lands- bygds- och infrastrukturdepartementet har rollen som behörig myndighet för jordbruksfonderna och ansvarar bland annat för att ackreditera utbetalande organ och utse attesterande organ. Depar- tementet är direkt utpekat i 1 kap. 9 § förordningen om EU:s gemen- samma jordbrukspolitik som behörig myndighet enligt artikel 8 i CAP-förordningen. Finansdepartementet är samordnande myndig- het för genomförandet av Sveriges återhämtningsplan som finansieras av RRF och har det övergripande ansvaret för att övervaka genom- förandet av planen. Den samordnande myndigheten ansvarar bland annat för att rapportera uppnådda resultat till kommissionen samt bereda Sveriges betalningsansökningar, inklusive den samlade för- valtningsförklaringen. Den samordnande myndigheten ansvarar vidare för att ta fram svar till kommissionen på förfrågningar om in- formation och tillgång till uppgifter om bland annat slutmottagare.
59
Förvaltning och kontroll av EU-medel | SOU 2025:112 |
3.5.8Organisationsstrukturen kan förändras och nya fonder kan tillkomma
Utredningen om hantering av EU-medel har föreslagit ett antal änd- ringar avseende vilka myndigheter som ska förvalta medel från olika fonder (SOU 2024:22). Utredningen har också lämnat förslag om att SEFI-rådets strategiska roll ska stärkas. Förslagen bereds i Reger- ingskansliet.
3.5.9Exempel på hur begreppen fond, program och projekt används
Inom ramen för förvaltningen av EU-medel används flera olika be- grepp, såsom fonder, faciliteter, program, planer och stöd. För att underlätta förståelsen för hur de olika begreppen förhåller sig till varandra lämnas här några exempel.
Europeiska havs-, fiskeri- och vattenbruksfonden (EHFVF) är en fond på EU-nivå som finansierar projekt och investeringar som leder till konkurrenskraftiga företag inom fiske och vattenbruk samt en hållbar förvaltning av haven. Varje land i EU tar fram ett eget pro- gram utifrån de ramar som ges av europeiska havs-, fiskeri- och vatten- bruksförordningen11, som beslutats av kommissionen. I programmet Havs-, fiskeri- och vattenbruksprogrammet 2021–2027 beskriver Sverige vad pengarna ska främja, vilka mål som ska uppnås och vilka stöd som ska finnas. Inom ramen för Havs-, fiskeri- och vattenbruks- programmet 2021–2027 finns flera olika stöd, exempelvis Hållbart fiske och Hållbara vattenbruk. Närmare information finns på Jord- bruksverkets hemsida.12 Det förekommer variationer i hur begreppen används beträffande olika områden.
11Europaparlamentets och rådets förordning (EU) 2021/1139 av den 7 juli 2021 om Euro- peiska havs-, fiskeri- och vattenbruksfonden och om ändring av förordning (EU) 2017/1004.
12https://jordbruksverket.se/stod/eus-politik-for-jordbruk-och-fiske/havs--fiskeri--och- vattenbruksprogrammet. Hämtat 2025-06-25.
60
4Lämnande och offentliggörande av uppgifter
4.1Vissa utgångspunkter
4.1.1Övergripande om lämnande och offentliggörande av uppgifter i dag och från och med 2028
För att oriktigheter med EU-medel ska kunna motverkas behöver det finnas information om de EU-medel som redan har beviljats av myndigheterna i medlemsländerna. Sådan information behöver där- för lämnas av medlemsländerna och det sker också enligt olika regel- verk i dag. För att Arachne ska fungera på ett bra sätt behöver också information om beviljade EU-medel finnas i det systemet. I dag fun- gerar det så att medlemsländerna som använder Arachne för in sådan information i systemet. Att de som väljer att använda Arachne på detta sätt ska lämna uppgifter framgår i dag av Arachne-stadgan (Arachne, Charter for the introduction, the application and the inte- gration of the Arachne risk scoring tool, punkt 11). En användare av Arachne som önskar använda den så kallade förhandsfunktionen i Arachne behöver i dag särskilt lämna vissa uppgifter genom syste- met och detta kommer – såvitt kan bedömas i nuläget – även att gälla efter 2028.
Budgetförordningen innebär en förändring av regleringen när det gäller lämnande av uppgifter om beviljade EU-medel. Från och med 2028 blir det obligatoriskt för medlemsländerna att tillgänglig- göra viss information, se artikel 36.6 och 277 i budgetförordningen. Tanken är att uppgifter som tillgängliggörs enligt denna artikel ska tillföras Arachne. Även i artikel 36.8 – som avser rapportering av orik- tigheter via IMS – behandlas uppgiftslämnande till kommissionen. Det finns en skillnad mellan nödvändiga och valfria uppgifter, både vid den skyldighet att tillgängliggöra uppgifter som gäller från
61
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
och med 2028 och vid det uppgiftslämnande som i dag sker vid ett frivilligt användande av Arachne. När det gäller skyldigheten att till- gängliggöra uppgifter enligt artikel 36.6 använder utredningen ibland begreppen (rättsligt) obligatoriska respektive frivilliga uppgifter. När det gäller det uppgiftslämnande som i dag sker vid användande av Arachne använder utredningen ibland begreppen (funktionellt) nöd- vändiga respektive valfria uppgifter.
Både den omarbetade och den tidigare budgetförordningen inne- håller i artikel 38 bestämmelser om offentliggörande av information. Den omarbetade budgetförordningen innehåller också – till skillnad från den tidigare – en bestämmelse om att medlemsstaterna under vissa förutsättningar ska säkerställa visst offentliggörande i efter- hand (artikel 38.4 tredje stycket i budgetförordningen).
Sammanfattningsvis behandlas i detta betänkande följande fall av lämnande av uppgifter som det kan bli aktuellt för svenska myn- digheter att utföra.
•Lämnande av uppgifter vid ett användande av Arachne:
–Funktionellt nödvändiga uppgifter (vid ett användande före 2028)
–Inte funktionellt nödvändiga uppgifter (vid ett användande före 2028)
–Uppgifter inom ramen för förhandsfunktionen (före och efter 2028)
•Tillgängliggörande av uppgifter enligt artikel 36.6 (efter 2028):
–Rättsligt obligatoriska uppgifter
–Frivilliga uppgifter.
Saken kan också uttryckas så att utredningen behandlar ett enda fall av rättsligt obligatoriskt lämnande av uppgifter, nämligen tillgäng- liggörande av obligatoriska uppgifter enligt artikel 36.6. Beträffande övriga ovan nämnda fall av uppgiftslämnande finns det ingen rättslig skyldighet att lämna uppgifterna. Utredningen gör denna uppdelning när behovet av åtgärder utreds (se avsnitt 8.2 och 8.3).
När det gäller Edes innebär budgetförordningen inte något nytt krav på medlemsländerna att lämna uppgifter (se avsnitt 4.6).
62
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
4.1.2Utredningens uppdrag
Utredningen har bland annat i uppdrag att kartlägga och beskriva vilka uppgifter som ska eller får registreras eller annars utbytas i Arachne och inom ramen för Edes, samt i vilken utsträckning som aktörer utanför den egna myndigheten skulle få tillgång till uppgifterna. När det gäller utbyte av uppgifter finns det skäl att nämna att Arachne inte främst beskrivs som ett verktyg för utbyte av uppgifter. Efter- som Arachne bland annat är ett datautvinningsverktyg kan det ändå bidra till att underlätta för myndigheter att få del av uppgifter som andra har.
Utredningen har också i uppdrag att bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna uppfylla de krav som ställs i budgetförordningen, särskilt i fråga om rappor- tering av uppgifter för registrering i Arachne.
I detta kapitel behandlas lämnande av uppgifter vid en använd- ning av Arachne (avsnitt 4.3), ett nytt krav på tillgängliggörande av uppgifter till kommissionen (avsnitt 4.4), tillgängliggörande av fri- villiga uppgifter till kommissionen (avsnitt 4.5), frågan om Edes med- för några nya krav på lämnande av uppgifter (avsnitt 4.6) samt ett nytt krav på offentliggörande av uppgifter som träffar medlemssta- terna (avsnitt 4.7). I avsnitt 4.8 behandlas frågan om externa aktö- rers tillgång till lämnade uppgifter.
Bedömningar av behov av författningsändringar eller andra åtgär- der med anledning av dessa frågor finns i kapitel 8.
Inledningsvis berörs svenska myndigheters uppgiftslämnande till kommissionen i dag.
4.2Myndigheter lämnar uppgifter till kommissionen i dag
Utredningens uppdrag är att utreda vilket uppgiftslämnande som följer av budgetförordningen samt vid en användning av Arachne och Edes. I det sammanhanget är det också av relevans att översikt- ligt beskriva visst uppgiftslämnande som redan sker.
Sektorsspecifika förordningar som CAP-förordningen, CPR och RRF-förordningen innehåller flera krav på tillgängliggörande eller annat uppgiftslämnande till kommissionen avseende EU-medel. Det gäller bland annat sådana uppgifter som är aktuella i denna utredning.
63
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
Uppgiftslämnande sker på olika sätt, bland annat med användning av befintliga EU-system såsom IMS och rapporteringssystemet SFC. Uppgifter tillgängliggörs också av svenska myndigheter genom offentliggörande på webbsidor, varifrån kommissionen hämtar in uppgifter.
Som exempel kan nämnas att Migrationsverket, Tillväxtverket och andra myndigheter som har att tillämpa CPR-regelverket rap- porterar oriktigheter som de har upptäckt avseende utbetalningar i enlighet med artikel 69 och bilaga XII i CPR, vilket sker genom IMS. Det rör oriktigheter, återkrav eller åtalsanmälningar med belopp som överstiger 10 000 euro (EU-finansierad andel). Rapporteringen sker en gång per kvartal.
När det gäller rapportering av stöd publicerar Migrationsverket en förteckning av insatser i enlighet med artikel 49 i CPR, på sin webbsida och rapporterar in denna till kommissionen. Svenska ESF- rådet lägger upp övergripande information per projekt på en dedi- kerad hemsida (projektbanken), vilken tas in och sammanställs av kommissionen. För överföringar används kommissionens rapporter- ingssystem SFC. Även Tillväxtverket lägger upp information om projekt på sin hemsida. Överföring av uppgifter om beviljade belopp och uppnådda indikatorutfall på aggregerad nivå för hela program sker genom SFC.
Jordbruksverket lämnar uppgifter till kommissionen rörande orik- tigheter via IMS bland annat med tillämpning av förordning (EU) 2024/2051. Verket lämnar också uppgifter till kommissionen om projekt, utbetalningar till stödmottagare och räkenskaper via SFC. När det gäller rapportering av stöd publicerar Jordbruksverket upp- gifter på sin webbplats i enlighet med artikel 98 i CAP-förordningen, och rapporterar in dessa uppgifter till kommissionen.
ESV sänder revisionsrapporter till kommissionen men lämnar uppgifter om slutmottagare till kommissionen och andra EU-insti- tutioner först efter begäran. Vad gäller RRF har ESV dock tagit fram en portal där uppgifter om de 100 största slutmottagarna av RRF- medel laddas upp enligt artikel 25 a i RRF-förordningen.
1Kommissionens delegerade förordning (EU) 2024/205 av den 18 december 2023 om kom- plettering av Europaparlamentets och rådets förordning (EU) 2021/2116 med särskilda be- stämmelser om rapportering av oriktigheter avseende Europeiska garantifonden för jordbruket och Europeiska jordbruksfonden för landsbygdsutveckling och om upphävande av kommis- sionens delegerade förordning (EU) 2015/1971.
64
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
Ekobrottsmyndigheten har inte några skyldigheter att lämna upp- gifter till kommissionen enligt ovan nämnda bestämmelser. Visst uppgiftslämnande sker till Olaf. Ekobrottsmyndigheten är behörig myndighet för att förse Olaf med information och transaktionsregis- ter enligt artikel 7.3 a i förordning (EU, Euratom) nr 883/20132 (se 13 a § [2015:744] förordningen med instruktion för Ekobrottsmyn- digheten).
Det följer också en skyldighet för bland andra medlemsländerna att informera Olaf om sådant som kan ha samband med eventuella fall av bedrägeri, korruption eller annan olaglig verksamhet som rik- tar sig mot unionens ekonomiska intressen (se artikel 8 i förordning [EU, Euratom] nr 883/2013). Det finns också bestämmelser om att medlemsstaterna ska inrapportera alla brottsliga handlingar till Euro- peiska åklagarmyndigheten (Eppo) i fråga om vilka Eppo skulle kunna utöva sin behörighet (se artikel 24 i förordning [EU] 2017/1939).3
Även budgetförordningen innehåller bestämmelser om rappor- tering av uppgifter till kommissionen, liksom den tidigare gällande budgetförordningen.
Svenska myndigheter har således stor vana av att lämna uppgifter avseende EU-stöd.
4.3Lämnande av uppgifter vid användande av Arachne
4.3.1Inledning
Arachne är redan i dag frivilligt för medlemsstaterna att använda. För att kunna använda systemet förutsätts det för närvarande att myndigheterna lämnar uppgifter till kommissionen om beviljade medel. Det handlar delvis om motsvarande uppgiftslämnande som från och med 2028 kommer att regleras genom skyldigheten att till- gängliggöra uppgifter enligt artikel 36.6 i budgetförordningen. För det fall svenska myndigheter avser att använda Arachne innan den skyldigheten träder i kraft kommer de alltså att behöva lämna upp-
2Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 av den 11 september 2013 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1073/1999 och rådets förordning (Euratom) nr 1074/1999.
3Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten.
65
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
gifter genom att ladda upp dem i Arachne. Det kan i denna del vara fråga om följande tre situationer av uppgiftslämnande.
•Funktionellt nödvändiga uppgifter om beviljade medel
•Inte funktionellt nödvändiga uppgifter om beviljade medel
•Uppgifter till grund för en förhandskontroll inför eventuellt beviljande av projekt.
Vilka myndigheter som kan komma att använda Arachne som verk- tyg och därmed få tillgång till uppgifter som finns där behandlas i avsnitt 5.3.
4.3.2Uppgifter om beviljade medel
Uppgifter som ska respektive kan lämnas enligt Arachne-stadgan
För det fall svenska myndigheter önskar använda Arachne före 2028 behöver de lämna vissa uppgifter om medel som redan har beviljats, något som framgår av Arachne-stadgan (punkt 11). Det sker för när- varande genom att data laddas upp genom användande av en så kallad XML-fil. De uppgifter som kan laddas upp motsvaras av olika föran- givna datafält. Vissa uppgiftsslag, som motsvarar datafält, kan sägas vara funktionellt nödvändiga. Med detta avses att de behövs för att Arachne ska kunna fungera som avsett och generera riskvärderingar. Andra uppgiftsslag är inte funktionellt nödvändiga utan valfria.
Enligt Arachne-stadgan finns det totalt 105 möjliga datafält som kan laddas upp till Arachne för respektive program. Som utredningen uppfattar det saknas det möjlighet att lämna information i form av fritext. När medlemsstaterna väljer att använda Arachne är enligt stadgan följande sju datafält gällande projektinformation nödvändiga för att Arachne ska kunna generera riskvärderingar: projekt-id, pro- jektnamn, status, generaldirektorat, projekttyp, mottagare (id och namn) samt projektkostnad.
Detta lämnande av uppgifter om beviljade medel fyller i princip samma syfte som det tillgängliggörande av uppgifter som blir obliga- toriskt enligt artikel 36.6 i budgetförordningen från och med 2028. I huvudsak synes det handla om motsvarande uppgifter som är funk-
66
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
tionellt nödvändiga i dag som kommer att bli obligatoriska uppgif- ter enligt artikel 36.6. Det kan dock finnas vissa avvikelser.
Medlemsstaterna rekommenderas att lämna även uppgifter som kanske inte är funktionellt nödvändiga.
Uppgifter som ska respektive kan lämnas inom ett visst område – ett exempel
Vilka filer som behöver laddas upp kan variera mellan olika fonder. Utredningen utgår här från ett exempel, som avser fonderna ISF, Amif och BMVI. Som referensram för uppgiftsslagen använder ut- redningen den XML-fil som i dag kan användas av medlemsstater för att föra in uppgifter i Arachne.
Inledningsvis behöver filens funktioner beskrivas övergripande. Beroende på bland annat vilka fonder som uppgiftslämnandet avser visar filen olika flikar (som i det följande beskrivs som kategorier). Inom varje kategori finns ett antal fält som kan fyllas i och som mot- svarar ett uppgiftsslag. Färgsättningen visar i vilken utsträckning kate- gorin innehåller nödvändiga delar eller om ett fält är nödvändigt att fylla i. Röda fält är funktionellt nödvändiga. Gröna fält indikerar att de ska fyllas i om man väljer att fylla i uppgifter inom den kategori som fälten tillhör. Andra fält är grå. Dessa fält är inte i någon mening nödvändiga att fylla i utan helt valfria.
I aktuellt exempel finns det funktionellt nödvändiga (röda) fält under följande kategorier.
•Allmän information (med nödvändiga fält för källa, datum, för- fattare, program/plan-id, myndighet, valuta och medlemsstat)
•Projektinformation (med nödvändiga fält för projekt-id, projekt- namn, status, generaldirektorat, projekttyp, mottagare och pro- jektkostnad, härutöver valfria fält, se mer nedan)
•Information om enheter – som här tar sikte på mottagare (med nödvändiga fält för enhetens id, namn och land, härutöver fri- villiga fält, se mer nedan).
Som framgår av punktuppställningen finns det valfria fält inom ovan nämnda kategorier. När det gäller projektinformation kan nämnas till exempel närmare uppgifter om mottagaren såsom om koncern-
67
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
tillhörighet, omsättning och antal anställda. Såvitt gäller information om enheter kan nämnas momsregistreringsnummer, adressuppgifter och omsättning.
Utöver vad som finns under de nödvändiga kategorierna finns det ett stort antal fält inom ytterligare – valfria – kategorier. Kate- gorierna är i aktuellt exempel följande.
•Kontrakt (Contracts)
•Underleverantörer (SubContracts)
•Utgifter/kostnader (Expenses)
•Verklig huvudman (Beneficial Owner)
•Anknutna personer (Related People)
•Projektpartners (Project-Partners)
•Medlemmar i konsortiet (Consortium Members)
•Tjänsteleverantörer (Service Providers)
•Nyckelexperter (Key Experts).
Fälten som finns inom dessa kategorier avser närmare uppgifter, såsom id-uppgifter, belopp, för- och efternamn, födelsedatum och funktion.
4.3.3Lämnande av uppgifter vid användning av Arachnes förhandsfunktion
Arachne innehåller en så kallad förhandsfunktion (the ex-ante func- tionality), som ger användare möjlighet att – under processen med att välja vilka som ska tilldelas EU-medel – göra en värdering av vilka risker det skulle innebära om en viss enhet skulle tilldelas EU-medel (se vidare avsnitt 5.2.1).
Inom ramen för förhandsfunktionen laddar användaren upp viss information till Arachne. Detta kan göras antingen genom att använ- dare skapar en så kallad XML-fil eller genom att använda en särskild funktion för redigering av data (Dataset editor). När informationen har laddats upp gör Arachne en riskvärdering utifrån underlaget över natten.
68
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
Det finns inte någon skyldighet för svenska myndigheter att an- vända Arachne och det är givetvis även frivilligt att använda förhands- funktionen. Om myndigheterna väljer att använda funktionen är det dock – som Arachne är utformat i dag – vissa uppgifter som är nöd- vändiga att ladda upp för att Arachne ska kunna göra en riskvärder- ing inom ramen för förhandsfunktionen. Användare har därutöver möjlighet att ange ytterligare uppgifter.
För att kunna använda förhandsfunktionen behöver användare till att börja med lämna viss allmän information. Det finns funktio- nellt nödvändiga fält för källa, datum, författare, program/plan-id, myndighet, valuta och medlemsstat.
Vidare finns det funktionellt nödvändiga fält för viss projektin- formation med nödvändiga fält för projekt-id, projektnamn och mot- tagare. Det kan också lämnas ytterligare icke nödvändig projektinfor- mation om startdatum och slutdatum samt projektkostnad.
Det finns också funktionellt nödvändiga fält för information om enheter (som här tar sikte på mottagare) med nödvändiga fält för en- hetens id, namn, land och verklig huvudman. Det kan också lämnas ytterligare icke nödvändig information om enheterna.
Utöver de funktionellt nödvändiga uppgiftskategorierna kan
ytterligare uppgifter lämnas inom (bland annat) följande – valfria – kategorier.
•Kontrakt (Contracts)
•Anknutna personer (Related People)
•Projektpartners (Project-Partners)
•Medlemmar i konsortiet (Consortium Members)
•Nyckelexperter (Key Experts).
Fälten som finns inom dessa kategorier avser närmare uppgifter om kategorierna, såsom id-uppgifter, belopp, för- och efternamn, födel- sedatum och funktion.
Utredningen konstaterar att de uppgifter som ska och kan lämnas inom ramen för förhandsfunktionen delvis motsvarar de uppgifter om beviljade medel som de myndigheter som använder Arachne
i dag ska och kan tillföra systemet.
69
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
4.4Ett nytt krav på tillgängliggörande av uppgifter från och med 2028
4.4.1Om artikel 36.6 i budgetförordningen
Från och med 2028 blir det obligatoriskt för medlemsländerna att tillgängliggöra vissa uppgifter för kommissionen, vilka är avsedda att användas i Arachne, även om det alltjämt kommer att vara fri- villigt att använda Arachne. Detta framgår av artikel 36.6 i budget- förordningen, som innehåller skyldigheter för ett antal aktörer att göra viss information tillgänglig för kommissionen, i ett särskilt for- mat. Bestämmelsen inleds med en hänvisning till målet i artikel 36.2 d att förebygga, upptäcka, korrigera och följa upp oriktigheter och dubbelfinansiering.
Enligt bestämmelsens första stycke ska unionsinstitutioner och unionsorgan och personer eller enheter som genomför budgeten en- ligt artikel 62.1 göra viss information tillgänglig för kommissionen elektroniskt i ett interoperabelt och maskinläsbart format. I punk- ten räknas uppgifter upp som gäller mottagaren (artikel 36.6 första stycket a), insatsen (artikel 36.6 första stycket b) och mottagarens verkliga huvudman (artikel 36.6 första stycket c).
Enligt artikel 36.6 andra stycket ska medlemsstaterna ge kommis- sionen tillgång till den information som anges i första stycket endast om de är skyldiga att registrera och lagra sådan information i enlig- het med sektorsspecifika regler. Om en sådan skyldighet inte ingår i de sektorsspecifika reglerna får medlemsstaterna på frivillig basis ge kommissionen tillgång till den information som de förfogar över som avses i första stycket.
Enligt övergångsbestämmelsen i artikel 277.5 ska den skyldighet som anges i artikel (36.2 d och) 36.6 när det gäller tillgång till upp- gifter om mottagarna av medel och deras verkliga huvudmän endast tillämpas på program som antas inom och finansieras genom flerår- iga budgetramar efter 2027. Det kan noteras att uppgift om insatsen inte nämns i övergångsbestämmelsen. En anledning till detta är sanno- likt att det redan finns skyldigheter att lämna uppgifter om insatsen. Skyldigheterna enligt nämnda artiklar bedöms av utredningen in- träda vid samma tidpunkt beträffande samtliga slags uppgifter.
Övriga delar av artikel 36.6 handlar bland annat om att kommis- sionen ska göra en utvärdering av Arachne och att användningen av Arachne är frivillig.
70
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
4.4.2Vilka svenska myndigheter omfattas av skyldigheten?
Vilka riktar sig skyldigheten till?
Skyldigheten i artikel 36.6 första stycket i budgetförordningen att göra uppgifter tillgängliga för kommissionen riktar sig till ”unions- institutioner och unionsorgan och personer eller enheter som genom- för budgeten enligt artikel 62.1”. Med budgetgenomförande avses utförande av verksamheter som rör förvaltning, övervakning, kon- troll och revision av budgetanslag i enlighet med de metoder som föreskrivs i artikel 62 (artikel 2.7).
Artikel 62.1 anger metoder för genomförande av budgeten, såsom genom direkt förvaltning som sker genom kommissionens egna av- delningar eller via utsedda genomförandeorgan (artikel 62.1 första stycket a), delad förvaltning som sker med medlemsstaterna (arti- kel 62.1 första stycket b) eller indirekt förvaltning där genomförande- uppgifter anförtros åt till exempel tredjeländer, internationella orga- nisationer eller offentligrättsliga organ (artikel 62.1 första stycket c).
Skyldigheten i artikel 36.6 första stycket avser flera aktörer och omfattar medlemsstater. Artikel 36.6 andra stycket, som begränsar skyldigheten enligt första stycket, riktar sig enbart till medlemssta- ter. Hänvisningen till medlemsstaterna får antas gälla även medlems- staternas myndigheter. Vad gäller de situationer som bestämmelsen omfattar framgår att det gäller när medlemsstaterna ”tar emot och genomför budgeten enligt artikel 62.1”.
Enligt utredningens mening bör utgångspunkten vara att samt- liga enheter som har någon roll i att avgöra vem som ska ta emot stöd eller i att i efterhand vidta kontroller av utbetalade stöd anses delta i budgetgenomförandet.
Då det hänvisas till artikel 62.1 i både första och andra stycket av artikel 36.6 omfattas alla förvaltningsformer, och därmed för svenskt vidkommande såväl delad förvaltning som direkt förvalt- ning tillsammans med medlemsstaterna.
Vilka svenska myndigheter omfattas?
Kretsen av myndigheter som omfattas av skyldigheten att tillgäng- liggöra uppgifter kan utifrån ovan förda resonemang bedömas vara relativt stor. Det behöver dock beaktas att medlemsländernas och
71
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
de nationella myndigheternas skyldigheter är begränsade till fall då skyldigheter följer av sektorsspecifika regler, och bara om det finns en skyldighet att registrera och lagra sådan information enligt sektors- specifika regler (artikel 36.6 andra stycket). Detta innebär att inte alla som genomför budgeten omfattas av skyldigheten i artikel 36.6. En fråga är om kretsen svenska myndigheter kan avgränsas på något tydligt sätt. Enligt utredningens mening kan de myndigheter som omfattas av skyldigheten beskrivas som sådana myndigheter som tar emot, förvaltar, övervakar, kontrollerar och reviderar EU-medel,
om de har skyldigheter enligt sektorsspecifika regler att registrera och lagra sådan information som avses i artikel 36.6 i budgetförord- ningen. Beskrivningen träffar utbetalande organ och förvaltande myn- digheter enligt dagens sektorsspecifika regelverk, i dag därmed bland annat Jordbruksverket, Migrationsverket, Polismyndigheten, Svenska ESF-rådet samt Tillväxtverket och länsstyrelserna i Jämtlands, Väster- bottens och Norrbottens län.
När det gäller RRF-regelverket ska reformer och investeringar ha genomförts till den 31 augusti 2026 och utbetalningar till den 31 de- cember samma år. Då skyldigheterna enligt artikel 36.6 inträder först beträffande program som antas inom och finansieras genom fleråriga budgetramar efter 2027 (artikel 277), omfattas inte enligt utred- ningens uppfattning myndigheter enligt RRF av skyldigheten att tillgängliggöra uppgifter för kommissionen. Det kan dock komma nya program inom ramen för förvaltningsformen direkt förvaltning tillsammans med medlemsstaterna, som kan medföra att andra myn- digheter blir skyldiga att tillgängliggöra information.
Som exempel på myndigheter som har roller när det gäller delad förvaltning men som inte bedöms få en skyldighet att tillgängliggöra uppgifter enligt artikel 36.6 enligt gällande reglering kan nämnas ESV och Ekobrottsmyndigheten. ESV har i uppgift att övervaka och ut- öva revision men omfattas inte av någon skyldighet enligt sektors- specifika regler att lagra och registrera sådana uppgifter som nu är aktuella. Ekobrottsmyndighetens uppgifter medför inte heller några sådana skyldigheter.
Beträffande sådana uppgifter som inte är rättsligt obligatoriska att tillgängliggöra enligt artikel 36.6, kan det finnas möjlighet att tillgäng- liggöra uppgifter. Frågor om detta behandlas i avsnitt 4.5 nedan. För rättsliga frågor avseende frivilligt uppgiftslämnande, se avsnitt 8.3.
72
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
Slutsatser om vilka myndigheter som kommer att vara skyldiga att tillgängliggöra uppgifter
Utredningen anser alltså att myndigheter som omfattas av skyldighe- ten att tillgängliggöra uppgifter enligt artikel 36.6 kan sammanfattas som myndigheter som tar emot, förvaltar, övervakar, kontrollerar och reviderar EU-medel, om de har skyldigheter enligt sektorsspeci- fika regler att registrera och lagra sådan information som avses i arti- kel 36.6 i budgetförordningen.
4.4.3Vilka uppgifter omfattas av skyldigheten?
Kort om vilka kategorier av uppgifter som skyldigheten gäller
Skyldigheten enligt artikel 36.6 i budgetförordningen är konstru- erad på det sättet att det delvis hänvisas till artikel 38 när det gäller att fastställa vilka uppgifter som ska göras tillgängliga. Artikel 38 gäller enligt sin rubrik offentliggörande av information om mot- tagare samt annan information och den tar huvudsakligen sikte på vad kommissionen ska göra.
Till att börja med gäller skyldigheten enligt artikel 36.6 första stycket vissa uppgifter om mottagaren, nämligen all information som förtecknas i artikel 38.2 a, b och c och 38.6 andra stycket och, om det rör sig om en fysisk person, även födelsedatum (artikel 36.6 första stycket a).
Vidare gäller skyldigheten vissa uppgifter om insatsen, nämligen all information som förtecknas i artikel 38.2 d och e samt insatsens unika identifieringskod (artikel 36.6 första stycket b).
Därutöver gäller skyldigheten uppgifter som inte nämns i arti- kel 38, nämligen om mottagarens verkliga huvudmän när mottagaren inte är en fysisk person: förnamn, efternamn, födelsedatum och regi- streringsnummer för mervärdesskatt eller skatteregistreringsnummer om sådana finns, eller en annan unik identifieringskod på landsnivå.
I det följande redogörs för nu relevanta delar av artikel 38.
73
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
Uppgifter om mottagare och åtgärden – artikel 38.2 och 38.6 andra stycket
Artikel 38 i budgetförordningen är uppbyggd så att information som kommissionen ska offentliggöra räknas upp i artikel 38.2. Informa- tionen ska enligt den bestämmelsen offentliggöras i ett öppet, inter- operabelt och maskinläsbart format som gör det möjligt att sortera, göra sökningar, hämta, jämföra och återanvända uppgifter, med veder- börlig hänsyn till kraven på konfidentialitet och säkerhet, i synner- het skyddet av personuppgifter.
Informationen avser:
•Om mottagaren är en fysisk eller juridisk person (artikel 38.2 a)
•Mottagarens fullständiga juridiska namn för juridiska personer och deras registreringsnummer för mervärdesskatt eller skatte- registreringsnummer om sådana finns tillgängliga eller en annan unik identifieringskod fastställd på landsnivå, mottagarens för- och efternamn för fysiska personer (artikel 38.2 b)
•Var mottagaren finns, det vill säga
–mottagarens adress, om mottagaren är en juridisk person,
–regionen på Nuts 2-nivå4, om mottagaren är en fysisk person med hemvist i unionen, eller landet, om mottagaren är en fysisk person och inte har hemvist i unionen (artikel 38.2 c)
•Det belopp för vilket ett åtagande gjorts och, om det rör sig om ett åtagande med flera mottagare, fördelningen av detta belopp per mottagare, om den finns tillgänglig (artikel 38.2 d)
•Åtgärdens art och ändamål (artikel 38.2 e).
När det gäller mottagare hänvisar artikel 36.6 till artikel 38.6 andra stycket. Där anges att uppgifterna även ska omfatta fysiska perso- ners registreringsnummer för mervärdesskatt eller skatteregistrer- ingsnummer, om sådana finns tillgängliga, eller en annan unik identi- fikationskod som fastställts på nationell nivå i syfte att förbättra kvaliteten på de uppgifter som överförs utan att de används för offent- liggörande. För mer om artikel 38.6, se under nästa rubrik.
4Nuts är den regionala indelning som används inom EU för statistikredovisning. I Sverige utgörs Nuts-2 av åtta riksområden.
74
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
Kommissionen ska använda uppgifter som finns i Arachne samt offentliggöra uppgifter om unik identifikationskod – artikel 38.6
Då uppgifter som ska tillgängliggöras enligt artikel 36.6 är avsedda att föras in i Arachne finns det här skäl att ta upp att även artikel 38 har koppling till Arachne. Första stycket i artikel 38.6 lyder: ”Vid tillämpning av punkt 1 första och andra styckena i denna artikel och utan att det påverkar tillämpningen av punkterna 3 och 4 i denna arti- kel och sektorsspecifika regler, ska kommissionen använda de rele- vanta uppgifter som lagras i det system som avses i artikel 36.2 d för att föra in på den centraliserade webbplats som avses i punkt 1 i den här artikeln de uppgifter som avses i punkt 2 i den här artikeln.” Utredningen förstår det så att när kommissionen offentliggör upp- gifter på den centraliserade webbplatsen ska kommissionen använda de uppgifter som redan finns i Arachne.
Som nämns under föregående rubrik ska enligt artikel 38.6 andra stycket uppgifterna dessutom även omfatta fysiska personers regi- streringsnummer för mervärdesskatt eller skatteregistreringsnum- mer, om sådana finns tillgängliga, eller en annan unik identifikations- kod som fastställts på nationell nivå i syfte att förbättra kvaliteten på de uppgifter som överförs utan att de används för offentliggörande. Utredningen förstår detta så att om det finns information om regi- streringsnummer eller dylikt i Arachne, ska kommissionen använda den informationen i utförandet av sin uppgift, men den ska inte offentliggöras på webbplatsen.
Det kan nämnas att även vad gäller denna bestämmelse finns över- gångsbestämmelser. Enligt artikel 277.6 ska (artikel 38.4 tredje stycket och) artikel 38.6 endast tillämpas på program som antas inom ramen för och finansieras genom fleråriga budgetramar efter 2027.
Undantag från offentliggörande – artikel 38.3
Artikel 38.3 första stycket anger situationer där informationen inte ska offentliggöras, och inte heller lämnas in för offentliggörande i enlighet med artikel 38.6. Det handlar något förenklat om
a)utbildningsstöd till fysiska personer och andra direktstöd som betalas ut till fysiska personer som är mest behövande,
75
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
b)kontrakt till mycket lågt värde som tilldelats utvalda experter samt kontrakt till mycket lågt värde underskridande det belopp som avses i punkt 14.4 i bilaga I till budgetförordningen,
c)ekonomiskt stöd som tillhandahålls genom finansieringsinstru- ment eller budgetgarantier till ett belopp som understiger
500 000 euro,
d)situationer då ett offentliggörande innebär en risk för berörda personers eller enheters fri- och rättigheter enligt Europeiska unionens stadga om de grundläggande rättigheterna eller kan skada mottagarnas affärsintressen,
e)situationer då det inte krävs för offentliggörande i sektorsspeci- fika regler om budgeten genomförs genom delad förvaltning.
När det gäller fysiska personer ska utlämnandet av den information som avses i artikel 38.2 baseras på relevanta kriterier såsom åtgär- dens frekvens eller typ och de berörda beloppen (artikel 38.3 tredje stycket).
En särskild fråga är om de undantag som gäller för offentlig- görande enligt artikel 38.3 också får betydelse vid en tolkning av skyldigheten i artikel 36.6 andra stycket. Frågan här är alltså om skyldigheten att göra uppgifter tillgängliga för kommissionen är förenad med motsvarande undantag som följer av artikel 38.3. Ut- redningen tolkar det så att skyldigheten att göra uppgifter tillgäng- liga för kommissionen kan omfatta fler uppgifter än de som kom- missionen ska offentliggöra. Hänvisningsmetoden i artikel 36.6 är konstruerad så att skyldigheten att göra uppgifter tillgängliga avser ”information som förtecknas” i vissa punkter i artikel 38.2. I själva punkterna framgår det inte att undantagen enligt artikel 38.3 är tillämpliga. Vidare framstår det som rimligt att det kan finnas skäl att inom ramen för Arachne ha tillgång till mer information än vad som bör offentliggöras och därmed blir mer lättillgänglig, exempel- vis på grund av dataskyddsregleringen. Utredningens slutsats är att undantagen i artikel 38.3 inte påverkar artikel 36.6 andra stycket.
76
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
4.4.4Skyldigheten gäller bara när det finns sektorsspecifika regler
Inledning
Artikel 36.6 andra stycket i budgetförordningen medför en begräns- ning av vilka uppgifter som behöver tillgängliggöras. Där framgår att medlemsstaterna ska ge kommissionen tillgång till den informa- tion som anges i första stycket endast om de är skyldiga att registrera och lagra sådan information i enlighet med sektorsspecifika regler. Svenska myndigheter behöver således bara lämna uppgifter om en skyldighet finns enligt annan reglering att lagra och registrera sådan information.
Kraven varierar beroende på sektorsspecifik reglering
Medlemsstaterna, och därmed de nationella myndigheterna, är i flera avseenden skyldiga att registrera och lagra sådan information som avses i artikel 36.6 enligt sektorsspecifika regler. Sådana sektors- specifika regler finns i dag i CPR, som gäller för Eruf, ESF+, FRO, EHFVF, Amif, ISF och BMVI, samt i CAP-förordningen. Av dessa rättsakter följer skyldigheter att registrera och lagra uppgifter på det sätt som framgår i tabell 4.1. I de delar det finns sådana skyldig- heter i de sektorsspecifika reglerna finns det också en skyldighet för myndigheterna att göra sådana uppgifter tillgängliga för kommissio- nen enligt artikel 36.6 i budgetförordningen.
Kraven varierar beroende på sektorsspecifik reglering. När det gäller jordbruksfonderna finns det i CAP exempelvis inte några krav på att lagra och registrera uppgifter om verklig huvudman.
Det bör noteras att de sektorsspecifika reglerna som nu nämns gäller för nuvarande programperiod. Vad som kommer att gälla för kommande programperiod, och därmed från och med den tidpunkt då skyldigheten att tillgängliggöra information för kommissionen en- ligt budgetförordningen börjar gälla, är inte känt. Nu gällande regler- ing får därmed betraktas som en referensram.
Utredningen utvecklar i det följande närmare vad som gäller en- ligt CPR. Enligt artikel 72.1 e i CPR ska förvaltande myndigheter bland annat elektroniskt registrera och lagra de uppgifter om varje insats som behövs för övervakning, utvärdering, ekonomisk för-
77
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
valtning, kontroller och revisioner i enlighet med bilaga XVII samt säkerställa uppgifternas säkerhet, integritet och konfidentialitet och autentisering av användare. Bilaga XVII har två kolumner. I vänster- kolumnen anges typen av uppgift, även kallat datafält. I högerkolum- nen anges fonder för vilka uppgifterna i fråga inte krävs. Om en fond inte anges i högerkolumnen är alltså uppgiften obligatorisk för den fonden. Bilagan innehåller 142 olika datafält, alltså typer av uppgif- ter. Uppgifterna är angivna i olika kategorier. Datafält 1–8 avser upp- gifter om stödmottagaren. Bland annat ska uppgift om namn och identifieringskod för varje stödmottagare, uppgift om huruvida stöd- mottagaren är ett offentligrättsligt eller privaträttsligt organ, juri- disk person eller fysisk person anges för samtliga fonder. Vissa data- fält avser uppgifter om insatsen, exempelvis namn på insatsen och dess identifieringskod samt en kort beskrivning av insatsen.
78
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
Tabell 4.1 Krav på lagring i nu gällande sektorsspecifik reglering i förhållande till kraven på tillgängliggörande i budgetförordningen
Med angivande av artiklar i budgetförordningen, CPR och CAP
Uppgift |
| BF | CPR |
| CAP | ||
Om mottagaren |
|
|
|
|
|
|
|
Om mottagaren är en fysisk eller |
|
|
|
| 98.2 |
| |
juridisk person |
| 36.6.a + | 72.1 e, | + |
| ||
|
| 38.2 a | Bil.XVII rad 2 |
| 49.3 a–b CPR | ||
Mottagarens namn och, för juridisk |
| 36.6.a |
|
|
|
|
|
person, unik identifieringskod |
| + |
| 72.1 e, |
| 98.2 |
|
|
| 38.2 b och |
| Bil.XVII rad 1–2 |
| + |
|
|
| 38.6 2 st |
| 49.3 a–b |
| 49.3 a–b CPR |
|
Födelsedatum för fysisk person |
|
|
| 72.1 e, |
|
|
|
|
| 36.6.a | Bil.XVII rad 2 |
|
|
| |
Var mottagaren finns, det vill säga i) mot- |
|
|
|
|
|
|
|
tagarens adress, om mottagaren är en juri- |
|
|
|
|
|
|
|
disk person, ii) regionen på Nuts 2-nivå, |
|
|
| 72.1 e, |
|
|
|
om mottagaren är en fysisk person med |
|
|
|
|
|
| |
| 36.6.a |
| Bil.XVII rad 7 |
|
|
| |
hemvist i unionen, eller landet, om mot- |
|
|
|
|
| ||
tagaren är en fysisk person och inte har |
| + |
| + |
|
|
|
hemvist i unionen |
| 38.2 c |
| 49.3 m |
|
|
|
Om åtgärden |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Det belopp för vilket ett åtagande gjorts och, |
|
|
| 72.1 e, |
|
|
|
om det rör sig om ett åtagande med flera |
| 36.6 b |
| Bil.XVII rad 56–58 |
| 98.2 |
|
mottagare, fördelningen av detta belopp |
| + |
| + |
| + |
|
per mottagare, om den finns tillgänglig |
|
| |||||
| 38.2 d |
| 49.3 h |
| 49.3 h CPR |
| |
|
|
|
|
| |||
Åtgärdens art och ändamål |
|
|
| 72.1 e, |
|
|
|
|
| 36.6 b | Bil.XVII rad 10 | 98.2 |
| ||
| + |
| + | + |
| ||
|
| 38.2 e | 49.3 e |
| 49.3 e CPR | ||
Insatsens unika identifieringskod |
|
|
| 72.1 e, |
|
|
|
|
|
|
| Bil.XVII rad 9 |
| 98.2 |
|
|
|
|
| + |
| + |
|
|
| 36.6 b |
| 49.3 |
| 49.3 CPR |
|
Om verklig huvudman |
|
|
|
|
|
|
|
Om mottagarens verkliga huvudmän när |
|
|
|
|
|
|
|
mottagaren inte är en fysisk person: för- |
|
|
|
|
|
|
|
namn, efternamn, födelsedatum, och regi- |
|
|
|
|
|
|
|
streringsnummer för mervärdesskatt eller |
|
|
|
|
|
|
|
skatteregistreringsnummer om sådana |
|
|
| 72.1 e, |
|
|
|
finns, eller en annan unik identifierings- |
|
|
|
|
|
| |
kod på landsnivå |
| 36.6 c |
| Bil.XVII rad 3 |
|
|
|
Källa: Egen sammanställning.
79
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
Slutsatser om vilka uppgifter som behöver tillgängliggöras
Sammanfattningsvis anger artikel 36.6 första stycket i budgetförord- ningen en yttersta ram för vilka uppgifter som behöver tillgänglig- göras för kommissionen. Skyldigheten kan vara mer begränsad i för- hållande till den yttersta ramen, genom att det också krävs att det finns en skyldighet att registrera och lagra uppgifterna enligt gällande sektorsspecifik reglering. Exempelvis finns det beträffande vissa fon- der inte krav på tillgängliggörande av uppgifter om verklig huvudman.
Den yttersta ramen är vissa närmare uppgifter om:
•Mottagaren
•Åtgärden
•Mottagarens verkliga huvudman.
Vad som kommer att gälla enligt kommande sektorsspecifik regler- ing är inte känt. Viss vägledning om vilka uppgifter som kan komma att vara obligatoriska att lämna kan möjligen fås utifrån de uppgifter om beviljade medel som i dag är funktionellt nödvändiga att lämna av de som väljer att använda Arachne, se avsnitt 4.3.2.
4.4.5Uppgifter från medlemsländerna kommer att tillföras Arachne
Det framgår inte uttryckligen i budgetförordningen att de uppgif- ter som ska tillgängliggöras för kommissionen enligt artikel 36.6 i budgetförordningen ska tillföras Arachne, men avsikten är att så ska ske. Det framgår exempelvis av en vitbok från kommissionen om en översyn av bedrägeribekämpningsstrukturen att uppgifter som samlas in av medlemsstaternas myndigheter beträffande alla fonder kommer att ingå i det EU-omfattande verktyget Arachne+ (COM [2025] 546 final, s. 7).
Det är sannolikt att medlemsstaterna rent tekniskt kommer att använda sig av Arachne för att tillgängliggöra uppgifterna för kom- missionen eller att tillgängliggörandet framöver kommer att ske genom automatiserad överföring. Av skäl 30 till budgetförordningen framgår att Arachne bör bygga på interoperabilitet, varigenom upp- gifter om mottagare av unionsmedel automatiskt och i realtid bör
80
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
hämtas från bland annat relevanta nationella databaser och interna system för relevanta nationella organ och myndigheter. Det är dock oklart hur detta rent praktiskt kommer att gå till framöver, då syste- met är under utveckling. Oavsett hur överföringen rent tekniskt kommer att utföras, står det klart att artikel 36.6 är nära knuten till Arachnes funktionalitet.
I Arachne-stadgan beskrivs hur uppgifter i dag kan överföras från medlemsstaterna till Arachne. Uppgifter kan extraheras av program- myndigheterna från deras lokala datoriserade system och laddas upp till en särskild server hos kommissionen (punkt 6.2). I punkt 11 i Arachne-stadgan, som handlar om överföring av data, anges att pro- grammyndigheterna överför datafält i enlighet med kraven i Arachne. Det anges också att – utöver datafälten i de nämnda bilagorna – programmyndigheterna på frivillig basis kan utöka antalet datafält att laddas upp till Arachne.
4.5Tillgängliggörande av frivilliga uppgifter
4.5.1Frivilligt tillgängliggörande enligt budgetförordningen från och med 2028
Budgetförordningen möjliggör tillgängliggörande av frivilliga uppgifter
I avsnitt 4.4 finns en kartläggning och en beskrivning av vilka upp- gifter som det från och med 2028 kommer att finnas en skyldighet enligt budgetförordningen för svenska myndigheter att göra till- gängliga för kommissionen.
I artikel 36.6 andra stycket i budgetförordningen anges att om en sådan skyldighet inte ingår i de sektorsspecifika reglerna, får med- lemsstaterna på frivillig basis ge kommissionen tillgång till den infor- mation som de förfogar över som avses i första stycket. Det finns därmed en reglering som uttryckligen tillåter ytterligare uppgifts- lämnande. Dessa uppgifter kallas här för frivilliga uppgifter.
En fråga är om det finns några begränsningar när det gäller vilka uppgifter som omfattas av bestämmelsen. Det kan noteras att arti- kel 36.6 andra stycket i budgetförordningen bara behandlar sådana uppgifter som avses i första stycket. Det bör tolkas så att medlems- staterna på frivillig basis kan ge kommissionen tillgång till alla slags
81
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
uppgifter som avses i första stycket, det vill säga sådana uppgifter som beskrivs i punkterna a–c i första stycket och som rör mottagare, insatsen och verkliga huvudmän. Som utredningen uppfattar det behandlar inte bestämmelsen frivilligt tillgängliggörande av uppgif- ter av andra slag.
Som utredningen uppfattar saken tar regleringen till att börja med sikte på uppgifter som i och för sig omfattas av artikel 36.6 första stycket i budgetförordningen, men som inte omfattas av någon sektorsspecifik reglering tillämplig på den berörda myndigheten. Vidare kan det konstateras att beskrivningarna av de obligatoriska uppgifterna är tämligen övergripande och att det bör vara möjligt att uppfylla kraven i artikel 36.6 utan att ange så mycket detaljer om exempelvis åtgärdens art och ändamål. De ytterligare och mer detal- jerade uppgifter som tillgängliggörs kan därmed också sägas höra till kategorin frivilliga uppgifter, i den meningen att de inte är rätts- ligt obligatoriska.
I praktiken kan möjligheten att tillgängliggöra uppgifter vara be- gränsad beroende på de användargränssnitt som används vid tillgäng- liggörandet. Hur användargränssnittet kommer att vara utformat från och med 2028 är ännu okänt. I sammanhanget kan nämnas att det inom ramen för den information som användare av Arachne
i dag lämnar finns begränsningar på så sätt att information för närva- rande endast kan lämnas i form av vissa förangivna uppgiftsfält i en datafil. Som utredningen uppfattar det saknas det möjlighet att lämna information i form av fritext. Därmed finns det praktiska begräns- ningar i fråga om vilka frivilliga uppgifter som kan tillgängliggöras.
Frivilligt tillgängliggörande kan vara bra för att målet att motverka oriktigheter ska uppnås
Om fler uppgifter än de som är rättsligt obligatoriska skulle tillgäng- liggöras för kommissionen och tillföras Arachne, skulle det kunna öka värdet av att använda systemet. Det skulle kunna befaras att en ordning där endast de rättsligt obligatoriska uppgifterna tillförs syste- met innebär att Arachne blir mindre effektivt som riskvärderings- system och att resultatet av riskvärderingarna blir mindre använd- bara i praktiken. Detta är också ett av skälen till att utredningen har i uppdrag att utreda frågor som rör frivilligt uppgiftslämnande.
82
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
4.5.2Vilka ytterligare uppgifter kan vara av värde att tillgängliggöra?
Vilka uppgifter som är av värde att tillgängliggöra kan variera
En central fråga är vilka ytterligare uppgifter som kan vara av värde att göra tillgängliga utöver de uppgifter som kommer att vara rätts- ligt obligatoriska enligt artikel 36.6 i budgetförordningen. Vägled- ning till detta kan sökas i bland annat syftet med tillgängliggörandet av uppgifter till kommissionen och användningen av Arachne, näm- ligen att motverka felaktigheter, såsom att hitta dubbelfinansieringar och intressekonflikter. Vägledning kan också sökas i de förangivna fält som i dag kan användas för att föra in uppgifter om beviljade medel i Arachne. Kommissionen rekommenderar att samtliga till- gängliga fält fylls i för bästa utfall och användning av Arachne (se Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 13).
Det finns flera utmaningar när det gäller att identifiera vilka ytter- ligare uppgifter som kan vara värdefulla att göra tillgängliga. Arachne är under utveckling och förändring. Även sektorsspecifik reglering är under utveckling och förändring. Därutöver skiljer sig uppgifts- slag och behov mellan olika stöd och myndigheter. Stöden på CAP- området skiljer sig mycket från stöden inom CPR-området. Till detta kommer att det pågår arbete inom olika expertgrupper inom EU så- väl avseende förhandling av nya rättsakter som mer detaljerade frågor såsom om olika riskfaktorer.
När det gäller att få vägledning utifrån de förangivna fälten finns ytterligare utmaningar. Vissa risker är sannolikt viktigare att kunna upptäcka vid svenska myndigheters arbete med att motverka felak- tigheter med EU-medel än på generell EU-nivå. Detta medför svårig- heter att värdera och rangordna betydelsen av att frivilligt lämna olika uppgiftsslag.
Det kan också vara svårt att utifrån de uppgifter som är funktio- nellt nödvändiga avgöra vilka uppgifter som kommer att vara obli- gatoriska respektive frivilliga att tillgängliggöra enligt artikel 36.6 i budgetförordningen. Det synes i nuläget nämligen vara så att de funk- tionellt nödvändiga fälten i Arachne inte helt motsvarar de rättsligt obligatoriska uppgifterna enligt artikel 36.6 i budgetförordningen.
En annan utmaning är att de uppgiftsfält som finns i Arachne inte helt motsvaras av uppgiftsfält i bilagan till gällande CPR eller
83
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
iCAP-förordningen, även om de huvudsakligen är lika. Det kan innebära att det finns möjlighet att genom uppgiftsfälten i Arachnes användargränssnitt lämna in uppgifter som inte har någon motsvarig- het i någon sektorsspecifik reglering. Det kan också innebära att det inte är möjligt att lämna uppgifter som omfattas av sådan reglering.
De funktionellt nödvändiga fälten i Arachne synes förändras över tid och det kan förväntas att de kommer att samordnas med skyldig- heterna i artikel 36.6 när de börjar att gälla från och med 2028.
Exempel på frivilliga uppgifter som det kan finnas skäl att tillgängliggöra
Trots de osäkerhetsmoment och utmaningar som nämns ovan lyfter utredningen i det följande vissa uppgiftsslag som skulle kunna vara av värde och relevanta att tillgängliggöra, utöver de rättsligt obliga- toriska. Utredningen utgår här från ett exempel, som avser fonderna ISF, Amif och BMVI. Som referensram för uppgiftsslagen använder utredningen den XML-fil som i dag kan användas av medlemsstater för att föra in uppgifter i Arachne om beviljade medel. Utformningen av XML-filen i exemplet beskrivs närmare i avsnitt 4.3.2.
I aktuellt exempel finns det funktionellt nödvändiga fält under följande kategorier.
•Allmän information (med funktionellt nödvändiga fält för källa, datum, författare, program/plan-id, myndighet, valuta och med- lemsstat)
•Projektinformation (med nödvändiga fält för projekt-id, projekt- namn, status, generaldirektorat, projekttyp, mottagare och pro- jektkostnad)
•Information om enheter (med nödvändiga fält för enhetens id, namn och land).
Vad som anges i punktlistan ovan motsvaras i huvudsak av uppgif- ter som kan vara rättsligt obligatoriska att tillgängliggöra enligt arti- kel 36.6 i budgetförordningen. Det finns även frivilliga fält inom ovan nämnda kategorier. När det gäller projektinformation kan nämnas till exempel närmare uppgifter om mottagaren såsom om koncern- tillhörighet, omsättning och antal anställda. Såvitt gäller information
84
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
om enheter kan nämnas momsregistreringsnummer, adressuppgifter och omsättning. För en ändamålsenlig användning av Arachne skulle samtliga fält som nämns ovan kunna vara av värde att föra in uppgif- ter i, oavsett om de är nödvändiga eller valfria.
Utöver vad som finns under de nödvändiga kategorierna finns det ett stort antal fält inom ytterligare – inte funktionellt nödvän- diga – kategorier. Kategorierna är i aktuellt exempel följande.
•Kontrakt (Contracts)
•Underleverantörer (SubContracts)
•Utgifter/kostnader (Expenses)
•Verklig huvudman (Beneficial Owner)
•Anknutna personer (Related People)
•Projektpartners (Project-Partners)
•Medlemmar i konsortiet (Consortium Members)
•Tjänsteleverantörer (Service Providers)
•Nyckelexperter (Key Experts).
Fälten inom dessa kategorier avser närmare uppgifter, såsom id-upp- gifter, belopp, för- och efternamn, födelsedatum och funktion. Även uppgifter av dessa slag bör kunna vara av värde att tillgängliggöra för kommissionen på frivillig basis, sedan skyldigheten börjat gälla 2028. På motsvarande sätt kan det – vid ett eventuellt frivilligt användande av Arachne dessförinnan – finnas skäl att föra in sådana ytterligare uppgifter i Arachne. Det är dock – på grund av ovan nämnda osäker- hetsfaktorer – inte möjligt att med säkerhet ange exakt vilka uppgif- ter som det kan finnas anledning att tillgängliggöra eller annars föra in i Arachne på frivillig basis.
Vad gäller de rättsliga förutsättningarna enligt nationell rätt att lämna uppgifter av nu aktuellt slag, behandlas sådana frågor i av- snitt 8.3.
85
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
4.5.3Även myndigheter som inte har någon skyldighet att tillgängliggöra uppgifter bör kunna göra det
En särskild fråga är om ett tillgängliggörande skulle kunna utföras av en myndighet som inte kommer att ha några skyldigheter att lämna uppgifter enligt artikel 36.6 i budgetförordningen. Utredningen be- dömer att så kan vara fallet. Här kan nämnas den ordning som gäller där ESV tar emot rapporter om resultatinformation från andra myn- digheter inom ramen för RRF. Myndigheter enligt RRF omfattas inte av skyldigheten enligt artikel 36.6 att tillgängliggöra uppgifter för kommissionen (se avsnitt 4.4.2). Inom ramen för ett frivilligt uppgiftslämnande bör det dock vara möjligt för ESV att tillgänglig- göra dessa uppgifter för kommissionen, att föras in i Arachne. När det gäller RRF kan det nämligen vara ändamålsenligt att låta den myndighet som redan har samlat in relevanta uppgifter om RRF:s genomförande att ansvara för eventuell inmatning av uppgifter i Arachne för att viss efterkontroll ska kunna göras. Ett sådant för- farande skulle också medföra att uppgifter om RRF finns i Arachne, vilket kan bidra till att förhindra till exempel dubbelfinansiering gent- emot andra program. De rättsliga förutsättningarna för ett sådant frivilligt uppgiftslämnande som nu nämns behandlas i avsnitt 8.3.
4.6Inget nytt krav på tillgängliggörande av uppgifter när det gäller Edes
4.6.1Om innehållet i artikel 36.8 och kopplingen till Edes
I artikel 36.8 i budgetförordningen finns bestämmelser om bland annat lämnande av information till kommissionen om domar och beslut.
Av artikeln framgår något förenklat att personer och enheter som genomför budgeten inom ramen för delad förvaltning och direkt för- valtning tillsammans med medlemsstaterna ska sända viss informa- tion till kommissionen om fakta och resultat som fastställts endast i samband med slutgiltiga domar eller slutgiltiga administrativa be- slut när de får kännedom om sådan information. Översändandet ska ske via en officiell kanal, såsom IMS. Bestämmelsen gäller vid tillämp- ning av artikel 36.2 d, artikel 144.2 och artikel 147, och utöver till- lämpliga sektorsspecifika regler.
86
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
För samma ändamål ska medlemsstaterna översända all annan
nödvändig information som kommissionen begär, i synnerhet infor- mation som rör den administrativa uppföljningen.
I artikel 144.2 anges vilka uppgifter som Edes ska bygga på och varifrån dessa uppgifter ska komma (se närmare avsnitt 6.2.6). Syste- met ska baseras på faktiska omständigheter och slutsatser som lämnas till kommissionen, särskilt av vissa enheter som räknas upp i arti- kel 144.2.
Artikel 144.2 d är av särskilt intresse för Sverige. Den gäller både vid delad förvaltning och vid direkt förvaltning tillsammans med medlemsstaterna. Bestämmelsen tar sikte på uppgifter av visst slag, något förenklat faktiska omständigheter och slutsatser som fastställs i slutliga domar och beslut. Edes ska baseras på sådana uppgifter bara om överlämnande av uppgifter till kommissionen krävs enligt sektors- specifika regler.
Artikel 147 handlar om överlämnande av uppgifter avsedda för Edes. Artikel 147.1 anger att uppgifter som begärts från de enheter som avses i artikel 144.2 d ska i enlighet med artikel 36.8 och sektors- specifika regler överföras till kommissionen.
Det ovan sagda visar att artikel 36.8 tar särskilt sikte på uppgifter som ska lämnas till kommissionen för att de ska ingå i Edes-data- basen. En särskild fråga är om denna bestämmelse innebär några nya skyldigheter för Sverige eller svenska myndigheter, och som behöver beaktas när det gäller vilka åtgärder som kan krävas inom ramen för denna utredning.
4.6.2För vilka gäller kraven i artikel 36.8?
I artikel 277 i budgetförordningen finns vissa övergångsbestämmel- ser. Av artikel 277.1 framgår, något förenklat, att skyldigheten som anges i artikel 36.8, när det gäller tillämpningen av Edes på delad för- valtning och direkt förvaltning tillsammans med medlemsstaterna, som huvudregel endast ska tillämpas på program som antas eller finansieras från och med den 1 januari 2028.
Flera svenska myndigheter deltar i budgetgenomförandet inom ramen för delad förvaltning. Eftersom RRF – som förvaltas inom ramen för direkt förvaltning tillsammans med medlemsstaterna – har begränsad tillämplighet i tid och Edes-databasen ska användas
87
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
i samband med tilldelning av kontrakt eller urval av bidragsmottagare (artikel 144.5), kommer artikel 36.8 avseende just denna facilitet inte att aktualiseras. Däremot kan bestämmelsen aktualiseras för eventu- ella nya fonder med samma upplägg.
För svenskt vidkommande omfattar bestämmelsen därmed, så- vitt är känt för utredningen i dagsläget, endast myndigheter som deltar i delad förvaltning.
4.6.3Ingen ny skyldighet för medlemsstaterna
Som framgår ovan ska Edes – något förenklat – bygga på uppgifter om slutgiltiga domar och administrativa beslut som lämnas till kom- missionen från medlemsstater, bara om överlämnandet av uppgifter krävs enligt sektorsspecifika regler.
Mot denna bakgrund drar utredningen slutsatsen att det av arti- kel 36.8 inte följer någon skyldighet för Sverige eller svenska myn- digheter, som inte redan följer av sektorsspecifika regler. Man kan säga att artikel 144.2 d erinrar om medlemsstaternas skyldighet att lämna uppgifter till kommissionen.
4.7Ett nytt krav på offentliggörande av uppgifter från och med 2028
4.7.1Om artikel 38 i budgetförordningen
Artikel 38 i budgetförordningen handlar enligt dess rubrik om offent- liggörande av information om mottagare samt annan information. Kommissionen ska ge tillgång till information på en centraliserad webbplats om mottagare av medel som finansieras av budgeten och det räknas i artikeln upp vilken information som ska offentliggöras. Flera delar av artikeln behandlas i avsnitt 4.4.
Artikeln riktar sig huvudsakligen till kommissionen men arti- kel 38.4 handlar om andra aktörer. Artikel 38.4 första stycket tar sikte på indirekt förvaltning och återges inte här, då den inte bedöms ha någon betydelse för nu aktuella frågor. Övriga delar av artikel 38.4 behandlas dock närmare i det följande i syfte att klargöra om de inne- bär några krav för Sverige eller svenska myndigheter som behöver beaktas inom ramen för denna utredning.
88
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
4.7.2En upplysning om skyldigheter att offentliggöra information enligt sektorsspecifika regler
Enligt artikel 38.4 andra stycket i budgetförordningen ska organ som har utsetts enligt artikel 63.3 offentliggöra information i enlighet med sektorsspecifika regler. Dessa sektorsspecifika regler får, i en- lighet med den relevanta rättsliga grunden, avvika från artikel 38.2 och 38.3 med beaktande av den berörda sektorns särdrag.
När det gäller ”organ som utsetts enligt artikel 63.3” kan följande sägas. Av artikel 63.3 följer att medlemsstaterna – i enlighet med kri- terierna och förfarandena i sektorsspecifika regler – ska utse organ som ska ansvara för förvaltningen och kontrollen av unionsmedel.
Detta har skett till exempel genom att förvaltande myndigheter och revisionsmyndighet har pekats ut genom nationell rätt, se till exem- pel 1 kap. 4–7 §§ förordningen (2022:1379) om förvaltning av pro- gram för vissa EU-fonder.
Utredningen uppfattar artikel 38.4 andra stycket så att den utgör en bestämmelse som erinrar om att sådana organ som utsetts enligt artikel 63.3 har skyldigheter att offentliggöra uppgifter enligt sektors- specifika regler. Vidare framgår av stycket att sådana sektorsspeci- fika regler får avvika från det som regleras om information som ska offentliggöras enligt artikel 38.2 och 38.3. En motsvarande reglering finns i artikel 38.4 i den tidigare budgetförordningen. Artikel 38.4 andra stycket innebär alltså inte några nya skyldigheter som behö- ver beaktas inom ramen för denna utredning.
4.7.3En ny skyldighet för medlemsstater vid direkt förvaltning
Enligt artikel 38.4 tredje stycket i budgetförordningen ska medlems- stater som tar emot och genomför unionsmedel5 enligt artikel 62.1 första stycket a säkerställa offentliggörande i efterhand av informa- tion om deras mottagare på en sådan centraliserad webbplats som avses artikel 38.1 i enlighet med vad som sägs i artikel 38.2–3. Av
5I den svenska versionen av budgetförordningen har uttrycket ”the implementation of Union funds” översatts med ”förvaltningen av unionsmedel” (i olika grammatiska former). På tyska används uttrycket ”Ausführung von Unionsmitteln”. Enligt utredningen framstår det som mer korrekt att på svenska beskriva detta som ”genomförandet av unionsmedel”. Se exempel- vis artiklarna 62.1 första stycket c ix och 152.8 samt skäl 51. Utredningen använder därför be- greppet ”genomförande” av unionsmedel när det i den engelska versionen handlar om ”imple- mentation” av sådana medel.
89
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
övergångsbestämmelsen i artikel 277.6 följer att artikel 38.4 tredje stycket endast ska tillämpas på program som antas inom ramen för och finansieras genom fleråriga budgetramar efter 2027.
Utredningen uppfattar bestämmelsen så att den är tillämplig vid hantering av EU-medel inom ramen för förvaltningsformen direkt förvaltning tillsammans med medlemsstaterna. RRF hanteras inom ramen för den förvaltningsformen. RRF-förordningen har i praktiken begränsad tillämplighet i tid genom att reformer och investeringar ska ha genomförts till den 31 augusti 2026 och utbetalningar till den 31 december samma år. Mot bakgrund av övergångsbestämmel- sen i artikel 277.6 ska artikel 38.4 tredje stycket inte tillämpas på RRF. Det kan dock inte uteslutas att det under kommande program- perioder kommer nya fonder och program som Sverige förvaltar inom ramen för förvaltningsformen direkt förvaltning tillsammans med medlemsstaterna. Bestämmelsen kan då bli relevant för Sverige, genom att Sverige då kommer att vara skyldigt att uppfylla det som sägs i bestämmelsen.
Bestämmelsen är formulerad så att medlemsstater ska säkerställa offentliggörande i efterhand av information om deras mottagare på en centraliserad webbplats. Det kan noteras att bestämmelsen inte hade någon motsvarighet i den tidigare budgetförordningen. I skäl 41 till den omarbetade budgetförordningen anges att medlemsstater som tar emot och genomför unionsmedel inom ramen för direkt förvalt- ning bör tillhandahålla information om sina mottagare i enlighet med budgetförordningen.
Enligt utredningen får bestämmelsen uppfattas som en skyldig- het för medlemsstater att – inom ramen för EU-medel som förval- tas enligt direkt förvaltning tillsammans med medlemsstaterna – se till att viss information offentliggörs på den centraliserade webbplat- sen. Denna skyldighet synes vara oberoende av innehållet i sektors- specifika regler.
Den information som ska offentliggöras beskrivs genom en hän- visning till artikel 38.2–3. Artikel 38.2 innehåller en uppräkning av uppgifter som rör mottagare (artikel 38.2 a–c) och om åtgärden (artikel 38.2 d–e). Artikel 38.3 innehåller undantagssituationer då uppgifterna inte ska offentliggöras. Innehållet i dessa bestämmelser behandlas närmare i avsnitt 4.4.3.
90
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
Frågan om behov av åtgärder för att Sverige ska kunna uppfylla skyldigheten att säkerställa offentliggörande enligt artikel 38.4 tredje stycket behandlas i avsnitt 8.4.
4.8Externa aktörers tillgång till lämnade uppgifter
4.8.1Uppdraget i denna del
Inom ramen för uppdraget att kartlägga och beskriva vilka uppgifter som ska eller får registreras eller annars utbytas i Arachne och inom ramen för Edes, ska utredningen också kartlägga och beskriva i vilken utsträckning som aktörer utanför den egna myndigheten skulle få tillgång till uppgifterna.
Myndigheter som väljer att använda Arachne före 2028 ska ladda upp vissa uppgifter till systemet. Även de uppgifter som kommer att tillgängliggöras enligt artikel 36.6 i budgetförordningen (både obligatoriska och frivilliga uppgifter) avses att föras in i Arachne. Uppdraget i denna del bör därför främst ta sikte på vilken tillgång externa aktörer kan få till uppgifter i Arachne.
När det gäller Edes bedömer utredningen att svenska myndigheter inte på grund av några krav i budgetförordningen kommer att ut- föra något uppgiftslämnande för tillförande till Edes-databasen. Arti- kel 36.8 bedöms inte medföra några sådana krav (se avsnitt 4.6). Ut- redningen tar i detta avsnitt ändå upp några frågor kopplade till Edes.
4.8.2Olika aktörer kommer att få tillgång till uppgifter via Arachne
Artikel 36.6 i budgetförordningen nämner kommissionen som mot- tagare, och därmed är kommissionen en av dem som kommer att få tillgång till uppgifter som lämnas med stöd av den artikeln. Genom att uppgifterna kommer att tillföras Arachne, vars databas är tillgäng- lig för flera aktörer, är det dock inte bara kommissionen som kom- mer att vara den slutliga mottagaren, trots att bestämmelsen endast nämner tillgängliggörande för kommissionen.
Tillgången till uppgifter som finns i Arachne regleras bland annat i artikel 36.7 andra stycket i budgetförordningen. Enligt bestämmel- sen ska åtkomsten till de uppgifter som behandlas av Arachne över-
91
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
ensstämma med tillämpliga dataskyddsregler samt respektera prin- ciperna om nödvändighet och proportionalitet. Åtkomsten ska begränsas till unionsinstitutioner och organ som genomför budgeten, de medlemsstater som genomför budgeten enligt delad förvaltning, de medlemsstater som tar emot och genomför unionsmedel inom ramen för direkt förvaltning, de personer eller enheter som genom- för budgeten inom ramen för indirekt förvaltning samt unionens utrednings-, kontroll- och revisionsorgan, däribland Olaf, revisions- rätten och Eppo, inom ramen för utövandet av deras respektive be- fogenheter.
Uppgifter som är tillgängliga via Arachne ska göras tillgängliga för Europaparlamentet och rådet från fall till fall i den utsträckning som är nödvändig och står i proportion till utövandet av deras respek- tive befogenheter, i samband med förfarandet för beviljande av an- svarsfrihet för kommissionen. Sammanfattningsvis kommer andra medlemsstater, deras myndigheter och vissa EU-institutioner att kunna få tillgång till uppgifter som finns i Arachne, under olika för- utsättningar.
Arachne-stadgan beskriver närmare vad som avses med program- myndigheter som omfattas av stadgan och kan därmed sägas till viss del precisera vilka nationella myndigheter som kan komma att an- vända Arachne (se mer i avsnitt 5.3.1). När det gäller styrningen av tillgången till uppgifter ska det säkerställas att den som begär till- gång är del av förvaltnings- eller kontrollsystemet avseende ett speci- fikt program.
Vidare ger Arachne-stadgan vissa upplysningar om tillgången
för EU-organ såsom Olaf, Europeiska unionens revisionsrätt (ECA) och Eppo. Det ges också information om uppgifter som kommis- sionen kan komma att ta del av. Kommissionen har tillgång till både resultat av riskvärderingar och företagens databas.
I EU:s dataskyddsombuds register över personuppgiftsbehand- ling finns personuppgiftsbehandlingen avseende Arachne förtecknad, här benämnd beskrivningen av personuppgiftsbehandlingen för Arachne6. I den ges också information om tillgång för myndigheter och andra aktörer. Vidare framgår att uppgifter kan överföras till Storbritannien, vilket innebär en tredjelandsöverföring (punkt 6).
6Record for processing of personal data, Title: Risk analysis for fraud prevention and detec- tion in the management of EU funds (ARACHNE SYSTEM). Reference: DPR-EC-00598.4, publicerad den 27 november 2023. https://ec.europa.eu/dpo-register/detail/DPR-EC-00598. Hämtat 2025-10-29.
92
SOU 2025:112 | Lämnande och offentliggörande av uppgifter |
Det finns också frågor och svar avseende Arachne som ger vissa upplysningar (Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022). Som exempel kan nämnas att i de flesta fall har användare i en medlemsstat bara åtkomsträttigheter till program eller planer inom den medlemsstaten, men viss information från andra medlemsstater är tillgänglig, till exempel när ett företag är involve- rat i flera projekt. En medlemsstat kan också välja att medge andra medlemsstater tillgång till uppgifter om egna program eller planer, vilket kan vara relevant till exempel gällande Interregprogrammen (se fråga 9).
4.8.3Lämnade uppgifter kommer att få en omfattande spridning
Ovanstående innebär att uppgifter som svenska myndigheter lämnar kommer att få en omfattande spridning. Även om svenska myndig- heter i viss mån kommer att kunna påverka vilka som kan få del av uppgifter som de har lämnat – till exempel genom att bevilja andra medlemsstater tillgång till uppgifter om egna program eller planer – bör utgångspunkten vara att utlämnande myndighet inte längre har kontroll över uppgifterna när de har tillgängliggjorts för kommis- sionen eller förts in i Arachne.
Som framgår av avsnitt 4.7 kommer kommissionen enligt arti- kel 38 att offentliggöra viss information, som härrör från Arachne, och motsvarande kan bli aktuellt även för myndigheter inom ramen för direkt förvaltning tillsammans med medlemsstaterna. Det bety- der att uppgifter som svenska myndigheter har lämnat kan komma att offentliggöras och därmed också ges spridning utanför användar- kretsen av Arachne. Transparens i fråga om mottagare av EU-medel är av stor vikt och betonas bland annat i budgetförordningens skäl 33 och 34.
När det gäller Edes kommer uppgifter att föras in i Edes-data- basen. Edes baseras på uppgifter som bland annat rapporteras in av myndigheter via IMS enligt annan reglering än budgetförordningen. Därmed kan det förvisso förväntas att även svenska myndigheters uppgifter kan komma att finnas i Edes-databasen och därmed få en omfattande spridning. Uppgifterna förs dock inte in i Edes direkt av medlemsländerna, utan till exempel av behöriga utanordnare. Som nämns innebär inte heller budgetförordningen några nya krav
93
Lämnande och offentliggörande av uppgifter | SOU 2025:112 |
på svenska myndigheter att lämna uppgifter för användande i Edes. Frågor som rör dessa uppgifters spridning ligger därmed utanför utredningens uppdrag.
94
5Användande av Arachne som verktyg
5.1Utredningens uppdrag
Utredningens uppdrag som behandlas i detta kapitel är att beskriva vilka myndigheter som kan komma att använda Arachne samt kart- lägga och beskriva vilken typ av åtkomst som myndigheterna skulle få vid en användning av Arachne. Utredningen har också i uppdrag att kartlägga vilka regler som styr användningen av Arachne och bedöma vilka skyldigheter som berörda myndigheter skulle få vid en användning av verktyget, vilket sker delvis i detta kapitel.
När det gäller medlemsstaternas och nationella myndigheters för- hållande till Arachne bör man skilja mellan å ena sidan att använda systemet i meningen att bereda sig tillgång till det och utnyttja den information som finns där eller kan tas fram därifrån exempelvis vid riskvärderingar och å andra sidan lämnande av uppgifter genom att data tillförs Arachne för att systemet ska kunna generera riskvär- deringar. Detta kapitel avser användning av Arachne på det först- nämnda sättet. Frågor som rör lämnande av uppgifter behandlas i kapitel 4 ovan.
Användningen av Arachne är i dag frivillig, så även enligt den omarbetade budgetförordningen. Det är möjligt att det i framtiden blir obligatoriskt för medlemsstaterna att använda systemet. Under alla förhållanden kan det vara ändamålsenligt för svenska myndig- heter att använda systemet, även om det inte är obligatoriskt. Utred- ningen behöver därför ta ställning till vad ett användande av Arachne som verktyg skulle innebära, bland annat när det gäller vilka myn- digheter som skulle kunna komma att använda systemet och vilka uppgifter de därvid skulle få tillgång till. Eftersom Arachne är ett existerande verktyg och därmed tillgängligt för användning redan i dag, utgår det EU-rättsliga regelverket och relevanta källor från
95
Användande av Arachne som verktyg | SOU 2025:112 |
att systemet redan används. Även om myndigheter måste tillgäng- liggöra uppgifter enligt artikel 36.6 i budgetförordningen först från och med 2028, omfattar utredningens bedömningar i flera delar en möjlig användning av Arachne redan före 2028.
I kapitel 7 behandlas regleringen om offentlighet, sekretess och dataskydd, som påverkar användningen av Arachne och innebär skyl- digheter för berörda myndigheter vid en användning av verktyget. I avsnitt 8.5 görs överväganden om behovet av åtgärder för att svenska myndigheter ska kunna använda Arachne.
5.2Närmare om Arachne
5.2.1Arachne består av olika delar
Arachne är enligt budgetförordningen ett gemensamt integrerat och interoperabelt informations- och övervakningssystem, inbegripet ett gemensamt datautvinnings- och riskgraderingsverktyg, som till- handahålls av kommissionen och som möjliggör tillgång till och elek- tronisk automatisk hämtning, registrering, lagring och analys av data om mottagarna av unionsfinansiering, inbegripet deras verkliga huvud- män (artikel 36.2 d). Systemet Arachne innefattar alltså olika delar. Arachne kan förenklat beskrivas som en databas som innehåller infor- mation (datautvinningsdelen av verktyget) och ett verktyg för att göra riskvärderingar (riskvärderingsdelen). I viss mån kan dessa delar överlappa bland annat på så sätt att datautvinning kan ske i syfte att risker ska kunna värderas. I syfte att ge en bild av hur Arachne fun- gerar ges i det följande något förenklade beskrivningar av systemets olika delar.
Datautvinningsdelen
Datautvinningsdelen av Arachne kan beskrivas som de delar där en användare kan ta del av information utan att Arachne gör någon vär- dering av de risker som informationen kan indikera. Arachne möjlig- gör i dag sökningar på exempelvis olika projekt, kontrakt, företag och personer. Det är också möjligt att söka på förhållanden mellan olika enheter. Detta möjliggör sökningar på juridiska och organisa- toriska kopplingar mellan olika aktörer.
96
SOU 2025:112 | Användande av Arachne som verktyg |
Riskvärderingsdelen
Begreppet riskvärdering
Det kan i sammanhanget nämnas att olika näraliggande begrepp an- vänds i budgetförordningen och i andra relevanta källor för att be- skriva Arachnes funktion att behandla risker och att presentera ett resultat av den processen, bland annat riskgradering, riskbedömning och riskvärdering. Det kan särskilt uppmärksammas att det i Arachne- stadgan (Arachne, Charter for the introduction, the application and the integration of the Arachne risk scoring tool) finns texter som handlar om resultat av riskberäkningar (risk calculations). Utred- ningen använder huvudsakligen ordet riskvärdering som beskriv- ning av den process som sker i Arachne automatiskt eller på begäran av en användare och som behandlar olika risker, samt resultatet av den processen.
Riskvärderingar som Arachne genererar automatiskt – redan beviljade medel
Vissa riskvärderingar genereras automatiskt i Arachne. Arachne vär- derar risker utifrån ett hundratal riskparametrar. Dessa riskvärder- ingar avser redan beviljade medel, det vill säga fall där exempelvis ett stöd har godkänts beträffande en viss insats och en viss motta- gare. Parametrarna är indelade i sju kategorier, nämligen upphand- ling, avtalsförvaltning, stödberättigande, resultat, koncentration, rimlighet samt anseende och bedrägeri. Riskindikatorerna hjälper förvaltande myndigheter att identifiera de mest riskfyllda projek- ten, stödmottagarna, leverantörerna och avtalen.
Användaren kan ta del av det sammanlagda värdet för de olika ris- kerna som hör till en viss kategori eller värdet för varje risk för sig. Risken anges genom en siffra, där en högre siffra innebär en högre risk, samt genom färgkodning, från grön via gul till röd, där röd inne- bär högst risk.
Användare kan ta del av gjorda riskvärderingar som nås efter in- loggning. Användargränssnittet för Arachne kan anpassas av använd- aren. Användare kan ta del av information om riskvärderingarna via olika informationspaneler (på engelska Dashboards). På dessa infor- mationspaneler visas olika riskindikatorer och vilka poäng eller värden
97
Användande av Arachne som verktyg | SOU 2025:112 |
som är kopplade till respektive riskindikator. Det finns informations- paneler för respektive projekt, kontrakt, stödmottagare och entre- prenör. Användaren kan fokusera på specifik information genom att använda olika filter och navigeringsalternativ.
Användare kan ta del av en sammanfattning av riskerna, en ”overall score”. Genom att klicka på olika flikar och ikoner kan användare komma till andra sidor inom Arachne där det finns mer detaljerad information, i flera led. Viss information är sådan som har tillförts Arachne från medlemsländers myndigheter. Informationen är utökad med information från databasen Orbis. Om det förekommer kopp- lingar till andra bolag får användaren tillgång till information om dessa bolag och ägare med flera personer som har kopplingar till dessa bolag. Sådan information kan komma från Orbis.
Användare kan också få del av externa länkar, exempelvis om någon person förekommer på en lista med personer i politiskt ut- satt ställning (en så kallad PEP-lista, se närmare avsnitt 5.4.2) eller verkställighetslista. Arachne innehåller då länkar till de internetsidor där aktuell information finns allmänt tillgänglig.
Det finns också en modul för ärendehantering (Case management), där information om ett visst projekt kan erhållas, inklusive riskut- vecklingen över tid för projektet. Vilka funktioner som är tillgäng- liga för en användare kan variera beroende på vilken roll användaren tilldelats av den lokala administratören.
Via en särskild meny kan en användare ta del av historisk informa- tion om hur riskvärderingen för ett visst projekt eller kontrakt har utvecklats. Genom denna meny kan användaren ta fram riskvärder- ingar som har gjorts i Arachne vid tidigare tidpunkter. Data från en tidigare riskvärdering kan exporteras till exempelvis en excel-fil.
Då Arachne är under utveckling kan funktioner och dess användar- gränssnitt komma att förändras.
Riskvärderingar som begärs av en användare inom ramen för förhandsfunktionen – ex ante
Arachne innehåller en så kallad förhandsfunktion (the ex-ante func- tionality), som ger användare möjlighet att – under processen att välja vilka som ska tilldelas EU-medel – göra en värdering av vilka risker det skulle innebära om en viss enhet skulle tilldelas EU-medel.
98
SOU 2025:112 | Användande av Arachne som verktyg |
Riskvärderingar inom ramen för förhandsfunktionen kan bara göras på begäran av en användare. Arachne genererar således inte sådana riskvärderingar automatiskt. Endast användare som har till- delats behörighet kan begära sådana riskvärderingar. Till skillnad från de riskvärderingar som Arachne genererar automatiskt sker inte heller någon automatisk löpande uppdatering av riskvärderingar inom ramen för förhandsfunktionen. Sådana riskvärderingar går bara att göra be- träffande projekt, inte mottagare, kontrakt eller entreprenörer.
Det går till så att användaren laddar upp viss information om pro- jektet, potentiell mottagare, eventuell verklig huvudman, entreprenör och projektkostnad till Arachne. Detta kan göras antingen genom att användare skapar en så kallad XML-fil eller genom att använda en särskild funktion för redigering av data (Dataset editor). När in- formationen har laddats upp gör Arachne en riskvärdering utifrån underlaget över natten. Morgonen därpå finns riskvärderingen till- gänglig i Arachne. En begäran om en sådan riskvärdering loggas i Arachne.
Informationspanelen där resultatet av riskvärderingen presenteras (the ex-ante dashboard) liknar informationspanelen för riskvärder- ingar som Arachne genererat automatiskt för ett projekt och det är på liknande sätt möjligt för användare att navigera och ta del av mer detaljerad information. Vid en sådan riskvärdering ges inte utfall be- träffande alla riskindikatorer som är aktuella i de riskvärderingar som Arachne genererar automatiskt. De tillgängliga kategorierna är av- talsförvaltning, koncentration samt anseende och bedrägeri. Där- utöver finns information om datum för uppladdningen av data och riskvärderingen och om den användare som laddat upp data och be- gärt riskvärderingen. Tidigare gjorda riskvärderingar inom ramen för förhandsfunktionen är sökbara på bland annat dessa kriterier.
En användare har tillgång till de egna tidigare gjorda riskvärder- ingarna. Gjorda riskvärderingar blir – som utredningen uppfattat det – tillgängliga också för medarbetare som har samma behörighet som användaren. Informationen raderas inte men lagringstiden får
–liksom för Arachne i övrigt – inte överstiga tio år (artikel 36.7 fjärde stycket i budgetförordningen). Sådana uppgifter som användare laddar upp inom ramen för förhandsfunktionen tillförs inte Arachne på ett sådant sätt att de ligger till grund för sådana riskvärderingar som Arachne genererar automatiskt.
99
Användande av Arachne som verktyg | SOU 2025:112 |
5.2.2Endast indikationer på risker – ej krav på agerande från myndigheterna
Arachne är ett hjälpmedel. Verktyget syftar inte till att bedöma stöd- mottagares individuella beteenden eller till att stödmottagare ska uteslutas per automatik. Verktyget avser att varna för risker för att ge mer underlag för förvaltningskontroller, men det ger inga bevis för att fel, oegentligheter eller bedrägerier föreligger. Detta framgår direkt av kommissionens webbsida om Arachne.1
Myndigheter kan också ta hänsyn till riskvärderingar i sina stra- tegier för bedrägeribekämpning och kontrollförfaranden.
Eftersom Arachne endast är ett hjälpmedel kan kommissionen – om myndigheter underlåter att agera – endast uppmuntra dem att använda Arachne och kontrollera att andra proportionella och effek- tiva åtgärder för bedrägeribekämpning genomförs (se Arachne, FAQ on data protection and related issues, Status as of 10th July 20242).
5.2.3Arachne är under utveckling och är tänkt att bygga på interoperabilitet
Som framgår av avsnitt 3.4.3 har Arachne utvecklats under åren och är fortsatt under utveckling. Utöver vad som anges i det avsnittet kan nämnas att budgetförordningens skäl 29–32 beskriver hur syste- met är tänkt att fungera. Som utredningen uppfattar det beskrivs både sådana förändringar som den omarbetade budgetförordningen innebär och vad en framtida utveckling av systemet kan medföra. Av de nämnda skälen framgår att elektronisk registrering och lag- ring av uppgifter om mottagarna av unionsfinansiering, inbegripet deras verkliga huvudmän, i Arachne bör underlätta riskbedömning för urval, tilldelning, ekonomisk förvaltning, övervakning, utredning, kontroll och revision och bidra till att effektivt förebygga, upptäcka, korrigera och följa upp oriktigheter, inte minst bedrägerier, korrup- tion, intressekonflikter och dubbelfinansiering.
Enligt de nämnda skälen bör Arachne också utvecklas i syfte att undvika dubbelrapportering och minska den administrativa bördan för medlemsstaterna och andra genomförandeenheter. Kommissionen
1https://employment-social-affairs.ec.europa.eu/policies-and-activities/funding/european- social-fund-plus-esf/what-arachne_en. Hämtat 2025-10-23.
2https://employment-social-affairs.ec.europa.eu/policies-and-activities/funding/european- social-fund-plus-esf/what-arachne_en. Hämtat 2025-10-23.
100
SOU 2025:112 | Användande av Arachne som verktyg |
bör ansvara för utveckling, förvaltning och övervakning av syste- met. Det bör bygga på interoperabilitet, varigenom aktuell informa- tion och uppgifter om mottagare av unionsmedel bör hämtas auto- matiskt från och överföras till det systemet, i realtid när så är möjligt.
5.3Vilka svenska myndigheter kan komma att använda Arachne?
5.3.1Vissa utgångspunkter
Som framgår av avsnitt 5.1 ska utredningen beskriva vilka myndig- heter som kan komma att använda Arachne. Det är dock inte möj- ligt för utredningen att ange en uttömmande uppräkning av vilka myndigheter som kan komma att använda Arachne. En frivillig an- vändning av Arachne är möjlig redan i dag. Eftersom användningen av Arachne är frivillig även i den omarbetade budgetförordningen finns ingen reglering som pekar ut vilka aktörer som ska använda systemet. Utredningen om hantering av EU-medel har föreslagit ett antal ändringar avseende vilka myndigheter som ska förvalta medel från olika fonder (SOU 2024:22). Förslagen bereds i Regeringskans- liet. Vidare kommer nya sektorsspecifika regler inför den nya pro- gramperioden och därmed kan potentiellt nya berörda myndigheter tillkomma.
Budgetförordningen ger ändå en del vägledning om vilka som kan komma att använda systemet. Enligt artikel 36.7 i budgetförord- ningen ska åtkomsten till uppgifter i Arachne begränsas till vissa mottagare, bland andra unionsinstitutioner och organ som genom- för budgeten samt de medlemsstater som genomför budgeten inom ramen för delad förvaltning och som tar emot och genomför unions- medel genom direkt förvaltning tillsammans med medlemsstaterna.
Enligt utredningens mening bör utgångspunkten vara att samt- liga enheter som har någon roll i att avgöra vem som ska ta emot stöd eller i att i efterhand vidta kontroller av utbetalade stöd har nytta av att använda de system som finns tillgängliga. Däremot bör det i allmänhet saknas anledning för en enhet att använda Arachne om enheten inte har en sådan roll utan till exempel endast verkställer en utbetalning av ett redan beslutat stöd. Inte heller myndigheter som endast mottar stöd har någon anledning att kunna använda Arachne. En annan utgångspunkt bör vara att myndigheter kan kom-
101
Användande av Arachne som verktyg | SOU 2025:112 |
ma att använda Arachne inom ramen för ärendehandläggning – ex- empelvis ett ärende om återkrav av felaktigt utbetalat stöd – eller inom ramen för så kallat faktiskt handlande, vilket i nu aktuella fall exempelvis kan vara när myndigheter ska välja vilka stöd som bör bli föremål för en närmare kontroll.
Arachne-stadgan utgår från en pågående användning av Arachne. Stadgan ger också vägledning i fråga om tänkta användare av Arachne. I stadgan används begreppet ”programmyndigheterna” för att be- skriva dem som åtar sig att följa principerna i dokumentet. I punk- ten 1 anges vilka som avses med programmyndigheter, uppdelat på följande fonder och program.
a)ESI-fonderna: Förvaltande myndigheter, förmedlande organ, attesterande myndigheter och revisionsmyndigheter
b)CAP: Utbetalande organ och revisionsmyndigheter
c)RRF: Samordnings- och genomförandeorgan och revisionsmyn- digheter
d)Andra myndigheter som är involverade i genomförandet av BAR och EGF.
I punkt 2 i stadgan anges att ESI-fondernas programmyndigheter godtar att införliva riskvärderingsverktyget Arachne som en av sina åtgärder för att motverka bedrägerier enligt bland annat CPR, att samordnings- och genomförandeorganen för RRF gör motsvarande enligt kraven i RRF-förordningen och att utbetalande organ för CAP gör detta enligt CAP-förordningen. Av punkt 3 i stadgan framgår att programmyndigheterna som får tillgång till resultaten av Arachnes riskberäkningar bara ska använda dessa för förvaltningskontroller (management verifications), kontroller (controls) och revisioner (audits). Resultaten ska inte användas för personliga intressen eller några andra ändamål. Dessa skrivningar talar för att kretsen som använder Arachne bör begränsas till dem som verkligen har behov av verktyget i sin handläggning eller sitt kontrollarbete.
Även punkt 10 ger vägledning, där det talas om skyldigheter för förvaltande myndigheter att vidta åtgärder enligt CPR och motsva- rande för samordnings- och genomförandeorganen för RRF enligt RRF-förordningen och utbetalande organ enligt CAP-förordningen. Det sägs också att efter officiella instruktioner från dessa myndig-
102
SOU 2025:112 | Användande av Arachne som verktyg |
heter kommer kommissionen att ge lokala administratörsrättigheter till utsedda användare. De lokala administratörerna ska ha rätt att bevilja tillgång till Arachne för lokala användare hos förvaltande myn- digheter, attesterande myndigheter, revisionsmyndigheter och för- medlande organ för ESI-fonderna, samordnings- och genomförande- organ för RRF, utbetalande organ för CAP och andra myndigheter som är involverade i genomförandet av BAR och EGF. Den lokala administratören ska säkerställa att de som begär tillgång till systemet verkligen är en del av förvaltningen och kontrollen av det aktuella programmet.
Nedan görs mot denna bakgrund en genomgång av myndigheter i Sverige som bedöms kunna ha användning av Arachne som ett led i att uppfylla målet i budgetförordningen att motverka oriktigheter och som har någon roll i att avgöra vem som ska ta emot stöd eller i att i efterhand vidta kontroller av utbetalade stöd.
Som nämns ovan lämnar inte utredningen någon uttömmande upp- räkning av vilka myndigheter som kan komma att använda Arachne. Utredningen gör dock övergripande bedömningar om vilka slags myndigheter det bör vara fråga om. Utifrån dessa bedömningar bör det gå att dra slutsatser om det finns anledning för olika myndig- heter att använda Arachne, utifrån de uppgifter de har och eventu- ellt kan komma att få. Utredningen fokuserar särskilt på vissa myndig- heter som bedöms vara särskilt centrala för en användning av Arachne. Dessa myndigheter bedöms också sannolikt vara aktuella för att delta i genomförandet av EU:s budget även under kommande program- period och har varierande roller i budgetgenomförandet.
5.3.2Myndigheter som hanterar EU-medel genom delad förvaltning
Förvaltande myndigheter och utbetalande organ är myndigheter som på nationell nivå ansvarar för att EU-medel hanteras på rätt sätt och därmed har särskilda skyldigheter att skydda EU:s budget, som Arachne är ett stödjande system för. Därmed förväntas dessa myndigheter ha nytta av att använda systemet. I det här betänkan- det väljer utredningen att utgå från nu gällande fördelning av ansvar för medel och fonder.
Som beskrivs i avsnitt 3.5 förvaltar främst följande svenska myn- digheter i dag EU-medel genom delad förvaltning: Jordbruksverket,
103
Användande av Arachne som verktyg | SOU 2025:112 |
Migrationsverket, Polismyndigheten, Svenska ESF-rådet, Tillväxt- verket samt länsstyrelserna i Jämtlands, Västerbottens och Norr- bottens län. Vad som kommer att gälla för den programperiod som börjar 2028 står dock inte klart. Enligt utredningen tyder för när- varande inget på något annat än att dessa åtta myndigheter kommer att vara förvaltande myndigheter och utbetalande organ avseende EU-fonder även under kommande programperiod.
Flera myndigheter har delegerats uppgifter från förvaltande myn- digheter. Jordbruksverket har till exempel delegerat uppgifter som handläggning och kontroll av ersättningsanspråk till länsstyrelserna, Skogsstyrelsen och Sametinget. Det förhållandet att ansvaret ligger kvar på Jordbruksverket skulle kunna tala för att dessa myndigheter (så kallade delegerade organ) i den egenskapen inte skulle behöva eller ha anledning att använda Arachne. Som utredningen uppfattar saken kan dock dessa myndigheter ha en sådan självständig roll i be- sluten om ersättning att de skulle ha nytta av att använda Arachne i sin handläggning.
Som annat exempel kan nämnas att Havs- och vattenmyndigheten är förmedlande organ för havs-, fiskeri- och vattenbruksprogrammet. Myndigheten bedöms i denna roll ha nytta av att använda Arachne.
5.3.3Myndigheter som hanterar medel genom direkt förvaltning tillsammans med medlemsstaterna
Inom förvaltningsformen direkt förvaltning förvaltar kommissio- nen på egen hand EU-fonder. Det innebär som huvudregel att i de fallen har medlemsstaterna och deras myndigheter inte skäl att an- vända Arachne.
RRF förvaltas dock genom direkt förvaltning tillsammans med medlemsstaterna. De 62 genomförandemyndigheterna för RRF be- står av tio rapporterande myndigheter, samtliga länsstyrelser och
31 lärosäten. De tio rapporterande myndigheterna är Boverket, Myn- digheten för digital förvaltning, Myndigheten för yrkeshögskolan, Naturvårdsverket, Post- och telestyrelsen, Skolverket, Socialstyrel- sen, Statens energimyndighet, Trafikverket samt Universitetskans- lersämbetet (se vidare avsnitt 3.5.4 och tabell 3.3). Det kan nämnas att regeringen har gett dessa tio myndigheter i uppdrag att besvara ett antal frågor som avser deras eventuella användning av Arachne. Regeringsuppdragen redovisades i slutet av 2024. Myndigheterna
104
SOU 2025:112 | Användande av Arachne som verktyg |
har analyserat hur de kan använda Arachne och redogjort för sin syn på de rättsliga förutsättningarna att använda Arachne, utifrån respektive myndighets reglering.
Länsstyrelserna ansvarar för handläggning, beslutsfattande och uppföljning till exempel avseende stöd som Boverket har ett särskilt ansvar för.
Svaret på frågan i vilken mån som genomförandemyndigheterna kan ha anledning att använda Arachne är delvis beroende av om res- pektive myndighet kan sägas ha någon roll i att avgöra vem som ska ta emot stöd eller i att i efterhand vidta kontroller av utbetalade stöd. Som utredningen uppfattar det kan förhållandena se olika ut inom ramen för olika åtgärder inom RRF och saken bör bedömas från fall till fall.
I allmänhet bör de rapporterande myndigheterna ha en sådan roll att de kan ha anledning att använda Arachne. Detsamma gäller läns- styrelserna. Utredningen har inte identifierat behov för lärosätena att använda Arachne inom ramen för RRF.
Det bör observeras att Arachne kan sägas ha en endast begränsad användningstid avseende RRF-medel, eftersom reformer och investe- ringar från RRF-medlen ska ha genomförts till den 31 augusti 2026 och utbetalningar till den 31 december samma år. Från och med 2027 kommer det därför endast bli fråga om ett användande för kontrol- ler ex post.
Det kan inte uteslutas att det framöver tillkommer andra EU-fon- der som har en liknande särskild förvaltningsform. Även de myn- digheter som förvaltar dessa fonder kan då få anledning att använda Arachne.
5.3.4Ekonomistyrningsverket
Som utsedd revisionsmyndighet ansvarar ESV för att granska att myn- digheter hanterar EU-medel i enlighet med både EU:s och Sveriges regelverk. ESV gör detta genom att granska både hur myndigheterna förvaltar fonderna och att utbetalningar för enskilda projekt och in- satser är korrekta. ESV ska också granska genomförandet av den svenska återhämtningsplanen inom ramen för RRF.
Med anledning av sina uppdrag bedömer utredningen att ESV har skäl att använda Arachne, till exempel vid sina revisioner.
105
Användande av Arachne som verktyg | SOU 2025:112 |
5.3.5Ekobrottsmyndigheten och Polismyndigheten
Ekobrottsmyndigheten och Polismyndigheten är brottsbekämpande myndigheter och det är av stort intresse för dessa aktörer att det finns effektiva system som motverkar felaktiga utbetalningar och bedräge- rier. Det kan dock nämnas att Eppo är EU:s oberoende åklagarmyn- dighet som ska skydda EU:s budget och väcka talan när det gäller brott som skadar EU:s ekonomiska intressen, och brottsanmälan kan göras direkt till Eppo. Eppo utreder och lagför brott och fungerar som åklagare vid de behöriga domstolarna i de medlemsländer som deltar i det fördjupade samarbetet om Eppo.
Frågan kan ställas om Ekobrottsmyndigheten och Polismyndig- heten har skäl att använda Arachne. Artikel 36.7 andra stycket i bud- getförordningen anger vilka aktörer som åtkomsten till uppgifter i Arachne ska begränsas till. Den bestämmelsen nämner inte nationella brottsbekämpande myndigheter. Av Arachne-stadgan framgår att rätt till åtkomst bara får ges till den som är en del av förvaltnings- eller kontrollsystemet avseende ett program, se punkt 10. Motsvarande framgår också av kommissionens frågor och svar om Arachne, där en fråga avser huruvida myndigheter som inte är direkt involverade i ge- nomförandet av vissa fonder men deltar i kontroll eller revision av fondmedlen kan få tillgång till Arachne. Frågan exemplifierades med brottsbekämpande myndigheter och överordnad revisionsmyndighet (Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 2).
Utredningen bedömer därför, som nu gällande regelverk ser ut, att varken Ekobrottsmyndigheten eller Polismyndigheten i sin brotts- bekämpande roll tillhör de myndigheter som kan komma att få till- gång till och använda Arachne. Även om det skulle kunna finnas ett stort intresse för myndigheterna att få direkt tillgång till uppgifter i Arachne har de inte rätt till åtkomst till systemet.
En eventuell framtida möjlighet till användning är inte helt ute- sluten.
I vilken mån som uppgifter kan lämnas över till de brottsbekäm- pande myndigheterna från andra myndigheter som använder Arachne får bedömas från fall till fall utifrån regelverken om sekretess och dataskydd, och utreds inte närmare här.
106
SOU 2025:112 | Användande av Arachne som verktyg |
5.3.6Departement som behörig eller samordnande myndighet
Landsbygds- och infrastrukturdepartementet har en roll som behö- rig myndighet enligt förordningen (2022:1826) om EU:s gemen- samma jordbrukspolitik. Departementet har i den rollen som uppgift att bland annat övervaka att Jordbruksverket sköter sina uppgifter av- seende jordbruksfonderna. För detta tar departementet del av bland annat ESV:s rapporter. Departementets kontrollarbete sker enligt utredningens mening inte på en sådan nivå att departementet har skäl att bedöma enskilda projekt genom en användning av Arachne. Rollen som behörig myndighet medför inte heller sådana uppgifter som ger skäl att använda Arachne.
Inte heller Finansdepartementets roll som samordnande myndig- het för genomförandet av återhämtningsplanen inom ramen för RRF innebär något behov att använda Arachne.
Utredningen har således inte funnit skäl för Regeringskansliet att i dag eller enligt gällande regelverk och kontrollstruktur använda Arachne. Framtida förändringar i departementens roller eller i regler- ingen om tillgång till Arachne kan medföra en annan bedömning.
5.3.7Slutsatser om vilka myndigheter som kan komma att använda Arachne
Sammanfattningsvis bedömer utredningen att följande slags myndig- heter kan komma att använda Arachne.
•De myndigheter som deltar i genomförandet av budgeten inom ramen för delad förvaltning och därvid har någon roll i tilldelning av medel eller kontroll av utbetalda medel.
•De myndigheter som inom ramen för RRF deltar i genomföran- det av budgeten och därvid har någon roll i tilldelning av medel eller kontroll av utbetalda medel, samt de myndigheter som i framtiden eventuellt kommer att på det sättet förvalta EU-fonder med en liknande förvaltningsform, det vill säga genom direkt för- valtning tillsammans med medlemsstaterna.
•De myndigheter som har i uppgift att i efterhand genomföra granskningar eller revisioner av utbetalade stöd, såsom ESV i egenskap av revisionsmyndighet.
107
Användande av Arachne som verktyg | SOU 2025:112 |
5.4Åtkomst till uppgifter vid användande av Arachne
5.4.1Uppdraget i denna del
Utredningens uppdrag i denna del beskrivs så att utredaren ska kart- lägga och beskriva vilken typ av åtkomst de aktuella myndigheterna, vid användning av Arachne, skulle få till uppgifter i Arachne när dessa används som ett led i handläggningen av ärenden eller vid kontroll- åtgärder, med beaktande av eventuella begränsningar avseende vilka sökningar som får göras i systemet eller för vilka ändamål personupp- giftsbehandling får ske. När det gäller uppdraget att beskriva typ av åtkomst uppfattar utredningen det så att det avser vilka slags uppgif- ter myndigheterna skulle få tillgång till.
För att kunna avgöra vilken åtkomst till uppgifter som svenska myndigheter skulle få vid en användning av Arachne är det lämpligt att först klarlägga vilka uppgifter det totalt sett finns inom systemet. Därefter bör det analyseras om svenska myndigheter har åtkomst till denna totala uppgiftsmängd, eller om användarbegränsningar och liknande skulle begränsa åtkomsten.
Det bör noteras att det nu är fråga om svenska myndigheters till- gång till uppgifter vid användning av Arachne. Även avsnitt 4.8 be- handlar frågor om åtkomst till uppgifter men där behandlas uppdra- get som rör åtkomst som andra aktörer kan få till uppgifter som svenska myndigheter lämnar. Båda avsnitten berör i stor utsträck- ning samma bestämmelser i budgetförordningen och information i andra relevanta källor.
5.4.2Vilka uppgifter finns totalt sett i Arachne?
Arachne innehåller uppgifter med olika ursprung
Uppgifterna i Arachne består i dagsläget av både så kallade interna data och externa data. Det interna datainnehållet består av data från de deltagande medlemsstaterna och från kommissionen. Vidare inne- håller Arachne externa data från olika kommersiella databaser, näm- ligen Orbis och World Compliance.
108
SOU 2025:112 | Användande av Arachne som verktyg |
Uppgifter från medlemsstaterna
Till att börja med innehåller Arachne data från medlemsstaterna om beviljade medel. Det framgår av punkt 11 i Arachne-stadgan att pro- grammyndigheterna ska ombesörja överföring av data i enlighet med kraven i Arachne och enligt specifikation i vissa angivna sektorsspeci- fika förordningar. Det ska ske i XML-format, på regelbunden basis, minst var tredje månad. I punkten anges också att programmyndig- heterna på frivillig basis får utöka mängden datafält och därmed över- föra ytterligare data till Arachne.
Användningen är i dag frivillig och det är först genom artikel 36.6 i budgetförordningen som det kan sägas beredas väg för ett mer struk- turerat uppgiftslämnande och därmed strukturerat införande av upp- gifter i Arachne. Uppgifterna i Arachne från medlemsstaterna är i dag därmed inte på något sätt heltäckande.
Som utredningen uppfattar det är avsikten att uppgiftslämnandet när det gäller beviljade medel framöver ska ske i form av tillgängliggörande av uppgifter till kommissionen i enlighet med artikel 36.6 i budgetförordningen (se avsnitt 4.4.5). Arachne kommer då att innehålla de uppgifter som medlemsstaterna tillgäng- liggör, både rättsligt obligatoriska och frivilliga uppgifter. Vilken in- formation som är obligatorisk att lämna enligt artikel 36.6 varierar i viss mån på grund av de olika sektorsspecifika regelverken, på det sätt som framgår av tabell 4.1.
I tabell 4.1 saknas hänvisningar till RRF, eftersom artikel 36.6 inte medför någon skyldighet att tillgängliggöra uppgifter enligt det regelverket då reformer och investeringar från RRF-medlen ska ha genomförts innan skyldigheterna i artikel 36.6 ska börja tillämpas. Uppgifter som medlemsstaterna ska registrera och lagra enligt RRF- förordningen skulle kunna finnas eller föras in i Arachne på frivillig basis, det vill säga även om en sådan skyldighet inte finns. De upp- gifterna framgår nedan av tabell 5.1. Beträffande RRF kan det också vara aktuellt att utföra kontroller i efterhand och det kan då vara relevant att använda Arachne.
109
Användande av Arachne som verktygSOU 2025:112
Tabell 5.1 | Krav på lagring i RRF i förhållande till kraven |
| |
| på tillgängliggörande i budgetförordningen |
| |
| Med angivande av artiklar i budgetförordningen och RRF |
| |
|
|
|
|
Uppgift |
| BF | RRF |
|
|
|
|
Om mottagaren |
|
|
|
Om mottagaren är en fysisk eller juridisk person | 36.6.a + |
| |
|
| 38.2 a |
|
Mottagarens namn och, för juridisk person, | 36.6.a |
| |
unik identifieringskod | + | 22.2 d(i) | |
|
| 38.2 b och 38.6 2 st | 25a.2 a–b |
Födelsedatum för fysisk person
Var mottagaren finns, det vill säga i) mottagarens adress, om mottagaren är en juridisk person, ii) regi- onen på Nuts 2-nivå, om mottagaren är en fysisk person med hemvist i unionen, eller landet, om mottagaren är en fysisk person och inte har hemvist i unionen
Om åtgärden
Det belopp för vilket ett åtagande gjorts och, om det rör sig om ett åtagande med flera mottagare, fördel- ningen av detta belopp per mottagare, om den finns tillgänglig
Åtgärdens art och ändamål
36.6.a
36.6.a
+
38.2c
36.6b
+22.2 d(iv)
38.2 d |
| 25a.2 c |
36.6b
+
38.2e
Insatsens unika identifieringskod | 36.6 b |
|
Om verklig huvudman |
|
|
|
|
|
Om mottagarens verkliga huvudmän när mottagaren |
|
|
inte är en fysisk person: förnamn, efternamn, födelse- |
|
|
datum, och registreringsnummer för mervärdesskatt |
|
|
eller skatteregistreringsnummer om sådana finns, |
|
|
eller en annan unik identifieringskod på landsnivå | 36.6 c | 22.2d(iii) |
Källa: Egen sammanställning.
Den information som kan lämnas på frivillig basis är begränsad till de förangivna datafält som finns tillgängliga för överföring och mot- svarar till viss del de typer av uppgifter som anges i artikel 36.6. Se avsnitt 4.5.1 närmare om detta. Till de frivilliga uppgifter som med- lemsländerna kan lämna hör uppgifter om ”related people”, vilket kan översättas med anknutna personer. Det kan handla om perso- ner som är anställda hos myndigheter som prövar ansökningar om stöd. Uppgifter om sådana personer kan användas i Arachne för att göra riskvärderingar.
110
SOU 2025:112 | Användande av Arachne som verktyg |
Det kan i sammanhanget nämnas att sådana uppgifter som använ- dare laddar upp i Arachne inom ramen för den så kallade förhands- funktionen inte tillförs Arachne på ett sådant sätt att de ligger till grund för andra användares riskvärderingar. Gjorda riskvärderingar inom ramen för förhandsfunktionen blir dock tillgängliga också för medarbetare som har samma behörighet som användaren (se av- snitt 5.2.1).
Sammanfattningsvis innehåller Arachne den information som har lämnats av medlemsländerna. Från och med 2028 kommer det att handla om dels den information som medlemsländerna måste lämna enligt artikel 36.6 i budgetförordningen, dels den informa- tion som medlemsländerna lämnar på frivillig basis.
Uppgifter från kommissionen
Arachne omfattar också data från FTS (the Financial Transparency System), som innehåller uppgifter om mottagare av medel som lämnas av kommissionen när det gäller fonder som är föremål för indirekt och direkt förvaltning samt den europeiska utvecklingsfonden (EUF, på engelska the European Development Fund). Den sistnämnda fon- den har varit ett instrument för att finansiera utvecklingssamarbete med länder i Afrika, Västindien och Stillahavsområdet samt utom- europeiska länder och territorier.
Arachne innehåller också information från kommissionens system för utbyte av information om mervärdesskatt. Systemet kallas VIES, vilket är en förkortning för VAT Information Exchange System.
Genom VIES är det möjligt att kontrollera om ett momsregistre- ringsnummer är giltigt. VIES är inte en databas utan ett sökverktyg och vid sökning i VIES hämtas uppgifterna från nationella moms- databaser.
VIES skickar en förfrågan om registreringsnummer till den rele- vanta nationella databasen för att kontrollera om numret finns regi- strerat där. Om så är fallet meddelar VIES att numret är giltigt, annars att det är ogiltigt. VIES informerar bara om ett registreringsnum- mers giltighet vid tidpunkten för kontrollen. Beroende på landets dataskyddsregler visas eventuellt också näringsidkarens namn och adress så som de är angivna i den nationella databasen (se lagråds-
111
Användande av Arachne som verktyg | SOU 2025:112 |
remissen Åtgärder mot mervärdesskattebedrägerier, lämnad till Lag- rådet den 9 oktober 2025, s. 21).
Uppgifter från databasen Orbis
Orbis är en global kommersiell databas som innehåller information om cirka 550 miljoner företag. Informationen avser bland annat fi- nansiell information som omsättning och solvensgrad samt indika- torer som rör finansiell trovärdighet och konkursrisk. Databasen innehåller vidare information om cirka 450 miljoner personer, ex- empelvis ägare och styrelseledamöter, och omfattar uppgifter om namn, födelsedatum samt funktioner och under vilka perioder per- sonerna innehaft funktionerna. Det går också att se vilka kopplingar som finns mellan olika bolag och olika personer. Exempelvis går det att se hur många bolag en person har koppling till. Databasen inne- håller även historiska data.
Information i Orbis härrör från offentlig information såsom års- redovisningar och balansräkningar som har lämnats in till myndig- heter. Detaljnivån på uppgifterna varierar mellan olika länder och beroende på företagens storlek. Databasen uppdateras i Arachne var tredje månad. Alla data i Orbis är i dag tillgängliga för sökningar i Arachne. I framtiden är – som utredningen uppfattat det – avsikten att data i Orbis endast ska vara tillgängliga för användare beträffande sådana projekt som användaren hanterar.
Uppgifter från databasen World Compliance
Databasen bygger på uppgifter från olika källor
Arachne innehåller också uppgifter från databasen World Comp- liance, som tillhandahålls kommersiellt av LexisNexis Risk Solu- tions, Inc. I databasen samlas, aggregeras och centraliseras cirka 2,5 miljoner profiler från olika källor. Källorna härrör från myndig- heter i olika länder, med undantag för information om negativ pub- licitet, se nedan. Databasen uppdateras i Arachne var tredje månad. Denna databas kan sägas innehålla känsligare information än Orbis.
112
SOU 2025:112 | Användande av Arachne som verktyg |
PEP – politiskt utsatta personer
Databasen World Compliance innehåller uppgifter om personer med så kallad PEP-status. PEP är en förkortning för Politically Exposed Persons, på svenska ofta kallade personer i politiskt utsatt ställning. Begreppet definieras i 1 kap. 8 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) som en fysisk person som har eller har haft en viktig offentlig funktion i en stat eller i en internationell organisation (definitionen har sitt ursprung i det EU-rättsliga regelverket mot penningtvätt, se prop. 2008/09:70 s. 183).
Databasen innehåller också information om de politiskt utsatta personernas familjemedlemmar och nära medarbetare.
Sanktionslistor och verkställighetslistor
Databasen innehåller vidare uppgifter om sanktioner och samlar in information från flera sanktionslistor över hela världen, bland annat från EU och FN. Det kan exempelvis handla om en myndighets lista på företag som brutit mot upphandlingsregler.
Dessutom innehåller databasen vad som på engelska kallas en Enforcement List, vilket kan översättas till en verkställighetslista. Den innehåller uppgifter från material från myndigheter över hela världen som avser exempelvis varningar och åtgärder som har vid- tagits mot individer och företag. Det handlar bland annat om EU:s terroristförteckning och underlag från Interpol och amerikanska FBI.
Negativ publicitet
Databasen innehåller också information om så kallad Adverse Media, vilket kan översättas med negativ publicitet. I detta avseende omfattar World Compliance en egen databas med profiler som i nyhetsmedia har länkats till olaglig verksamhet från över 30 000 flöden över hela världen.
113
Användande av Arachne som verktyg | SOU 2025:112 |
Hur information från databasen erhålls
Det går inte att söka på enskilda personer eller företag för att se om information om dem finns på de olika listorna. Om en person eller ett företag är involverat i ett projekt som en myndighet hanterar framgår det i riskvärderingar som görs genom Arachne. Det finns riskindikatorer som tar sikte på förekomst i de olika listorna som ingår i databasen. Förekommer en person eller ett företag exempel- vis i en artikel som ingår i databasen om negativ publicitet får myn- digheten tillgång till den artikeln.
Gjorda riskvärderingar sparas i Arachne
Ett uppgiftsslag som finns i Arachne och som är centralt i detta betän- kande är så kallade riskvärderingar (se om begreppet i avsnitt 5.2.1).
Enligt utredningen får i begreppet anses ingå både de ”poäng” eller värden som en viss aktör får beträffande en viss riskindikator samt den bakomliggande informationen som ligger till grund för vär- deringen. Det innebär att den information som en användare får del av om kopplingar till andra bolag samt om de bolag och personer som berörs ingår, liksom den information som nås via länkar till externa källor. Även information från databaserna Orbis och World Comp- liance kan alltså ingå i riskvärderingen.
Arachne, som det fungerar för närvarande, gör löpande vecko- visa riskvärderingar för pågående projekt. Även de historiska resul- taten av gjorda riskvärderingar sparas i Arachne. Det innebär att det går att ta fram information om vilka riskerna var beträffande ett visst projekt vid en viss tidpunkt i det förflutna, något som kan vara an- vändbart exempelvis vid efterhandskontroller.
Även gjorda riskvärderingar inom ramen för den så kallade för- handsfunktionen sparas i Arachne, men åtkomsten till dem är mer begränsad.
114
SOU 2025:112 | Användande av Arachne som verktyg |
5.4.3Vilka begränsningar i åtkomsten ställs upp?
Begränsningar som avser dataskyddsregelverket
Artikel 36.7 andra stycket i budgetförordningen innehåller bestäm- melser som begränsar åtkomsten till uppgifter i Arachne. Där anges till att börja med att åtkomsten till de uppgifter som behandlas av Arachne ska överensstämma med tillämpliga dataskyddsregler. Vidare anges att åtkomsten ska respektera principerna om nödvändighet och proportionalitet. Här kan frågan ställas om därmed avses något annat än dessa principer inom dataskyddsregelverket. Ordet nödvändig används i anslutning till flera av de rättsliga grunderna i artikel 6 i EU:s dataskyddsförordning3, här benämnd dataskyddsförordningen. En behandling ska exempelvis enligt artikel 6.1 c vara nödvändig för att fullgöra en rättslig förpliktelse. Flera av dataskyddsförordningens bestämmelser innebär också krav på proportionalitet, se exempelvis artiklarna 6.3 och 35.7 om konsekvensbedömning. Utredningen gör bedömningen att det som sägs i artikel 36.7 andra stycket i budget- förordningen tar sikte på principerna om nödvändighet och propor- tionalitet inom ramen för dataskyddsregelverket och alltså inte har någon därutöver självständig betydelse.
Dataskyddsregelverket kan sägas innebära generella begränsningar i åtkomsten till uppgifter i Arachne. Exempelvis finns det ett förbud i svensk rätt mot sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förenligheten med dataskydds- regelverket vid en användning av Arachne behandlas i avsnitt 8.5.8.
Begränsningar som tar sikte på vissa mottagare
Vissa mottagare pekas ut i artikel 36.7 i budgetförordningen
Förutom de ovan nämnda hänvisningarna till dataskyddsregelverket anges i artikel 36.7 andra stycket också att åtkomsten till uppgifter i Arachne ska begränsas till vissa typer av mottagare. Bland dem som åtkomsten ska begränsas till, såvitt berör svenska aktörer, är de med- lemsstater som genomför budgeten med delad förvaltning (enligt arti- kel 62.1 första stycket b) och de medlemsstater som tar emot och
3Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
115
Användande av Arachne som verktyg | SOU 2025:112 |
genomför unionsmedel vid direkt förvaltning (enligt artikel 62.1 första stycket a).
Utredningen konstaterar därför att medlemsländer som förval- tar EU-medel med delad förvaltning tillhör de som kan få ta del av uppgifter i Arachne. Även medlemsländer som tillsammans med kommissionen hanterar EU-medel vid direkt förvaltning kan ta del av uppgifterna, vilket har betydelse för RRF.
Användare har i allmänhet begränsad behörighet till uppgifter som kommer från andra medlemsländer
Användare av Arachne har bara tillgång till de uppgifter för vilka de har fått behörighet av en lokal administratör. Av Arachne-stadgan framgår att rätt till åtkomst till Arachne bara får ges till den som är en del av förvaltnings- eller kontrollsystemet avseende ett program, se punkt 10. Motsvarande framgår också av frågor och svar om Arachne (Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 2). Svenska myndigheter som använder Arachne kommer alltså inte att ha obegränsad tillgång till uppgifter som laddas upp av andra medlemsstater.
Myndigheterna kan, i vissa fall, få en begränsad tillgång till ytter- ligare uppgifter från andra medlemsstater genom Arachne. Om ett företag är involverat i flera projekt som genomförs i olika medlems- stater kommer myndigheterna från varje medlemsstat att kunna ta del av vissa begränsade data från den andra medlemsstaten med hjälp av vissa riskindikatorer (Arachne, Frequently asked questions, ver- sion 2.3, den 19 augusti 2022, fråga 9).
Så som Arachne fungerar i dag har användare obegränsad tillgång och möjlighet att söka i den externa databasen Orbis. Detta är av- sett att ändras i den kommande version som kallas Arachne+ på så sätt att information från den externa databasen endast kommer att vara tillgänglig för användare i de fall ett visst företag eller en viss person förekommer i ett projekt beträffande vilket användaren har rätt att få information. När det gäller den externa databasen World Compliance har användare inte direkt tillgång till den, utan endast via riskvärderingar som avser egna projekt (se avsnitt 5.4.2).
116
SOU 2025:112 | Användande av Arachne som verktyg |
Sammanfattande slutsatser om begränsningar i åtkomsten
Dataskyddsregelverket kan sägas innebära generella begränsningar i åtkomsten till uppgifter i Arachne. Det finns vidare begränsningar som tar sikte på att vissa användare endast ska få tillgång till vissa uppgifter i Arachne. Det finns vissa oklarheter när det gäller vilka användare som får vilken tillgång och hur detta kommer att se ut efter 2028. Detta beror bland annat på att det är lokala administra- törer som fördelar behörigheterna. Det beror också på att det ännu finns oklarheter om hur systemet kommer att vara utformat. Det framstår som naturligt att Arachne kommer att innehålla tekniska sökbegränsningar som innebär att användare inte får tillgång till annat än vad de har rätt att få del av. Det följer av dataskyddsregel- verkets princip om uppgiftsminimering att tillgången till person- uppgifter inte ska vara för omfattande i förhållande till de ändamål för vilka de behandlas. Av principen om ändamålsbegränsning följer att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (se vidare avsnitt 7.2). Det är dock ännu oklart exakt hur sökbegränsningarna kommer att se ut i kommande version av Arachne och i vilken mån det kommer att vara möjligt för användare att få tillgång till uppgifter som de inte har rätt att behandla.
117
6Användande av Edes som verktyg
6.1Utredningens uppdrag
Tillämpningen av Edes-regelverket kommer att bli obligatorisk från och med den 1 januari 2028 även när svenska myndigheter deltar i genomförandet av EU:s budget, bland annat vid delad förvaltning. Utredningen behöver därför ta ställning till vad ett användande av Edes-databasen skulle innebära, bland annat när det gäller vilka myn- digheter som skulle kunna komma att konsultera databasen och vilka uppgifter de därvid skulle få tillgång till.
Utredningens uppdrag som behandlas i detta kapitel är att be- skriva vilka myndigheter som kan komma att använda Edes-data- basen samt kartlägga och beskriva vilken typ av åtkomst de aktuella myndigheterna skulle få till uppgifter i Edes-databasen, när dessa används som ett led i handläggningen av ärenden eller vid kontroll- åtgärder, med beaktande av eventuella begränsningar avseende vilka sökningar som får göras i systemet eller för vilka ändamål personupp- giftsbehandling får ske. Utredningen har också i uppdrag att bedöma vilka skyldigheter som berörda myndigheter skulle få inom ramen för Edes. Detta sker delvis i detta kapitel.
I kapitel 4 berörs utredningens uppdrag som omfattar uppgifts- lämnande och utredningen gör där bedömningen att Edes inte med- för något nytt krav på tillgängliggörande av uppgifter. I kapitel 7 behandlas regleringen om offentlighet, sekretess och dataskydd som bland annat styr användningen av Edes och innebär skyldigheter för berörda myndigheter vid en användning av verktyget. I avsnitt 8.6 görs överväganden om behovet av åtgärder för att svenska myndig- heter ska kunna uppfylla sina skyldigheter inom ramen för Edes.
Det är vid sidan av medlemsländerna och nationella myndigheter många aktörer som vidtar åtgärder inom ramen för Edes, exempel-
119
Användande av Edes som verktyg | SOU 2025:112 |
vis så kallade utanordnare vid kommissionen. Det finns vidare vissa skyldigheter som medlemsstaterna har inom ramen för Edes som ligger utanför utredningens uppdrag. Det handlar exempelvis om att medlemsländer är skyldiga att se till att betalningsansökningar som avser en person eller enhet som befinner sig i en uteslutnings- situation inte lämnas in till kommissionen för ersättning (artikel 138.2 tredje stycket i budgetförordningen). Det finns alltså flera frågor, som rör Edes, men som utredningen inte behandlar närmare i detta betänkande.
6.2Närmare om Edes
6.2.1Syftet med Edes
Det övergripande syftet med Edes är att skydda unionens ekono- miska intressen. Edes syftar till att göra det lättare att tidigt upp- täcka personer eller enheter som är ett hot mot unionens ekono- miska intressen, att utesluta personer eller enheter från att ta del av EU-medel och att ålägga ekonomiska sanktioner mot mottagare av EU-medel som befinner sig i en uteslutningssituation (artikel 137.1 i budgetförordningen).
6.2.2Det finns oklarheter gällande regleringen av Edes
Under arbetet med detta betänkande har flera frågor uppkommit rörande Edes som gäller tolkningen av vissa bestämmelser i budget- förordningen och hur systemet är tänkt att fungera från och med 2028. Utredningen har ställt frågor om detta till det så kallade Edes- teamet vid kommissionen, som dock har förklarat att de inte kan besvara frågorna, med hänvisning till att de är i ett tidigt stadium när det gäller att utveckla strategier och processer för det kommande systemet, som också ska vara tillämpligt på delad förvaltning.1 De har också angett att etablerandet av det kommande systemet kan leda till förändringar i det befintliga systemet. Enligt dem är det inte heller meningsfullt för dem att ge utredningen information om det befint- liga systemet eftersom det kan komma att förändras. När de har ut- format strategier och processer planerar de att ta kontakt med intres-
1Komm2025/00388-7 och Komm2025/00388-8.
120
SOU 2025:112 | Användande av Edes som verktyg |
senterna med information om hur systemet kommer att fungera. Mot denna bakgrund finns det alltså vissa oklarheter när det gäller Edes som inte har kunnat klargöras under arbetet med denna utred- ning. Beskrivningarna och bedömningarna som tar sikte på Edes utgår därmed från vad som i dag är känt för utredningen.
6.2.3Uteslutningssituationerna
En funktion inom ramen för Edes är möjligheten att utesluta perso- ner eller enheter från att delta i förfaranden för tilldelning av EU- medel eller från att genomföra unionsmedel2, om de befinner sig i en eller flera så kallade uteslutningssituationer. Dessa beskrivs i arti- kel 138.1 i budgetförordningen och redogörs i det följande för i något förenklad form. De punkter som är i kursiv stil är av särskilt intresse för Sverige, då de gäller vid så kallad partiell tillämpning (se vidare nedan).
a)Personen eller enheten befinner sig i konkurs eller är föremål för insolvens- eller likvidationsförfaranden, är föremål för tvångs- förvaltning och vissa liknande situationer.
b)Personen eller enheten har underlåtit att betala skatter eller social- försäkringsavgifter.
c)Det har genom en slutgiltig dom eller ett slutgiltigt administra- tivt beslut fastställts att personen eller enheten har gjort sig skyl- dig till ett allvarligt fel i yrkesutövningen, och särskilt genom att
i)på ett bedrägligt sätt eller genom oaktsamhet lämna vilse- ledande uppgifter som vissa underlag,
ii)ingå en överenskommelse med andra personer eller en- heter i syfte att snedvrida konkurrensen,
iii)göra intrång i immateriella rättigheter,
2I flera artiklar och skäl i den svenska versionen av budgetförordningen har uttrycket ”the implementation of Union funds” översatts med ”förvaltningen av unionsmedel” (i olika gram- matiska former). På tyska används uttrycket ”Ausführung von Unionsmitteln”. Enligt utred- ningen framstår det som mer korrekt att på svenska beskriva detta som ”genomförandet av unionsmedel”. Se exempelvis artiklarna 62.1 första stycket c ix och 152.8 samt skäl 51. Utred- ningen använder därför begreppet ”genomförande” av unionsmedel när det i den engelska versionen handlar om ”implementation” av sådana medel.
121
Användande av Edes som verktyg | SOU 2025:112 |
iv)otillbörligt påverka eller försöka att otillbörligt påverka beslutsprocessen för att få tillgång till unionsmedel genom att lämna oriktiga uppgifter och därigenom dra nytta av en intresse- konflikt,
v)försöka erhålla konfidentiella uppgifter som kan ge otill- börliga fördelar under förfarandet för tilldelning,
vi)uppmana till diskriminering, hat eller våld mot en grupp av personer eller mot en medlem av en grupp, eller liknande verksamhet, om sådana fel har en inverkan på personens eller enhetens integritet som negativt påverkar eller konkret ris- kerar att påverka fullgörandet av det rättsliga åtagandet.
d)Det har genom en slutgiltig dom fastställts att personen eller enheten gjort sig skyldig till något av följande:
i)Bedrägeri
ii)Korruption
iii)Beteende som rör en kriminell organisation
iv)Penningtvätt eller finansiering av terrorism
v)Terroristbrott eller brott med anknytning till terroristverk- samhet, eller anstiftan, medhjälp eller försök till sådana brott
vi)Barnarbete eller andra människohandelsbrott.
e)Personen eller enheten har under genomförandet av ett rättsligt åtagande som finansieras genom budgeten brustit betydligt i full- görandet av sina huvudsakliga skyldigheter, vilket har
i)lett till att ett rättsligt åtagande hävts i förtid,
ii)lett till tillämpning av avtalsviten eller andra kontrakts- enliga sanktioner, eller
iii)upptäckts av en utanordnare, Olaf, revisionsrätten eller Eppo vid kontroller, revisioner eller utredningar.
f)Det har genom en slutgiltig dom eller ett slutgiltigt administra- tivt beslut fastställts att personen eller enheten har gjort sig skyl- dig till oriktigheter i den mening som avses i artikel 1.2 i rådets förordning (EG, Euratom) nr 2988/95 av den 18 december 1995 om skydd av Europeiska gemenskapernas finansiella intressen.
122
SOU 2025:112 | Användande av Edes som verktyg |
g)Det har genom en slutgiltig dom eller ett slutgiltigt administra- tivt beslut fastställts att personen eller enheten har skapat en en- het i en annan jurisdiktion i syfte att kringgå skattemässiga, sociala eller andra rättsliga skyldigheter.
h)Det har genom en slutgiltig dom eller ett slutgiltigt administra- tivt beslut fastställts att en enhet har skapats med den avsikt som avses i led g.
i)Enheten eller personen har avsiktligt och utan godtagbara skäl motsatt sig en utredning, kontroll eller revision som utförts av en utanordnare eller dennes företrädare eller revisor, Olaf, Eppo eller revisionsrätten.
6.2.4Partiell tillämplighet av Edes
När det gäller svenska myndigheters användande av Edes är uteslut- ningssituationerna något färre än den fullständiga uppräkningen ovan. Budgetförordningen föreskriver nämligen vad som kallas en partiell tillämplighet av systemet för uteslutning i vissa fall. Budget- förordningens reglering av detta är enligt utredningens mening inte helt klar.
Enligt artikel 130 i budgetförordningen ska systemet för uteslut- ning tillämpas på unionsmedel som betalas ut inom ramen för delad förvaltning, med avseende på varje person eller enhet som ansöker om eller tar emot dessa unionsmedel, på de villkor som anges i bland annat artikel 138.2. I stället för artikel 138.1 – där uteslutningsgrun- derna anges – ska därmed artikel 138.2 tillämpas när det gäller delad förvaltning. Artikel 138.2 pekar ut endast vissa av situationerna i arti- kel 138.1. Det handlar om punkterna 1 c iv och d, som står i kursi- verad stil ovan.
Även artikel 137 tar upp systemets tillämpning när det gäller olika förvaltningsformer, bland annat delad förvaltning. Enligt artikel 137.2 fjärde stycket ska, när det gäller delad förvaltning, uteslutningssyste- met tillämpas på a) varje person eller enhet som ansöker om finansie- ring inom ramen för ett program med delad förvaltning, som valts ut för sådan finansiering eller som tar emot sådan finansiering, b) en- heter vars kapacitet den person eller enhet som avses i led a avser att anlita, eller underleverantörer till en sådan person eller enhet och
123
Användande av Edes som verktyg | SOU 2025:112 |
c)verkliga huvudmän och eventuella anknutna enheter till den ute- slutna enhet som avses i artikel 138.6.
Vid direkt och indirekt förvaltning är kretsen som systemet ska tillämpas på vidare (artikel 137.2 första stycket).
Det kan noteras att den artikel som tar sikte på partiell tillämp- lighet av Edes (artikel 130) endast behandlar delad förvaltning. En- ligt utredningens mening synes tillämpningen av Edes vara på liknande sätt partiell även när det gäller förvaltningsformen direkt förvaltning tillsammans med medlemsstaterna. Beträffande den förvaltningsformen finns nämligen en särskild reglering i artikel 137.2, som handlar om vilka aktörer Edes ska tillämpas på. Enligt artikel 137.2 första stycket i ska Edes tillämpas på varje person eller enhet som mottar medel, om budgeten genomförs enligt förvaltningsformen direkt förvaltning tillsammans med medlemsstaterna. I dessa fall ska artikel 138.2 till- lämpas. Av artikel 138.2 följer att uteslutningar, när budgeten genom- förs enligt förvaltningsformen direkt förvaltning tillsammans med medlemsstaterna, endast ska ske enligt samma begränsade antal ute- slutningsgrunder som gäller beträffande delad förvaltning. Vidare framgår av övergångsbestämmelserna i artikel 277.1 att skyldigheterna enligt Edes-regelverket ska tillämpas först från och med 2028, både när det gäller delad förvaltning och direkt förvaltning tillsammans med medlemsstaterna.
Utredningen uppfattar det sammanfattningsvis så att den partiella tillämpningen av Edes – som innebär att uteslutning bara kan ske på vissa uteslutningsgrunder – gäller både vid delad förvaltning och vid direkt förvaltning tillsammans med medlemsstaterna. Saken kan ut- tryckas så att tillämpningen av Edes är partiell på detta sätt när med- lemsstater – såsom Sverige – deltar i budgetgenomförandet. Det kan också noteras att förvaltningsformen direkt förvaltning tillsammans med medlemsstaterna inte behandlas i den tidigare budgetförord- ningen på det sätt som sker i den omarbetade budgetförordningen.
6.2.5Beslut om uteslutning, ekonomisk sanktion och offentliggörande
Ett beslut om uteslutning ska fattas av en så kallad behörig utanord- nare, om en person eller enhet befinner sig i någon av de angivna uteslutningssituationerna (artikel 138.1 i budgetförordningen). I de fall uteslutningsgrunden inte baseras på en slutlig dom eller ett admi-
124
SOU 2025:112 | Användande av Edes som verktyg |
nistrativt beslut ska beslutet om uteslutning fattas på grundval av en preliminär bedömning med beaktande av en rekommendation som ska lämnas av en särskild panel (artikel 137 och 145).
I artikel 141 finns bestämmelser om en uteslutnings varaktighet och preskriptionstid. I de fall uteslutningens varaktighet inte har fastställts i en dom eller beslut i en medlemsstat kan uteslutningen gälla i upp till fem år.
Bestämmelser om ekonomiska sanktioner finns i artikel 140. För att uppnå en avskräckande verkan får den behöriga utanordnaren under vissa förutsättningar utfärda en ekonomisk sanktion mot den person eller enhet som befinner sig i en uteslutningssituation. I vissa fall får en ekonomisk sanktion åläggas som ett alternativ till ett beslut om att utesluta mottagaren, om en uteslutning vore oproportionerlig.
Om det krävs för att förstärka uteslutningens eller den ekono- miska sanktionens avskräckande verkan kan information om ute- slutningen och sanktionen offentliggöras på kommissionens webb- plats, inklusive namnet på personen eller enheten som har uteslutits (artikel 142).
6.2.6Vilka uppgifter finns i Edes?
Varifrån kommer uppgifterna?
Enligt artikel 144.2 i budgetförordningen ska Edes baseras på vissa faktiska omständigheter och slutsatser och på uppgifter som lämnas till kommissionen, särskilt av vissa aktörer, något förenklat av föl- jande.
a)Eppo och Olaf
b)Utanordnare vid kommissionen, vid en europeisk byrå som in- rättats av kommissionen eller vid ett genomförandeorgan
c)En unionsinstitution eller vissa andra EU-organ
d)Vissa enheter som genomför EU:s budget, vid delad förvaltning och inom ramen för direkt förvaltning tillsammans med medlems- staterna, när det gäller faktiska omständigheter och slutsatser som fastställts endast i samband med slutgiltiga domar eller slut- giltiga administrativa beslut samt upptäckta bedrägerier eller orik-
125
Användande av Edes som verktyg | SOU 2025:112 |
tigheter och uppföljning av dessa, om överlämnande av uppgifter krävs enligt sektorsspecifika regler
e)Personer eller enheter som genomför unionsmedel enligt indi- rekt förvaltning.
Punkten d) är av särskilt intresse för Sverige. Den gäller både vid delad förvaltning och vid direkt förvaltning tillsammans med med- lemsstaterna. I avsnitt 4.6 framgår utredningens bedömning att bud- getförordningen inte innebär några nya skyldigheter för medlems- staterna att överlämna uppgifter till kommissionen för att de ska tillföras Edes. De uppgifter från medlemsstater som Edes ska base- ras på gäller slutliga domar och beslut med mera och bara om över- lämnandet redan krävs enligt sektorsspecifika regler.
Uppgifter i Edes
Uppgifter som utbyts inom ramen för Edes ska enligt artikel 144.1 i budgetförordningen centraliseras i en databas som inrättas av kom- missionen, Edes-databasen. I Edes-databasen ska den så kallade be- höriga utanordnaren föra in uppgifter om fall som avser tidig upp- täckt, uteslutning eller ekonomiska sanktioner. Innan uppgifter förs in i databasen ska den berörda personen eller enheten som huvud- regel underrättas.
Att uppgifter om beslut om uteslutning och ekonomiska sank- tioner ska registreras i databasen framgår också av artikel 137.3. Av sistnämnda artikel framgår att det i vissa fall också ska registreras uppgifter om vissa personer som avses i artikel 138.5. Det handlar bland annat om situationen att uteslutning av en person eller enhet (den berörda personen eller enheten) sker på grund av att en fysisk eller juridisk person som ingår i ledningsorganet för den berörda per- sonen eller enheten befinner sig i en uteslutningssituation av visst slag.
I artikel 144.3 finns närmare bestämmelser om vad uppgifterna som lämnas till kommissionen ska inbegripa, i de fall skyldigheten att lämna uppgifter inte följer av sektorsspecifika regler. Det hand- lar då förenklat om uppgift om den berörda enhetens eller person- ens identitet, en sammanfattning av de risker som upptäckts eller av faktiska omständigheter, uppgifter som skulle kunna vara till hjälp för utanordnare när de genomför kontroller eller fattar ett beslut
126
SOU 2025:112 | Användande av Edes som verktyg |
om uteslutning eller om ekonomiska sanktioner samt uppgifter om åtgärder som krävs för att säkerställa konfidentialiteten för inläm- nade uppgifter.
Av personuppgiftspolicyn för Edes3 framgår att det kan finnas bland annat följande typer av uppgifter om fysiska personer, bland annat om mottagare av stöd.
•Information för att identifiera en person: namn, adress, identi- fikationsnummer, födelsedatum
•Information om eventuell koppling till en juridisk person som förekommer i kommissionens system
•Information om uteslutning eller finansiell sanktion
•Orsakerna till uteslutningen eller sanktionen (enligt artikel 136.1 tidigare budgetförordningen 2018/1046, jfr artikel 138 i budget- förordningen)
•Information om giltighetstiden för en uteslutning eller en tidig upptäckt: tid då den startar respektive upphör
•Information om panelen: om ärendet hänförts dit, tidpunkt för panelen med mera
•Storleken på en eventuell finansiell sanktion
•Information om den ansvarige utanordnaren
•Kontaktperson för ärendet.
När det gäller personer som ingår i ledningsgruppen med mera för juridiska personer som tar emot stöd kan det handla om följande information.
•Information för att identifiera en person: namn, adress, identi- fikationsnummer, födelsedatum
3Protection of your personal data, Processing operation: Privacy Statement for the database of the Early Detection and Exclusion System (EDES), Record reference: DPR-EC-04410. Personuppgiftspolicyn är inte daterad och utredningen har inte kunnat identifiera ett enty- digt datum för dess framtagande. Det dokument den hänvisar till - Beskrivning av person- uppgiftsbehandlingen för Edes – är daterad den 8 februari 2022. I vart fall tar den inte sikte på den omförhandlade budgetförordningen. https://commission.europa.eu/system/files/2023-06/Privacy_statement-edes-June-2023.pdf. Hämtat 2025-10-23.
127
Användande av Edes som verktyg | SOU 2025:112 |
•Information om kopplingen till den juridiska personen och den fysiska personens roll där.
Eftersom uppgift om grunderna för beslut om uteslutning finns i Edes kan där också finnas uppgifter om domar i brottmål. Det kan handla om underlåtenhet att betala skatt, allvarlig misskötsamhet, bedrägerier med mera. När det inte finns någon lagakraftvunnen dom eller liknande kan beslut om uteslutning baseras på prelimi- nära uppgifter.
Det är oklart exakt vilka uppgifter som kommer att finnas i Edes-databasen rörande beslut om uteslutning
Ovan redogörs det på ett översiktligt plan för vilka uppgifter som kan förväntas finnas i Edes. I korthet handlar det om namn och andra kontaktuppgifter, grunden för uteslutning, längden på uteslutningen och storleken på eventuell sanktion.
En särskild fråga är vad som i detta sammanhang avses med beslut om uteslutning. Hur detaljerade uppgifter om grunderna för en ute- slutning, exempelvis om brottsligt beteende, kommer svenska myn- digheter att få tillgång till? Utredningen har ställt frågor om detta till Edes-teamet vid kommissionen men har inte fått några klargö- rande svar.4 Det finns därmed vissa oklarheter när det gäller exakt vilka uppgifter som kommer att vara tillgängliga för svenska myndig- heter när det gäller beslut om uteslutning.
Uppgifter som ska lämnas enligt sektorsspecifika regler
Artikel 144.3 – som närmare anger vad uppgifterna som lämnas till kommissionen från vissa aktörer för att tillföras Edes-databasen ska inbegripa – gäller endast i de fall skyldigheten att lämna uppgifter inte följer av sektorsspecifika regler. Eftersom Sveriges skyldighet att lämna uppgifter som ska tillföras Edes är begränsad till fall där överlämnande krävs enligt sektorsspecifika regler, gäller det som sägs i artikel 144.3 inte för Sverige eller svenska myndigheter, och inte heller för andra medlemsländer och deras myndigheter när genom- förandet av EU:s budget sker enligt delad förvaltning eller direkt
4Komm2025/00388-7 och Komm2025/00388-8.
128
SOU 2025:112 | Användande av Edes som verktyg |
förvaltning som sker tillsammans med medlemsländerna. Budget- förordningen ger alltså inte någon avgörande ledning för vilka upp- gifter som ska lämnas – och som Edes därmed ska innehålla – i dessa fall. Det svaret får i stället sökas i de sektorsspecifika bestämmel- serna. Det bör i sammanhanget nämnas att det är svårt att överblicka vilka uppgifter som därvid kan bli aktuella, bland annat eftersom de sektorsspecifika reglerna förväntas bli ändrade inför kommande programperiod.
Som exempel på vad som gäller enligt nuvarande regelverk kan följande nämnas. I artikel 69.12 i CPR finns skyldigheter för med- lemsstaterna att rapportera vissa oriktigheter i systemet för hanter- ing av oriktigheter, IMS. De uppgifter som ska lämnas framgår i bilaga XII till CPR. I bilagan framgår att det ska rapporteras oriktig- heter som har varit föremål för en första skriftlig bedömning där en behörig administrativ eller rättslig myndighet på grundval av kon- kreta fakta har dragit slutsatsen att det föreligger en oriktighet, obero- ende av möjligheten att denna slutsats senare kan behöva revideras eller dras tillbaka till följd av utvecklingen under det administrativa eller rättsliga förfarandet. Vidare ska, något förenklat, oriktigheter som leder till att administrativa eller rättsliga förfaranden inleds på nationell nivå för att fastställa förekomsten av bedrägerier eller andra brott rapporteras. Dessutom ska medlemsstaterna rapportera oriktig- heter som föregår en konkurs samt särskilda oriktigheter eller grupper av oriktigheter på begäran av kommissionen. Vissa oriktigheter är un- dantagna från rapporteringskravet, bland annat oriktigheter som understiger ett visst belopp. I bilagan finns också bestämmelser om användning och behandling av information som rapporteras.
6.2.7Vilka får tillgång till uppgifter i Edes och hur begränsas tillgången för olika aktörer?
Alla aktörer som deltar i budgetgenomförandet kan få tillgång till Edes-databasen – redan i dag
Enligt artikel 144.5 första stycket i budgetförordningen ska alla per- soner och enheter som deltar i genomförandet av budgeten i enlig- het med artikel 62 av kommissionen beviljas tillgång till uppgifterna om beslut om uteslutning enligt artikel 138, så att de i samband med tilldelning av kontrakt eller urval av bidragsmottagare som ska genom-
129
Användande av Edes som verktyg | SOU 2025:112 |
föra unionsmedel kan kontrollera om det finns uppgifter om ute- slutning i Edes. Utredningen förutsätter att detta avser tillgång till uppgifter i Edes-databasen (i vart fall när det gäller uppgifter om uteslutning, se vidare nedan).
Artikel 144.5 första stycket innehåller alltså två led. I det första ledet hänvisas till ”alla personer och enheter som deltar i genomfö- randet av budgeten”. Enligt utredningens mening bör utgångspunk- ten vara att samtliga enheter som har någon roll i att avgöra vem som ska ta emot stöd eller i att i efterhand vidta kontroller av utbe- talade stöd anses delta i budgetgenomförandet (jfr artikel 2.7 i bud- getförordningen). I det första ledet omfattas alltså såväl myndigheter som behöver göra ex ante-kontroller som myndigheter som behöver göra ex post-kontroller. En särskild fråga är om det andra ledet i arti- kel 144.5 första stycket innebär att kretsen som ska ges tillgång snävas av till de enheter som har någon roll vid tilldelning av kontrakt eller urval av bidragsmottagare, alltså sådana enheter som har anledning att göra ex ante-kontroller. Utredningen har ställt frågan till Edes- teamet vid kommissionen, men har inte fått något klargörande svar.5
Utredningen gör bedömningen att artikel 144.5 inte utgör någon sådan åtkomstbegränsning. Den inledande bisatsen anger tydligt att alla som deltar i genomförandet av budgeten ska beviljas tillgång.
Något hinder för enheter som deltar i genomförandet av budgeten att få tillgång till Edes-databasen bör bland annat därför inte anses följa av bestämmelsen. En annan sak är att skyldigheten att använda Edes kan vara på visst sätt begränsad, se följande avsnitt.
Det kan noteras att artikel 144.5 i budgetförordningen huvud- sakligen motsvarar artikel 142.5 i den tidigare budgetförordningen. Det som sägs ovan om möjlighet att få tillgång till uppgifter – vilket gäller också de svenska myndigheter som deltar i budgetgenomföran- det – har alltså gällt även enligt den tidigare budgetförordningen. Det framgår också av beskrivningen av personuppgiftsbehandlingen för Edes6, där det anges vilka som enligt den tidigare budgetförord- ningen kan ta emot uppgifter från Edes. I den uppräkningen ingår be- höriga personer från alla enheter som deltar i budgetgenomförandet.
5Komm2025/00388-7 och Komm2025/00388-8.
6Record for processing of personal data, Title: Entry of a Data Subject in the Early Detec- tion and Exclusion System (EDES-DB), Reference DPR-EC-04410.2, publicerad den 8 februari 2022. https://ec.europa.eu/dpo-register/detail/DPR-EC-04410. Hämtat 2025-10-29.
130
SOU 2025:112 | Användande av Edes som verktyg |
Tillgången för svenska myndigheter är begränsad till uppgifter om beslut om uteslutning
En särskild fråga gäller om tillgången som svenska myndigheter får till Edes – i egenskap av aktörer som deltar i budgetgenomförandet
–avser endast beslut om uteslutning eller även andra uppgifter som finns i databasen. Utredningen har ställt frågor till Edes-teamet vid kommissionen om innebörden av den partiella tillämpningen av Edes samt om tillgången till uppgifter i databasen men har inte fått några klargörande svar.7
Artikel 144.5 första stycket i budgetförordningen anger att alla personer och enheter som deltar i genomförandet av budgeten i en- lighet med artikel 62 av kommissionen ska beviljas tillgång till upp- gifterna om beslut om uteslutning, så att de i samband med tilldelning av kontrakt eller urval av bidragsmottagare som ska genomföra unions- medel kan kontrollera om det finns uppgifter om uteslutning i Edes.
Enligt utredningens mening talar strukturen i budgetförordningen för att tillgången är begränsad till beslut om uteslutning för exem- pelvis medlemsländernas myndigheter.
Av artikel 144.4 synes framgå att bland annat utanordnare vid kommissionen får tillgång till alla uppgifter i Edes-databasen, inte bara sådant som rör uteslutning. I samma riktning talar den person- uppgiftspolicy för Edes8 som avser den tidigare budgetförordningen (vilken i relevanta delar huvudsakligen motsvarar den omarbetade budgetförordningen). Det anges där att aktörer som deltar i budget- genomförandet enligt artikel 62 b och c (det vill säga beträffande delad och indirekt förvaltning) får tillgång till beslut om uteslutning. Vidare anges det där att personer inom kommissionen, dess genom- förandeorgan, övriga unionsinstitutioner med flera får tillgång till – förutom beslut om uteslutning – även information om tidig upptäckt och om sanktioner.
I samma riktning – att tillgången är begränsad till beslut om ute- slutning för exempelvis medlemsländernas myndigheter – talar även en ändamålsbaserad tolkning. Det är kommissionens utanordnare
7Komm2025/00388-7 och Komm2025/00388-8.
8Protection of your personal data, Processing operation: Privacy Statement for the database of the Early Detection and Exclusion System (EDES), Data Controller: Directorate General for Budget – Central Financial Service - Unit BUDG.D.1, Record reference: DPR-EC-04410.
Personuppgiftspolicyn är inte daterad och utredningen har inte kunnat identifiera ett enty- digt datum för dess framtagande. https://commission.europa.eu/system/files/2023- 06/Privacy_statement-edes-June-2023.pdf. Hämtat 2025-10-29.
131
Användande av Edes som verktyg | SOU 2025:112 |
som fattar beslut om att registrera uppgifter rörande tidig upptäckt, att utesluta personer eller enheter och att ålägga mottagare sanktio- ner (se artikel 137.3 i budgetförordningen). Utanordnare har gene- rellt ett större behov än svenska myndigheter av uppgifter av ett mer osäkert slag när det gäller misstankar om missförhållanden och lik- nande. Tillgången till sådana uppgifter kan vara ett led i ställnings- taganden om utredningar om uteslutningssituationer föreligger.
De skyldigheter som personer och enheter som deltar i genom- förandet av budgeten har – såsom svenska myndigheter – synes främst vara kopplade till att verkställa beslut om uteslutning, det vill säga att inte bevilja stöd till en person eller enhet som befinner sig i en uteslutningssitution, samt att se till att betalningsansökningar som avser sådana personer och enheter inte lämnas till kommissionen för ersättning (se artiklarna 138.2 tredje stycket och 144.5 andra stycket). Det följer av principerna bakom dataskyddsregelverket att person- uppgifter inte ska behandlas där det saknas anledning till det. Detta talar för att tillgången för svenska myndigheter är begränsad till upp- gifter om uteslutning.
Sammantaget bedömer utredningen att det mesta talar för att budgetförordningen ska tolkas så att tillgången till Edes-databasen för svenska myndigheter är begränsad till uppgifter om beslut om uteslutning. Detta synes vara innebörden av den centrala bestäm- melse som direkt tar sikte på tillgång till uppgifter i Edes-databasen, artikel 144.5 första stycket.
Tillgången kan komma att vara begränsad till beslut om uteslutning på vissa grunder
Som utvecklas i avsnitt 6.2.4 gäller det enligt budgetförordningen en partiell tillämplighet av Edes när medlemsstater deltar i budget- genomförandet, antingen genom delad förvaltning eller direkt för- valtning tillsammans med medlemsstaterna. Vid partiell tillämplig- het är bara vissa av uteslutningsgrunderna aktuella, nämligen bara de som anges i artikel 138.2. Detta talar för att medlemsstaterna endast får tillgång till uppgifter om uteslutning enligt vissa grunder men inte alla.
Det är också möjligt att tillgången vid delad förvaltning och direkt förvaltning tillsammans med medlemsstaterna inte är begränsad till uteslutningar på vissa grunder. Det kan noteras att det av den tidi-
132
SOU 2025:112 | Användande av Edes som verktyg |
gare budgetförordningen framgår att alla enheter som deltar i genom- förandet av budgeten genom delad förvaltning får ha tillgång till in- formation om beslut om uteslutning och det synes i denna del inte finnas någon begränsning till vissa uteslutningsgrunder (se person- uppgiftspolicyn för Edes, s. 7). Detta framstår också som naturligt eftersom den uppdelning mellan olika uteslutningsgrunder som parti- ell tillämpning innebär är ny i den omarbetade budgetförordningen. Att medlemsländer genom den nya budgetförordningen skulle få tillgång till mindre information kan framstå som främmande, efter- som ett syfte med den omarbetade budgetförordningen är att stärka systemet för tidig upptäckt och uteslutning för att skydda unionens ekonomiska intressen (skäl 107).
Artikel 144.5 första stycket i budgetförordningen – den bestäm- melse som synes reglera förutsättningarna för tillgång till Edes-data- basen – innebär inte någon uttrycklig begränsning när det gäller grun- den för beslut om uteslutning. Detta talar för att även aktörer som deltar i genomförandet av EU:s budget inom ramen för delad för- valtning och direkt förvaltning tillsammans med medlemsstaterna får tillgång till beslut om uteslutning som skett på samtliga grunder samtidigt som uteslutning endast får ske på vissa grunder.
Det kan dock också argumenteras för att avsikten får antas vara att medlemsstaterna endast ska ha tillgång till beslut om uteslutning på vissa mer allvarliga grunder. För en sådan tolkning kan möjligt- vis tala att principerna bakom dataskyddsregelverket innebär att man inte ska ha tillgång till mer uppgifter än vad man behöver för att full- göra sina arbetsuppgifter. Eftersom medlemsstaterna – inom ramen för Edes – endast har i uppgift att verkställa beslut om uteslutning på vissa grunder saknas det anledning för dem att få tillgång till andra uppgifter än sådana beslut om uteslutning. Sammantaget gör därför utredningen bedömningen att tillgången till beslut om uteslutning för svenska myndigheter kan komma att vara begränsad till beslut om uteslutning på vissa grunder, nämligen de som anges i artikel 138.2.
Tillgången kan begränsas på grund av dataskyddsregelverket
Enligt artikel 144.1 första stycket i budgetförordningen ska uppgif- ter som utbyts inom ramen för Edes och som centraliseras i data- basen behandlas i enlighet med rätten till integritet och övriga rättig-
133
Användande av Edes som verktyg | SOU 2025:112 |
heter som fastställs i den dataskyddsreglering som gäller för EU:s institutioner9. Dataskyddsregelverket kan sägas innebära generella begränsningar i åtkomsten till uppgifter i Edes som träffar alla som använder Edes. Exempelvis finns det i svensk rätt ett förbud mot sök- ningar i syfte att få fram ett urval av personer grundat på känsliga per- sonuppgifter.
Det framstår som naturligt att Edes kommer att innehålla tek- niska sökbegränsningar som innebär att användare inte får tillgång till annat än vad de har rätt att få del av. En sådan ordning följer av dataskyddsregelverkets principer om uppgiftsminimering och ända- målsbegränsning (se vidare avsnitt 7.2). Det är dock ännu oklart ex- akt hur sökbegränsningarna ser ut och kommer att se ut i Edes och i vilken mån det kommer att vara möjligt för användare att få tillgång till uppgifter som de inte har rätt att behandla.
Förenligheten med dataskyddsregelverket när det gäller använd- ningen av Edes behandlas i avsnitt 8.6.7.
6.2.8Vilka träffas av skyldigheten att tillämpa Edes-regelverket?
Obligatorisk tillämpning av Edes-regelverket från och med 2028
Enligt den tidigare budgetförordningen ställs krav på en tillämpning av Edes-regelverket vid direkt och indirekt förvaltning (se artikel 135 i den tidigare budgetförordningen). Den omarbetade budgetförord- ningen ställer krav på att Edes från och med den 1 januari 2028 ska tillämpas även vid delad förvaltning och vid direkt förvaltning till- sammans med medlemsstaterna (se artiklarna 130, 137.2 fjärde stycket och artikel 277.1). Det kan nämnas att den tidigare budgetförord- ningen inte synes behandla förvaltningsformen direkt förvaltning tillsammans med medlemsstaterna, på det sätt som den omarbetade budgetförordningen gör.
Som framgår ovan kan alla aktörer som deltar i budgetgenom- förandet få tillgång till Edes-databasen redan i dag och svenska myn- digheter är alltså redan oförhindrade att använda Edes på frivillig basis.
9Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG.
134
SOU 2025:112 | Användande av Edes som verktyg |
Skyldigheten att tillämpa Edes-regelverket kommer att gälla aktörer som har en roll vid tilldelning eller urval
I artikel 277.1 i budgetförordningen – som handlar om när tillämp- ningen av Edes-regelverket blir obligatorisk vid vissa förvaltnings- former – hänvisas till ”skyldigheterna” enligt vissa bestämmelser, bland annat artikel 144.5. Det kan konstateras att det i första stycket av artikel 144.5 inte anges någon skyldighet utan endast en beskriv- ning av vilka aktörer som ska beviljas tillgång till uppgifterna om beslut av uteslutning. I artikel 144.5 andra stycket beskrivs dock en skyldighet, nämligen att vissa aktörer ska verkställa beslut om ute- slutning med avseende på den person eller enhet som ansöker om eller väljs ut för att genomföra unionsmedel (för indirekt förvalt- ning anges annat, som inte är relevant för denna utredning). Utred- ningen uppfattar ”verkställa beslut” som att en ansökan eller tilldel- ning ska avslås.
Den skyldighet som är särskilt reglerad i artikel 144.5 är således skyldigheten att verkställa beslut om uteslutning med avseende på den person eller enhet som ansöker om eller väljs ut för att genom- föra unionsmedel. För att kunna verkställa sådana beslut behöver aktören känna till att besluten finns och behöver därför också kon- sultera Edes-databasen innan kontrakt tilldelas eller urval av bidrags- mottagare sker. Indirekt följer således en skyldighet att använda Edes på ett sådant sätt.
Skyldigheten att tillämpa Edes-regelverket bedöms dock vara be- gränsad till aktörer som är i en position att ta ställning till frågor om tilldelning av kontrakt eller urval av bidragsmottagare. Skyldigheten kommer alltså i praktiken inte att omfatta alla som deltar i genom- förandet av budgeten vid delad eller direkt förvaltning, även om samt- liga sådana aktörer omfattas av ordalydelsen av artikel 144.5 andra stycket.
6.2.9Bestämmelser som rör så kallade utanordnare innebär inte några skyldigheter för Sverige
En särskild fråga gäller tolkningen av begreppet behörig utanordnare i budgetförordningen. Funktionen har viktiga roller inom Edes. Begreppet används bland annat för den funktion som ska fatta be- slut om uteslutning och ekonomiska sanktioner, se bland annat artik-
135
Användande av Edes som verktyg | SOU 2025:112 |
larna 137.3, 138, 139 och 140. Utredningen har ställt frågor om detta till Edes-teamet vid kommissionen och har därvid gett uttryck för tolkningen att begreppet avser en funktion vid kommissionen och inte hos medlemsländerna.10 Kommissionen har inte gett något klargörande svar på frågorna och har inte heller invänt mot den fram- förda tolkningen.11
Det kan konstateras att det anges i artikel 73 att varje unions- institution ska fungera som utanordnare. Varje unionsinstitution ska delegera utanordnarens funktioner till anställda på lämplig nivå och utanordnarens befogenheter får bara delegeras eller vidaredele- geras till anställda. Med anställda avses här personer anställda vid unionen (det vill säga personer som omfattas av tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkor för övriga anställda vid unionen, jfr skäl 66).
Sammantaget gör utredningen bedömningen att begreppet utan- ordnare avser en funktion inom kommissionen. De artiklar som tar sikte på behöriga utanordnare bedöms alltså inte innebära några skyl- digheter för eller krav på Sverige eller svenska myndigheter.
6.3Svenska myndigheter som kan komma att använda Edes
6.3.1Vissa utgångspunkter
Utredningen har i uppdrag att beskriva vilka myndigheter som kan komma att använda Edes-databasen. På motsvarande sätt som redo- görs för i avsnitt 5.3.1 avseende Arachne är det inte möjligt för utred- ningen att ange en uttömmande uppräkning av vilka myndigheter som kan komma att använda Edes. En frivillig användning är möjlig redan i dag. Förändringar kan förväntas för den programperiod som börjar 2028 då det kan komma nya fonder och instrument som be- höver hanteras. Utredningen gör dock övergripande bedömningar om vilka slags myndigheter det bör vara fråga om. Utifrån dessa be- dömningar bör det gå att dra slutsatser om det finns anledning för olika myndigheter att använda Edes, utifrån de uppgifter de har och eventuellt kan komma att få.
10Komm2025/00388-7.
11Komm2025/00388-8.
136
SOU 2025:112 | Användande av Edes som verktyg |
Av avsnitt 6.2 följer att utredningen gör följande övergripande bedömningar när det gäller kravet att använda Edes och vilka åtkomst- begränsningar som finns och kommer att finnas. Den obligatoriska tillämpningen av Edes-regelverket gäller endast aktörer som har en roll vid tilldelning eller urval. Alla aktörer kan dock använda Edes på frivillig basis, redan i dag. Tillgången till uppgifter i Edes är begrän- sad på flera sätt. Dataskyddsregelverket kan sägas innebära generella begränsningar i åtkomsten till uppgifter i Edes. Det finns vidare be- gränsningar som bedöms innebära att svenska myndigheter endast får tillgång till beslut om uteslutning och tillgången kan dessutom komma att vara begränsad till uppgifter om uteslutning på vissa grunder.
I det följande görs vissa överväganden om huruvida vissa myndig- heter och kategorier av myndigheter kan komma att använda Edes- databasen.
6.3.2Myndigheter som förvaltar EU-medel genom delad förvaltning
Enligt artikel 144.5 första stycket i budgetförordningen ska alla per- soner och enheter som deltar i genomförandet av budgeten av kom- missionen beviljas tillgång till uppgifter om beslut om uteslutning. Bland annat omfattas därmed personer och enheter som deltar i genomförandet av budgeten genom delad förvaltning. Detta bör – inom ramen för delad förvaltning – omfatta i princip samtliga myn- digheter som har någon roll i att avgöra vem som ska ta emot stöd eller att i efterhand vidta kontroller av utbetalade stöd (på motsva- rande resonemang som avseende Arachne, se avsnitt 5.3.2). Detta träffar bland annat Jordbruksverket, Migrationsverket, Polismyn- digheten, Svenska ESF-rådet, Tillväxtverket samt länsstyrelserna i Jämtlands, Västerbottens och Norrbottens län. Vidare bör det om- fatta de myndigheter som har delegerats uppgifter från förvaltande myndigheter och har en tillräckligt självständig roll i besluten om ersättning, nämligen länsstyrelserna, Skogsstyrelsen och Sametinget.
Även Havs- och vattenmyndigheten (förmedlande organ för havs- fiskeri- och vattenbruksprogrammet) bedöms delta i budgetgenom- förandet på ett sådant sätt att myndigheten bör beviljas tillgång till Edes.
137
Användande av Edes som verktyg | SOU 2025:112 |
6.3.3Myndigheter som hanterar medel genom direkt förvaltning tillsammans med medlemsstaterna
En särskild fråga är i vilken mån svenska myndigheter kan komma att använda Edes inom ramen för förvaltningsformen direkt förvalt- ning tillsammans med medlemsstaterna. I dagsläget är det endast RRF som förvaltas genom den förvaltningsformen.
Det finns reglering om Edes-databasen i budgetförordningen som tar sikte på dess tillämplighet i relation till RRF. I övergångsbestäm- melserna anges att Edes-systemet inte tillämpas på RRF och att detta ska gälla utan att det påverkar sektorsspecifika regler och frivillig till- lämpning (artikel 277.2). Som utredningen uppfattar saken innebär detta att en frivillig användning av Edes när det gäller RRF är möjlig. Syftet med en användning av Edes är att medel inte ska gå till aktörer som inte har rätt till det. Enligt utredningen kan det alltså finnas an- ledning – och vara tillåtet enligt budgetförordningen – att använda Edes inom ramen för RRF på frivillig basis. Det handlar om dels de tio rapporterande myndigheterna Boverket, Myndigheten för digital förvaltning, Myndigheten för yrkeshögskolan, Naturvårdsverket, Post- och telestyrelsen, Skolverket, Socialstyrelsen, Statens energi- myndighet, Trafikverket och Universitetskanslersämbetet (se vidare avsnitt 3.5.4 och tabell 3.3), dels länsstyrelserna när de ansvarar för handläggning, beslutsfattande och uppföljning (se avsnitt 5.3.3). RRF-myndigheternas eventuella användning av Edes från och med 2027 kan förväntas avse uppföljnings- och granskningsverksamhet av redan beslutade och utbetalade stöd. De kan inte förväntas använda Edes på så sätt att de verkställer beslut om uteslutning (genom att inte betala ut ett stöd), eftersom reformer och investeringar inom ramen för RRF ska vara genomförda vid den tidpunkten.
Som nämns i avsnitt 3.5.1 kan förändringar förväntas för den pro- gramperiod som börjar 2028 och det kan komma nya fonder och in- strument som behöver hanteras. Om det kommer nya fonder som förvaltas genom direkt förvaltning tillsammans med medlemsstaterna bör Edes kunna användas av de myndigheter som hanterar dessa. Det följer av att alla som deltar i genomförandet av budgeten i en- lighet med artikel 62 ska beviljas tillgång till Edes (artikel 144.5).
Även beträffande förvaltningsformen direkt förvaltning tillsam- mans med medlemsstaterna synes det vara fråga om en slags partiell tillämpning (se vidare avsnitt 6.2.4).
138
SOU 2025:112 | Användande av Edes som verktyg |
6.3.4Ekonomistyrningsverket
ESV kan sägas delta i genomförandet av budgeten, på det sätt som beskrivs vad gäller Arachne (se avsnitt 5.3.4). ESV har visserligen inte någon roll när det gäller att avgöra vem som ska ta emot stöd men däremot när det gäller att i efterhand vidta granskningar av ut- betalade stöd. ESV kan därför också i och för sig anses ha anledning att använda Edes vid sina revisioner, men inte i syfte att verkställa uteslutningsbeslut. Som utvecklas i avsnitt 6.2.7 anser utredningen inte att artikel 144.5 utgör någon åtkomstbegränsning på ett sätt som skulle utesluta att ESV får tillgång till Edes. ESV bör därmed kunna komma att använda Edes.
6.3.5Ekobrottsmyndigheten
Utredningen uppfattar Ekobrottsmyndighetens och SEFI-rådets roller så att det inte finns skäl för dem att använda Edes direkt, och att de inte heller omfattas av Edes-regelverket på ett sådant sätt att de bör medges tillgång till Edes-databasen. Det är dock av stort in- tresse för dessa aktörer att det finns effektiva system som motver- kar felaktiga utbetalningar och bedrägerier avseende EU-medel. Det kan dock påminnas om att Eppo är EU:s oberoende åklagarmyndig- het som ska skydda EU:s budget och väcka talan när det gäller brott som skadar EU:s ekonomiska intressen, och brottsanmälan kan göras direkt till Eppo (se avsnitt 5.3.5).
6.3.6Slutsatser om vilka myndigheter som kan komma att använda Edes
Sammanfattningsvis bedömer utredningen att följande slags myndig- heter kan komma att använda Edes.
•De myndigheter som deltar i genomförandet av budgeten inom ramen för delad förvaltning och därvid har någon roll i tilldelning av medel eller kontroll av utbetalade medel. För de myndigheter som har en roll i tilldelning av medel blir det obligatoriskt att tillämpa Edes-regelverket och därmed också att använda Edes- databasen. Vid delad förvaltning är tillämpningen partiell på det sättet att endast vissa uteslutningsgrunder är aktuella.
139
Användande av Edes som verktyg | SOU 2025:112 |
•De myndigheter som inom ramen för RRF deltar i genomföran- det av budgeten och därvid har någon roll i tilldelning av medel eller kontroll av utbetalda medel – på frivillig basis.
•De myndigheter som eventuellt i framtiden kommer att förvalta EU-fonder genom direkt förvaltning tillsammans med medlems- staterna och därvid har någon roll i tilldelning av medel eller kon- troll av utbetalda medel. För de myndigheter som har en roll i tilldelning av medel kommer det att vara obligatoriskt att tillämpa Edes-regelverket och därmed också att använda Edes-databasen. Tillämpningen är partiell på det sättet att endast vissa uteslut- ningsgrunder är aktuella.
•De myndigheter som har i uppgift att i efterhand genomföra granskningar eller revisioner av utbetalade stöd, såsom ESV. För dessa myndigheter är det inte obligatoriskt att tillämpa Edes-regel- verket.
140
7Övergripande om offentlighet, sekretess och dataskydd
7.1Övergripande om offentlighet, sekretess och ärendehantering
7.1.1Om offentlighet och allmänna handlingar
Offentlighetsprincipen kommer till uttryck på olika sätt, exempel- vis genom yttrande- och meddelarfrihet för tjänstemän, genom dom- stolsoffentlighet och genom offentlighet vid beslutande församlingars sammanträden. När det mer allmänt talas om offentlighetsprinci- pen syftas dock i första hand på reglerna om allmänna handlingars offentlighet.
Rätten att ta del av allmänna handlingar är ett viktigt medel för kontroll av offentliga organs verksamhet. Handlingsoffentligheten har bland annat till syfte att garantera rättssäkerheten och effektivi- teten i förvaltningen och folkstyret (prop. 2008/09:150 s. 272). De grundläggande bestämmelserna om allmänna handlingars offentlig- het finns i 2 kap. tryckfrihetsförordningen, TF, och genomsyrar all offentlig verksamhet i Sverige. Enligt 2 kap. 1 § TF ska var och en ha rätt att ta del av allmänna handlingar.
Rätten att ta del av allmänna handlingar får bara begränsas om det krävs med hänsyn till vissa i 2 kap. 2 § TF angivna grunder, så kallade sekretessgrunder. En sådan begränsning ska anges noga i en bestäm- melse i en särskild lag eller, om det anses lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till. Den särskilda lagen som avses är offentlighets- och sekretesslagen (2009:400), OSL.
141
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
7.1.2Allmänt om sekretess och sekretessgenombrott
I offentlighets- och sekretesslagen finns bestämmelser om sekretess som begränsar rätten att ta del av allmänna handlingar och som regle- rar tystnadsplikt i det allmännas verksamhet. Lagens tillämpnings- område omfattar de organ som ingår i den offentligrättsliga statliga och kommunala organisationen. Det innebär att offentlighets- och sekretesslagen inte är tillämplig på exempelvis unionsorgan inom EU:s organisation (jfr prop. 2023/24:87 s. 58).
Sekretess innebär ett förbud att röja en uppgift, oavsett om det sker genom utlämnande av en allmän handling eller genom att upp- gifter röjs muntligen eller på något annat sätt (3 kap. 1 § OSL). Sek- retess gäller mot enskilda och mot andra myndigheter samt mellan självständiga verksamhetsgrenar inom myndigheter (8 kap. 1 och
2 §§ OSL). En uppgift för vilken sekretess gäller får som huvudregel inte heller röjas för en utländsk myndighet eller en mellanfolklig organisation (8 kap. 3 § OSL).
Sekretessen är i normala fall reglerad för ett avgränsat tillämp- ningsområde och gäller för vissa angivna uppgifter, i en viss typ av ärenden, i en viss typ av verksamhet eller hos en viss myndighet.
De sekretessbestämmelser som främst aktualiseras i aktuella situa- tioner behandlas i avsnitt 7.1.7.
Ioffentlighets- och sekretesslagen finns också flera bestämmel- ser med innebörden att sekretess inte hindrar att uppgifter lämnas, så kallade sekretessbrytande bestämmelser. De sekretessbrytande bestämmelserna kan möjliggöra utlämnande av uppgifter till såväl enskilda som myndigheter. Utgångspunkten är att det är svenska myndigheter som omfattas av myndighetsbegreppet i offentlighets- och sekretesslagen och att sekretessbrytande bestämmelser inte ger stöd för att ge exempelvis unionsorgan tillgång till sekretessbelagda uppgifter (jfr prop. 2023/24:87 s. 66).
I 10 kap. 28 § OSL finns en bestämmelse som innebär att sekre- tess inte hindrar att en uppgift lämnas till en annan svensk myndig- het, om uppgiftsskyldighet följer av lag eller förordning. Det inne- bär att det kan finnas sekretessbrytande bestämmelser även i andra författningar. Som exempel kan nämnas lagen (2025:170) om skyl- dighet att lämna uppgifter till de brottsbekämpande myndigheterna och lagen (2024:307) om uppgiftsskyldighet för att motverka fel-
142
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
aktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdel- ser och brottslighet i arbetslivet.
När det gäller uppgiftslämnande till utlandet anges i tidigare nämnda 8 kap. 3 § OSL under vilka förutsättningar sekretessbelagda uppgifter får lämnas ut till en utländsk myndighet eller en mellan- folklig organisation. Bestämmelsen tar sikte på rätten för svenska myndigheter att lämna ut uppgifter och innebär att en uppgift för vilken sekretess gäller får lämnas ut om utlämnande sker i enlighet med särskild föreskrift i lag eller förordning. En uppgift får också lämnas ut om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens pröv- ning står klart att det är förenligt med svenska intressen att uppgif- ten lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.
Under de senaste åren har det pågått arbete med att se över lag- stiftning som hindrar informationsutbyte och uppgiftslämnande mellan svenska myndigheter, särskilt på det brottsbekämpande om- rådet och området för motverkande av felaktigheter. Av intresse för denna utredning är till exempel propositionen Ökat informations- utbyte mellan myndigheter – en ny sekretessbrytande bestämmelse (prop. 2024/25:180), där regeringen föreslår vissa förändringar i offentlighets- och sekretesslagen. Sekretess till skydd för enskilda ska inte hindra att uppgifter lämnas mellan myndigheter om det be- hövs för vissa syften. I propositionen föreslås att uppgifter ska kunna lämnas om det behövs bland annat för att förebygga, förhindra, upp- täcka eller utreda felaktiga utbetalningar, och förebygga, förhindra, upptäcka eller utreda fusk och olika typer av överträdelser. Därför föreslås i propositionen en ny sekretessbrytande bestämmelse, 10 kap. 15 a § OSL. Förslaget rör inte bara felaktiga utbetalningar från väl- färdssystemen utan det finns även ett omfattande behov av förbättrade möjligheter till informationsutbyte mellan myndigheter i samband med hanteringen av EU-relaterade medel (prop. s. 27). Riksdagen har den 22 oktober 2025 antagit förslaget. Lagändringarna ska träda i kraft den 1 december 2025.
143
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
7.1.3Allmänna handlingar och ärendehandläggning
Förvaltningslagen (2017:900) gäller för handläggning av ärenden hos förvaltningsmyndigheterna och handläggning av förvaltningsärenden hos domstolarna (1 § första stycket). Den som är part i ett ärende har rätt att ta del av allt material som har tillförts ärendet. Rätten att ta del av uppgifter gäller med de begränsningar som följer av 10 kap. 3 § OSL (10 § förvaltningslagen). En myndighet som får uppgifter på något annat sätt än genom en handling ska snarast dokumentera dem, om de kan ha betydelse för ett beslut i ärendet. Det ska framgå av dokumentationen när den har gjorts och av vem (27 § förvalt- ningslagen).
Även offentlighets- och sekretesslagen innehåller bestämmelser om myndigheters hantering av allmänna handlingar, bland annat med koppling till ärendehandläggning. Om en myndighet för handlägg- ning av ett mål eller ärende använder sig av en upptagning för auto- matiserad behandling, ska upptagningen tillföras handlingarna i målet eller ärendet i läsbar form, om det inte finns särskilda skäl mot det (4 kap. 3 § OSL).
7.1.4Allmänt om offentlighet och sekretess inom EU-samarbetet
Frågor om offentlighet och sekretess kan aktualiseras i förhållandet mellan Sverige och EU:s institutioner och mellan Sverige och andra medlemsländer inom ramen för EU-samarbetet.
Sverige har traditionellt värnat den svenska offentlighetsprincipen samt arbetat för ökad öppenhet inom EU:s institutioner. Bland annat har Sverige arbetat aktivt för att den så kallade öppenhetsförord- ningens1 bestämmelser ska tolkas och tillämpas på ett så öppenhets- vänligt sätt som möjligt (se bland annat prop. 2012/13:192 s. 19). De flesta medlemsstater har dock en helt annan tradition än Sverige när det gäller handlingsoffentlighet (prop. 2012/13:192 s. 23).
Sverige måste inom ramen för det internationella samarbetet kunna tillmötesgå behovet av skydd för utländska myndigheters verksam- het, precis som svenska myndigheter måste kunna kräva att mellan- folkliga organ och myndigheter i andra stater hanterar information
1Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om all- mänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar.
144
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
från Sverige på ett sätt som inte skadar svenska myndigheters verk- samhet. Sverige kan till exempel inte hävda att sådana uppgifter som i andra staters nationella verksamhet hade omfattats av sekretess till skydd för allmänna intressen ska vara offentliga om de lämnats till en svensk myndighet inom ramen för ett internationellt samarbete, till exempel från en myndighet i en annan medlemsstat i EU. Vidare finns det ett behov av att säkerställa att Sverige kan skydda uppgif- ter om enskildas förhållanden som överlämnats till svenska myndig- heter från andra stater eller mellanfolkliga organisationer, eftersom ett otillräckligt sekretesskydd även i detta avseende kan försvåra det internationella samarbetet (prop. 2012/13:192 s. 24).
Om andra stater och mellanfolkliga organisationer inte skulle kunna förlita sig på att svenska myndigheter kan fullgöra sin skyl- dighet att i enlighet med avtal eller rättsakter sekretessbelägga upp- gifter som utbyts inom ramen för samarbetet, finns en uppenbar risk att dessa skulle bli mindre benägna att lämna uppgifter till Sverige. Detta skulle få negativa effekter för Sveriges möjligheter att delta i det internationella samarbetet och därmed i förlängningen försämra svenska myndigheters möjlighet att till exempel bedriva en effektiv tillsyn (prop. 2012/13:192 s. 25).
En följd av EU-medlemskapet är att Sverige har överlåtit sin norm- givningskompetens och möjlighet att ingå internationella överens- kommelser till EU inom vissa områden. Detta innebär att Sverige inte alltid kan ensidigt bestämma vilka informationsutbyten med andra stater som landet ska delta i eller under vilka förutsättningar informationsutbytet ska ske (prop. 2012/13:192 s. 23 och 24).
Inom EU-samarbetet tillämpas ibland den så kallade principen om vetorätt för ursprungsinnehavaren vid internationella överens- kommelser som omfattar informationsutbyte (se prop. 2012/13:192 s. 17, samt under rubriken Vilka möjligheter finns det att säkerställa att motsvarande skydd består efter utlämnande till andra aktörer? i av- snitt 8.2.5).
Det kan i sammanhanget också nämnas att det inte är möjligt att överföra sekretess från en utländsk myndighet eller mellanfolklig organisation. Vidare är de sekretessbrytande reglerna i 10 kap. OSL och i lagens fjärde och femte avdelningar inte direkt tillämpliga i för- hållande till utländska myndigheter och mellanfolkliga organisationer.
145
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
7.1.5Det kommer att ske utlämnande av uppgifter
Utredningens bedömning: Såväl myndigheters tillgängliggörande enligt artikel 36.6 som offentliggörande av uppgifter enligt arti- kel 38.4 tredje stycket i budgetförordningen kommer att inne- bära ett utlämnande i rättslig mening. Även uppladdning av upp- gifter i Arachne innebär ett utlämnande i rättslig mening.
Skälen för utredningens bedömning: I avsnitt 4.1.1 anges de fall av lämnande och offentliggörande av uppgifter som kan bli aktuella för svenska myndigheter och som behandlas i detta betänkande:
•Lämnande av uppgifter vid ett användande av Arachne:
–Funktionellt nödvändiga uppgifter (vid ett användande före 2028)
–Inte funktionellt nödvändiga uppgifter (vid ett användande före 2028)
–Uppgifter inom ramen för förhandsfunktionen (före och efter 2028)
•Tillgängliggörande av uppgifter enligt artikel 36.6 i budgetför- ordningen (efter 2028):
–Rättsligt obligatoriska uppgifter
–Frivilliga uppgifter
•Offentliggörande av uppgifter enligt artikel 38.4 tredje stycket i budgetförordningen (efter 2028).
Frågan är om ovan nämnda förfaranden innebär ett utlämnande i rättslig mening.
Det uppgiftslämnande som kan ske vid ett användande av Arachne kan bestå i att funktionellt nödvändiga och inte funktionellt nödvän- diga uppgifter laddas upp direkt i Arachne. Denna uppladdning av uppgifter i Arachne är enligt utredningens bedömning ett utlämnande i rättslig mening. Detsamma gäller vid uppladdning av uppgifter i Arachne inom ramen för förhandsfunktionen.
Arachne innehåller också sökfunktioner, då det till exempel är möjligt att söka på ett projektnamn eller ett företagsnamn. När ett
146
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
projekt- eller företagsnamn på det sättet skrivs in i systemet är det enligt utredningens mening inte fråga om något utlämnande av upp- gifter från en myndighet. Det är inte fråga om att en uppgift från en myndighet laddas upp i eller förs över till Arachne, utan att ett sökbegrepp används i syfte att få del av uppgifter eller information.
När det gäller information till kommissionen enligt artikel 36.6 i budgetförordningen används i artikeln uttrycken ”göra tillgänglig” och ”ge tillgång till”. Det anges alltså inte uttryckligen att uppgifter ska lämnas ut till kommissionen. Enligt utredningen står det dock klart att formuleringarna medför att det kommer att ske ett utläm- nande av uppgifter från myndigheter i rättslig mening. Detta gäller även om det inte är klart på vilket sätt rent tekniskt som tillgänglig- görandet kommer att ske.
Enligt utredningen kommer även ett offentliggörande av uppgifter enligt artikel 38.4 tredje stycket i budgetförordningen, om detta skulle bli aktuellt, att innebära ett utlämnande i rättslig mening.
När det gäller Edes konstaterar utredningen att det inte krävs något uppgiftslämnande från svenska myndigheter utifrån budgetförord- ningens reglering (se avsnitt 4.6). Det följer alltså inte några nya ut- lämnandesituationer av en tillämpning av Edes-regelverket eller ett användande av Edes och utredningen behandlar därför inte heller några sådana frågor.
Sammanfattningsvis konstaterar utredningen att de förfaranden som beskrivs i ovan punktlista kommer att medföra att uppgifter lämnas ut i rättslig mening. I den mån det är fråga om uppgifter som annars är sekretessbelagda kan de som utgångspunkt inte lämnas ut till kommissionen eller andra aktörer med mindre än att det finns någon tillämplig sekretessbrytande eller motsvarande bestämmelse. Dessa frågor behandlas i avsnitten för respektive uppgiftslämnande och system i kapitel 8 samt i avsnitt 7.1.7. Uttrycket ”annars sekre- tessbelagd uppgift” behandlas närmare i avsnitt 8.2.4.
147
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
7.1.6Frågor om allmänna handlingar och sekretess aktualiseras
Utredningens bedömning: Svenska myndigheters uppgiftsläm- nande, offentliggörande av uppgifter samt användning av Arachne och Edes aktualiserar frågor om allmänna handlingar och sekretess.
Skälen för utredningens bedömning: För att uppgifter ska kunna lämnas ut krävs bland annat att sekretess inte hindrar ett sådant upp- giftslämnande. Uppgifter kan laddas upp i Arachne i dag. De upp- gifter som ska eller kan tillgängliggöras enligt artikel 36.6 i budget- förordningen är också avsedda att föras in i Arachne.
Såväl Arachne som Edes-databasen utgör databaser som svenska myndigheter kommer att beredas åtkomst till. Då svenska myndig- heter får åtkomst till uppgifter i dessa databaser uppkommer frågor om i vilken utsträckning de kan komma att betraktas som inkomna och förvarade handlingar hos de mottagande myndigheterna, var- igenom andra aktörer kan få rätt att ta del av uppgifterna.
Bestämmelserna i tryckfrihetsförordningen om allmänna hand- lingar, bestämmelser i offentlighets- och sekretesslagen om hand- lingars offentlighet och sekretess aktualiseras därför. Vidare kan användningen av databaserna ske som ett led i ärendehandläggning och uppgifter som används kan bli en del av ett ärende. Då kan även partinsynsfrågor aktualiseras.
Även det offentliggörande av uppgifter som kan bli aktuellt enligt artikel 38.4 tredje stycket i budgetförordningen aktualiserar frågor om sekretess.
7.1.7Sekretessbestämmelser som kan aktualiseras
Flera sekretessbestämmelser skulle kunna aktualiseras
Under arbetet med detta betänkande och även i viss mån inom ramen för arbetet bedrivet av Utredningen om hantering av EU-medel har det, bland annat av berörda myndigheter, lyfts fram i vilken utsträck- ning sekretessbestämmelser kan aktualiseras vid myndigheternas till- gängliggörande av uppgifter för kommissionen eller vid ett användande av Arachne som ett verktyg. Motsvarande frågeställningar har också lyfts fram rörande en tillämpning av Edes (SOU 2024:22, s. 452–457).
148
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
Även inom ramen för de regeringsuppdrag som RRF-myndigheterna Boverket, Myndigheten för digital förvaltning, Myndigheten för yrkeshögskolan, Naturvårdsverket, Post- och telestyrelsen, Skol- verket, Socialstyrelsen, Statens energimyndighet, Trafikverket samt Universitetskanslersämbetet fått (se avsnitt 5.3.3), har de bland annat lyft frågor om sekretess vid deras eventuella användning av Arachne. Därvid har vissa sekretessbestämmelser diskuterats särskilt. I vilken mån och på vilket sätt olika sekretessbestämmelser aktualiseras be- handlas närmare i kapitel 8. I det följande ges en översiktlig beskriv- ning av de sekretessbestämmelser som har en särskilt central bety- delse för de frågor som behandlas i detta betänkande.
Sekretess till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer
Eftersom de förhållanden som utredningen har att behandla inne- bär att uppgifter hanteras i förhållande till EU:s institutioner och andra medlemsländer behöver överväganden göras utifrån bestämmel- serna i 15 kap. OSL om sekretess till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer. Utrikessekretessen regleras i 15 kap. 1 § första stycket OSL,
som anger att sekretess gäller för uppgift som rör Sveriges förbin- delser med en annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller statslös, om det kan antas att det stör Sveriges mellanfolk- liga förbindelser eller på annat sätt skadar landet om uppgiften röjs.
I 15 kap. 1 a § OSL behandlas sekretess i det internationella sam- arbetet. Enligt första stycket gäller sekretess för uppgift som en myn- dighet har fått från ett utländskt organ på grund av en bindande EU- rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller med en mellanfolklig organisation, om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs. Mot- svarande sekretess gäller enligt andra stycket för uppgift som en myn- dighet har inhämtat i syfte att överlämna den till ett utländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal som avses i första stycket. Enligt tredje stycket gäller, om sekretess gäller enligt första eller andra stycket, att de sekretessbrytande bestämmelserna i 10 kap. 5 c §, 15–27 §§ och 28 § första stycket OSL inte får tillämpas.
149
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
15 kap. 1 b § OSL tar sikte på utrikessekretess vid direktåtkomst. Enligt bestämmelsen gäller sekretess för uppgift som en myndighet har elektronisk tillgång till i en upptagning för automatiserad behand- ling hos en annan stat eller mellanfolklig organisation, om myndig- heten inte får behandla uppgiften enligt en bindande EU-rättsakt eller ett av Sverige eller EU ingånget avtal med en annan stat eller mellanfolklig organisation.
Försvarssekretessen, som regleras i 15 kap. 2 § OSL, behöver också beaktas. Den sekretessen gäller för uppgift som rör verksam- het för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs (första stycket första meningen).
Sekretess till skydd främst för myndigheters verksamhet för inspektion, kontroll eller annan tillsyn
Myndigheternas arbete med att kontrollera att EU-medel hanteras korrekt är centralt i denna utredning. Bestämmelserna om sekretess till skydd främst för myndigheters verksamhet för inspektion, kon- troll eller annan tillsyn i 17 kap. OSL behöver därför också beaktas.
17 kap. 1 § OSL gäller sekretess vid förberedelser för inspektion, revision eller annan granskning. Enligt bestämmelsen gäller sekretess för uppgift om planläggning eller andra förberedelser för sådan in- spektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs. I ett avgörande från Kammarrätten i Stockholm har Försäkringskassans riskprofiler och uppgifterna som hänförde sig till arbetet med dessa vid granskning och kontroll av förmåns- ärenden ansetts omfattas av sekretess enligt bestämmelsen (Kammar- rätten i Stockholms dom den 4 februari 2022 i mål nr 8358-21). Utformningen av skaderekvisitet innebär att uppgifter som ska an- vändas vid flera granskningstillfällen, till exempel checklistor för revi- sion, som utgångspunkt inte får lämnas ut så länge uppgifterna an- vänds i granskningsverksamheten. När de inte längre ska användas i denna verksamhet ska sådana uppgifter lämnas ut (Lenberg m.fl. Offentlighets- och sekretesslagen, Norstedts Juridik, JUNO Ver- sion 31, Publicerad digitalt den 17 juni 2025, kommentaren till 17 kap. 1 § OSL). Det bör noteras att det behöver göras en bedömning av
150
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
om syftet med granskningsverksamheten motverkas av om uppgif- ten röjs och den saken kan bedömas olika beroende på vem ett ut- lämnande sker till.
Av 17 kap. 1 b § OSL framgår att sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga utbetal- ningar, om det kan antas att det allmännas syfte med verksamheten motverkas om uppgiften röjs. Paragrafen tillkom i samband med framtagandet av reglering för den nya Utbetalningsmyndighetens verksamhet. Bestämmelsen omfattar exempelvis uppgifter om vilka riskfaktorer som en myndighet har tagit fram för att identifiera miss- tänkt felaktiga utbetalningar, men även uppgifter om hur dataanalyser eller urvalsmodeller har utformats eller utvecklats kan sekretessbe- läggas med stöd av bestämmelsen (prop. 2022/23:34 s. 215). Sekre- tessen gäller för dessa uppgifter oavsett i vilken verksamhet som de förekommer. Sekretessen gäller – liksom beträffande 17 kap. 1 § – så länge den metod, modell eller riskfaktor som uppgiften är hänför- lig till används i verksamheten. När dessa inte längre används upp- hör sekretessen och uppgifter om dem ska följaktligen lämnas ut på begäran (prop. 2022/23:34 s. 215 och 216).
Särskilt om uppgifter om fysiska personer
I 21 kap. OSL finns bestämmelser till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften före- kommer.
Uppgifter om fysiska personers namn, personnummer och adress är normalt offentliga. Under vissa förutsättningar och efter särskild ansökan kan en person få sina personuppgifter av detta slag skyddade genom att en sekretessmarkering förs in i folkbokföringssystemet.
En sådan sekretessmarkering i folkbokföringen har ingen annan be- tydelse än att vara en varningssignal om behovet av en noggrann sek- retessprövning innan en sekretessmarkerad uppgift lämnas ut.
Enligt 21 kap. 3 § första stycket OSL gäller sekretess för uppgift om enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadigvarande eller till- fälligt, den enskildes telefonnummer, e-postadress eller annan jäm- förbar uppgift som kan användas för att komma i kontakt med denne.
151
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
Sekretessen enligt första stycket gäller bara om det av särskild an- ledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs. Bestämmelsen har alltså ett rakt kvalificerat skaderekvisit, vilket innebär att presumtionen är att typiskt sett harm- lösa uppgifter kan lämnas ut utan någon närmare skadebedömning i det enskilda fallet (se Lenberg m.fl., Offentlighets- och sekretess- lagen, JUNO Version 31, Publicerad digitalt den 17 juni 2025, kom- mentaren till 21 kap. 3 § OSL). Liksom övriga sekretessbestämmelser i 21 kap. OSL gäller sekretessen i 21 kap. 3 § oavsett var uppgiften befinner sig och varje myndighet har att pröva sekretessen vid ett utlämnande.
Även om en uppgift inte omfattas av sekretess enligt någon annan bestämmelse i offentlighets- och sekretesslagen omfattas uppgiften av sekretess, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning, härefter dataskyddslagen, eller 6 § lagen (2003:460) om etikprövning av forskning som avser människor. Detta följer av 21 kap. 7 § OSL. Detta utgör ett generellt förbud att lämna ut personuppgif- ter, om det kan antas att personuppgiften efter utlämnandet kommer att behandlas i strid med den nämnda dataskyddsregleringen. Bedöm- ningen tar alltså inte sikte på om myndighetens eget utlämnande av uppgifter skulle strida mot nämnda regleringar (Lenberg m.fl., Offent- lighets- och sekretesslagen, Norstedts Juridik, JUNO Version 31, Pub- licerad digitalt den 17 juni 2025, kommentaren till 21 kap. 7 § OSL).
Sekretess vid tillsyn med mera för uppgift om en enskilds affärs- eller driftförhållanden – 30 kap. 23 § OSL
Bestämmelser om sekretess vid tillsyn, stödverksamhet och liknande finns i 30 kap. 23 § OSL. Med stöd av bestämmelsen kan sekretess gälla för uppgift om en enskilds affärs- eller driftförhållanden, upp- finningar eller forskningsresultat, om det kan antas att den enskilde lider skada om uppgiften röjs. Sekretess kan även gälla för uppgift om andra ekonomiska eller personliga förhållanden för den som har trätt i affärsförbindelse eller liknande förbindelse med den som är föremål för myndighetens verksamhet. När det gäller uppgifter av
152
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
sistnämnda slag (andra punkten) uppställs inte något skaderekvisit, vilket innebär att sekretessen är absolut.
För att sekretess ska gälla enligt 30 kap. 23 § förutsätts att reger- ingen har meddelat föreskrifter om det. Relevanta bestämmelser finns i 9 § offentlighets- och sekretessförordningen (2009:641), OSF, som i sin tur hänvisar till förordningens bilaga där det närmare anges i vilka fall sådan sekretess gäller.
Av punkten 106 i bilagan framgår att sekretessen gäller i verk- samhet som består i utredning, tillsyn och stödverksamhet enligt förordningen (2022:1379) om förvaltning av program för vissa EU- fonder och förordningen (2022:1826) om EU:s gemensamma jord- brukspolitik. Enligt punkten 107 gäller sekretess i verksamhet som består i utredning, tillsyn och stödverksamhet bland annat enligt lagen (1994:1708) om EU:s förordningar om strukturstöd och om stöd till utveckling av landsbygden. Därigenom omfattas förvalt- ning av EGFJ, EjFlu, Eruf, ESF + och FRO av sekretessregleringen.
Av punkten 24 framgår att sekretess gäller i verksamhet som be- står i utredning, planering, tillståndsgivning, tillsyn och stöd inom jordbrukets, rennäringens och fiskets områden hos bland andra Jord- bruksverket, Havs- och vattenmyndigheten, Sametinget och läns- styrelser, dock inte för beslut i ärenden med vissa undantag. Genom punkten 24 gäller sekretess vid förvaltning av EHFVF (och stöd en- ligt förordningen [2022:1461] om stöd från Europeiska havs-, fiskeri- och vattenbruksfonden).
Av punkten 9 i samma bilaga framgår att sekretess gäller i verk- samhet som består i utredning, planering, tillståndsgivning, tillsyn och stödverksamhet hos Tillväxtverket. Enligt punkten 88 gäller sek- retessen i verksamhet som består i utredning, planering och stödverk- samhet hos länsstyrelser i frågor som rör näringslivet, dock inte för beslut i ärenden.
Verksamhet som avser ISF, BMVI och Amif omfattas inte av sek- retess enligt bilagan till offentlighets- och sekretessförordningen. Anledningen till detta synes vara att stöden inte avser produktion, handel, transportverksamhet eller näringslivet i övrigt.
153
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
7.2Övergripande om behandling av personuppgifter
7.2.1Den personliga integriteten skyddas genom flera olika regelverk
Den personliga integriteten skyddas bland annat genom bestämmel- ser i regeringsformen, den europeiska konventionen av den 4 novem- ber 1950 om skydd för de mänskliga rättigheterna och de grundläg- gande friheterna (Europakonventionen) och Europeiska unionens stadga om de grundläggande rättigheterna (EU:s rättighetsstadga), samt dataskyddsförordningen.
I 1 kap. 2 § regeringsformen slås det fast att den offentliga makten ska utövas med respekt bland annat för den enskilda människans fri- het och att det allmänna ska värna den enskildes privatliv och familje- liv (första och fjärde styckena). Enligt 2 kap. 6 § andra stycket re- geringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskil- des personliga förhållanden. Skyddet får begränsas genom lag under vissa förutsättningar, bland annat de som anges i 2 kap. 21 § regerings- formen (2 kap. 20 §). Skyddet får inte begränsas genom förordning.
Behandling av personuppgifter berör rätten till respekt för privat- livet enligt artikel 8.1 i Europakonventionen. Enligt denna artikel har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen gäller som svensk lag, se 1 § lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Enligt 2 kap. 19 § regeringsformen får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakon- ventionen.
I artiklarna 3, 7 och 8 i EU:s rättighetsstadga slås det fast att var och en har rätt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel 52.3 i stad- gan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma inne- börd och räckvidd som enligt konventionen, men att bestämmelsen inte hindrar unionsrätten från att tillförsäkra ett mer långtgående skydd.
154
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
7.2.2EU:s dataskyddslagstiftning
Dataskyddsförordningen är en generell dataskyddslagstiftning. I för- ordningen fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter (artikel 1.1). Eftersom det är en EU-för- ordning är den direkt tillämplig. I skäl 14 anges att förordningen inte omfattar behandling av personuppgifter rörande juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter. Förordningen gäller således inte vid behandling av uppgifter om juridiska personer.
I artikel 6 uttrycks det grundläggande kravet att det ska finnas en giltig rättslig grund för varje behandling av personuppgifter. Bland de rättsliga grunderna kan nämnas att utföra en uppgift av allmänt intresse (artikel 6.1 e).
I artikel 5 ställs ett antal allmänna, men centrala, principer för behandlingen upp. Däribland kan nämnas principen om laglighet, korrekthet och öppenhet, principen om uppgiftsminimering samt principen om ändamålsbegränsning, som inbegriper finalitetsprin- cipen och som innebär att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare får be- handlas på ett sätt som är oförenligt med dessa ändamål. Vissa kate- gorier av personuppgifter kringgärdas av ett särskilt skydd.
Det är den personuppgiftsansvarige som ska säkerställa behand- lingens förenlighet med dataskyddsregleringen och den ska bland annat genomföra lämpliga tekniska och organisatoriska skyddsåt- gärder till exempel genom krav på inbyggt dataskydd och dataskydd som standard och på lämplig säkerhetsnivå (artikel 24, 25 och 32).
Som framgår av såväl förordningens fullständiga namn som dess första artikel är ett syfte med förordningen att underlätta det fria flödet av personuppgifter. Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personupp- gifter (artikel 1.3).
Dataskyddsförordningen gäller inte sådan personuppgiftsbehand- ling som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påfölj- der, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 2.2 d). Sådan behandling
155
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
omfattas av tillämpningsområdet för EU:s dataskyddsdirektiv2, här benämnt dataskyddsdirektivet.
När EU:s institutioner behandlar personuppgifter gäller data- skyddsförordningen för EU:s institutioner. Den innehåller flera bestämmelser som liknar dem i dataskyddsförordningen.
Dataskyddsförordningen benämns ofta GDPR (General Data Protection Regulation), och dataskyddsförordningen för EU:s in- stitutioner benämns ofta EUDPR.
Det finns också dataskyddsbestämmelser i annan EU-rättslig re- glering. Sådana bestämmelser finns till exempel i budgetförordningen.
7.2.3Nationell reglering som kompletterar EU:s dataskyddslagstiftning
Även om dataskyddsförordningen är direkt tillämplig i medlems- staterna förutsätter och möjliggör den kompletterande bestämmel- ser i nationell rätt. Så har också skett i svensk rätt. Förordningen kompletteras av dataskyddslagen och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Härutöver finns ett mycket stort antal sektorsspecifika författ- ningar, ofta kallade registerförfattningar. De reglerar till exempel myndigheters eller verksamheters personuppgiftsbehandling eller behandling som sker i särskilda register. De kompletterar ofta såväl dataskyddsförordningen som dataskyddslagen. Många myndigheter saknar dock sådan särreglering och behandlar personuppgifter en- bart med stöd av den generella regleringen, det vill säga dataskydds- förordningen och dataskyddslagen.
Dataskyddsdirektivet har i svensk rätt genomförts genom brotts- datalagen (2018:1177), som i sin tur i flera fall kompletteras av ett antal sektorsspecifika lagar, såsom lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område.
2Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påfölj- der, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.
156
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
7.2.4Dataskyddsförordningen och dataskyddslagen är tillämplig lagstiftning
Utredningens bedömning: Dataskyddsförordningen och data- skyddslagen kommer att vara tillämpliga vid svenska myndig- heters behandling av personuppgifter.
Skälen för utredningens bedömning
Personuppgifter kommer att behandlas
Bland de uppgifter som kan komma att laddas upp i Arachne eller tillgängliggöras enligt artikel 36.6 i budgetförordningen kan det fin- nas personuppgifter, det vill säga uppgifter som direkt eller indirekt kan hänföras till en fysisk person (varje upplysning som avser en identifierad eller identifierbar fysisk person, se artikel 4.1 i dataskydds- förordningen). Det kan till exempel vara fråga om uppgifter om stöd- mottagare som utgör enskild firma eller uppgift om verklig huvud- man som är en fysisk person. Det kan också finnas kontaktuppgifter som avser en fysisk person. Personuppgifter kan också finnas bland de uppgifter som svenska myndigheter kan komma att offentliggöra enligt artikel 38.4 tredje stycket i budgetförordningen eller kommer att kunna ta del av genom åtkomst till Arachne och Edes.
Vid behandling av personuppgifter behöver dataskyddsregelverket beaktas. Med behandling avses bland annat insamling, registrering, lagring, bearbetning eller ändring, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt (se t.ex. artikel 4.2 i dataskyddsförordningen).
I artikel 36.6 i budgetförordningen används formuleringar om att information ska göras tillgänglig och att det ska ges tillgång till infor- mation. Utredningen bedömer att detta i dataskyddsrättslig mening blir fråga om ett utlämnande av personuppgifter (jfr avsnitt 7.1.5 ovan om offentlighet och sekretess).
Vad gäller Arachne används i artikel 36.2 d formuleringar om att möjliggöra tillgång till och elektronisk automatisk hämtning, registre- ring, lagring och analys av data. I artikel 36.7 används formuleringar om åtkomst till uppgifter och om uppgifter som är tillgängliga via sy- stemet. Vad gäller Edes anges i artikel 144.5 att vissa aktörer ska be- viljas tillgång till vissa uppgifter så att de kan kontrollera om det finns
157
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
uppgifter av visst slag. Även sådana åtgärder som nu nämns utgör behandling, i dessa fall till exempel läsning, sökning och bearbetning.
Dataskyddsförordningen och dataskyddslagen kommer att vara tillämplig reglering
Den generella regleringen vid behandling av personuppgifter är data- skyddsförordningen. Det materiella tillämpningsområdet för förord- ningen omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personupp- gifter som ingår i eller kommer att ingå i ett register (se artikel 2.1).
Det finns vissa undantag från tillämpningsområdet. Exempelvis ska behandling av personuppgifter som utgör ett led i en verksam- het som inte omfattas av unionsrätten inte heller omfattas av förord- ningens bestämmelser (se artikel 2.2 a). Genom dataskyddslagen har dock förordningens tillämpningsområde på nationell nivå utvidgats till att även omfatta behandling av personuppgifter i verksamhet som inte omfattas av unionsrätten, med vissa specifika undantag (se 1 kap. 2 och 3 §§ dataskyddslagen).
Dataskyddsförordningen gäller vidare inte sådan personuppgiftsbe- handling som omfattas av tillämpningsområdet för dataskyddsdirek- tivet. Det direktivet är, förenklat beskrivet, tillämpligt vid behöriga myndigheters (enligt en särskild definition) personuppgiftsbehand- ling när den sker i brottsbekämpande syfte (artikel 2.1 dataskydds- direktivet, se mer under särskild rubrik nedan).
Den personuppgiftsbehandling som kommer att ske som en följd av artikel 36.6 i budgetförordningen utgör ett led i en verksamhet som omfattas av unionsrätten. Detsamma gäller den personuppgifts- behandling som kan komma att ske som en följd av en användning av Arachne eller Edes, och om offentliggörande av personuppgifter skulle bli aktuellt enligt artikel 38.4 tredje stycket. Behandlingen kommer också att ske automatiserat.
Behandlingen av personuppgifter vid tillgängliggörande enligt artikel 36.6 eller offentliggörande enligt artikel 38.4 kommer vidare enligt utredningens bedömning inte att ske av behöriga myndigheter i dataskyddsdirektivets mening eller i ett sådant syfte att dataskydds- direktivet blir tillämpligt. Detta bedömer utredningen, utifrån vad som är känt i dag, inte heller kommer att ske när svenska myndig-
158
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
heter använder sig av Arachne och Edes. Detta behandlas närmare under särskild rubrik nedan.
Även i budgetförordningen förutsätts att dataskyddsförordningen är tillämplig reglering vid medlemsstaternas och deras myndigheters personuppgiftsbehandling. Som exempel kan nämnas att artikel 5 i budgetförordningen som behandlar skydd för personuppgifter anger att förordningen inte påverkar tillämpningen av dataskyddsförord- ningen eller dataskyddsförordningen för EU:s institutioner, och att artikel 63 som gäller förvaltningsformen delad förvaltning föreskriver att all behandling ska vara förenlig med dataskyddsförordningen (artikel 63.4 andra stycket budgetförordningen). Även skäl 39 och 129 till budgetförordningen nämner dataskyddsförordningen. Bud- getförordningen saknar helt hänvisningar till dataskyddsdirektivet. Motsvarande gäller för tillhörande sektorsspecifik reglering i till exempel CAP-förordningen, CPR och RRF-förordningen.
Dataskyddsförordningen är därmed tillämplig dataskyddsregler- ing när svenska myndigheter kommer att behandla personuppgifter enligt budgetförordningen och tillhörande sektorsspecifik EU-rätts- lig reglering. Detta innebär också att den nationella lagstiftning som hör till dataskyddsförordningen är tillämplig, det vill säga dataskydds- lagen och tillhörande förordning.
Finns det ytterligare nationell dataskyddsreglering att beakta?
Det finns i stor omfattning sektorsspecifik dataskyddsreglering, som kompletterar dataskyddsförordningen och dataskyddslagen. En sär- skild fråga är om det finns särskild nationell reglering på dataskydds- området, som är tillämplig vid den personuppgiftsbehandling som nu är aktuell. Om så är fallet behöver även den regleringen beaktas i utredningens arbete.
Under arbetet med detta betänkande och tidigare nämnda reger- ingsuppdrag till RRF-myndigheterna har det, bland annat av berörda myndigheter, tagits upp frågor om tillämplig dataskyddslagstiftning. De myndigheter som utredningen bedömer bli skyldiga att tillgäng- liggöra uppgifter enligt artikel 36.6 i budgetförordningen och de myn- digheter som omfattas av utredningens bedömningar om Arachne och Edes saknar sektorsspecifik dataskyddsreglering när det gäller den behandling som nu är i fråga. Utredningen har inte identifierat
159
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
några registerförfattningar för berörda myndigheter som avser nu aktuell slags behandling.
Det finns således inte några särskilda, nationella registerförfatt- ningar som kompletterar dataskyddsförordningen eller dataskydds- lagen i detta sammanhang som beaktas inom ramen för denna ut- redning.
Kan dataskyddsdirektivet och brottsdatalagen vara tillämplig reglering i något fall?
Ovan framgår att utredningen bedömer att dataskyddsdirektivet inte är tillämplig dataskyddsreglering vid nu aktuell personuppgiftsbehand- ling. Eftersom motverkande av oriktigheter kan ha beröringspunk- ter med brottsbekämpande verksamhet kan det finnas skäl att närmare behandla frågan om gränsdragningen mellan dataskyddsförordningen och dataskyddslagen å ena sidan, och dataskyddsdirektivet och brotts- datalagen å andra sidan.
Dataskyddsförordningen gäller inte sådan personuppgiftsbehand- ling som omfattas av tillämpningsområdet för dataskyddsdirektivet. Dataskyddsdirektivet är tillämpligt på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga på- följder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 2.1 jämförd med artikel 1.1 i dataskyddsdirektivet). Brottsdatalagen genomför dataskyddsdirek- tivet i svensk rätt och gäller med vissa undantag bland annat vid be- handling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, ut- reda eller lagföra brott eller verkställa straffrättsliga påföljder (se 1 kap. 1, 2 och 4 §§).
Av avgörande betydelse för att denna reglering ska vara tillämp- lig är att behandlingen utförs av en behörig myndighet. I 1 kap. 6 § brottsdatalagen definieras behörig myndighet som
1.en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verk- ställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller
160
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
2.en annan aktör som har anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar personuppgifter för ett sådant syfte.
Detta innebär att grundläggande krav för att dataskyddsdirektivet och brottsdatalagen ska vara tillämpliga är att den som behandlar per- sonuppgifterna är en behörig myndighet och i egenskap av sådan behörig myndighet behandlar personuppgifter för något av de i lagen angivna syftena (se också SOU 2017:29, s. 181 och 182 samt prop. 2017/18:232 s. 111 och 112).
Ekobrottsmyndigheten och Polismyndigheten är exempel på myn- digheter som i stor utsträckning i egenskap av behörig myndighet behandlar personuppgifter, förenklat beskrivet, i brottsbekämpande syfte. När dessa myndigheter behandlar personuppgifter i brottsbe- kämpande syfte och gör det i egenskap av behörig myndighet, är brottsdatalagen tillämplig dataskyddslagstiftning, tillsammans med relevant sektorsspecifik lagstiftning.
När det gäller deras brottsbekämpande verksamhet uppfattar ut- redningen att båda myndigheterna förvisso skulle kunna ha intresse av att kunna ta del av uppgifter från nu aktuella system (se till exem- pel avsnitt 5.3.5). Om de skulle beredas tillgång till Arachne och Edes och därvid behandlade personuppgifter, till exempel genom sökning eller läsning, i brottsbekämpande syfte, eller förde in person- uppgifter i samma syfte, skulle brottsdatalagen vara tillämplig vid den behandlingen.
Som framgår av avsnitt 5.3.5 bedöms dock Ekobrottsmyndigheten och Polismyndigheten i egenskap av brottsbekämpande myndigheter inte komma att vara användare av Arachne, då de inte på det sätt som avses i budgetförordningen kan anses delta i genomförandet av budge- ten när de utför sina brottsbekämpande uppdrag (se dock nedan om Polismyndigheten som förvaltande myndighet). När det gäller Edes framgår av avsnitt 6.2 att Ekobrottsmyndigheten och Polismyn- digheten i sina brottsbekämpande roller inte ingår bland de myndig- heter som bedöms kunna få tillgång till Edes-databasen. Utredningen bedömer också att dessa myndigheter inte i egenskap av brottsbe- kämpande myndigheter kommer att tillgängliggöra uppgifter enligt artikel 36.6 i budgetförordningen (se till exempel avsnitt 4.4.2). Där- med kan inte utredningen se att dessa myndigheter, såvitt är känt i dagsläget om möjliga användare av eller syften med användning av
161
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
systemen, kommer att behandla personuppgifter med stöd av brotts- datalagen.
Båda myndigheterna utför även personuppgiftsbehandling som omfattas av dataskyddsförordningen, då de inte bara behandlar per- sonuppgifter i brottsbekämpande syfte. Polismyndigheten ingår bland de förvaltande myndigheterna enligt budgetförordningen och hand- lägger och kontrollerar EU-medel från vissa fonder. Vid den per- sonuppgiftsbehandling som sker då agerar Polismyndigheten inte utifrån sina brottsbekämpande uppdrag. Brottsdatalagen är inte till- lämplig vid den personuppgiftsbehandlingen. Det är i stället data- skyddsförordningen och dataskyddslagen.
Att motverka oriktigheter, som till exempel att genom kontroll- funktioner motverka felaktig hantering av EU-medel, kan i och för sig medföra att brottslighet förebyggs och också upptäcks. Många åt- gärder som vidtas inom ramen för kontrollverksamhet kan ha brotts- förebyggande effekter. Det är dock inte att likställa med att brotts- datalagen är tillämplig. I förarbetena till brottsdatalagen ges viss vägledning kring gränsdragningen mellan regelverkens tillämpnings- område, varvid anges att kontrollverksamhet ligger utanför lagens tillämpningsområde (se t.ex. SOU 2017:29, s. 198–203 och prop. 2017/18:232 s. 113). Detta är i överensstämmelse med utredningens bedömning att dataskyddsförordningen och dataskyddslagen är tillämplig reglering vid nu aktuell personuppgiftsbehandling.
Utredningen ser inte i nuläget att några andra myndigheter som behandlar personuppgifter på ett sådant sätt att brottsdatalagen är tillämplig, kommer att använda Arachne (inklusive att vid en sådan användning ladda upp uppgifter i Arachne) eller Edes, eller tillgäng- liggöra uppgifter enligt artikel 36.6 eller offentliggöra uppgifter en- ligt artikel 38.4 tredje stycket i budgetförordningen. Då bedömningen av vilken dataskyddsreglering som blir tillämplig avgörs av syftet med personuppgiftsbehandlingen och det är tillämpande myndig- heter som har att bedöma den frågan, kan utredningen inte helt ute- sluta att det i något fall görs en annan bedömning. Det kan inte heller helt uteslutas att så kan bli fallet någon gång framöver, till exempel om regleringen i budgetförordningen förändras eller kretsen som får åtkomst till systemen förändras. Vidare kan praxis eller synen på vad som innefattas i brottdatalagens tillämpningsområde utvecklas.
Det bör observeras att ovanstående bedömningar avser den per- sonuppgiftsbehandling som omfattas av utredningens uppdrag. Om
162
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
uppgifter som härrör från Arachne eller Edes skulle komma till exem- pel Ekobrottsmyndigheten tillhanda och där användas i brottsbe- kämpande syfte, kan brottsdatalagen vara tillämplig vid den behand- lingen. Sådana frågor ligger utanför utredningens uppdrag.
Gränsdragningen till dataskyddsförordningen för EU:s institutioner
Enligt artikel 2.3 i dataskyddsförordningen är förordning (EG) nr 45/20013 tillämplig på den behandling av personuppgifter som sker i EU:s institutioner, organ och byråer. Förordning 45/2001 har upphävts och ersatts av dataskyddsförordningen för EU:s institutio- ner, som enligt artikel 2 är tillämplig på unionsinstitutioners och unionsorgans behandling av personuppgifter, utom – under vissa förutsättningar – viss behandling av Europol och Eppo. Enligt arti- kel 99 i den förordningen ska hänvisningar till den upphävda förord- ningen anses som hänvisningar till dataskyddsförordningen för EU:s institutioner.
Vad gäller nu aktuell personuppgiftsbehandling kommer därför dataskyddsförordningen för EU:s institutioner att vara tillämplig när kommissionen tar emot och behandlar uppgifter som svenska myndigheter tillgängliggör för eller på annat sätt lämnar till kommis- sionen. Då Arachne kommer att användas av såväl EU:s institutioner och organ som nationella myndigheter kan gränsdragningsfrågor om vem som ansvarar för vilken personuppgiftsbehandling uppkomma. Utredningen återkommer till vissa sådana frågor i kommande avsnitt.
7.2.5Rättsliga grunder och principer för behandlingen som kan aktualiseras
Rättsliga grunder som kan aktualiseras
De vanligaste rättsliga grunderna för myndigheter
All personuppgiftsbehandling behöver vila på en rättslig grund för att vara laglig (artikel 6.1 i dataskyddsförordningen). De rättsliga grunderna räknas upp i artikel 6.1 a–f.
3Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar person- uppgifter och om den fria rörligheten för sådana uppgifter.
163
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
De rättsliga grunder som i huvudsak aktualiseras för myndigheter är behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) och behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).
Andra rättsliga grunder är om personuppgifter behandlas med stöd av den registrerades samtycke (artikel 6.1 a), om behandlingen är nödvändig för att fullgöra ett avtal (artikel 6.1 b), för att skydda intressen som är av grundläggande betydelse för en fysisk person (artikel 6.1 d), eller utifrån en intresseavvägning mellan den person- uppgiftsansvariges eller tredje parts berättigade intressen och den registrerades intressen och grundläggande fri- och rättigheter (arti- kel 6.1 f). Den sistnämnda rättsliga grunden gäller inte för behand- ling som utförs av offentliga myndigheter när de fullgör sina upp- gifter (artikel 6.1 andra stycket).
Uppräkningen i artikel 6.1 är uttömmande. Om ingen av de grun- der som anges där är tillämplig är behandlingen inte laglig och får där- med inte utföras. De rättsliga grunderna är i viss mån överlappande och flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.
För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b–f måste den vara nödvändig i förhållande till den rätts- liga grunden. Innebörden av detta krav beskrivs närmare i avsnitt 8.2.6.
Grunderna för behandling enligt artikel 6.1 c och e omfattas av ytterligare krav
Vad gäller grunderna rättslig förpliktelse (artikel 6.1 c) och uppgift av allmänt intresse (artikel 6.1 e) finns ytterligare krav i artikel 6.3. Enligt första stycket i den punkten ska de grunder för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansva- rige omfattas av. Detta innebär inte att den rättsliga grunden nödvän- digtvis måste fastställas i eller i enlighet med en av riksdagen beslu- tad lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt. Grunden ska även vara tydlig och precis, och dess tillämpning ska vara förutsebar för personer som omfattas
164
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
av den (se skäl 41 till dataskyddsförordningen och prop. 2017/18:105 s. 51 och 52).
Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändigt för att utföra en uppgift av allmänt in- tresse eller som ett led i den personuppgiftsansvariges myndighetsut- övning. Artikel 6.3 ställer också krav på att, i fråga om grunden för personuppgiftsbehandling, unionsrätten eller medlemsstaternas natio- nella rätt ska uppfylla ett mål av allmänt intresse och vara proportio- nell mot det legitima mål som eftersträvas.
Dataskyddslagens bestämmelser om rättslig grund enligt artikel 6.1 c och e
Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna be- hålla eller införa mer specifika bestämmelser för att anpassa tillämp- ningen med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Så har också skett i svensk lagstiftning. I dataskyddslagen finns be- stämmelser om de två ovan nämnda grunderna. I 2 kap. 1 § data- skyddslagen anges att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen, om behandlingen är nödvän- dig för att den personuppgiftsansvarige ska kunna fullgöra en rätts- lig förpliktelse som följer av lag eller annan författning, av kollektiv- avtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Enligt 2 kap. 2 § dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
165
Övergripande om offentlighet, sekretess och dataskydd | SOU 2025:112 |
De grundläggande principerna i artikel 5 som måste uppfyllas
Vilka är principerna?
I artikel 5 i dataskyddsförordningen ställs ett antal allmänna, men centrala, principer för behandlingen av personuppgifter upp. Arti- klarna 6 och 5 är grundläggande och kumulativa. Det innebär att någon av de rättsliga grunderna i artikel 6 måste vara tillämplig, sam- tidigt som samtliga principer i artikel 5 ska följas.
Principerna finns i artikel 5.1 och är följande.
a)Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (principen om laglighet, kor- rekthet och öppenhet).
b)Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. De får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (principen om ändamåls- begränsning, som inbegriper finalitetsprincipen).
c)Personuppgifter ska vara adekvata, relevanta och inte för omfat- tande i förhållande till de ändamål för vilka de behandlas (prin- cipen om uppgiftsminimering).
d)Personuppgifter ska vara riktiga och, om nödvändigt, uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personupp- gifter som är felaktiga i förhållande till de ändamål för vilka de be- handlas raderas eller rättas utan dröjsmål (principen om riktighet).
e)Personuppgifter får inte förvaras i en form som möjliggör identi- fiering av den registrerade under en längre tid än vad som är nöd- vändigt för de ändamål för vilka personuppgifterna behandlas (principen om lagringsminimering).
f)Personuppgifter ska behandlas på ett sätt som säkerställer lämp- lig säkerhet för personuppgifterna, inbegripet skydd mot obehö- rig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse (principen om integritet och konfi- dentialitet).
Det är den personuppgiftsansvarige som ska ansvara för och kunna visa att principerna efterlevs (artikel 5.2).
166
SOU 2025:112 | Övergripande om offentlighet, sekretess och dataskydd |
Särskilt om finalitetsprincipen
Som framgår av punktuppställningen ovan är finalitetsprincipen en del av principen om ändamålsbegränsning (artikel 5.1 b). Finalitets- principen kommer även till uttryck i artikel 6.4, där det anges vad som i vissa fall ska beaktas vid en bedömning av personuppgiftsbe- handlingens förenlighet med finalitetsprincipen. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna sam- lades in inte grundar sig på den registrerades samtycke eller på uni- onsrätten eller medlemsstaternas nationella rätt som utgör en nöd- vändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda vissa mål som anges i artikel 23.1, ska den personuppgifts- ansvarige bland annat beakta följande för att fastställa huruvida en behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in:
a)Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behand- lingen
b)Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personupp- giftsansvarige
c)Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10
d)Eventuella konsekvenser för registrerade av den planerade fort- satta behandlingen
e)Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.
167
8 Behovet av åtgärder
8.1Utredningens uppdrag och vissa utgångspunkter
I detta kapitel görs bedömningar om i vilken mån det på nationell nivå finns behov av författningsändringar eller andra åtgärder i vissa avseenden. Först behandlas behovet av åtgärder för att Sverige ska kunna uppfylla det krav på tillgängliggörande av uppgifter till kom- missionen som från och med 2028 kommer att gälla enligt artikel 36.6 i budgetförordningen, se avsnitt 8.2.
I avsnitt 8.3 behandlas behovet av åtgärder för att svenska myn- digheter ska kunna lämna uppgifter i de fall det inte finns en rättslig skyldighet att göra det. Det handlar till att börja med om tillgänglig- görande av frivilliga uppgifter enligt artikel 36.6 i budgetförordningen. Vidare handlar det om ett sådant lämnande av uppgifter som ett fri- villigt användande av Arachne aktualiserar, dels vid ett sådant läm- nande av uppgifter om redan beviljade medel som eventuellt sker före 2028, dels vid användande av den så kallade förhandsfunktionen.
Frågan om det finns några hinder för Sverige att uppfylla skyldig- heten att offentliggöra vissa uppgifter behandlas i avsnitt 8.4. I av- snitt 8.5 behandlas behovet av åtgärder för att svenska myndigheter ska kunna använda Arachne som verktyg, i betydelsen att de bereder sig tillgång till uppgifter i databasen och använder systemet som ett riskvärderingsverktyg. Behovet av åtgärder för att svenska myndig- heter ska kunna använda Edes som verktyg behandlas i avsnitt 8.6.
Utredningens uppdrag som avser kartläggning och bedömning av de regler som styr användningen av Arachne behandlas också delvis i detta kapitel, liksom de skyldigheter som berörda myndigheter kan få inom ramen för den regleringen och regleringen om Edes. De upp- dragen behandlas också delvis i kapitel 5 och 6 (där med fokus på budgetförordningens reglering av de två systemen) samt i kapitel 7 (angående regleringen om offentlighet, sekretess och dataskydd).
169
Behovet av åtgärder | SOU 2025:112 |
Utredningen har i uppdrag att kartlägga vilken personuppgiftsbe- handling som en anslutning till Arachne och Edes skulle medföra, vilket behandlas i detta kapitel samt i avsnitt 7.2 och kapitel 9. Även flera delar av uppdragen att kartlägga det skydd för personuppgifter som finns i nämnda system, värdera eventuella risker som kommis- sionens dataskyddsombud har identifierat, utreda om det finns be- hov av nya eller ändrade bestämmelser för att möjliggöra den person- uppgiftsbehandling som en användning av systemen medför samt lämna nödvändiga författningsförslag behandlas i de avsnitten. Ut- redningen behandlar motsvarande frågor avseende den personupp- giftsbehandling som olika former av uppgiftslämnande förväntas medföra.
En EU-förordning är till alla delar bindande och direkt tillämp- lig i alla medlemsstater. Det betyder att en förordning ska tillämpas direkt av nationella myndigheter på samma sätt som lagar och andra nationella föreskrifter. Medlemsstaterna är skyldiga att se till att det inte finns nationella bestämmelser som står i strid med en EU-för- ordning. En fråga som är reglerad i en EU-förordning får som huvud- regel inte regleras nationellt. Detta innebär bland annat att den om- ständigheten att den generella unionsrättsakten om dataskydd är en förordning, och inte ett direktiv, innebär omfattande begränsningar av möjligheten att införa eller behålla nationella bestämmelser om dataskydd. Dataskyddsförordningen både förutsätter och medger dock nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Bestämmelser får också återges när det är nödvändigt för att den nationella regleringen ska bli begrip- lig eller sammanhållen (jfr prop. 2017/18:105 s. 21).
8.2Tillgängliggörande av obligatoriska uppgifter
8.2.1Uppdraget i denna del
Artikel 36.6 i budgetförordningen medför såväl skyldigheter som möjligheter att tillgängliggöra uppgifter för kommissionen. I detta avsnitt behandlas de rättsliga frågor som uppkommer med anled- ning av de delar av artikel 36.6 som medför en skyldighet att tillgäng- liggöra uppgifter, det vill säga rättsligt obligatoriskt uppgiftslämnande.
Här behandlas därmed utredningens uppdrag att bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna
170
SOU 2025:112 | Behovet av åtgärder |
uppfylla de krav som ställs i budgetförordningen, särskilt i fråga om rapportering av uppgifter för registrering i Arachne, och att lämna författningsförslag, om så är nödvändigt.
Utredningen har också i uppdrag att utifrån den gjorda kartlägg- ningen avseende Arachne utreda och analysera om det bland de data som ska registreras i Arachne finns uppgifter som skulle kunna om- fattas av sekretess, och om det finns rättsliga förutsättningar för svenska myndigheter att registrera eller annars utbyta dessa, samt att analysera och bedöma vilket skydd eventuella sekretessbelagda uppgifter skulle ha i samband med andra medlemsstaters och EU- institutioners användning av Arachne. Även om detta avsnitt avser obligatoriskt tillgängliggörande enligt artikel 36.6 medför det faktum att uppgifterna är avsedda att föras in i Arachne att dessa uppdrag också lämpligen behandlas i detta avsnitt. Även uppdraget att lämna nödvändiga författningsförslag i detta avseende behandlas här, lik- som uppdraget som rör hur Arachnes funktionalitet och användning påverkas om eventuella sekretessbelagda uppgifter inte kan registreras.
Vad gäller nyss nämnda uppdrag att utreda och analysera om det finns rättsliga förutsättningar för svenska myndigheter att registrera eller annars utbyta uppgifter, kan det nämnas att Arachne inte främst beskrivs som ett system för utbyte av uppgifter. Arachne är dock ett verktyg för bland annat datautvinning och som sådant har det funk- tioner som kan underlätta för myndigheter att få del av uppgifter från andra myndigheter.
8.2.2Några utgångspunkter
Som framgår av avsnitt 4.4.2 kan de myndigheter som kommer att omfattas av skyldigheten att tillgängliggöra uppgifter enligt arti- kel 36.6 i budgetförordningen sammanfattas som myndigheter som tar emot, förvaltar, övervakar, kontrollerar och reviderar EU-medel, om de har skyldigheter enligt sektorsspecifika regler att registrera och lagra sådan information som avses i artikel 36.6 i budgetförord- ningen. Med nu gällande sektorsspecifika regler på området för delad förvaltning träffar skyldigheten främst Jordbruksverket, Migrations- verket, Polismyndigheten, Svenska ESF-rådet och Tillväxtverket samt länsstyrelserna i Jämtlands, Västerbottens och Norrbottens län. Ut- redningens bedömningar i detta avsnitt utgår från dessa myndigheter.
171
Behovet av åtgärder | SOU 2025:112 |
Det kan här upprepas att myndigheterna som omfattas av RRF inte kommer att vara skyldiga att tillgängliggöra uppgifter enligt arti- kel 36.6 (se bland annat avsnitt 4.4.2). Därmed är det inte aktuellt att bedöma behovet av åtgärder när det gäller RRF-myndigheterna.
8.2.3Obligatoriska uppgifter kommer i regel inte att omfattas av sekretess
Utredningens bedömning: De uppgifter som svenska myndig- heter ska tillgängliggöra för kommissionen enligt artikel 36.6 i budgetförordningen kommer i regel inte att omfattas av sekretess. Det kan dock inte uteslutas att vissa uppgifter undantagsvis skulle kunna vara sekretessbelagda i det enskilda fallet.
Skälen för utredningens bedömning
Uppgifterna som ska tillgängliggöras kommer som huvudregel inte att omfattas av sekretess
Som utredningen redogör för i avsnitt 4.4.3 handlar de uppgifter som ska tillgängliggöras enligt artikel 36.6 i budgetförordningen om stöd- mottagare, åtgärden och verkliga huvudmän. Sådana slags uppgifter lämnas i stor utsträckning redan i dag till kommissionen eller offent- liggörs direkt på utlämnande myndighets hemsida. Uppgifterna be- höver enligt budgetförordningen bara tillgängliggöras i den utsträck- ning de behöver lagras och registreras enligt sektorsspecifika regler. Det betyder att det närmare innehållet i skyldigheten bestäms genom annan reglering än budgetförordningen, samtidigt som den yttersta gränsen för vilka typer av uppgifter som omfattas av skyldigheten bestäms av budgetförordningen.
Utredningen om hantering av EU-medel anförde i betänkandet En ny organisation för förvaltning av EU-medel (SOU 2024:22) att majoriteten av de rättsligt obligatoriska uppgifterna förefaller vara av sådan karaktär att de antingen redan är offentliga eller i vart fall inte omfattas av sekretess. Enligt den utredningen krävs det emeller- tid att en myndighet gör en prövning av huruvida delning är möjligt innan information läggs in i Arachne. Utredningen redogjorde för att bland annat Tillväxtverket hade anfört att det kan bli svårt att
172
SOU 2025:112 | Behovet av åtgärder |
dela sekretessbelagda uppgifter i Arachne om uppgifterna därmed blir tillgängliga inte bara för den egna myndigheten och kommis- sionen, utan för samtliga förvaltande myndigheter runt om i unio- nen som är anslutna till verktyget (se SOU 2024:22, s. 455 och 456).
I expertgruppen i denna utredning har det framkommit att det i allmänhet inte synes finnas några rättsliga hinder mot att tillgänglig- göra uppgifter för kommissionen inom det rättsligt obligatoriska området, samtidigt som vissa tveksamheter framförts. Dessa tvek- samheter har bland annat gällt möjligheten att tillgängliggöra födelse- datum på fysiska personer och uppgifter om personer med skyddade personuppgifter. Vidare har det framförts att det kan innebära pro- blem om insatsens art och ändamål behöver anges på ett mer detal- jerat sätt.
När det gäller vilka sekretessbestämmelser som skulle kunna aktu- aliseras har vissa diskuterats särskilt. Det handlar bland annat om sekretess till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer som regleras i 15 kap. offent- lighets- och sekretesslagen (2009:400), OSL, om sekretess till skydd främst för myndigheters verksamhet för inspektion, kontroll eller annan tillsyn i 17 kap. 1–1 a §§ och sekretess vid tillsyn med mera för uppgift om en enskilds affärs- eller driftförhållanden enligt 30 kap. 23 § OSL. Dessa sekretessbestämmelser beskrivs översiktligt i av- snitt 7.1.7. Bestämmelsen i 21 kap. 7 § OSL, som behandlas närmare i det avsnittet, kan nämnas särskilt här. Den innebär att även om en uppgift inte omfattas av sekretess enligt någon annan bestämmelse i offentlighets- och sekretesslagen omfattas uppgiften av sekretess om det kan antas att uppgiften efter ett utlämnande kommer att be- handlas i strid med dataskyddsregelverket. Det är dock utredningens bedömning att bestämmelsen inte bör aktualiseras i fråga om tillgäng- liggörande enligt artikel 36.6 i budgetförordningen. Det är ett grund- läggande krav att åtkomsten till de uppgifter som behandlas i Arachne ska överensstämma med tillämpliga dataskyddsregler (se artikel 36.7 andra stycket i budgetförordningen). Det saknas därför anledning att anta att de uppgifter som tillgängliggörs för kommissionen en- ligt artikel 36.6, vilka är avsedda att tillföras Arachne, efter ett utläm- nande kommer att behandlas i strid med dataskyddsregelverket.
Enligt utredningens mening kommer de uppgifter som ska till- gängliggöras för kommissionen enligt artikel 36.6 i budgetförord- ningen i de flesta fall över huvud taget inte att omfattas av någon
173
Behovet av åtgärder | SOU 2025:112 |
tillämplig sekretessbestämmelse (även om undantag kan förekomma, vilket behandlas nedan). Det finns då i sekretesshänseende inga hin- der mot att dessa uppgifter tillgängliggörs och lämnas ut.
Vidare innebär det förhållandet att en uppgift omfattas av tillämp- ningsområdet för en sekretessbestämmelse inte i sig att uppgiften är sekretessbelagd i det enskilda fallet. Det krävs också att sekretess- bestämmelsens skaderekvisit är uppfyllt, såvida det inte är fråga om absolut sekretess. Enligt utredningens mening är utgångspunkten att skyldigheten i artikel 36.6 är utformad på ett sådant sätt att endast uppgifter som i regel är harmlösa och kan lämnas ut utan stöd av en sekretessbrytande bestämmelse omfattas. Det innebär att uppgifterna i regel kan tillgängliggöras för kommissionen, även om uppgifterna skulle omfattas av tillämpningsområdet för en sekretessbestämmelse. Detta utvecklas nedan bland annat vad gäller uppgifter om fysiska personers namn, personnummer, adress med mera.
Tillgängliggörandet bör ofta kunna ske utan att vissa uppgifter lämnas ut – men undantag kan finnas
Som framgår ovan kommer många av de uppgifter som ska tillgäng- liggöras redan att vara offentliga. I vilken utsträckning uppgifter som är sekretessreglerade behöver tillgängliggöras beror till viss del på en tolkning av skyldigheten i artikel 36.6 i budgetförordningen när det gäller hur detaljerade uppgifterna behöver vara. Följande exempel kan nämnas, som tar utgångspunkt i regleringen av de uppgifter som ska tillgängliggöras om insatsen enligt artikel 36.6 första stycket b, nämligen bland annat det belopp för vilket ett åtagande har gjorts (artikel 38.2 d) och åtgärdens art och ändamål (artikel 38.2 e).
När det gäller åtgärdens art och ändamål får det anses något oklart hur detaljerade uppgifter som behöver lämnas. Det kan tänkas att jordbruksstöd lämnas för projekt som har betydelse för Sveriges till- gång till livsmedel under kris- och krigstider. Det kan inte uteslutas att det i förhållandena bakom sådana projekt finns information som omfattas av försvarssekretess enligt 15 kap. 2 § OSL. Enligt den be- stämmelsen gäller sekretess för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs.
174
SOU 2025:112 | Behovet av åtgärder |
Det kan dock inte ur de krav som ställs i artikel 36.6 i budgetför- ordningen utläsas att uppgifter behöver lämnas på en sådan detalj- nivå att sådana skyddsvärda förhållanden som skisseras ovan måste röjas. Det framstår som troligt att åtgärdens art och ändamål i all- mänhet kan beskrivas på ett sådant sätt att skyddsvärd information inte röjs. Det kan inte heller antas vara syftet med budgetförord- ningens bestämmelser att denna typ av känslig information ska röjas. En sådan ordning kan inte anses ligga i kommissionens eller med- lemsstaternas intresse.
Det kan emellertid noteras att uppgift om det belopp för vilket ett åtagande har gjorts ingår bland de uppgifter som ska tillgänglig- göras, givetvis under förutsättning att en skyldighet att registrera och lagra sådan information följer av sektorsspecifika regler (se arti- kel 36.6 b och 38.2 d i budgetförordningen). En uppgift om total projektkostnad skulle, i kombination med andra uppgifter, kunna avslöja information om stödmottagares ekonomiska planer. Sådana uppgifter kan omfattas av sekretess om det kan antas att den enskilde lider skada om uppgiften röjs. Detta skulle kunna aktualisera en till- lämpning av 30 kap. 23 § OSL. Som utvecklas i avsnitt 7.1.7 krävs det, för att sekretess ska gälla enligt 30 kap. 23 § OSL, att regeringen har meddelat föreskrifter om det, vilket har skett inom aktuellt område, se 9 § offentlighets- och sekretessförordningen (2009:641), OSF. Enligt utredningen är det svårt att bedöma hur vanligt det skulle vara att röjande av en uppgift om projektkostnad skulle medföra ett sådant men. Det kan noteras att sådana uppgifter som utgångspunkt ingår bland de uppgifter som ska offentliggöras enligt artikel 38.2 i budget- förordningen, även om en möjlighet till undantag finns i artikel 38.3.
Generellt bör det alltså finnas goda förutsättningar för myndig- heterna att tillgängliggöra uppgifter inom det obligatoriska området på ett sådant sätt att uppgifter som är sekretessbelagda inte lämnas ut, men det kan också finnas undantagsfall då annars sekretessbelagda uppgifter behöver tillgängliggöras (se avsnitt 8.2.4 om uttrycket ”annars sekretessbelagd uppgift”).
175
Behovet av åtgärder | SOU 2025:112 |
Särskilt om uppgift om fysiska personers namn, personnummer, adress med mera
Uppgifter om fysiska personers namn, personnummer och adress är normalt offentliga.
Frågan kan ställas om det med anledning av bestämmelsen i arti- kel 36.6 i budgetförordningen kan bli nödvändigt för någon svensk myndighet att tillgängliggöra uppgifter om en enskild person som efter en sekretessprövning kan anses vara sekretessbelagda.
De uppgifter om enskilda fysiska personer som ska tillgänglig- göras enligt artikel 36.6 är följande. För mottagare ska för- och efter- namn samt födelsedatum tillgängliggöras, liksom regionen på Nuts 2-nivå där mottagaren befinner sig, om mottagaren har hemvist i unio- nen. Om mottagaren inte har hemvist i unionen ska i stället uppgift om landet där mottagaren befinner sig tillgängliggöras (artikel 36.6 läst tillsammans med 38.2 b och c). För mottagarens verkliga huvud- män, när mottagaren inte är en fysisk person, ska tillgängliggöras upp- gifter om för- och efternamn, födelsedatum samt registreringsnum- mer för mervärdesskatt eller skatteregistreringsnummer om sådana finns, eller en annan unik identifieringskod på landsnivå. Med det sistnämnda bör kunna avses personnummer.
Artikel 36.6 ställer inte krav på tillgängliggörande av telefonnum- mer eller e-postadress och när det gäller fysiska personer ställs inte heller krav på postadress. Beträffande fysiska personer som är mot- tagare av stöd räcker det – när det gäller information om var personen befinner sig – som framgår ovan med uppgift om region på Nuts-2 nivå, om mottagaren har hemvist i unionen. Nuts är den regionala indelning som används inom EU för statistikredovisning. (I Sverige utgörs Nuts-2 av åtta riksområden: Stockholm, Östra Mellansverige, Småland med öarna, Sydsverige, Västsverige, Norra Mellansverige, Mellersta Norrland och Övre Norrland.) Detta, tillsammans med vad som sägs ovan om att det räcker med uppgift om hemvistland om mottagare utanför unionen, innebär att artikel 36.6 inte ställer krav på uppgifter om en fysisk person på ett sådant sätt att det enbart med dessa uppgifter går att lokalisera personen eller ta kontakt med personen.
Det kan i sammanhanget noteras att enligt datafält 7, bilaga XVII i CPR, ska stödmottagarens kontaktuppgifter anges, vilket språkligt synes kunna omfatta adress till fysisk person. Utredningen uppfattar
176
SOU 2025:112 | Behovet av åtgärder |
regelverket så att den begränsning av skyldigheten att tillgängliggöra uppgifter som finns i artikel 36.6 i budgetförordningen får genomslag på ett sådant sätt att endast hemvist på Nuts-2 nivå behöver göras till- gänglig, även om CPR skulle anses kräva mer detaljerad information.
Det kan också noteras att det i användargränssnittet för Arachne beträffande vissa fonder inte finns fält för att lämna adressuppgifter, vilket innebär att det där saknas möjlighet att tillgängliggöra upp- gifter om adress (se avsnitt 8.3.2).
Utredningen gör bedömningen att artikel 36.6 inte ställer krav på mer detaljerade uppgifter beträffande hemvist för fysiska personer och att det därför inte bör finnas krav på att tillgängliggöra uppgif- ter som omfattas av sekretess enligt 21 kap. 3 § första stycket OSL, som handlar om sekretess för uppgift om enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den en- skilde bor stadigvarande eller tillfälligt, den enskildes telefonnummer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kontakt med denne.
Det förefaller också osannolikt att mottagare av stöd och verkliga huvudmän skulle lida sådant men som avses i bestämmelsen genom att deras namn, födelsedatum eller personnummer (för verkliga hu- vudmän) skulle tillgängliggöras för kommissionen. Som nämns ovan ställer artikel 36.6 i budgetförordningen inte krav på sådana uppgif- ter om en fysisk person att det enbart med dessa uppgifter går att lokalisera eller ta kontakt med personen.
Sammanfattningsvis bedömer utredningen att de uppgifter som, med anledning av bestämmelsen i artikel 36.6 i budgetförordningen, ska tillgängliggöras i allmänhet kommer att kunna lämnas ut efter en sekretessprövning. I enskilda fall kan det dock inte helt uteslutas att sekretess kan gälla för sådana uppgifter.
När det gäller uppgifter som härrör från ärenden om skyddad folkbokföring borde sådana uppgifter över huvud taget inte behöva tillgängliggöras för kommissionen enligt artikel 36.6.
Sekretess kan komma att gälla även enligt andra bestämmelser
Ovan redogör utredningen för de sekretessbestämmelser vars till- lämplighet särskilt har diskuterats när det gäller tillgängliggörande enligt artikel 36.6 i budgetförordningen. Nya sektorsspecifika regler
177
Behovet av åtgärder | SOU 2025:112 |
kommer att tillkomma inför den nya programperioden och därmed kan potentiellt såväl nya uppgifter som nya berörda myndigheter aktualiseras. Det kan därför inte uteslutas att uppgifter kan komma att vara sekretessreglerade enligt andra bestämmelser. Det bör dock erinras om att artikel 36.6 i budgetförordningen utgör en yttersta avgränsning av vilka uppgifter som behöver tillgängliggöras. Även om sektorsspecifika regler i framtiden innehåller krav på att nya uppgifter ska registreras och lagras behöver dessa inte tillgängliggöras för kom- missionen, om de inte också omfattas av artikel 36.6.
8.2.4Det krävs inte författningsändringar på sekretessområdet för tillgängliggörande av obligatoriska uppgifter
Utredningens bedömning: Det behövs inga författningsändringar i sekretesshänseende för att svenska myndigheter ska kunna upp- fylla kraven i artikel 36.6 i budgetförordningen om att göra upp- gifter tillgängliga för kommissionen. För det fall att uppgifterna i det enskilda fallet är sekretessbelagda är tillgängliggörandet möj- ligt med stöd av en befintlig bestämmelse i offentlighets- och sekretesslagen om utlämnande till mellanfolkliga organisationer.
Skälen för utredningens bedömning
Det kommer att vara möjligt att tillgängliggöra sekretessbelagda uppgifter med stöd av 8 kap. 3 § 1 OSL
I föregående avsnitt framgår att uppgifter som ska tillgängliggöras för kommissionen som huvudregel inte kommer att omfattas av sekretess. Det kan dock inte helt uteslutas att vissa uppgifter undan- tagsvis skulle kunna vara sekretessbelagda i det enskilda fallet, exem- pelvis rörande projektkostnaden. För att uppgifter som annars är sekretessbelagda ska få lämnas ut krävs att det finns en bestämmelse som möjliggör utlämnande.
I detta sammanhang använder utredningen uttrycket annars sek- retessbelagda uppgifter för att beskriva uppgifter för vilka sekretess som utgångspunkt gäller enligt offentlighets- och sekretesslagen men som ändå kan lämnas till kommissionen, exempelvis med en tillämp- ning av bestämmelsen i 8 kap. 3 § OSL. Hade den bestämmelsen inte
178
SOU 2025:112 | Behovet av åtgärder |
varit tillämplig hade uppgiften varit sekretessbelagd enligt definitio- nen i 3 kap. 1 § OSL (om uttrycket annars sekretessbelagda uppgifter, se SOU 2024:63, s. 31–33). I denna del gör utredningen följande be- dömningar.
Utgångspunkten är att en uppgift för vilken sekretess gäller inte heller får röjas för en utländsk myndighet eller en mellanfolklig orga- nisation (8 kap. 3 § OSL). Som undantag från denna huvudregel gäl- ler dock om utlämnande sker i enlighet med särskild föreskrift i lag eller förordning (8 kap. 3 § 1 OSL), eller uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndig- heten eller den mellanfolkliga organisationen (8 kap. 3 § 2 OSL).
Paragrafen medför inte någon förpliktelse att lämna uppgifter utan har bara till funktion att fastställa under vilka förutsättningar som sekretessbelagda uppgifter får lämnas till en utländsk myndig- het eller en mellanfolklig organisation.
Kommissionen är, vid en tillämpning av paragrafen, att betrakta som en mellanfolklig organisation, alternativt som en del av en mellan- folklig organisation (EU). Det kan därför konstateras att bestäm- melsen kan tillämpas på ett uppgiftsutlämnande till kommissionen. Den första punkten i bestämmelsen avser vidare inte bara svenska författningar, utan även EU-förordningar (se prop. 2023/24:87 s. 66). Artikel 36.6 i budgetförordningen innebär en skyldighet för svenska myndigheter att lämna uppgifter.
Av ovanstående drar utredningen slutsatsen att det kommer att vara möjligt att – för de undantagsfall att uppgifterna annars är sekre- tessbelagda – göra uppgifter tillgängliga för kommissionen när till- gängliggörandet följer av skyldigheten i artikel 36.6 i budgetförord- ningen.
En tillämpning av 8 kap. 3 § 1 OSL hindrar inte rutinmässigt uppgiftslämnande
Sekretessregleringen tar inte i sig sikte på sättet för utlämnande, men bestämmelsernas utformning kan påverka på vilket sätt som uppgif- ter kan lämnas ut. I nu aktuellt sammanhang är det relevant att titta närmare på om en tillämpning av 8 kap. 3 § 1 OSL kan medge den planerade metoden för uppgiftslämnande.
179
Behovet av åtgärder | SOU 2025:112 |
Som framgår av tidigare redovisningar (se t.ex. avsnitt 4.4.5) är uppgiftslämnandet enligt artikel 36.6 i budgetförordningen avsett att kunna ske automatiskt. Av artikel 36.2 d framgår att Arachne ska möjliggöra bland annat elektronisk automatisk hämtning av data och av skäl 30 framgår att aktuell information och uppgifter om mottagare av unionsmedel automatiskt bör hämtas från och överföras till det systemet, i realtid när så är möjligt, bland annat med användning av relevanta nationella databaser. Därmed kommer det inte att göras en manuell inläggning av varje uppgift, utan uppgiftslämnande kom- mer att ske rutinmässigt.
Det uppgiftslämnande som 8 kap. 3 § 1 OSL möjliggör, uteslu- ter enligt utredningens mening inte ett sådant förfarande. Det krävs dock en bedömning på förhand av utlämnande myndighet av om för- utsättningarna för utlämnande är uppfyllda. Det ankommer således på utlämnande myndighet att innan ett sådant automatiskt eller rutin- mässigt utlämnande inleds, säkerställa att uppgifterna får lämnas ut.
Arachnes funktionalitet påverkas inte
Utredningen bedömer att rättsligt obligatoriska uppgifter kommer att kunna tillgängliggöras och föras in i Arachne. Därmed har utred- ningen inte skäl att utreda om Arachnes funktionalitet och använd- ning påverkas om eventuella sekretessbelagda uppgifter på det rätts- ligt obligatoriska området inte kan registreras.
8.2.5Skydd motsvarande sekretess när uppgifterna lämnats ut kan inte garanteras
Utredningens bedömning: Uppgifter som svenska myndigheter kommer att tillgängliggöra för kommissionen och som därmed kan komma att föras in i Arachne kan antas ha ett visst skydd när olika aktörer använder Arachne som verktyg men skydd motsva- rande sekretess kan inte garanteras. En sådan garanti är inte heller nödvändig.
180
SOU 2025:112 | Behovet av åtgärder |
Skälen för utredningens bedömning
För det fall att annars sekretessbelagda uppgifter lämnas ut kan det inte uteslutas att de efter ett utlämnande får ett svagare skydd
Det ingår i utredningens uppdrag att analysera och bedöma vilket skydd eventuella sekretessbelagda uppgifter skulle ha i samband med andra medlemsstaters och EU-institutioners användning av Arachne. Rättsliga frågor rörande Arachne behandlas i huvudsak i avsnitt 8.5 nedan. I detta avsnitt behandlas frågor om hur uppgifter som kom- mer att tillgängliggöras av svenska myndigheter enligt artikel 36.6 i budgetförordningen och som skulle kunna omfattas av sekretess i Sverige, kan vara skyddade när de överförts till kommissionen och förts in i Arachne.
Till att börja med kan konstateras, vilket utvecklas i avsnitt 8.2.3, att svenska myndigheter bör ha goda förutsättningar att tillgänglig- göra uppgifter på ett sådant sätt att uppgifter som är sekretessbe- lagda i det enskilda fallet över huvud taget inte behöver lämnas ut. Som utvecklas ovan kan det dock inte helt uteslutas att annars sek- retessbelagda uppgifter ändå tillgängliggörs enligt artikel 36.6.
Uppgifter som är sekretessreglerade i Sverige och som tillgänglig- görs för kommissionen enligt artikel 36.6 i budgetförordningen kan förenklat sägas inte längre omfattas av någon svensk sekretessregler- ing. Frågan är då om uppgifterna ändå omfattas av något motsvarande skydd hos de aktörer som använder Arachne som ett verktyg. Dessa aktörer kan vara förvaltande myndigheter i andra medlemsländer eller EU:s institutioner.
När det gäller ett användande av Arachne av myndigheter i andra medlemsländer kommer åtkomstbegränsningar och användningsbe- gränsningar som framgår av till exempel Arachne-stadgan (Arachne, Charter for the introduction, the application and the integration of the Arachne risk scoring tool) att ge ett visst skydd. Av frågor och svar om Arachne framgår att användare i andra medlemsstater oftast bara har åtkomsträttigheter till egna program eller planer, eller inom medlemsstaten, men att medlemsstater kan välja att medge andra medlemsstater tillgång till uppgifter om egna program eller planer (Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 9). Det är således endast i vissa fall som en medlemsstat kan ges direkt tillgång till uppgifter som rör en annan medlemsstat (se mer i avsnitt 4.8.2). Det kan vidare antas att det i EU:s medlems-
181
Behovet av åtgärder | SOU 2025:112 |
länder finns ett visst sekretesskydd för skyddsvärda uppgifter, på liknande sätt som gäller i Sverige. Traditionellt kan Sverige sägas ha i jämförelse med andra länder långtgående krav på öppenhet och trans- parens. Det kan dock inte uteslutas att uppgifter, som är sekretess- reglerade i Sverige, skulle sakna motsvarande skydd hos andra med- lemsländer eller hos EU:s institutioner. Arachne-stadgan kan inte anses ställa några krav på skydd motsvarande sekretess för uppgifter som lämnats av en medlemsstat. Inte heller innehåller budgetförord- ningen några uttryckliga krav på att uppgifter som förts in i Arachne ska omfattas av sekretess. Det så kallade Arachne-teamet vid kom- missionen har dock i kontakter med utredningen gett uttryck för att uppgifter i Arachne ska skyddas och inte få spridning.1 Det bör också beaktas att lagstiftningen på detta område kan ändras i med- lemsländerna utan att Sverige kan påverka det.
Även svenska myndigheter kan använda Arachne och då gäller givetvis den svenska sekretessregleringen. Behovet av sekretesskydd vid svenska myndigheters användande av Arachne som ett verktyg behandlas i avsnitt 8.5.
Vilka möjligheter finns det att säkerställa att motsvarande skydd består efter utlämnande till andra aktörer?
För det fall att vissa uppgifter undantagsvis skulle kunna vara sek- retessbelagda i det enskilda fallet – exempelvis uppgift om projekt- kostnad – skulle det kunna vara önskvärt från ett svenskt perspek- tiv att uppgifter som i Sverige bedöms vara sekretessbelagda inte riskerade att bli offentliga i ett annat medlemsland eller hos kommis- sionen. Det följer av de intressen som ligger bakom den svenska offentlighets- och sekretessregleringen. I teorin skulle risken endast kunna undvikas antingen genom att Sverige avstår från att lämna ifrån sig den sekretessbelagda information som kan komma att spri- das inom EU eller genom att uppgifterna får sekretesskydd hos de andra – utländska – aktörerna.
Mot bakgrund av utredningens bedömning att de uppgifter som ska lämnas i regel inte omfattas av sekretess blir det i allmänhet inte nödvändigt att vidta åtgärder för att skydda sådana uppgifter från att röjas. För fullständighetens skull behandlas ändå i det följande
1Komm2025/00388-10.
182
SOU 2025:112 | Behovet av åtgärder |
vilka möjligheter Sverige har att uppnå ett sådant skydd, för det fall sådana uppgifter ändå skulle förekomma.
Den svenska lagstiftaren saknar generellt sett möjlighet att på- verka vilka sekretessregler som ska gälla i andra EU-länder eller hos EU:s institutioner. Inom ramen för förhandlingar inom och utan- för EU tillämpas dock ibland den så kallade principen om vetorätt för ursprungsinnehavaren. Denna princip innebär att den som har upprättat en handling har rätt att kontrollera till vem handlingen läm- nas ut även efter det att den har överlämnats till exempelvis andra myndigheter eller andra länder. I avtalstexter och EU-rättsakter bru- kar sådana bestämmelser formuleras så att den som tar emot en hem- lig handling från ett annat land eller en mellanfolklig organisation inte får lämna handlingen vidare utan ursprungsinnehavarens skrift- liga samtycke. Det förekommer också att internationella avtal och EU-rättsakter innehåller bestämmelser om ömsesidigt erkännande av sekretess, det vill säga att uppgifter som Sverige har erhållit från en annan stat ska ges ett sekretesskydd som motsvarar det som upp- giften har hos den utlämnande myndigheten.
Principen om vetorätt för ursprungsinnehavaren förespråkas i många andra länder medan den kan sägas stå i konflikt med en grund- läggande princip i Sverige om att det är den myndighet som förvarar en handling som självständigt ska pröva om den kan lämnas ut. I vissa förhandlingar har Sverige försökt – och ibland lyckats – övertyga mot- parterna om att bestämmelser om vetorätt för ursprungsinnehavaren eller ömsesidigt erkännande av sekretess inte ska tas med i avtalet.
Utredningen gör bedömningen att det vad gäller Arachne är svårt att verka för att ge principen om vetorätt för ursprungsinnehavaren genomslag, ens om det skulle bedömas vara önskvärt för att skydda vissa i Sverige sekretessbelagda uppgifter. Den omarbetade budget- förordningen är redan förhandlad och innehåller inte sådana bestäm- melser. Det kan dock vara möjligt för regeringen att inför en ändring av budgetförordningen som innebär att Arachne blir obligatoriskt i den eventuella förhandlingen verka för ett ökat skydd för svenska sekretessbelagda uppgifter. En sådan ordning kan anses avvika något från det traditionella svenska förhållningssättet att verka för större öppenhet (jfr prop. 2012/13:192 s. 11).
183
Behovet av åtgärder | SOU 2025:112 |
Vilka möjligheter finns det för Sverige att avstå från att göra viss information tillgänglig för kommissionen?
Bestämmelserna om krav på tillgängliggörande som finns i artikel 36.6 i budgetförordningen synes inte medge att medlemsstaterna avstår från att göra viss information – som omfattas av kraven i artikeln – tillgänglig. Den närmare informationen som ska göras tillgänglig föl- jer dock av sektorsspecifik reglering. För den kommande program- perioden kommer ny reglering att förhandlas fram. Det kan inom ramen för de förhandlingarna finnas möjlighet för regeringen att verka för att särskilt skyddsvärda uppgifter inte måste tillgängliggöras för kommissionen, om ett sådant intresse finns.
Utredningen fördjupar sig mot denna bakgrund inte mer i denna fråga.
Sammanfattande slutsatser
Även om det inte helt kan uteslutas att svenska myndigheter – vid uppfyllandet av skyldigheterna i artikel 36.6 i budgetförordningen – kan komma att tillgängliggöra annars sekretessbelagda uppgifter bedömer utredningen att myndigheterna i regel bör ha goda förut- sättningar att tillgängliggöra uppgifter på ett sådant sätt att sådana uppgifter över huvud taget inte lämnas ut. För det fall att annars sekretessbelagda uppgifter ändå lämnas ut bedömer utredningen att ett svagare skydd får anses vara godtagbart, mot bakgrund av syftet med utlämnandet.
8.2.6Det krävs inte författningsändringar på dataskyddsområdet för tillgängliggörande av obligatoriska uppgifter
Utredningens bedömning: Det behövs inga författningsänd- ringar i dataskyddshänseende för att svenska myndigheter ska kunna uppfylla kraven i artikel 36.6 i budgetförordningen om att göra uppgifter tillgängliga för kommissionen. Befintlig dataskydds- reglering ger ett tillräckligt stöd för behandlingen.
184
SOU 2025:112 | Behovet av åtgärder |
Skälen för utredningens bedömning
Inledning
I avsnitt 7.2 redogör utredningen för gällande rätt på dataskyddsom- rådet, bland annat för kravet på rättslig grund och de grundläggande principerna för att en personuppgiftsbehandling ska vara laglig.
I detta avsnitt gör utredningen bedömningar av om befintligt data- skyddsregelverk är tillräckligt för den personuppgiftsbehandling som förväntas ske vid det rättsligt obligatoriska tillgängliggörandet av uppgifter enligt artikel 36.6 i budgetförordningen eller om det krävs författningsändringar. Härvid lyfts vissa dataskyddsrättsliga frågor särskilt.
Rättslig grund för behandlingen
Som nämns i avsnitt 7.2.5 är de vanliga rättsliga grunderna för myn- digheter dels att fullgöra en rättslig förpliktelse (artikel 6.1 c i data- skyddsförordningen), dels att utföra en uppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen). Ett krav är att behandlingen är nödvändig för att fullgöra den rättsliga förpliktelsen respektive att utföra uppgiften av allmänt intresse. Vid bedömningen av vad som är nödvändigt bör beaktas att det unionsrättsliga begreppet inte har samma strikta innebörd som det svenska ordet nödvändig: att någon- ting absolut fordras eller inte kan underlåtas (Svenska Akademiens Ordbok). Nödvändighetsrekvisitet i artikel 7 i föregångaren till data- skyddsförordningen, det tidigare gällande dataskyddsdirektivet, har till exempel inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgär- den vidtas (se prop. 2017/18:105 s. 46 och 47). Vilken grad av tyd- lighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksam- hetens karaktär (prop. 2017/18:10 s. 51). Utredningen gör dock i detta betänkande generella bedömningar avseende de rättsliga grun- derna så långt det är möjligt.
Artikel 36.6 i budgetförordningen innehåller ett uttryckligt krav för myndigheter att tillgängliggöra uppgifter för kommissionen. Den rättsliga grunden att fullgöra en rättslig förpliktelse enligt artikel 6.1 c
185
Behovet av åtgärder | SOU 2025:112 |
i dataskyddsförordningen är därmed tillämplig. 2 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning, dataskyddslagen, tydliggör att personuppgifter får be- handlas med stöd av artikel 6.1 c i dataskyddsförordningen, om be- handlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Budgetförordningen, som är att jämställa med lag, innehåller uttryckliga krav inte bara på att upp- gifter ska tillgängliggöras för kommissionen, utan även på vilka upp- gifter som ska tillgänggöras. Att behandlingen är nödvändig står därmed klart.
Även den rättsliga grunden att utföra en uppgift av allmänt intresse (artikel 6.1 e) är enligt utredningens mening tillämplig i detta sam- manhang. Grunden har förtydligats i svensk rätt genom 2 kap. 2 § dataskyddslagen, enligt vilken personuppgifter får behandlas med stöd av artikel 6.1 e, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författ- ning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgifts- ansvariges myndighetsutövning enligt lag eller annan författning.
Alla uppgifter som riksdag eller regering har gett i uppdrag åt sta- tliga myndigheter att utföra anses av regeringen vara av allmänt in- tresse. Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt in- tresse. I normalfallet utgör en myndighets uppdrag enligt författ- ning, instruktion eller regleringsbrev en rättslig grund för behand- ling av personuppgifter enligt artikel 6.1 e. Vissa myndigheter har av riksdagen eller regeringen getts befogenhet att bedriva uppdrags- verksamhet. Även denna typ av verksamhet är motiverad av ett all- mänt intresse (se prop. 2017/18:105 s. 53–57).
Tydliga uppdrag att behandla personuppgifter i författning, ex- empelvis en myndighets instruktion, kan också utgöra en rättslig för- pliktelse enligt artikel 6.1 c. Flera rättsliga grunder kan nämligen vara tillämpliga samtidigt.
Grunderna för nu aktuell behandling är fastställda i unionsrätten och i nationell rätt. Som framgår av tidigare redovisningar ställs höga krav på förvaltande myndigheter och andra aktörer att verka mot oriktigheter gällande hanteringen av EU-medel. Reglering om detta
186
SOU 2025:112 | Behovet av åtgärder |
finns i budgetförordningen, i sektorsspecifik EU-reglering samt i svenska författningar (se kapitel 3).
De krav på registrering och lagring av uppgifter som finns i sek- torsspecifik reglering såsom CPR och CAP-förordningen kan också sägas stärka den rättsliga grunden allmänt intresse. Som exempel på svenska författningar som betonar vikten av att verka mot felaktigheter och bistå med information kan nämnas förordningen (2022:1379) om förvaltning av program för vissa EU-fonder och förordningen (2022:1826) om EU:s gemensamma jordbrukspolitik. Det allmänna intresset följer således av författning och behandlingen är enligt ut- redningens bedömning nödvändig.
Artikel 6.3 i dataskyddsförordningen kräver vidare att unions- rätten eller medlemsstaternas nationella rätt ska vara proportionell mot det legitima mål som eftersträvas (se också avsnitt 7.2.5). Reger- ingen har uttalat att kravet på proportionalitet i detta sammanhang motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Enligt 2 kap. 19 § regeringsformen gäller att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Enligt regeringen borde det därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund borde utgångspunkten enligt regeringen vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt (prop. 2017/18:105 s. 50). De rättsliga grunderna för behandling i nu aktuellt fall finns både i unionsrätten och i nationell rätt. Utred- ningen utgår från att även nu berörd unionsrätt är förenlig med Europakonventionen och uppfyller kravet på proportionalitet i arti- kel 6.3 i dataskyddsförordningen. För en samlad integritetsanalys, se kapitel 9.
Utredningen bedömer vidare att de rättsliga grunderna uppfyller kraven på tydlighet och precision samt på en förutsebar tillämpning för personer som omfattas av grunderna.
Att det finns rättslig grund för utlämnandet av uppgifter inne- bär att det inte behövs några författningsändringar för att skapa en rättslig grund för behandlingen.
187
Behovet av åtgärder | SOU 2025:112 |
Principerna i artikel 5 i dataskyddsförordningen
I avsnitt 7.2.5 redogör utredningen för principerna i artikel 5.1 i data- skyddsförordningen. Principerna ska tillämpas när en personuppgifts- behandling planeras och när behandlingen faktiskt sker, till exempel i en viss verksamhet hos en viss myndighet. Det är den personupp- giftsansvarige som ska säkerställa att principerna efterlevs. Utred- ningen gör dock i detta betänkande så långt det är möjligt bedöm- ningar avseende möjligheten att efterleva principerna.
Den behandling av personuppgifter som kommer att ske har sin grund i budgetförordningen, som är direkt tillämplig för de myn- digheter som kommer att behandla uppgifterna. I budgetförordningen anges att behandlingen ska överensstämma med såväl dataskydds- förordningen som dataskyddsförordningen för EU:s institutioner. Utredningen utgår från att de myndigheter som kommer att behandla personuppgifter uppfyller principen om laglighet, korrekthet och öppenhet. Detsamma gäller principen om integritet och konfidentia- litet. Flera bestämmelser i budgetförordningen nämner vikten av att uppgifter ska skyddas. Utredningen gör samma bedömning som ovan vad gäller principen om riktighet.
När det gäller principen om ändamålsbegränsning framgår ända- målen med tillgängliggörandet av uppgifter enligt artikel 36.6 i bud- getförordningen, både direkt i den bestämmelsen och i andra bestäm- melser, till exempel artikel 36.2 d. Vad gäller finalitetsprincipen, som är en del av principen om ändamålsbegränsning, kan följande sägas. Av skäl 50 till dataskyddsförordningen framgår att personuppgifter endast bör få behandlas för andra ändamål än de för vilka personupp- gifterna samlades in, om dessa ändamål är förenliga med de ursprung- liga ändamålen. I sådana fall krävs inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om en prövning enligt finalitetsprincipen i stället innebär att ända- målen är oförenliga, är en ny behandling av insamlade personupp- gifter bara tillåten om den har stöd i en bestämmelse i unionsrätten eller den nationella lagstiftningen som utgör ett tillåtet undantag från finalitetsprincipen. Om det i lag eller förordning finns en sek- retessbrytande bestämmelse som reglerar att en myndighet ska eller får lämna ut personuppgifter, till exempel en underrättelseskyldig- het, har lagstiftaren tagit ställning för att ett sådant utlämnande är
188
SOU 2025:112 | Behovet av åtgärder |
tillåtet. Någon särskild prövning enligt finalitetsprincipen behöver då inte ske vid utlämnandet (se prop. 2024/25:187 s. 91).
De uppgifter som ska tillgängliggöras enligt artikel 36.6 i budget- förordningen gäller uppgifter som det redan finns en skyldighet att lagra och registrera enligt sektorsspecifik reglering. Uppgifterna kommer därmed redan att finnas hos myndigheterna som ska lämna ut dem till kommissionen. Då kan frågor om behandlingen är förenlig med insamlingsändamålet aktualiseras. De aktuella personuppgifterna bör som utgångspunkt ha samlats in som ett led i intresset att se till att medel endast ska gå till den som har rätt till det, vilket är ett ända- mål i linje med det för vilka uppgifterna ska lämnas till kommissio- nen. De samlas också in enligt en skyldighet i ett EU-regelverk, som bland annat syftar till en korrekt förvaltning av EU-medel. Även detta är i linje med syftet med tillgängliggörandet av uppgifter en- ligt artikel 36.6. Uppgiftslämnandet bör därmed inte anses som oför- enligt med insamlingsändamålet. För det fall att uppgiftslämnandet ändå skulle anses som oförenligt med insamlingsändamålet, har ut- lämnandet ett sådant stöd i unionsrätten att det enligt utredningens mening ska anses som ett tillåtet undantag från finalitetsprincipen och därmed ändå vara tillåtet.
Utredningens bedömning att ändamålen med behandlingen är godtagbara innebär att det inte behövs överväganden om till exem- pel särskilda ändamålsbestämmelser eller andra bestämmelser för att säkerställa att uppgiftslämnandet är förenligt med principen om ändamålsbegränsning och finalitetsprincipen. Det bör observeras att ändamålen behöver kunna beskrivas när behandlingen sker i det spe- cifika fallet. Detta kan inbegripa ett krav på att beskriva de närmare ändamålen.
När det gäller principen om uppgiftsminimering kan den regle- rade omfattningen och utformningen av skyldigheten att tillgänglig- göra uppgifter i artikel 36.6 i sig anses vara ett uttryck för den prin- cipen. Uppräkningen av uppgifter, vilka situationer som avses, och att skyldigheten gäller endast sådana uppgifter som behöver lagras och registreras enligt sektorsspecifik reglering kan sägas vara resul- tatet av bedömningar om vilka uppgifter som faktiskt behövs.
När det gäller principen om lagringsminimering finns det ingen reglering i budgetförordningen som direkt anger hur länge person- uppgifter som tillgängliggörs enligt artikel 36.6 får behandlas. Uppgif- terna avses dock att föras in i Arachne, och beträffande det systemet
189
Behovet av åtgärder | SOU 2025:112 |
finns det en bestämmelse om längsta tid för behandling. Uppgifterna i Arachne ska lagras under den period som är nödvändig och propor- tionell för att uppfylla det syfte som fastställs i artikel 36.2 d, det vill säga målet att motverka oriktigheter. Den längsta möjliga lagrings- perioden får inte överstiga tio år från och med den sista ansökan om utbetalning som lämnats in till kommissionen för den perioden (artikel 36.7 fjärde stycket). Detta innebär att man under lagstift- ningsprocessen inom EU har bedömt att det kan vara nödvändigt att behandla personuppgifter i upp till tio år.
Utredningen bedömer att den reglering som finns är tillräcklig och att det inte finns skäl att överväga några författningsändringar som tar sikte på principerna i artikel 5 i dataskyddsförordningen.
Känsliga personuppgifter
Behandling av särskilda kategorier av uppgifter (känsliga personupp- gifter) är enligt dataskyddsförordningen som huvudregel förbjudet. Förbudet omfattar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1).
Förbudet kompletteras av ett antal undantag, till exempel om be- handlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla be- stämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Artikel 9.2 g är direkt tillämplig, men det är möjligt för medlems- staterna att i nationell rätt införa mer specifika bestämmelser avse- ende känsliga personuppgifter (se artikel 6.2 och skäl 10). Detta har också skett i nationell rätt, se nedan.
Ytterligare ett undantag från förbudet att behandla känsliga per- sonuppgifter gäller om behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade (artikel 9.2 e).
190
SOU 2025:112 | Behovet av åtgärder |
Bestämmelser om behandling av känsliga personuppgifter finns i dataskyddslagen. I 3 kap. 3 § första stycket anges tre undantags- situationer då behandling av känsliga personuppgifter är tillåten.
Känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har läm- nats till myndigheten och behandlingen krävs enligt lag, om behand- lingen är nödvändig för handläggningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt all- mänt intresse och inte innebär ett otillbörligt intrång i den registre- rades personliga integritet. Enligt andra stycket är det vid behand- ling som sker enbart med stöd av första stycket förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Uppgifter som ska tillgängliggöras enligt artikel 36.6 i budget- förordningen är sådana som rör stödmottagare, åtgärden och verk- liga huvudmän. Utredningen kan inte se att känsliga personuppgif- ter i nuläget skulle förekomma bland de uppgifter som ska lämnas.
För det fall att så ändå skulle ske, krävs att något av undantagen från förbudet är tillämpligt. De två första undantagssituationerna i 3 kap. 3 § dataskyddslagen är inte aktuella här, då det inte handlar om att uppgifter har lämnats till myndigheten och det inte heller rör handläggningen av ett ärende. Det är i stället den tredje situationen som kan aktualiseras, det vill säga om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otill- börligt intrång i den registrerades personliga integritet.
Vad gäller kravet på att behandlingen ska vara nödvändig, är inne- börden densamma i artikel 9 som i artikel 6 (prop. 2017/18:105 s. 75 och 76). Kravet ska tolkas i unionsrättslig mening, vilket innebär att det ställs lägre krav än vad som följer av det svenska ordet nödvän- dig. Åtgärden (behandlingen) måste inte vara oundgänglig (se också ovan under rubriken Rättslig grund för behandlingen).
Vad som är ett allmänt intresse, det vill säga uttrycket som används i artikel 6.1 e i dataskyddsförordningen, respektive ett viktigt allmänt intresse som används i både nu aktuella undantagsbestämmelse i data- skyddslagen och i artikel 9.2 g i dataskyddsförordningen, är inte defi- nierat i dataskyddsförordningen. I förarbetena till dataskyddslagen konstateras att det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse. Det måste dock utgöra ett viktigt allmänt intresse att svenska myndigheter, även
191
Behovet av åtgärder | SOU 2025:112 |
utanför området myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt (se prop. 2017/18:105 s. 83).
Budgetförordningen innebär en skyldighet att tillgängliggöra
uppgifter och skyldigheten syftar till att motverka oriktigheter och skydda unionens, och därmed också Sveriges, finansiella intressen. Att skydda unionens och Sveriges finansiella intressen får anses vara ett viktigt allmänt intresse. Uppgiftslämnandet får anses vara nödvän- digt med hänsyn till det intresset. Behandlingen av känsliga person- uppgifter, om sådan skulle förekomma, bör därför som utgångspunkt anses vara nödvändig av hänsyn till ett viktigt allmänt intresse.
Vad gäller nu aktuellt slag av uppgifter bedömer utredningen att behandlingen som utgångspunkt inte bör innebära ett otillbörligt intrång i den registrerades personliga integritet.
Det finns därmed förutsättningar att behandla känsliga person- uppgifter, i detta fall genom utlämnande. Det finns därför inte be- hov av författningsändringar när det gäller behandling av känsliga personuppgifter.
Det är dock alltid utlämnande myndighet som behöver göra be- dömningen av om förutsättningarna för att behandla känsliga person- uppgifter är uppfyllda.
Uppgifter om personnummer
Personnummer och samordningsnummer utgör inte känsliga person- uppgifter i dataskyddsförordningens mening, men har ändå getts en särställning genom att medlemsstaterna har getts möjlighet att införa särskilda villkor för behandling av nationella identifikations- nummer eller annat vedertaget sätt för identifiering. Sådana nummer ska då endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförord- ningen (artikel 87). Enligt 3 kap. 10 § dataskyddslagen får person- nummer och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behand- lingen, vikten av en säker identifiering eller något annat beaktans- värt skäl.
Bland uppgifter som ska tillgängliggöras enligt artikel 36.6 i bud- getförordningen kan det förekomma personnummer. Identifikations-
192
SOU 2025:112 | Behovet av åtgärder |
uppgifter kan ibland utgöras av endast födelsedatum, även om till exempel Sverige har en utbredd användning av personnummer som identifikationsuppgift. Det har inom ramen för utredningens arbete lyfts tveksamheter kring värdet av att endast födelsedatum används i identifieringssyfte, eftersom födelsedatum inte är ett unikt identi- fikationsnummer. Ett personnummer kan således ha ett större värde i identifieringssyfte.
Vad gäller nu aktuellt uppgiftslämnande bedömer utredningen att ett utlämnande av uppgifter om personnummer i regel bör anses vara förenligt med kraven i 3 kap. 10 § dataskyddslagen. Det är dock den utlämnande myndigheten som ska kunna motivera behovet.
Det finns inte behov av författningsändringar när det gäller be- handling av uppgifter om personnummer och samordningsnummer.
Personuppgiftsansvar
Begreppet personuppgiftsansvarig är centralt i dataskyddsregleringen. Personuppgiftsansvarig definieras som en fy- sisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (se artikel 4.7 i data- skyddsförordningen). Definitionen är i allt väsentligt densamma i dataskyddsförordningen för EU:s institutioner.
De svenska myndigheter som tillgängliggör uppgifter eller på annat sätt behandlar uppgifter i samband med tillgängliggörandet enligt skyldigheterna i artikel 36.6 i budgetförordningen är person- uppgiftsansvariga för den personuppgiftsbehandling som de utför.
Det finns inte behov av författningsändringar när det gäller per- sonuppgiftsansvaret.
Enskildas rättigheter
I dataskyddsförordningen finns ett antal bestämmelser som rör den registrerades rättigheter, såsom rätten till information, tillgång, rätt- else och radering (artiklarna 13–17) rätten att göra invändningar mot behandlingen och att inte bli föremål för visst automatiserat besluts- fattande (artiklarna 21 och 22). Rättigheterna i dataskyddsförord- ningen kan begränsas under vissa förutsättningar (artikel 23). Detta
193
Behovet av åtgärder | SOU 2025:112 |
har skett i nationell rätt genom bestämmelser i 5 kap. dataskydds- lagen, varigenom bland annat rätten att få tillgång till personuppgif- ter inte alltid gäller, till exempel om sekretess gäller för uppgifterna. Såväl dataskyddsförordningens som dataskyddslagens bestämmel- ser ska således beaktas av berörda myndigheter när det gäller enskil- das rättigheter.
Den befintliga regleringen bedöms vara tillräcklig för att tillgodose enskildas rättigheter. Utredningen har därför inte identifierat något behov av ny reglering eller författningsändringar när det gäller en- skildas rättigheter.
Sammanfattning av utredningens slutsatser
Utredningen bedömer att det inte behövs några författningsändringar på dataskyddsområdet för att svenska myndigheter ska kunna till- gängliggöra personuppgifter enligt skyldigheterna i artikel 36.6 i bud- getförordningen. Befintlig dataskyddsreglering är tillräcklig. Som en följd av detta ser utredningen inte skäl att föreslå reglering i en ny registerlag eller annan dataskyddslagstiftning för en ändamåls- enlig personuppgiftsbehandling. Utredningens bedömning innebär också att det inte behövs ändringar rörande dataskydd i annan regler- ing för att möjliggöra personuppgiftsbehandlingen.
Det bör observeras att utredningens bedömningar om förenlig- heten med dataskyddsregelverket inte kan avse behandlingen i det enskilda fallet. Det är den personuppgiftsansvarige som behöver säkerställa att den personuppgiftsbehandling som faktiskt utförs är förenlig med dataskyddsregleringen.
Se också kapitel 9 för en samlad integritetsanalys.
8.3Lämnande av uppgifter utan att det finns en rättslig skyldighet
8.3.1Uppdraget i denna del
I avsnitt 8.2 behandlas rättsliga frågor om skyldigheten att göra vissa uppgifter tillgängliga för kommissionen enligt artikel 36.6 i budget- förordningen, som kommer att gälla från och med 2028. I detta av- snitt behandlas rättsliga frågor om följande former av lämnande av
194
SOU 2025:112 | Behovet av åtgärder |
uppgifter som är relevanta i detta betänkande och som inte följer av någon rättslig förpliktelse.
•Lämnande av uppgifter vid ett användande av Arachne:
–Funktionellt nödvändiga uppgifter (vid ett användande före 2028)
–Inte funktionellt nödvändiga uppgifter (vid ett användande före 2028)
–Uppgifter inom ramen för förhandsfunktionen (före och efter 2028)
•Tillgängliggörande av frivilliga uppgifter enligt artikel 36.6 andra stycket i budgetförordningen (efter 2028).
Även situationen att en myndighet lämnar uppgifter inom ett om- råde där det kan finnas en rättslig skyldighet att lämna uppgifter men just den myndigheten inte omfattas av någon sådan skyldighet be- handlas i detta avsnitt. Detta tar sikte på ett uppgiftslämnande som ESV kan komma att utföra inom ramen för RRF.
I det följande görs överväganden om ovan nämnda former av upp- giftslämnande kan medföra behov av författningsändringar eller andra åtgärder utifrån regelverken om offentlighet och sekretess respek- tive personuppgiftsbehandling.
Här behandlas därmed uppdraget att utifrån den gjorda kartlägg- ningen avseende Arachne utreda och analysera om det bland de data som får registreras i Arachne finns uppgifter som skulle kunna om- fattas av sekretess, och om det finns rättsliga förutsättningar för svenska myndigheter att registrera eller annars utbyta dessa, samt uppdraget att analysera och bedöma vilket skydd eventuella sekre- tessbelagda uppgifter skulle ha i samband med andra medlemsstaters och EU-institutioners användning av Arachne. Vidare behandlas uppdraget att bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna registrera uppgifter i Arachne samt lämna nödvändiga författningsförslag, när det gäller uppgiftslämnande utan rättslig skyldighet. Även uppdraget som rör hur Arachnes funk- tionalitet och användning påverkas om eventuella sekretessbelagda uppgifter inte kan registreras i fråga om uppgifter som inte är rätts- ligt obligatoriska att registrera, behandlas.
195
Behovet av åtgärder | SOU 2025:112 |
8.3.2Om uppgifter som kan komma att lämnas
Utredningen redogör i avsnitt 4.3 för uppgifter som kan komma att lämnas vid ett användande av Arachne före 2028 och inom ramen för den så kallade förhandsfunktionen. I avsnitt 4.5 beskrivs de uppgifter som kan komma att tillgängliggöras enligt artikel 36.6 andra stycket andra meningen i budgetförordningen, det vill säga sådana uppgifter som kan tillgängliggöras trots att de inte omfattas av den skyldighet som börjar gälla 2028.
I stora drag handlar det om samma slags uppgifter i de olika situa- tionerna, nämligen uppgifter om åtgärden, om mottagaren och – eventuellt – om verklig huvudman. Vissa centrala uppgifter om åt- gärden och mottagaren är funktionellt nödvändiga vid lämnande av uppgifter om beviljade medel före 2028 och vid användande av för- handsfunktionen och dessa motsvarar i huvudsak de uppgifter som är rättsligt obligatoriska enligt artikel 36.6 i budgetförordningen. Vidare kan generellt sägas att de uppgifter som är valfria att lämna genom förangivna datafält – vid lämnande av uppgifter om beviljade medel före 2028 och vid användande av förhandsfunktionen – i huvud- sak motsvarar de uppgifter som kan tillgängliggöras på frivillig basis enligt artikel 36.6 i budgetförordningen.
Det finns dock i dagsläget inte en fullständig överensstämmelse mellan de uppgifter som från och med 2028 kommer att vara rätts- ligt obligatoriska att tillgängliggöra enligt artikel 36.6 i budgetför- ordningen och de som i dag är funktionellt nödvändiga att lämna för att Arachne ska kunna fungera. Detta kan bero på skillnader i sektorsspecifik reglering. Det kan erinras om att uppgift om verklig huvudman är nödvändig att registrera och lagra (och därmed att till- gängliggöra enligt artikel 36.6) enligt CPR men inte enligt CAP-för- ordningen. Det kan också finnas avvikelser som har att göra med ut- formningen av användargränssnitten i de olika systemen. Det kan också erinras om att en utveckling av Arachne pågår samt om att de sektorsspecifika regelverken kommer att förändras. I avsnitt 4.5.2 berör utredningen flera av de utmaningar som finns när det gäller att bedöma om en uppgift tillhör det nödvändiga/obligatoriska eller valfria området samt att bedöma om det finns ett värde att lämna uppgiften även om den inte är nödvändig/obligatorisk.
Det är mot denna bakgrund inte möjligt för utredningen att klar- lägga exakt vilka slags uppgifter som det kan finnas skäl för svenska
196
SOU 2025:112 | Behovet av åtgärder |
myndigheter att lämna utan att det finns en rättslig skyldighet att göra det. Det kan dock konstateras att det generellt kan finnas an- ledning för svenska myndigheter att lämna samtliga slags uppgifter som är möjliga att lämna utifrån tillgängliga användargränssnitt, oav- sett om det finns rättsliga eller funktionella krav för det. Det kan erinras om att kommissionen rekommenderar att alla datafält fylls i när uppgifter laddas upp i Arachne.
Av särskilt intresse för de rättsliga bedömningarna i detta avsnitt är uppgifter som kan beröra fysiska personer. Som framgår ovan kan uppgifter om verklig huvudman vara en valfri uppgift (exempelvis inom ramen för CAP). Datafälten för anknutna personer och nyckel- experter anges som valfria både inom ramen för förhandsfunktionen och i exemplet om vilka uppgifter som kan laddas upp i Arachne i den XML-fil som tillhandahålls avseende fonderna ISF, Amif och BMVI (se avsnitt 4.3).
Det kan noteras att det inte finns fält för att lämna adressuppgif- ter för någon av dessa tre kategorier – verklig huvudman, anknutna personer och nyckelpersoner – och att uppgifter om adress därmed inte bör bli aktuellt att lämna.
8.3.3Uppgifter som kan komma att lämnas kommer i regel inte att omfattas av sekretess
Utredningens bedömning: De slags uppgifter som svenska myn- digheter kan komma att lämna utan att det finns en rättslig skyl- dighet kommer i regel inte att omfattas av sekretess. Det kan dock inte uteslutas att vissa uppgifter undantagsvis skulle kunna vara sekretessbelagda i det enskilda fallet.
Skälen för utredningens bedömning: Som framgår i avsnitt 8.2.3 kommer, såvitt utredningen kan bedöma, uppgifter som måste till- gängliggöras enligt artikel 36.6 i budgetförordningen i regel inte att omfattas av sekretess, även om det inte kan uteslutas att vissa uppgif- ter undantagsvis skulle kunna vara sekretessbelagda i det enskilda fallet. Frågan som utredningen har att bedöma i detta avsnitt är om uppgifter som kan komma att lämnas av svenska myndigheter utan att det finns en rättslig förpliktelse att göra det, kan omfattas av sek- retess och vad det kan få för följder.
197
Behovet av åtgärder | SOU 2025:112 |
De uppgifter som i dag är funktionellt nödvändiga att lämna av de myndigheter som använder Arachne får antas huvudsakligen mot- svara de uppgifter som kommer att vara rättsligt obligatoriska att till- gängliggöra enligt artikel 36.6 i budgetförordningen, även om det som nämns i avsnitt 8.3.2 inte finns någon fullständig överensstämmelse.
Utredningens bild är att inte heller de slags uppgifter som är funk- tionellt nödvändiga att lämna som huvudregel omfattas av sekretess. Även sådana slags uppgifter är således som utgångspunkt offentliga. För dessa slags uppgifter gör därför utredningen samma bedömning som för de rättsligt obligatoriska uppgifterna, se avsnitt 8.2.3.
När det gäller de slags uppgifter som inte är funktionellt nödvän- diga att lämna, men som ändå skulle kunna vara av värde att lämna, gör utredningen följande överväganden. Även dessa uppgiftsslag motsva- rar till stor del uppgifter som redan har offentliggjorts på olika sätt, till exempel av förvaltande myndigheter eller av revisionsmyndigheter, eller på en EU-webbplats. Utredningen bedömer att dessa uppgifter i regel inte omfattas av sekretess. De motsvarar också delvis uppgifts- slag som ska offentliggöras enligt artikel 38 i budgetförordningen.
När det gäller uppgifter om fysiska personer kan följande nämnas. Begreppet anknutna personer tar sikte på personer som är anknutna till ett projekt och är viktiga för dess genomförande, till exempel en medlem i urvalskommittén, den som utvärderar projektet eller är projektledare. Det kan också avse personer från programmyndig- heten. Det avser inte styrelseledamöter från berört företag. I expert- gruppen har särskilt frågan om vad som gäller för uppgifter om an- knutna personer lyfts, och i vilken utsträckning det kan omfatta tjänstemän inom berörd myndighet. Av tillgänglig information om Arachne framgår att detta valfria datafält i XML-filen kan användas för att ange information även om en anknuten person inom en myn- dighet. Det kan till exempel vara en tjänsteman med funktionen att utvärdera ett projekt. Utredningen ser det inte som sannolikt att det i nu aktuell krets av berörda myndigheter skulle finnas uppgif- ter om medarbetare som skulle vara sekretessbelagda i det enskilda fallet, när det gäller verksamhet med EU-medel. Sekretess för upp- gift om medarbetare kan förekomma, till exempel hos brottsbekäm- pande myndigheter, men sannolikt inte – som utredningen bedömer det – inom ramen för utövande av deras EU-medelsverksamhet. Det kan dock inte helt uteslutas.
198
SOU 2025:112 | Behovet av åtgärder |
En annan sak är att en myndighet av andra skäl än sekretess kan vilja avstå från att föra in uppgifter om enskilda medarbetare i ett EU-gemensamt system. Då det är fråga om uppgiftslämnande som inte omfattas av någon rättslig skyldighet är det upp till respektive myndighet att bedöma vilka uppgifter som bör och kan lämnas.
Begreppet verklig huvudman tar sikte på fysiska personer som ytterst äger eller kontrollerar ett företag eller den för vars räkning en transaktion eller en verksamhet utförs. Uppgifter om verkliga huvudmän rör alltså fysiska personer och det kan bland annat handla om uppgifter om namn, födelsedatum samt personnummer eller mot- svarande identifieringskod. Av avsnitt 8.2.3 framgår att sådana slags uppgifter normalt inte omfattas av sekretess. Den bedömning som utredningen gör i det avsnittet gör sig gällande även här.
Utredningen bedömer att inte heller uppgifter om nyckelexperter (det vill säga personer som är anknutna till ett kontrakt och är viktiga för dess genomförande) i regel omfattas av sekretess, men kan inte utesluta detta, se mer under nästa stycke.
Som framgår av kartläggningen i avsnitt 4.3 och 4.5 är de användar- gränssnitt som används för att ladda upp uppgifter till Arachne ut- formade så att det beträffande vissa i och för sig nödvändiga katego- rier finns möjlighet att valfritt lämna närmare uppgifter. Utredningen kan inte utesluta att närmare uppgifter om projekt, kontrakt, stöd- mottagare och anknutna personer och nyckelexperter, i vissa speci- fika fall, skulle kunna omfattas av sekretess.
Om projektnamnet avslöjar exempelvis geografisk plats för pro- jektet skulle den uppgiften kunna ge kunskap om aktörers marknads- planering och utbyggnadsplaner, vilket skulle kunna vara uppgifter om enskilds affärs- och driftförhållanden. Ett röjande av en sådan uppgift skulle kunna leda till skada för den enskilde, i vart fall innan ett projekt har påbörjats. Ett utlämnande av uppgifter inom ramen för förhandsfunktionen kan ske innan ett projekt har påbörjats. Det kan inte uteslutas att en sådan uppgift då kan omfattas av sekretess enligt 30 kap. 23 § OSL.
En annan form av frivilligt uppgiftslämnande tar sikte på att det kan bli aktuellt för en myndighet att lämna uppgifter trots att myn- digheten i fråga inte har några skyldigheter alls att lämna uppgifter. Som utredningen lyfter i avsnitt 4.5.3 kan det vara ändamålsenligt att ESV inom ramen för RRF-arbetet för in uppgifter i Arachne som myndigheten har fått från de tio rapporterande RRF-myndigheterna.
199
Behovet av åtgärder | SOU 2025:112 |
Utredningen bedömer på samma grunder som ovan och som avse- ende de rättsligt obligatoriska uppgifterna i avsnitt 8.2.3 att de upp- gifter som kan bli relevanta att lämna av ESV i sådana situationer i regel inte kommer att omfattas av sekretess.
8.3.4Det krävs inte författningsändringar på sekretessområdet för lämnande av uppgifter utan rättslig skyldighet
Utredningens bedömning: Det behövs inga författningsänd- ringar i sekretesshänseende för att svenska myndigheter ska kunna lämna uppgifter i de fall det inte finns någon rättslig skyldighet att lämna uppgifterna, även om uppgifterna omfattas av sekretess.
Skälen för utredningens bedömning
Uppgifter kan lämnas trots eventuell sekretess men kravet på förhandsprövning inför ett eventuellt rutinmässigt uppgiftslämnande bör ställas högt
De uppgifter som svenska myndigheter på frivillig väg kan tillgäng- liggöra för kommissionen enligt artikel 36.6 i budgetförordningen eller föra in direkt i Arachne kommer som framgår ovan i regel inte att omfattas av sekretess. Det kan dock inte uteslutas att vissa upp- gifter undantagsvis skulle kunna vara sekretessbelagda i det enskilda fallet. Frågan är om det då finns en sekretessbrytande bestämmelse som är tillämplig.
Utgångspunkten är att en uppgift för vilken sekretess gäller inte heller får röjas för en utländsk myndighet eller en mellanfolklig orga- nisation (8 kap. 3 § OSL). Undantaget som gäller om utlämnandet sker i enlighet med särskild föreskrift i lag eller förordning (8 kap.
3 § 1 OSL) kan inte tillämpas när det gäller uppgiftslämnande som inte sker i enlighet med någon särskild föreskrift.
Det andra undantaget, 8 kap. 3 § 2 OSL, kan dock möjliggöra att uppgifter lämnas ut till mellanfolkliga organisationer även i fall där tillgängliggörandet inte kan härledas direkt från en särskild före- skrift i lag eller förordning. Det gäller när uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med
200
SOU 2025:112 | Behovet av åtgärder |
svenska intressen att uppgiften lämnas till den utländska myndig- heten eller den mellanfolkliga organisationen.
Ett utlämnande av annars sekretessbelagda uppgifter med stöd av detta undantag kan aktualiseras gällande uppgiftslämnande utan rättslig skyldighet. Det krävs för det första att uppgiften i motsva- rande fall skulle få lämnas ut till en svensk myndighet, vilket kräver en bedömning av om det finns en tillämplig sekretessbrytande be- stämmelse gentemot svenska myndigheter. Denna bedömning be- höver utlämnande myndighet göra. I detta sammanhang kan nämnas att den nya sekretessbrytande bestämmelsen 10 kap. 15 a § OSL, som ska träda i kraft den 1 december 2025, ger en ny grund för utläm- nande till andra myndigheter. Enligt bestämmelsen ska sekretess inte hindra att uppgifter under vissa förutsättningar lämnas ut till en annan myndighet om det behövs för bland annat att förebygga, förhindra, upptäcka eller utreda felaktiga utbetalningar, eller för att förebygga, förhindra, upptäcka eller utreda fusk och olika typer av överträdelser (se avsnitt 7.1.2).
För det andra krävs att det står klart att det är förenligt med svenska intressen att uppgiften lämnas till, i detta fall, kommissionen. Även denna prövning ska utlämnande myndighet göra. Enligt utredningens mening talar mycket för att ett utlämnande av de slags uppgifter som kan anses som centrala att lämna ut, kan anses vara förenligt med svenska intressen.
När det gäller frågan om hur uppgifterna får lämnas bedömer ut- redningen att förutsättningarna för ett rutinmässigt utlämnande med tillämpning av detta undantag kan vara svårare att uppfylla än vid tillämpning av undantaget i 8 kap. 3 § 1 OSL, med hänsyn till att det krävs en bedömning på förhand av utlämnande myndighet av om för- utsättningarna för utlämnande är uppfyllda. Bestämmelsen utesluter inte i sig ett rutinmässigt utlämnande, men det bör enligt utredningens mening ställas än högre krav på att myndigheten gör en gedigen pröv- ning av om förutsättningarna i undantaget är uppfyllda.
Utredningen noterar att det inom ramen för förhandsfunktionen inte bör bli fråga om något rutinmässigt utlämnande.
201
Behovet av åtgärder | SOU 2025:112 |
Vissa uppgifter bör inte lämnas och behöver inte heller lämnas
Detta avsnitt behandlar sådant uppgiftslämnande som inte är rätts- ligt obligatoriskt. Det innebär att sådana slags uppgifter som behand- las i detta avsnitt inte enligt författningskrav behöver lämnas till kommissionen eller föras in i Arachne. I vissa avseenden kan dock Arachnes funktionalitet påverkas negativt om inte uppgifter utöver de obligatoriska lämnas. Det är också ett av skälen till att utredningen har i uppdrag att utreda frågor som rör frivilligt uppgiftslämnande.
8 kap. 3 § OSL innebär inte någon förpliktelse att lämna uppgifter utan fastställer under vilka förutsättningar som annars sekretessbe- lagda uppgifter får lämnas till en utländsk myndighet eller en mellan- folklig organisation. Den myndighet som har att pröva utlämnandet behöver därför göra bedömningen av hur stor vikt det är att en upp- gift som får lämnas ut enligt 8 kap. 3 § 2 också faktiskt bör lämnas ut. Prövningen skulle kunna leda till att intresset att inte lämna ut uppgiften väger över intresset att göra ett utlämnande.
I utredningens direktiv anges att uppgifter som omfattas av för- svarssekretess inte bör förekomma i Arachne. När det gäller frivilligt uppgiftslämnande bör det inte uppstå några svårigheter att underlåta att lämna uppgifter som omfattas av försvarssekretess. Detta behö- ver inte betyda att myndigheterna helt avstår från att fylla i uppgifts- fält av värde. Däremot bör myndigheterna kunna avstå från att lämna uppgifter på en sådan detaljeringsnivå att försvarshemligheter röjs.
Därmed bör sannolikt Arachnes funktionalitet inte påverkas i någon nämnvärd omfattning. Som framgår av avsnitt 8.2.3 bedömer utred- ningen att det inte heller inom ramen för det rättsligt obligatoriska uppgiftslämnandet behöver röjas några försvarshemligheter.
Det är utlämnande myndighets ansvar att bedöma om uppgifter kan lämnas ut.
Överväganden kring skydd motsvarande sekretess
Utredningen bedömer att uppgifter som omfattas av sekretess i Sverige och som tillgängliggörs för kommissionen och därmed kan komma att föras in i Arachne – eller som laddas direkt upp i Arachne
–kan antas ha ett visst skydd när olika aktörer använder Arachne som verktyg. Fullt skydd kan inte garanteras, men är enligt utred-
202
SOU 2025:112 | Behovet av åtgärder |
ningens mening inte heller nödvändigt. Utredningen gör denna be- dömning på samma grunder som framgår av avsnitt 8.2.5.
Vad gäller uppgifter som lämnas inom ramen för förhandsfunktio- nen uppfattar utredningen det så att uppgifterna inte tillförs Arachne på ett sådant sätt att de utgör underlag för andra riskvärderingar som utförs genom Arachne. Däremot synes de riskvärderingar som görs inom ramen för förhandsfunktionen vara synliga i vart fall för andra användare som har samma behörighet att ta del av information om program i Arachne. Uppgifterna som lämnas inom ramen för för- handsfunktionen kan alltså komma andra till del. På motsvarande sätt som gäller uppgifter som tillgängliggörs och förs in i Arachne kan det beträffande dessa uppgifter inte garanteras fullt skydd mot- svarande den sekretess som eventuellt hade gällt enligt svensk rätt. Enligt utredningens mening är detta inte heller nödvändigt.
Sammanfattning av utredningens slutsatser
Utredningen bedömer att det finns förutsättningar för svenska myn- digheter att lämna ut uppgifter i de fall det inte finns någon rättslig skyldighet att göra det, det vill säga vid frivilligt tillgängliggörande till kommissionen enligt artikel 36.6 i budgetförordningen och inom ramen för ett användande av Arachne. De flesta uppgifterna kommer inte att omfattas av någon sekretess. Vissa slags uppgifter skulle kunna vara sekretessbelagda i det enskilda fallet, men bör kunna lämnas ut med tillämpning av sekretessbrytande bestämmelser. Utlämnande som av sekretesskäl, eller andra skäl, inte bedöms som lämpligt, kan underlåtas. Det ankommer på myndigheterna att alltid göra en pröv- ning av om sekretessreglerade uppgifter kan lämnas ut.
203
Behovet av åtgärder | SOU 2025:112 |
8.3.5Det krävs inte författningsändringar på dataskyddsområdet för lämnande av uppgifter utan rättslig skyldighet
Utredningens bedömning: Det behövs inga författningsänd- ringar i dataskyddshänseende för att svenska myndigheter ska kunna lämna uppgifter i de fall det inte finns någon rättslig skyl- dighet att lämna uppgifterna. Befintlig dataskyddsreglering ger ett tillräckligt stöd för aktuell personuppgiftsbehandling.
Skälen för utredningens bedömning
Inledning
I avsnitt 7.2 redogör utredningen för gällande rätt på dataskyddsom- rådet, bland annat för kravet på rättslig grund och de grundläggande principerna för att en personuppgiftsbehandling ska vara laglig.
I detta avsnitt gör utredningen bedömningar av om befintligt data- skyddsregelverk är tillräckligt för den personuppgiftsbehandling som kan förväntas ske vid ett sådant uppgiftslämnande som kan komma att ske utan att det finns en rättslig skyldighet, eller om det krävs för- fattningsändringar. Härvid lyfts vissa dataskyddsrättsliga frågor särskilt.
Rättslig grund för behandlingen
Även om det här är fråga om ett frivilligt uppgiftslämnande på så sätt att det inte finns någon rättsligt reglerad skyldighet att lämna uppgifter, kräver budgetförordningen att oriktigheter motverkas och förordningen ställer höga krav på medlemsstaterna att skydda unionens finansiella intressen. Utredningen anser på samma grunder som framförs i avsnitt 8.2.6 att den förväntade personuppgiftsbe- handlingen som utgångspunkt uppfyller kraven på allmänt intresse. Intresset är vidare fastställt i unionsrätten och i nationell rätt. Den rättsliga grunden att utföra en uppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen och 2 kap. 2 § dataskyddslagen) är därmed aktuell avseende nu förväntad personuppgiftsbehandling. Bedöm- ningen utvecklas något i det följande, eftersom uppgiftslämnande
204
SOU 2025:112 | Behovet av åtgärder |
utan att det finns en rättslig skyldighet kan bli aktuellt avseende olika slags uppgifter och situationer.
Vad gäller uppgifter som finns med i uppräkningen i artikel 36.6 i budgetförordningen men som inte omfattas av krav på tillgänglig- görande för en viss myndighet, därför att sektorsspecifik reglering inte kräver detta (frivilliga uppgifter), gör utredningen följande över- väganden. Bestämmelsen ger tydligt stöd för medlemsländerna att tillgängliggöra frivilliga uppgifter och även ett sådant uppgiftsläm- nande får anses vara ett led i att uppfylla syftet i artikel 36.2 d, att mot- verka oriktigheter. Utredningen anser att det av artikel 36.2 och 36.6 i budgetförordningen framgår att det rör sig om en uppgift av all- mänt intresse och att de ger en tydlig rättslig grund för utlämnandet.
Vad gäller uppgifter som kan komma att lämnas inom ramen för ett användande av Arachne (före 2028) kan först nämnas uppgifter som är funktionellt nödvändiga. Här gör utredningen bedömningen att det som utgångspunkt är fråga om att utföra en uppgift av all- mänt intresse.
Vad gäller det stora antal fält som finns i dagsläget för att lämna uppgifter i Arachne som inte heller är funktionellt nödvändiga att lämna, har kommissionen i relevanta källor rekommenderat att samt- liga tillgängliga fält fylls i för att ge bästa utfall och användning av Arachne (se t.ex. Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 13). Utgångspunkten är enligt utredningen att även ett lämnande av sådana uppgifter handlar om att utföra en uppgift av allmänt intresse.
Härutöver kan vid ett användande av Arachne uppgifter komma att lämnas inom ramen för förhandsfunktionen (såväl före som efter 2028). Vissa uppgifter måste fyllas i om funktionen används, medan andra inte måste fyllas i. Att begära en riskvärdering av Arachne innan en myndighet fattar beslut om att tilldela EU-medel är ett betydelse- fullt sätt att använda verktyget på. Detta kan leda till en närmare ut- redning av myndigheten, som kan resultera i att det finns skäl att avslå ansökan. Utredningen bedömer även här att det som utgångs- punkt är fråga om att utföra en uppgift av allmänt intresse. Det är dock av vikt att den myndighet som väljer att använda funktionen gör en bedömning av om kravet på rättslig grund är uppfyllt i det aktuella fallet.
Som framgår av avsnitt 8.2.6 är kravet på nödvändighet inte så högt ställt som dess ordalydelse kan ge bilden av. Utredningen anser
205
Behovet av åtgärder | SOU 2025:112 |
att kravet på nödvändighet som huvudregel bör anses som uppfyllt i samtliga ovan nämnda situationer.
Då även det frivilliga uppgiftslämnandet behandlas i budgetför- ordningen och i andra källor avseende personuppgiftsbehandling, bedömer utredningen att den rättsliga grunden bör anses uppfylla kraven på tydlighet och precision samt på en förutsebar tillämpning för personer som omfattas av grunderna. Utredningen utgår också från att unionsrätten är förenlig med Europakonventionen och upp- fyller kravet på proportionalitet i artikel 6.3 i dataskyddsförordningen. För en samlad integritetsanalys, se kapitel 9.
Det kan också bli aktuellt för en myndighet, trots att myndig- heten inte omfattas av någon skyldighet att lämna uppgifter över- huvudtaget, att ändå lämna ut uppgifter genom att föra in dem i Arachne, det vill säga på helt frivillig basis. När det gäller hanteringen av RRF-medel kan det, som nämns i avsnitt 4.5.3, inom ramen för ett frivilligt uppgiftslämnande vara ändamålsenligt att låta ESV – som redan har samlat in relevanta uppgifter om RRF:s genomförande
–ansvara för en eventuell inmatning av uppgifter i Arachne. Ett sådant förfarande skulle medföra att även uppgifter om RRF finns i Arachne, vilket kan bidra till efterkontroller och att förhindra till exempel dubbelfinansiering gentemot andra program. Om detta skulle omfatta även personuppgiftsbehandling, bedömer utredningen att även ett sådant utlämnande som utgångspunkt handlar om att utföra en uppgift av allmänt intresse.
Vad som sägs ovan innebär att utredningen bedömer att den rätts- liga grunden att utföra en uppgift av allmänt intresse i regel är till- lämplig i ovan nämnda situationer.
Frågan därefter är om det finns ett utrymme att tillämpa även den rättsliga grunden att fullgöra en rättslig förpliktelse (artikel 6.1 c i dataskyddsförordningen och 2 kap. 1 § dataskyddslagen) i ovan nämnda fall. För att den grunden ska vara tillämplig måste förplik- telsen vara fastställd i enlighet med gällande rätt, men den behöver inte framgå direkt av en författning. Vid bedömningen av om något följer av exempelvis en lagbestämmelse kan bland annat förarbets- uttalanden, bestämmelsens syfte och den rättsliga kontext som be- stämmelsen befinner sig i behöva beaktas. Det är alltså inte bara lag- textens ordalydelse som är av relevans för att avgöra om något följer av lag. I det sammanhanget har regeringen framfört att kravet att behandlingen också måste vara nödvändig för att fullgöra den rätts-
206
SOU 2025:112 | Behovet av åtgärder |
liga förpliktelsen inte innebär ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och där- med tillåten enligt artikel 6 i dataskyddsförordningen, om behand- lingen leder till effektivitetsvinster (prop. 2017/18:105 s. 188 och 189).
Det skulle utifrån dessa förarbetsuttalanden kunna argumenteras för att nu aktuell behandling kan ha en rättslig grund även i arti- kel 6.1 c i dataskyddsförordningen. Detta är dock förenat med viss osäkerhet och kan bero på hur rutiner avseende uppgiftslämnandet utvecklas. Arachne är under utveckling och det finns därför flera osäkerhetsmoment. Utredningen ser därför inte skäl för myndig- heter att i nuläget helt förlita sig på denna grund när det gäller fri- villigt uppgiftslämnande. Det gäller särskilt för uppgiftslämnande från en myndighet som inte omfattas av några skyldigheter alls att tillgängliggöra uppgifter, såsom exemplet med ESV ovan.
En ytterligare rättslig grund i dataskyddsförordningen är sam- tycke, vilken formuleras i artikel 6.1 a så att den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Denna rättsliga grund brukar nor- malt inte tillämpas av svenska myndigheter. Ett samtycke kan åter- kallas när som helst (artikel 7.3) och därmed kan den rättsliga grunden när som helst upphöra. Vad gäller uppgifter om anknutna personer kan de omfatta tjänstemän inom berörd myndighet (se avsnitt 8.3.3). Kommissionen har särskilt gett uttryck för att om en medlemsstat överväger att föra in sådan information i Arachne, måste detta ske i enlighet med nationell dataskyddslagstiftning och den enskilde kan behöva ge sitt samtycke (se Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 53). Detta tyder på att en sådan behandling enligt kommissionen skulle kunna vila på samtyckes- grunden. Utredningen anser dock att då ett samtycke när som helst kan återkallas är det att föredra att det finns en annan, mer varaktig rättslig grund för behandlingen av sådana uppgifter.
Det är alltid den utlämnande myndigheten som behöver kunna visa att det finns rättslig grund för den personuppgiftsbehandling som är aktuell. I dessa fall, som gäller utlämnande som inte sker på grund av en uttrycklig uppgiftsskyldighet, kan det sägas ställas högre krav på bedömningen jämfört med när uppgifter lämnas på grund av en sådan skyldighet. Till exempel kan det krävas att behovet av uppgiftslämnandet kan visas tydligare.
207
Behovet av åtgärder | SOU 2025:112 |
Att det kan finnas rättslig grund för uppgiftslämnandet innebär att det inte behövs några författningsändringar för att skapa en rätts- lig grund för behandlingen.
Principerna i artikel 5 i dataskyddsförordningen
I avsnitt 7.2.5 redogör utredningen för principerna i artikel 5.1 i dataskyddsförordningen och för att det är den personuppgiftsansva- rige som ska säkerställa att principerna efterlevs. Utredningen gör så långt det är möjligt bedömningar avseende möjligheten att efter- leva principerna.
På samma grunder som anges i avsnitt 8.2.6 utgår utredningen från att de myndigheter som kommer att behandla personuppgifter uppfyller principen om laglighet, korrekthet och öppenhet, princi- pen om integritet och konfidentialitet samt principen om riktighet.
När det gäller principen om ändamålsbegränsning och förenlig- heten med finalitetsprincipen gör utredningen i stort samma bedöm- ningar som i avsnitt 8.2.6. Det kommer dock att ställas högre krav på myndigheterna vid en fortsatt behandling av personuppgifter när det gäller frivilligt uppgiftslämnande. Om myndigheter överväger att föra in uppgifter i Arachne på frivillig basis, behöver de bedöma om uppgiftslämnandet är förenligt med finalitetsprincipen. Som utgångs- punkt bör dock enligt utredningens mening ett utlämnande av upp- gifter inte komma i konflikt med finalitetsprincipen, när det gäller uppgifter som myndigheterna har samlat in i syfte att säkerställa att EU-medel går till rätt mottagare eller för att på annat sätt motverka oriktigheter. Ett utlämnade bör i vissa fall kunna vara tillåtet även om det är oförenligt med insamlingsändamålet (se avsnitt 8.2.6). Ut- redningen bedömer att – även när det inte är fråga om ett uttryck- ligt krav att lämna uppgifter – ett utlämnande som utgångspunkt bör anses ha ett sådant stöd i unionsrätten att det bör anses som ett till- låtet undantag från finalitetsprincipen.
När det gäller principen om uppgiftsminimering finns det skäl att utgå från att de förangivna fälten för införande av uppgifter i Arachne är en följd av bedömningar som har gjorts på EU-nivå om att fälten motsvarar uppgifter av värde i arbetet med att motverka oriktigheter. En sådan tolkning får också stöd av att kommissionen har rekommenderat att samtliga tillgängliga fält fylls i för att ge bästa
208
SOU 2025:112 | Behovet av åtgärder |
utfall och användning av Arachne. Det är dock myndigheterna som behöver göra egna bedömningar av om principen är uppfylld.
Vad gäller principen om lagringsminimering hänvisar utredningen till vad som sägs i avsnitt 8.2.6 om att den längsta möjliga lagrings- perioden i Arachne inte får överstiga tio år.
Ovanstående innebär att den reglering som finns bedöms vara tillräcklig och att det inte finns skäl att överväga några författnings- ändringar avseende frivilligt uppgiftslämnande som tar sikte på prin- ciperna i artikel 5 i dataskyddsförordningen.
Känsliga personuppgifter
Utredningen har svårt att se att känsliga personuppgifter skulle före- komma bland de uppgifter som kan bli aktuella att lämna på frivillig basis. Som framgår av avsnitt 8.2.6 är det som huvudregel förbjudet att behandla känsliga personuppgifter. För det fall det ändå skulle bli aktuellt, kan det undantag från förbudet bli aktuellt att tillämpa som gäller om behandlingen är nödvändig med hänsyn till ett vik- tigt allmänt intresse, och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3 dataskyddslagen).
Uppgifter som motsvaras av sådana uppgifter som räknas upp
i artikel 36.6 i budgetförordningen, även om de inte är rättsligt obli- gatoriska att lämna för att de inte omfattas av gällande sektorsspeci- fik reglering, bör som utgångspunkt kunna anses vara nödvändiga att lämna med hänsyn till ett viktigt allmänt intresse. Vad gäller övriga slags uppgifter, för det fall det bland dessa skulle kunna finnas käns- liga personuppgifter, bör även dessa kunna uppfylla kravet på viktigt allmänt intresse. Det är dock utlämnande myndighet som måste be- döma om behandlingen är nödvändig och inte innebär ett otillbör- ligt intrång i den registrerades personliga integritet.
Utredningen ser inte behov av författningsändringar när det gäller behandling av känsliga personuppgifter.
209
Behovet av åtgärder | SOU 2025:112 |
Uppgifter om personnummer
Även om det här är fråga om uppgiftslämnande som inte följer av ett krav i budgetförordningen, anser utredningen i likhet med vad som sägs i avsnitt 8.2.6 att ett utlämnande av uppgift om person- nummer som utgångspunkt är förenligt med kraven i 3 kap. 10 § dataskyddslagen. Det är dock utlämnande myndighet som har att göra den bedömningen.
Det finns inte behov av författningsändringar när det gäller be- handling av uppgifter om personnummer och samordningsnummer.
Personuppgiftsansvar
I likhet med vad som anges i avsnitt 8.2.6 om rättsligt obligatoriskt uppgiftslämnande är de svenska myndigheterna personuppgiftsansva- riga för den personuppgiftsbehandling som de utför med anledning av det uppgiftslämnande som kan komma att ske.
Det finns inte behov av författningsändringar när det gäller per- sonuppgiftsansvaret.
Enskildas rättigheter
I avsnitt 8.2.6 behandlas dataskyddsförordningens och dataskydds- lagens bestämmelser om enskildas rättigheter och begränsningar av dessa. Dessa bestämmelser är tillämpliga vid den personuppgifts- behandling som kan aktualiseras vid ett sådant frivilligt uppgiftsläm- nande som är aktuellt i detta avsnitt.
Utredningen har inte identifierat behov av ny reglering eller för- fattningsändringar när det gäller enskildas rättigheter.
Sammanfattning av utredningens slutsatser
Utredningens bedömningar ovan kan sammanfattas så att det inte finns några hinder i dataskyddshänseende mot den personuppgifts- behandling som kan förväntas komma att ske utan att det finns en rättslig skyldighet och att det inte behövs några författningsänd- ringar på dataskyddsområdet avseende sådant uppgiftslämnande.
210
SOU 2025:112 | Behovet av åtgärder |
Befintlig dataskyddsreglering är tillräcklig. Utredningen ser där- för inte skäl att föreslå reglering i en ny registerlag eller annan data- skyddslagstiftning för en ändamålsenlig personuppgiftsbehandling i denna del. Utredningens bedömning innebär att det inte heller be- hövs ändringar i någon annan reglering än rörande dataskydd för att möjliggöra personuppgiftsbehandlingen.
Det bör observeras att utredningens bedömningar om förenlig- heten med dataskyddsregelverket inte kan avse behandlingen i det enskilda fallet. Det är den personuppgiftsansvarige som behöver säkerställa att den personuppgiftsbehandling som faktiskt utförs är förenlig med dataskyddsregleringen.
8.4Offentliggörande av uppgifter
8.4.1Betydelsen av att skyldigheten gäller endast vid direkt förvaltning tillsammans med medlemsstaterna
I detta avsnitt behandlas utredningens uppdrag att bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna uppfylla de krav som ställs i budgetförordningen, i den del det gäller skyldigheten att offentliggöra uppgifter enligt artikel 38.
Som beskrivs i avsnitt 4.7.3 innebär artikel 38.4 tredje stycket i budgetförordningen en ny skyldighet för medlemsstater att – inom ramen för EU-medel som förvaltas enligt direkt förvaltning tillsam- mans med medlemsstaterna – se till att viss information offentlig- görs på en centraliserad webbplats. Skyldigheten gäller endast pro- gram som antas inom ramen för och finansieras genom fleråriga budgetramar efter 2027 (se övergångsbestämmelsen i artikel 277.6 i budgetförordningen).
Den fond som hanteras inom ramen för denna förvaltningsform, RRF, har i praktiken begränsad tillämplighet i tid genom att reformer och investeringar ska ha genomförts till den 31 augusti 2026 och ut- betalningar till den 31 december samma år. Mot bakgrund av över- gångsbestämmelsen i artikel 277.6 i budgetförordningen ska arti- kel 38.4 tredje stycket inte tillämpas på RRF och därmed är det inte aktuellt för svenska myndigheter att offentliggöra uppgifter avseende RRF enligt den bestämmelsen.
Det kan inte uteslutas att det under kommande programperioder kommer nya fonder och program som Sverige förvaltar inom ramen
211
Behovet av åtgärder | SOU 2025:112 |
för förvaltningsformen direkt förvaltning tillsammans med medlems- staterna. Sverige kommer då att vara skyldigt att uppfylla det som sägs i bestämmelsen. Det är dock för närvarande oklart om så blir fallet och vilka fonder och program det då kommer att vara fråga om. Det förhållandet kan i sig innebära utmaningar när det gäller att be- döma behovet av åtgärder. I detta avsnitt behandlas frågan, så långt som det är möjligt, om det finns några hinder för Sverige att upp- fylla skyldigheten i artikel 38.4 tredje stycket i budgetförordningen.
8.4.2Det krävs inte författningsändringar på sekretessområdet för offentliggörande av uppgifter
Utredningens bedömning: Det behövs inga författningsänd- ringar i sekretesshänseende för att svenska myndigheter ska kunna uppfylla kravet i artikel 38.4 tredje stycket i budgetförordningen om att offentliggöra uppgifter.
Skälen för utredningens bedömning: De uppgifter som omfattas av skyldigheten att offentliggöra uppgifter enligt artikel 38.4 tredje stycket i budgetförordningen motsvarar vissa av de uppgifter som svenska myndigheter ska tillgängliggöra för kommissionen enligt artikel 36.6 i budgetförordningen. Som anges i avsnitt 4.7.3 är de upp- gifter som ska tillgängliggöras enligt artikel 36.6 beskrivna genom hänvisningar till artikel 38.2. Samtliga slags uppgifter som ska offent- liggöras enligt artikel 38.2 (uppgifter om mottagare och om åtgärden) omfattas också av artikel 36.6.
Som utvecklas i avsnitt 8.2.3 bedömer utredningen att de uppgif- ter som svenska myndigheter ska tillgängliggöra för kommissionen enligt artikel 36.6 i budgetförordningen i regel inte kommer att om- fattas av sekretess. Utredningen kan dock inte utesluta att vissa upp- gifter undantagsvis skulle kunna vara sekretessbelagda i det enskilda fallet. Det skulle exempelvis kunna handla om uppgifter som kan om- fattas av sekretess enligt 30 kap. 23 § OSL, såsom uppgift om total projektkostnad vilket, i kombination med andra uppgifter, skulle kunna avslöja information om stödmottagares ekonomiska planer.
För det fall att uppgifter skulle bedömas vara sekretessbelagda anser utredningen, när det gäller tillgängliggörande enligt artikel 36.6, att uppgifterna kommer att kunna lämnas ut till kommissionen med
212
SOU 2025:112 | Behovet av åtgärder |
stöd av 8 kap. 3 § OSL, se avsnitt 8.2.4. Bestämmelsen möjliggör att uppgifter som annars är sekretessbelagda lämnas till en utländsk myn- dighet eller en mellanfolklig organisation om utlämnande sker i en- lighet med särskild föreskrift i lag eller förordning eller om uppgif- ten i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen. Det kan möjligtvis argumenteras för att bestämmelsen kan tillämpas i detta fall till den del offentliggörandet kan ses som ett utlämnande till kommissionen, som äger den centraliserade webbplatsen. Det framstår dock som osäkert om den bestämmelsen kan tillämpas här. Visserligen är det fråga om ett utlämnande men det är inte endast fråga om ett utlämnande till kommissionen utan om ett offentliggörande på en webbplats som når en stor och okänd mängd mottagare.
Det kan dock ifrågasättas om det alls kommer att finnas hinder inom ramen för sekretessregelverket att offentliggöra uppgifterna. Det handlar delvis om sådana uppgifter som svenska myndigheter redan i dag offentliggör enligt andra regelverk (jfr avsnitt 4.2). Vissa av de uppgifter som ska tillgängliggöras enligt artikel 36.6 ingår vidare inte i skyldigheten att offentliggöra uppgifter enligt 38.4 tredje stycket (uppgifter om verklig huvudman). Den här aktuella skyldigheten är alltså mer begränsad. Dessutom finns det undantag i artikel 38.3 som innebär att uppgifterna inte ska offentliggöras i vissa fall. Dessa undantag innebär att uppgifterna inte ska offentliggöras i vissa situa- tioner där det finns ett behov av att skydda uppgifterna från sprid- ning. Det handlar bland annat om situationer då ett offentliggörande innebär en risk för berörda personers eller enheters fri- och rättig- heter enligt EU:s rättighetsstadga eller kan skada mottagarnas affärs- intressen.
Mot denna bakgrund gör utredningen bedömningen att det inte finns behov av några ändringar av regelverket på sekretessområdet för att möjliggöra ett offentliggörande enligt artikel 38.4 tredje stycket i budgetförordningen. För det fall att nya förvaltningsformer skulle inrättas och förutsättningarna för offentliggörande skulle ändras i framtiden kan det dock finnas skäl att ompröva utredningens ställ- ningstagande.
213
Behovet av åtgärder | SOU 2025:112 |
8.4.3Det krävs inte författningsändringar på dataskyddsområdet för offentliggörande av uppgifter
Utredningens bedömning: Det behövs inga författningsänd- ringar i dataskyddshänseende för att svenska myndigheter ska kunna uppfylla kravet i artikel 38.4 tredje stycket i budgetför- ordningen om att offentliggöra uppgifter. Befintlig dataskydds- reglering ger ett tillräckligt stöd för behandlingen.
Skälen för utredningens bedömning
Inledning
I avsnitt 7.2 redogör utredningen för gällande rätt på dataskyddsom- rådet, bland annat för kravet på rättslig grund och de grundläggande principerna för att en personuppgiftsbehandling ska vara laglig.
I detta avsnitt gör utredningen bedömningar av om befintligt data- skyddsregelverk är tillräckligt för den personuppgiftsbehandling som kan förväntas ske vid offentliggörande av uppgifter enligt 38.4 tredje stycket i budgetförordningen eller om det krävs författningsänd- ringar. Härvid lyfts vissa dataskyddsrättsliga frågor särskilt.
Rättslig grund för behandlingen
Om eller när skyldigheten att offentliggöra uppgifter enligt arti- kel 38.4 tredje stycket i budgetförordningen kommer att inträda för en svensk myndighet kommer det att finnas rättslig grund för den personuppgiftsbehandling som offentliggörandet kan medföra. Bud- getförordningen är nämligen direkt tillämplig och därmed gäller de skyldigheter som följer av den. Den rättsliga grunden att fullgöra en rättslig förpliktelse (artikel 6.1 c i dataskyddsförordningen och 2 kap. 1 § dataskyddslagen) såväl som grunden att utföra en uppgift av all- mänt intresse (artikel 6.1 e i dataskyddsförordningen och 2 kap. 2 § dataskyddslagen) bedöms då vara tillämpliga. Utredningen bedömer på samma grunder som framgår av avsnitt 8.2.6 att det rör sig om ett allmänt intresse och att behandlingen är att anse som nödvändig. De rättsliga grunderna bör också anses uppfylla kraven på tydlighet och precision samt på en förutsebar tillämpning för personer som
214
SOU 2025:112 | Behovet av åtgärder |
omfattas av grunderna. Utredningen utgår också från att unions- rätten är förenlig med Europakonventionen och uppfyller kravet på proportionalitet i artikel 6.3 i dataskyddsförordningen. För en samlad integritetsanalys, se kapitel 9.
Principerna i artikel 5 i dataskyddsförordningen
I avsnitt 7.2.5 redogör utredningen för principerna i artikel 5.1 i data- skyddsförordningen och för att det är den personuppgiftsansvarige som ska säkerställa att principerna efterlevs. Utredningen gör så långt det är möjligt bedömningar avseende möjligheten att efterleva principerna.
På samma grunder som anges i avsnitt 8.2.6 utgår utredningen från att de myndigheter som kan komma att behandla personupp- gifter vid ett eventuellt offentliggörande av uppgifter uppfyller prin- cipen om laglighet, korrekthet och öppenhet, principen om integritet och konfidentialitet samt principen om riktighet. Detsamma gäller principen om ändamålsbegränsning och förenligheten med finalitets- principen. Det är dock berörda myndigheter som behöver göra egna bedömningar av om principerna är uppfyllda.
Det anges uttryckligen i artikel 38.2 i budgetförordningen att vederbörlig hänsyn ska tas till kraven på konfidentialitet och säker- het, i synnerhet skyddet av personuppgifter. I skälen till budgetför- ordningen tas skyddet för personuppgifter i relation till offentlig- görande av uppgifter upp. Största möjliga transparens i fråga om uppgifter om mottagare bör eftersträvas, utan att det påverkar till- lämpningen av reglerna om skydd av personuppgifter. Informatio- nen om mottagare av unionsmedel som bör offentliggöras på en centraliserad och särskild webbplats för unionsinstitutionerna bör vara lätt tillgänglig via lämpliga och säkra tekniska lösningar (skäl 34).
När det gäller principen om uppgiftsminimering är det av rele- vans att det finns flera situationer då offentliggörande inte ska ske. Undantagen, som finns i artikel 38.3 i budgetförordningen, gäller bland annat då ett offentliggörande innebär en risk för berörda per- soners eller enheters fri- och rättigheter enligt EU:s rättighetsstadga eller kan skada mottagarnas affärsintressen. Dessa begränsningar ut- gör ett uttryck för principen om uppgiftsminimering.
215
Behovet av åtgärder | SOU 2025:112 |
Vad gäller principen om lagringsminimering framgår direkt av artikel 38.7 att om personuppgifter offentliggörs ska informationen tas bort två år efter utgången av det budgetår då rättsliga åtaganden gjordes för medlen.
Det ovanstående innebär att utredningen bedömer att den regler- ing som finns är tillräcklig och att det inte finns skäl att överväga några författningsändringar avseende offentliggörande som tar sikte på principerna i artikel 5 i dataskyddsförordningen.
Andra relevanta dataskyddsrättsliga krav
Utredningen har svårt att se att känsliga personuppgifter skulle före- komma bland de uppgifter som kan bli aktuella att offentliggöra, särskilt då det finns ett utrymme att underlåta offentliggörande av uppgifter när det innebär en risk för berörda personers eller enheters fri- och rättigheter enligt EU:s rättighetsstadga. Som framgår av av- snitt 8.2.6 är det som huvudregel förbjudet att behandla känsliga per- sonuppgifter. För det fall det ändå skulle bli aktuellt i något fall, kan eventuellt undantaget att behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse, och det inte innebär ett otillbörligt in- trång i den registrerades personliga integritet, vara tillämpligt (3 kap. 3 § första stycket 3 dataskyddslagen).
Om det skulle bli aktuellt att behandla uppgifter om personnum- mer, anser utredningen – i enlighet med vad som sägs i avsnitt 8.2.6
–att en sådan behandling i samband med ett offentliggörande bör anses vara förenligt med kraven i 3 kap. 10 § dataskyddslagen. Det är utlämnande myndighet som har att göra den bedömningen.
I likhet med vad som anges i avsnitt 8.2.6 är de svenska myndig- heterna personuppgiftsansvariga för den personuppgiftsbehandling som de utför med anledning av ett eventuellt offentliggörande av uppgifter. Vad gäller enskildas rättigheter gäller dataskyddsförord- ningens och dataskyddslagens bestämmelser om detta. Utredningen har inte identifierat behov av ny reglering eller författningsändringar i dessa avseenden.
216
SOU 2025:112 | Behovet av åtgärder |
Sammanfattning av utredningens slutsatser
Utredningens bedömningar ovan kan sammanfattas så att det inte finns hinder i dataskyddshänseende att offentliggöra nödvändiga upp- gifter och att det inte behövs några författningsändringar på data- skyddsområdet avseende ett sådant uppgiftslämnande.
Befintlig dataskyddsreglering är tillräcklig. Utredningen ser där- för inte skäl att föreslå reglering i en ny registerlag eller annan data- skyddslagstiftning för en ändamålsenlig personuppgiftsbehandling i denna del. Utredningens bedömning innebär att det inte heller be- hövs ändringar i någon annan reglering än rörande dataskydd för att möjliggöra personuppgiftsbehandlingen.
Det bör observeras att utredningens bedömningar om förenlig- heten med dataskyddsregelverket inte kan avse behandlingen i det enskilda fallet. Det är den personuppgiftsansvarige som behöver säkerställa att den personuppgiftsbehandling som faktiskt utförs är förenlig med dataskyddsregleringen.
8.5Användande av Arachne som verktyg
8.5.1Uppdraget i denna del
Det är frivilligt att använda Arachne – även enligt den omarbetade budgetförordningen – men det kan bli obligatoriskt för medlems- länderna att använda Arachne i sin handläggning och kontroll av EU-medel i framtiden. Även om det inte blir obligatoriskt att an- vända Arachne kan det finnas starka skäl för svenska myndigheter att göra det, något som framhållits av Utredningen om hantering av EU-medel (se avsnitt 3.4.5 och SOU 2024:22, s. 23 och 448–452). Nu aktuell utredning har också som uttryckligt uppdrag att ut-
reda frågor som syftar till att säkerställa att svenska myndigheter har förutsättningar att använda Arachne. Det handlar i denna del om uppdragen att bedöma om mottagna eller tillgängliga uppgifter inom ramen för Arachne kommer att utgöra allmänna handlingar i Sverige och i vilken mån uppgifterna omfattas av befintliga sekre- tessbestämmelser eller om det finns behov av nya sekretessbestäm- melser för att säkerställa att uppgifterna får ett tillfredsställande skydd. Det handlar också om uppdraget att kartlägga det skydd för person- uppgifter som finns i Arachne och utreda om det finns behov av
217
Behovet av åtgärder | SOU 2025:112 |
nya eller ändrade bestämmelser för att möjliggöra den personupp- giftsbehandling som en användning av Arachne medför samt att lämna nödvändiga författningsförslag. En kartläggning av skyddet för personuppgifter finns också i den samlade integritetsanalysen i kapitel 9.
Med användande av Arachne som verktyg avses alltså här att svenska myndigheter bereder sig tillgång till uppgifter i databasen och använder systemet som ett datautvinnings- och riskvärderings- verktyg. Det kan ske dels i samband med överväganden inför beviljan- det av stöd (ex ante), dels vid efterföljande kontroller eller urval av vad som ska kontrolleras (ex post). Det är således fråga om något annat än att svenska myndigheter tillgängliggör uppgifter för kom- missionen enligt artikel 36.6, som läggs in i Arachne, eller för in uppgifter direkt i Arachne, något som behandlas i kapitel 4 och av- snitt 8.2 och 8.3.
8.5.2Blir uppgifterna i Arachne allmänna handlingar hos svenska myndigheter?
Utredningens bedömning: Uppgifter i Arachne kan bli allmänna handlingar hos de svenska myndigheter som använder systemet.
Skälen för utredningens bedömning
När blir det fråga om allmänna handlingar?
Vad som utgör en handling och när en handling är en allmän hand- ling enligt nationell rätt regleras i 2 kap. tryckfrihetsförordningen, TF. Med en handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 3 §). För att vara en allmän handling krävs att den förvaras hos en myndighet och enligt 2 kap. 9 eller 10 § är att anse som inkommen till eller upprättad hos en myndighet (2 kap. 4 §).
En upptagning som avses i 2 kap. 3 § TF anses förvarad hos en myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat
218
SOU 2025:112 | Behovet av åtgärder |
sätt (2 kap. 6 § första stycket). En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock förvarad hos myndigheten endast om myndigheten kan göra sammanställ- ningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 2 kap. 7 § (2 kap. 6 § andra stycket). Enligt 2 kap. 7 § TF anses en sammanställning enligt 2 kap. 6 § andra stycket TF inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Med personuppgift avses all slags in- formation som direkt eller indirekt kan hänföras till en fysisk person.
En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa (2 kap. 9 § första stycket). I fråga om en upptagning som avses i
2 kap. 3 § gäller i stället att den anses ha kommit in till myndigheten när någon annan har gjort den tillgänglig för myndigheten på det sätt som anges i 6 §. I fråga om en upptagning som endast kan uppfattas med tekniska hjälpmedel gäller därmed i stället att den anses ha kom- mit in till myndigheten när någon annan för myndigheten har gjort upptagningen tillgänglig med tekniskt hjälpmedel som myndigheten själv utnyttjar.
Slutligen kan sägas att en handling anses ha upprättats hos en myn- dighet, när den har expedierats. En handling som inte har expedierats anses upprättad när det ärende som den hänför sig till har slutbehand- lats hos myndigheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller färdigställts på annat sätt (2 kap. 10 § TF).
Arachne – ett system med flera olika delar där alla uppgifter inte är tillgängliga för alla
Enligt utredningen bör Arachne ses som en databas som i sig inne- håller olika delar, vilka kan vara att bedöma olika i rättsligt hänse- ende. Uppgifter som medlemsstaternas myndigheter (t.ex. projekt- data) och kommissionen (från FTS) har fört in i systemet är en del (så kallade interna data).
En annan del – i rättsligt hänseende – skulle kunna vara uppgifter som hämtas in från externa databaser, såsom i dagsläget Orbis och World Compliance. Uppgifter från dessa databaser lagras i Arachne och används för att berika uppgifter avseende interna data, varigenom
219
Behovet av åtgärder | SOU 2025:112 |
systemets interna data får ett högre informationsvärde. Vid en använd- ning av Arachne söker inte användaren i de externa databaserna utan tar del av uppgifter som härrör från dessa sedan de har blivit en del av innehållet i Arachne. Kommissionen ansvarar för att var tredje månad uppdatera uppgifterna från databaserna Orbis och World Compliance (se Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 31). Vad gäller uppgifter i databasen World Compliance bör nämnas att det inte går att söka på enskilda personer eller företag, men om en person eller ett företag är involverat i ett projekt som en myndighet hanterar framgår det av sådana riskvär- deringar som görs genom Arachne (se mer i avsnitt 5.4.2).
En särskild del av Arachne utgörs av tidigare gjorda riskvärder- ingar. Sådana riskvärderingar lagras i Arachne. Arachne-användare kan hämta dessa riskvärderingar med hjälp av gränssnittet i Arachne- applikationen och har möjlighet att bedöma riskerna relaterade till de stödprogram beträffande vilka de har rätt till åtkomst. Eftersom användare endast får tillgång till riskvärderingar avseende projekt som de själva har någon roll i, är vissa delar av innehållet i Arachne över huvud taget inte tillgängliga för en användande myndighet (Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 24, jfr Arachne-stadgan, punkt 10). Det bör noteras att detta gäller gjorda riskvärderingar och inte riskvärderingar som skulle kunna göras, men inte har gjorts. Som framgår av avsnitt 5.2.1 har Arachne en förhandsfunktion där en riskvärdering utförs på använda- rens begäran.
Det finns olika former av elektroniskt uppgiftslämnande
I Sverige skiljer lagstiftningen ofta mellan två former av elektroniskt utlämnande: direktåtkomst och annat elektroniskt utlämnande (även kallat utlämnande på medium för automatiserad behandling). Det finns inte någon legaldefinition av begreppet direktåtkomst. Den grundläggande innebörden anses vara att någon har tillgång till infor- mation hos någon annan, och på egen hand kan söka i den, dock utan att själv kunna påverka innehållet. Direktåtkomst kan ge använda- ren möjlighet att även hämta in information till sitt eget system och bearbeta den där (se t.ex. prop. 2016/17:58 s. 112). Vid direktåtkomst uppkommer i regel så kallad överskottsinformation, eftersom den
220
SOU 2025:112 | Behovet av åtgärder |
mottagande myndigheten ofta rent tekniskt måste ha tillgång till fler uppgifter än de som faktiskt kommer att utnyttjas. Sammanställ- ningar av uppgifter hos en myndighet, som i samband med direkt- åtkomst görs tekniskt tillgängliga för en annan myndighet, anses vara förvarade även hos den andra myndigheten, och därmed också utgöra allmänna handlingar hos den myndigheten om sammanställ- ningarna kan göras tillgängliga via rutinbetonade åtgärder (jfr 2 kap. 3, 4 och 6 §§ TF och prop. 2007/08:160 s. 67–70).
Direktåtkomst kan generellt sägas öka riskerna för intrång i den personliga integriteten, eftersom den typiskt sett innebär att uppgif- terna blir tillgängliga för fler personer och att den utlämnande myn- dighetens möjlighet att kontrollera utlämnandet minskar.
Uttrycken ”annat elektroniskt utlämnande” och ”utlämnande på medium för automatiserad behandling” har samma innebörd. Det förra uttrycket förekommer i nyare registerförfattningar. Vad som avses med uttrycken har förändrats i takt med teknikutvecklingen, men de förhåller sig alltid på något sätt till utlämnande genom direkt- åtkomst. Med dagens teknik kan utlämnande av information ske genom annat elektroniskt utlämnande, exempelvis genom e-post, på ett usb-minne eller genom direkt överföring från ett datorsystem till ett annat. Vid ett mer omfattande informationsutbyte mellan myn- digheter är det oftast den senare metoden, direkt överföring från ett datorsystem till ett annat, som används.
De praktiska skillnaderna mellan direktåtkomst och annat elek- troniskt utlämnande har med tiden kommit att minska. Högsta för- valtningsdomstolen har i avgörandet HFD 2015 ref. 61 uttalat att avgörande för gränsdragningen mellan vad som utgör direktåtkomst respektive utlämnande på medium för automatiserad behandling är om den aktuella upptagningen kan anses förvarad hos den mottagande myndigheten enligt nuvarande 2 kap. 6 § TF, det vill säga om den är tillgänglig för myndigheten med tekniska hjälpmedel som myndig- heten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Uttalandet kan tolkas så att den tekniska utformningen av en myndighets system för utlämnande av uppgifter kan bli avgörande för om ett utlämnande ska anses ske genom direktåtkomst eller annat elektroniskt utlämnande.
221
Behovet av åtgärder | SOU 2025:112 |
Blir uppgifter i Arachne att betrakta som inkomna och förvarade hos svenska myndigheter genom direktåtkomst?
Om svenska myndigheter anses ha direktåtkomst till uppgifter i Arachne – det vill säga, något förenklat, om uppgifterna är tillgäng- liga för myndigheterna med tekniska hjälpmedel som myndigheterna själva utnyttjar – anses uppgifterna förvarade hos myndigheterna och är därmed allmänna handlingar, som ska lämnas ut om inte sekretess hindrar ett utlämnande. Det skulle också innebära att även viss över- skottsinformation som finns i Arachne men som en myndighet inte eftersökt, skulle anses utgöra allmänna handlingar hos myndigheten. Om åtkomsten inte anses utgöra direktåtkomst utan utlämnandet anses ske genom annat elektroniskt utlämnande och enbart de upp- gifter som härrör från en viss sökning eller annan åtgärd hos myndig- heten blir tillgängliga skulle bedömningen om vad som blir allmänna handlingar kunna bli en annan.
För bedömningen om svenska myndigheter har tillgång till upp- gifter i Arachne genom direktåtkomst är det avgörande hur systemet tekniskt sett är utformat. Utredningen konstaterar att det i detta avseende finns flera osäkerhetsmoment, som bland annat hänger samman med att en utveckling av systemet pågår och det är oklart hur det kommer att vara konstruerat i framtiden.
Bedömningen av om en teknisk lösning innebär en direktåtkomst är inte heller helt okomplicerad. I det nämnda målet HFD 2015 ref. 61 prövades om socialnämnders åtkomst till uppgifter ur social- försäkringsdatabasen via ett visst system var att betrakta som direkt- åtkomst. Såväl förvaltningsrätten som kammarrätten fann att så var fallet, men Högsta förvaltningsrätten gjorde en annan bedömning. Det avgörande var enligt domstolen om informationen var tillgäng- lig med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas på det sätt som avses i numera 2 kap. 6 § TF. Dom- stolen fäste vikt vid att socialnämnderna inte på egen hand kunde söka information i socialförsäkringsdatabasen, utan ett utlämnande förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna ska lämnas ut. Försäkringskassan fick där- igenom anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Socialnämnderna ansågs därför inte ha sådan teknisk
222
SOU 2025:112 | Behovet av åtgärder |
tillgång till upptagningar som avses i numera 2 kap. 6 § TF och det var därför inte fråga om direktåtkomst.
Även tillgång till uppgifter via Arachne kan sägas – liksom avse- ende många databaser – delvis bygga på ett förfarande med frågor och svar efter automatisk bearbetning. Det framstår inte som helt klart hur detta kriterium kan användas för att särskilja direktåtkomst från annat elektroniskt utlämnande (jfr Sören Öman, Direktåtkomst till databaser, Blendow Lexnova Expertkommentar – Offentlig rätt, december 2015).
Det kan också noteras att ett kriterium som brukar ställas upp för direktåtkomst är att mottagaren saknar möjlighet att själv kunna påverka innehållet. När det gäller Arachne kommer mottagaren av uppgifter ofta vara en myndighet som inte bara använder Arachne som ett verktyg för riskvärderingar utan som också bidrar till att tillgängliggöra uppgifter som tillförs Arachne och därmed faktiskt påverkar databasens innehåll. Data som laddats upp i Arachne kan i princip inte ändras. Medlemsstatens enda möjlighet att ändra eller korrigera data är att ladda upp en ny datafil (Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 10).
Som nämns ovan är inte heller alla delar av Arachne tillgängliga för alla användare.
Enligt utredningen talar dock mycket för att den tekniska utform- ningen av Arachne kan innebära att svenska myndigheter anses få direktåtkomst till uppgifter genom systemet. Systemet synes näm- ligen vara utformat så att informationen kommer att vara tillgänglig för användaren för att på egen hand söka eller få svar på frågor. Vidare synes åtkomsten ge användaren en möjlighet att också hämta hem informationen till sitt eget system och bearbeta den där. Åtkomsten innebär också att uppgifter kan hämtas utan att kommissionen har kontroll över vilka uppgifter som hämtas.
Det förhållandet att vissa nationella myndigheter som använder Arachne också bidrar med uppgifter till systemet bedöms inte i sig innebära att det inte är fråga om direktåtkomst. Myndigheternas möjligheter att påverka innehållet är begränsade och inte en följd av åtkomsten till systemet i sig.
Det finns skäl att lyfta riskvärderingar särskilt. Mycket talar enligt utredningens mening för att svenska myndigheter anses få direkt- åtkomst till gjorda riskvärderingar som finns lagrade i Arachne. Det mesta talar vidare för att svenska myndigheter inte kan sägas få direkt-
223
Behovet av åtgärder | SOU 2025:112 |
åtkomst till riskvärderingar som ännu inte har begärts av myndig- heten inom ramen för den så kallade förhandsfunktionen. Så som Arachne fungerar i dag genereras inom ramen för förhandsfunktionen en riskvärdering först på en användares begäran. Enligt utredningen talar mycket för att svenska myndigheter anses få direktåtkomst även till sådana riskvärderingar som har gjorts genom förhandsfunktionen. Sådana riskvärderingar som ännu inte har utförts, bör däremot inte anses vara tillgängliga för användare på det sätt som avses i 2 kap.
6 § TF.
Om svenska myndigheter anses få tillgång till uppgifter genom direktåtkomst till en utländsk myndighets databas innebär det att uppgifterna skulle kunna anses vara förvarade hos den svenska myn- digheten i tryckfrihetsförordningens mening. Den omständigheten att utländska myndigheter inte omfattas av offentlighetsprincipen påverkar inte i sig bedömningen. Uppgifter i utländska databaser som en svensk myndighet har direktåtkomst till utgör enligt reger- ingen som utgångspunkt allmänna handlingar hos myndigheten, om uppgifterna ingår i en så kallad färdig elektronisk handling eller om de kan sammanställas med rutinbetonade åtgärder och utan använd- ning av förbjudna sökbegrepp (jfr prop. 2011/12:157 s. 8 och 17).
Det kan dock inte uteslutas att tillgången till uppgifter i Arachne kan bedömas på annat sätt. Det pågår en teknisk utveckling av Arachne och det är oklart hur konstruktionen kommer att se ut i framtiden. Arachne innehåller flera funktioner och uppgifter från olika källor och det kan inte uteslutas att olika funktioner och olika typer av upp- gifter bör bedömas på olika sätt.
Det kan inte heller uteslutas att konstruktionen av Arachne anses innebära att användaren får tillgång till information först efter att ha ställt frågor på ett sådant sätt att det inte är fråga om direktåtkomst. Det kan då diskuteras i vilken utsträckning som uppgifter i Arachne anses vara förvarade hos myndigheten på ett sådant sätt att de anses som allmänna handlingar där.
Sammanfattningsvis bedömer utredningen att mycket talar för att det kan bli fråga om direktåtkomst – i vart fall beträffande vissa slags uppgifter. Bedömningarna i detta betänkande behöver mot denna bakgrund ta höjd för att uppgifter i Arachne kan anses vara allmänna handlingar utifrån 2 kap. 6 § TF. Det är den myndighet som får en begäran om utlämnande av allmän handling som har att ta ställning i frågan.
224
SOU 2025:112 | Behovet av åtgärder |
Begränsningsregeln i 2 kap. 7 § TF kan innebära att sammanställningar inte anses förvarade hos en myndighet
Från huvudregeln som beskrivs ovan om när upptagningar för auto- matiserad behandling ska anses förvarade hos en myndighet finns undantag, bland annat i 2 kap. 7 § TF, som ibland kallas begränsnings- regeln. Av bestämmelsen framgår att en sammanställning enligt 2 kap. 6 § andra stycket TF inte är förvarad hos myndigheten om samman- ställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen till- gänglig. Paragrafen innebär att om en myndighet av hänsyn till integ- ritetsskyddsintresset är förhindrad att i sin verksamhet ta fram en viss sammanställning, så är den inte heller tillgänglig för allmänheten. Den bestämmelsen kan bli aktuell om någon av en myndighet begär ut en sammanställning av uppgifter ur Arachne som innebär att myn- digheten måste söka efter ett urval av personer som exempelvis har en viss politisk åsikt (se Kammarrätten i Stockholms dom den 18 april 2023 i mål nr 1330-23). Det är då upp till myndigheten att bedöma om bestämmelsen är tillämplig.
Den så kallade biblioteksregeln innebär att vissa handlingar inte anses vara allmänna handlingar
I 2 kap. 13–14 §§ TF finns bestämmelser om handlingar som inte anses som allmänna, trots att de anses förvarade hos en myndighet. Som allmän handling anses inte – trots att en handling förvaras hos en myndighet och är inkommen dit – en tryckt skrift, en ljud- eller bildupptagning eller någon annan handling som ingår i ett bibliotek eller som från en enskild har tillförts ett allmänt arkiv uteslutande för förvaring och vård eller forsknings- och studieändamål eller pri- vata brev, skrifter eller upptagningar som annars har överlämnats till en myndighet uteslutande för något av de angivna ändamålen. Inte heller en upptagning av innehållet i en sådan handling anses som en allmän handling, om upptagningen förvaras hos en myndighet där den ursprungliga handlingen inte skulle vara att anse som allmän. Detta framgår av 2 kap. 14 § första stycket 3 och 4 TF. Av bestäm- melsens andra stycke framgår att det som föreskrivs i första stycket 3 om handlingar som ingår i bibliotek inte tillämpas på en upptagning i en databas som en myndighet har tillgång till enligt ett avtal med
225
Behovet av åtgärder | SOU 2025:112 |
en annan myndighet, om upptagningen är allmän handling hos den myndigheten.
Är biblioteksregeln tillämplig på uppgifterna i Arachne?
Biblioteksregeln omfattar handlingar som en myndighet använder på motsvarande sätt som böcker i ett bibliotek, det vill säga för att söka faktaunderlag i allmänhet, rättsfallsreferenser eller tidskrifts- artiklar och liknande (jfr prop. 1990/91:60 s. 31). När det gäller refe- rensdatabaser som producerats av enskilda organ, med vilka utländska myndigheter jämställs, har det inte ansetts rimligt att dessa skulle vara fria för insyn enligt offentlighetsprincipen (prop. 2001/02:70 s. 26). Det har alltså betydelse vilka slags uppgifter det är fråga om och hur uppgifterna används av myndigheterna.
Som anges under rubriken Arachne – ett system med flera olika delar bör Arachne ses som en databas som i sig innehåller olika delar, vilka kan vara att bedöma olika i rättsligt hänseende. Arachne kan vidare inte sägas endast vara en traditionell databas eftersom det också sker en bearbetning av uppgifterna i systemet.
Beträffande de delar av Arachne som består av uppgifter som här- rör från databasen Orbis är det enligt utredningen möjligt att bedöma dessa som uppgifter i en referensdatabas som biblioteksregeln kan vara tillämplig på. Uppgifterna i Orbis utgör då inte allmänna hand- lingar, även om de kan anses förvarade hos en användande myndig- het. Detta kan dock komma att ändras, eftersom avsikten synes vara att uppgifter i Orbis endast ska vara tillgängliga för användare beträf- fande sådana program som användaren hanterar. När det gäller data- basen World Compliance är uppgifter i databasen, som det fungerar i dag, tillgängliga enbart genom riskvärderingar i Arachne (se mer
i avsnitt 5.4.2). Biblioteksregeln bör därför inte bli tillämplig för sådana uppgifter.
Resultaten av gjorda riskvärderingar som finns i Arachne bör anses vara upptagningar för automatiserad behandling. Sådana riskvärder- ingar är inte jämförbara med innehållet i ett bibliotek och biblioteks- regeln bör enligt utredningens mening inte vara tillämplig på dessa.
226
SOU 2025:112 | Behovet av åtgärder |
Sammanfattande slutsatser
Många faktorer har betydelse för frågan om uppgifter i Arachne ska anses som allmänna handlingar hos en svensk myndighet, och cen- trala faktorer är hur Arachne är uppbyggt och hur åtkomsten rent tekniskt fungerar. I dagsläget finns det flera osäkerhetsfaktorer i det avseendet. Utgångspunkten bör enligt utredningens mening vara att uppgifter i Arachne kan anses förvarade hos och därmed bli allmänna handlingar hos de svenska myndigheter som använder Arachne. Det är dock möjligt att vissa uppgifter som finns i Arachne kan komma att omfattas av biblioteksregeln och därmed inte anses utgöra all- männa handlingar. Det är utlämnande myndighet som har att göra bedömningen i en utlämnandesituation.
8.5.3Finns det behov av sekretesskydd för uppgifter som finns i Arachne?
Utredningens bedömning: Det kan finnas behov av sekretess- skydd för uppgifter som svenska myndigheter får tillgång till vid ett användande av Arachne. Det handlar främst om följande behov.
•Behov att kunna hemlighålla uppgifter
–för att samarbetet inom EU inte ska försämras, och
–för att myndigheternas arbete med kontroller och gransk- ning inte ska motverkas
•Behov att kunna hemlighålla uppgift om en enskilds affärs- eller driftförhållanden med mera i tillsynsverksamhet och liknande
•Behov att kunna hemlighålla uppgifter om personliga förhål- landen, särskilt för förföljda personer.
227
Behovet av åtgärder | SOU 2025:112 |
Skälen för utredningens bedömning
Inledning
Som konstateras ovan kan uppgifter i Arachne komma att bli allmänna handlingar hos de myndigheter som använder systemet. Om det inte finns någon tillämplig sekretessbestämmelse kommer därför svenska myndigheter vara skyldiga att på begäran lämna ut uppgifterna. I detta avsnitt behandlas frågan om huruvida det finns behov av sekretess- skydd för uppgifter i Arachne. Ett led i den bedömningen är om EU-rätten ställer krav på skydd motsvarande sekretess för uppgif- ter i Arachne.
Allmänt om öppenhet och sekretessreglering inom EU
Den fria rörligheten och det omfattande samarbetet inom EU kräver ett betydande informationsutbyte mellan medlemsstaterna. I takt med att det internationella samarbetet tätnar, är det naturligt och i grunden positivt att uppgiftsutbytet mellan staterna ökar. Informa- tion kan på så sätt återanvändas och erfarenheter spridas, vilket bidrar till en effektivare förvaltning. Sverige har inom det internationella samarbetet arbetat aktivt för en ökad öppenhet. I förhandlingar om bland annat EU-rättsakter har Sverige konsekvent drivit en linje som innebär att rättsakten eller avtalet ska ges en utformning som i största möjliga mån tillgodoser allmänhetens intresse av insyn i berörda myn- digheters verksamhet. Arbetet har i flera avseenden varit framgångs- rikt, även om utvecklingen – eftersom de flesta medlemsstater har en annan tradition än Sverige när det gäller handlingsoffentlighet – dock gått relativt långsamt (prop. 2012/13:192 s. 23).
Vissa allmänna bestämmelser om öppenhet finns i artikel 15 i EUF-fördraget, där det anges att unionens institutioner, organ och byråer ska utföra sitt arbete så öppet som möjligt, för att främja en god förvaltning och se till att det civila samhället kan delta. Vidare anges att varje unionsmedborgare och varje fysisk eller juridisk per- son som är bosatt eller har sitt stadgeenliga säte i en medlemsstat ska ha rätt till tillgång till unionens institutioners, organs och byråers handlingar, oberoende av medium, enligt de principer och villkor som ska bestämmas i enlighet med vad som närmare anges i artikeln.
228
SOU 2025:112 | Behovet av åtgärder |
Ett uttryck för ökad öppenhet inom EU är vidare den så kallade öppenhetsförordningen från 2001. Den innebär i huvudsak att med- borgare har rätt att ta del av alla handlingar som dessa institutioner innehar, med undantag för sådan information som omfattas av de särskilda sekretessundantag som finns uppräknade i förordningen. Förordningen ger uttryck för att det är nödvändigt att göra arbetet vid unionens institutioner öppnare (se skäl 3). Syftet med förord- ningen är att ge allmänhetens rätt till tillgång till handlingar största möjliga effekt (se skäl 4).
Det förekommer sekretessbestämmelser i internationella avtal och EU-rättsakter. Bland annat på grund av det arbete som Sverige har bedrivit för ökad öppenhet inom EU, förekommer det numera även att sådana sekretessbestämmelser är försedda med skaderekvisit, i likhet med flertalet svenska sekretessbestämmelser (prop. 2012/13:192 s. 11 och 12).
Budgetförordningen och Arachne-stadgan ger ingen tydlig ledning
Budgetförordningen ger på flera ställen uttryck för nödvändigheten av transparens i arbetet med att genomföra EU:s budget. Exempel- vis ska enligt artikel 6 budgeten upprättas och genomföras bland annat i enlighet med principen om transparens, något som särskilt behandlas i kapitel 8 i budgetförordningen. Av artikel 63 framgår att – när budgeten genomförs inom ramen för delad förvaltning – även medlemsstaterna ska iaktta principen om transparens. Vidare anges att – utan att det påverkar tillämpningen av reglerna om skydd av personuppgifter – största möjliga transparens i fråga om uppgif- ter om mottagare bör eftersträvas (skäl 34).
Frågan är om budgetförordningen medför att uppgifter i Arachne ändå ska skyddas genom sekretess. Arachne-teamet vid kommissio- nen har under arbetet med denna utredning gett uttryck för synen att ingen information som finns i Arachne ska offentliggöras (be pub- lished) och har därvid bland annat hänvisat till artikel 36.7 i budget- förordningen.2 Budgetförordningen innehåller dock – som utred- ningen uppfattar det – inte några bestämmelser som tar direkt sikte på offentlighet och sekretess avseende uppgifter som finns i Arachne. Artikel 36.7 innehåller bestämmelser om åtkomstbegränsning och
2Komm2025/00388-10.
229
Behovet av åtgärder | SOU 2025:112 |
anger bland annat att kommissionen som personuppgiftsansvarig ska ansvara för utveckling, förvaltning och övervakning av Arachne, för att bland annat säkerställa uppgifternas säkerhet och konfiden- tialitet. Även om uttrycket konfidentialiet kan åsyfta sekretess synes detta inte vara vad som avses med begreppet i detta sammanhang, då bestämmelsen tar sikte på den personuppgiftsansvariges skyldig- heter vid personuppgiftsbehandling. Budgetförordningen ger där- med enligt utredningens mening inget tydligt svar på frågan om upp- gifter i Arachne generellt sett ska vara offentliga eller sekretessbelagda.
IArachne-stadgan anges bland annat att den externa informatio- nen i Arachne till fullo redan är offentliggjord och tillgänglig för all- mänheten (på engelska ”officially published and publicly available”), se punkt 6.2. Det talar för att det beträffande sådana uppgifter inte krävs något sekretesskydd och att det inte heller bör finnas något sådant. Här kan också påminnas om att en del av uppgifterna som kommer att finnas i Arachne också kommer att offentliggöras av kommissionen och i vissa fall av medlemsstaterna med stöd av arti- kel 38, se mer om detta i avsnitt 4.7.1.
Vad gäller resultat av riskberäkningar finns dock i Arachne-stad- gan skrivningar som kan tyda på att dessa bör behandlas på särskilt sätt. Av punkt 3 framgår att programmyndigheterna som får tillgång till resultaten av Arachnes riskvärderingar bara ska använda dessa för förvaltningskontroller (management verifications), kontroller (controls) och revisioner (audits). Resultaten ska inte användas för personliga intressen eller några andra ändamål. Av punkt 6.2 fram- går att resultat av riskvärderingar utgör interna data som ska användas för skyddet av EU:s finansiella intressen och för förvaltningskon- troller. Vidare framgår av punkten att sådana riskvärderingar omfat- tas av dataskydd (subject to data protection conditions) och att de inte ska publiceras (should not be published), varken av kommissio- nen eller av programmyndigheterna.
Det kan alltså konstateras att Arachne-stadgan i vart fall när det gäller resultatet av riskvärderingar ställer krav av något slag. Stadgan är dock inte helt tydlig. Det kan diskuteras om det med skrivningen
”should not be published” avses att resultatet inte ska offentliggöras, till exempel på en särskild hemsida, eller att resultatet ska vara sek- retessbelagt och inte lämnas ut på begäran från allmänheten.
Enligt ett svar till utredningen från Arachne-teamet vid kommis- sionen ställer budgetförordningen inte något krav på särskilda åt-
230
SOU 2025:112 | Behovet av åtgärder |
gärder för att uppnå konfidentialitet när det gäller resultat av risk- beräkningar. De har också uppgett att resultaten inte är avsedda för den breda allmänheten utan enbart för vissa personer, varför det be- höver säkerställas att de inte sprids fritt. Arachne-teamet uppmanar därför till nödvändiga åtgärder på nationell nivå för att se till att risk- värderingarna inte blir tillgängliga för allmänheten, utan att det kom- mer i strid med de nationella regelverken.3
Sammanfattningsvis ger inte budgetförordningen och Arachne- stadgan någon tydlig vägledning när det gäller eventuella krav på hemlighållande av uppgifter i Arachne och de besked som utred- ningen har fått från Arachne-teamet vid kommission i frågan får anses vara något motstridiga.
Uppgifterna i Arachne kommer i regel inte att omfattas av sekretess
Utöver ovan nämnda oklarheter är en grundläggande utmaning att det är svårt för utredningen att tillfullo veta vilka uppgifter Arachne innehåller och kommer att innehålla. Uppgifterna härrör från flera olika källor och det kan också ske förändringar som Sverige saknar möjlighet att påverka, exempelvis när det gäller vilka uppgifter som finns i olika sanktionslistor och liknande. Vidare kan kommande pro- gramperiod medföra nya fonder och därmed nya uppgifter.
Som utgångspunkt gör dock utredningen bedömningen att i vart fall en betydande del av uppgifterna i Arachne inte kräver något sär- skilt sekretesskydd. Som utvecklas i avsnitt 5.4.2 innehåller Arachne interna och externa data. De externa uppgifterna är redan huvudsak- ligen offentliggjorda (notera att uppgifter i databasen World Com- pliance endast är tillgängliga via riskvärderingar i Arachne, se av- snitt 5.4.2). De interna uppgifterna härrör bland annat från medlems- staterna, inklusive Sverige (i vart fall från och med 2028). I avsnitt 8.2 framgår att de uppgifter som svenska myndigheter kommer att vara skyldiga att göra tillgängliga för bruk i Arachne från och med 2028 i regel inte kommer att omfattas av sekretess men att det inte kan uteslutas att sådana uppgifter undantagsvis kan förekomma. Motsva- rande bedömning gör utredningen avseende de uppgifter som svenska myndigheter kan komma att lämna på frivillig basis (avsnitt 8.3).
3Komm2025/00388-6.
231
Behovet av åtgärder | SOU 2025:112 |
Särskilt om uppgifter som härrör från medlemsstater
Kraven avseende de uppgifter som medlemsstaterna ska tillgänglig- göra enligt artikel 36.6 är utformade på ett tämligen övergripande sätt. I allmänhet behöver inte skyddsvärd information tillgänglig- göras för att fullgöra skyldigheterna enligt bestämmelsen (se av- snitt 8.2.3) eller lämnas för att Arachne ska fungera på ett ändamåls- enligt sätt (se avsnitt 8.3.3). På samma sätt som när det gäller svenska myndigheter utgår utredningen från att utländska myndigheter i all- mänhet inte kommer att lämna uppgifter på ett sådant sätt att infor- mation som är särskilt skyddsvärd i den medlemsstaten röjs. Det kan dock inte uteslutas att sådan information kan finnas i Arachne som härrör från svenska eller utländska myndigheter.
Särskilt om uppgifter i databasen World Compliance
Vad särskilt gäller uppgifter om PEP (politiskt utsatta personer), som finns i databasen World Compliance, bör det ofta handla om oproble- matiska uppgifter, såsom att en viss person innehar eller har inne- haft ett visst uppdrag. Sådana uppgifter bör ofta redan vara allmänt kända. Likaså uppgiften att en person är närstående till en person som har innehaft ett visst uppdrag bör i sig vara oproblematisk.
Det skulle kunna förekomma att politiskt utsatta personer har skyddade personuppgifter eller liknande. Det bör kunna förväntas att sådana skyddsvärda uppgifter inte förekommer i databasen. Det är dock inte möjligt för utredningen att överblicka exakt vilka upp- gifter, exempelvis om adresser, som PEP-listor i dag och i framtiden innehåller.
Vad gäller sanktionslistor kommer dessa bland annat från EU och FN. Generellt bör det vara fråga om redan offentliga uppgifter om fattade beslut om sanktioner. Detta får också stöd i vad som sägs i Arachne-stadgan om att externa data redan är offentliggjorda.
Databasen World Compliance innehåller också uppgifter om nega- tiv publicitet, vilket kan ta sikte på rena misstankar om överträdelser.
232
SOU 2025:112 | Behovet av åtgärder |
Utredningens överväganden och slutsatser
Arachne kommer att innehålla en stor mängd uppgifter från olika källor. Det är rimligt att anta att den stora majoriteten av uppgifterna inte kommer att vara av sådan karaktär att det finns behov av skydd i form av sekretess i Sverige. Det kan dock inte uteslutas att sådana behov, avseende vissa uppgifter, skulle kunna förekomma. Enligt utredningen kan det främst finnas ett behov av sekretess i följande avseenden, vilka kort utvecklas nedan.
•Behov att kunna hemlighålla uppgifter
–för att samarbetet inom EU inte ska försämras, och
–för att myndigheternas arbete med kontroller och granskning inte ska motverkas
•Behov att kunna hemlighålla uppgift om en enskilds affärs- eller driftförhållanden med mera i tillsynsverksamhet och liknande
•Behov att kunna hemlighålla uppgifter om personliga förhållan- den, särskilt för förföljda personer.
Det kan finnas behov av sekretess för uppgifter i Arachne till skydd för allmänna intressen. Enligt utredningen är uppgifter om gjorda riskvärderingar särskilt centrala när det gäller behovet av sekretess- reglering. Behovet av sekretess kan dock även handla om andra upp- gifter, exempelvis uppgifter som tar sikte på projekt som har bety- delse för Sveriges tillgång till livsmedel under kris- och krigstider och annat som rör Sveriges försvarsförmåga.
Arachne-teamet vid kommissionen har gett uttryck för ett önske- mål om att uppgifter i Arachne inte ska spridas fritt.4 När det gäller gjorda riskvärderingar har detta önskemål även kommit till skriftligt uttryck i Arachne-stadgan. Detta kan tala för att ett hemlighållande kan behövas för att Sveriges möjlighet att delta i samarbetet inom EU inte ska försämras. Hur starkt det behovet ska anses vara kan delvis beskrivas som en utrikespolitisk fråga som berör en intresseavvägning mellan den svenska offentlighetsprincipen och relationen med EU.
Om EU och andra medlemsstater känner tveksamhet inför
Sveriges möjligheter att förhindra spridning av skyddsvärda uppgif- ter som svenska myndigheter får tillgång till genom Arachne kan
4Komm2025/00388-10.
233
Behovet av åtgärder | SOU 2025:112 |
det vidare finnas en risk att det samarbete som är en förutsättning för ett effektivt motverkande av felaktigheter med EU-medel fun- gerar mindre effektivt. Detta skulle också kunna få negativa effekter för Sveriges möjligheter att bedriva tillsyn. Det kan därmed också finnas behov att sekretessbelägga uppgifter i Arachne för att myndig- heternas arbete med kontroller och granskning inte ska motverkas.
Det kan också finnas behov av sekretess till skydd för uppgift om enskildas ekonomiska förhållanden. Uppgifter om enskildas affärs- eller driftförhållanden kan ingå bland de uppgifter som svenska myndig- heter får tillgång till genom Arachne, vilka kan behöva skyddas. Det kan handla exempelvis om upphandlingsunderlag, avtal och affärs- hemligheter. Det kan inte heller uteslutas att det i vissa fall kan finnas behov av sekretess för uppgift om total projektkostnad vilken, i kom- bination med andra uppgifter, skulle kunna avslöja information om stödmottagares ekonomiska planer.
Det kan inte heller uteslutas att det kan finnas behov av sekretess- skydd för enskildas personliga förhållanden. Arachne innehåller upp- gifter om personliga förhållanden beträffande bland andra stödmot- tagare, personer i ledningen för ett företag, aktieägare, leverantörer, underleverantörer och anknutna personer. Det kan handla om exem- pelvis namn, adress och identifikationsnummer.
Risken för att svenska myndigheter får tillgång till skyddsvärd information genom Arachne bedöms dock som begränsad. Tillgången till uppgifterna är, eller kommer att vara, begränsad till de program som förvaltande myndighet hanterar. Som framgår av Arachne-stad- gan är utgångspunkten att uppgifter som erhålls från externa data- baser redan är offentliga och publicerade. De uppgifter som måste tillgängliggöras av medlemsstaterna avser uppgifter som i regel är harmlösa. Behov av sekretesskydd kan dock finnas även för sådana i regel harmlösa uppgifter för förföljda personer. Det kan vara så att
–även om uppgifterna som finns i Arachne generellt var för sig får anses som relativt harmlösa – en användare genom Arachne kan få tillgång till mycket information, vilket kan vara mer problematiskt.
Det kan vidare inte uteslutas att det kan finnas behov av skydd för uppgifter även om andra personliga förhållanden, exempelvis om det finns en risk att personuppgifter behandlas i strid mot personupp- giftsregelverket efter ett eventuellt utlämnande. I detta sammanhang kan särskilt nämnas uppgifter från databasen World Compliance, som kan innehålla uppgifter om tidigare regelöverträdelser, liksom rena
234
SOU 2025:112 | Behovet av åtgärder |
misstankar om överträdelser. Innehållet i negativ publicitet behöver inte alltid vara korrekt. Det bör beaktas att tillgången till uppgifter från World Compliance är starkt begränsad, dels då det krävs särskild behörighet, dels då det endast är genom riskvärderingar avseende egna projekt som sådana uppgifter kan nås (se avsnitt 5.4.2).
När det gäller så kallade anknutna personer (related persons) kan det uppkomma särskilda frågor som rör behovet av och möjligheten att sekretessbelägga uppgifter om personer som arbetar vid myndig- heter. Uppgifter om anknutna personer är dock frivilliga att lämna. Det framgår i dokumentation från kommissionen att om medlems- länderna överväger att föra in uppgifter om personer som arbetar vid nationella myndigheter, bör man följa nationella dataskyddsregler vilket kan innebära att det krävs samtycke (Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 53). För närmare om behandling av uppgifter om anknutna personer och samtycke, se avsnitt 8.3.5.
Det kan slutligen konstateras att det – bland annat eftersom syste- met är under utveckling – kan vara svårt att förutse vilka uppgifter som kommer att finnas i Arachne och därmed vilka ytterligare behov av sekretesskydd som kan uppstå.
8.5.4Vilket skydd ger gällande sekretessreglering för allmänna intressen?
Utredningens bedömning: När det gäller sekretess till skydd för allmänna intressen kommer gällande sekretessreglering att ge ett betydande skydd för de uppgifter som eventuellt skulle kunna behöva ett sådant skydd. Det kan dock inte uteslutas att uppgif- ter i Arachne, inklusive gjorda riskvärderingar, i vissa fall inte kan sekretessbeläggas med stöd av gällande sekretessreglering.
Skälen för utredningens bedömning
Inledning
De behov av sekretesskydd som utredningen har identifierat för all- männa intressen rör bland annat möjligheten att kunna hemlighålla de riskvärderingar som Arachne genererar. De intressen som därvid
235
Behovet av åtgärder | SOU 2025:112 |
aktualiseras är dels att Sveriges förhållande till EU och andra med- lemsländer fungerar väl så att Sverige kan delta i samarbetet på ett effektivt sätt, dels att myndigheternas kontroll- och gransknings- verksamhet ska kunna fungera effektivt. Därutöver skulle vissa andra allmänna intressen kunna aktualiseras vid ett användande av Arachne, vilket också berörs i detta avsnitt. I det följande analyseras vilket skydd gällande sekretessbestämmelser ger när det gäller sekretess till skydd för allmänna intressen.
Utrikessekretess – 15 kap. 1 § OSL
Utrikessekretessen regleras i 15 kap. 1 § OSL, som anger att det gäller sekretess för uppgift som rör Sveriges förbindelser med en annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller stats- lös, om det kan antas att det stör Sveriges mellanfolkliga förbindel- ser eller på annat sätt skadar landet om uppgiften röjs.
När den tidigare gällande sekretesslagen (1980:100) trädde i kraft 1981 gällde utrikessekretess med olika skaderekvisit beroende på var en uppgift fanns. För uppgifter hos regeringen och inom utrikesrepre- sentationen föreskrevs sekretess med ett omvänt skaderekvisit. Hos andra myndigheter gällde däremot sekretess med ett rakt skaderek- visit för samma uppgifter. För dessa myndigheter gällde alltså sekre- tess för en uppgift om det kunde antas att det störde Sveriges mellan- folkliga förbindelser eller på annat sätt skadade landet om uppgiften röjdes. I förarbetena (prop. 1979/80:2 Del A s. 131) konstaterades att skade- och störningsbegreppen i bestämmelsen om utrikessekre- tess inte bör ges en alltför vid innebörd. Det måste röra sig om någon olägenhet för landet för att en uppgift ska sekretessbeläggas. Att mindre och tillfälliga störningar eller irritationer inom ett lands led- ning inte kan uteslutas ska med andra ord inte alltid leda till sekretess.
I och med att Sverige blev medlem i EU ändrades bestämmelsen i 2 kap. 1 § sekretesslagen och fick den lydelse den nu har i offentlig- hets- och sekretesslagen, med ett enhetligt rakt skaderekvisit. Det råder således numera en presumtion för offentlighet hos alla svenska myndigheter. I fråga om tillämpningen av ett enhetligt rakt skade- rekvisit för utrikessekretessen anförde regeringen att det inte i sig bör medföra några risker för att Sverige inte ska ha möjlighet att till-
236
SOU 2025:112 | Behovet av åtgärder |
godose sådana berättigade krav på sekretess som gemenskapsrätten ställer. Vid bedömningen av om en uppgift som erhållits från en annan stat eller från en mellanfolklig organisation kan lämnas ut eller inte ansågs avsändarens uppfattning i frågan i och för sig inte kunna av- göra om uppgiften ska hållas hemlig, men avsändarens intresse av sekretess kan ha betydelse för skadeprövningen i det enskilda fallet. Om den främmande staten eller den mellanfolkliga organisationen anser att en överlämnad uppgift är hemlig, kan det givetvis vara ett skäl för att anse att ett utlämnande skulle störa Sveriges mellanfolk- liga förbindelser (prop. 1994/95:112 s. 29).
Riksdagen beslutade i enlighet med regeringens förslag efter att konstitutionsutskottet uttalat att möjligheterna till insyn i den natio- nella beredningsprocessen inom EU-samarbetet bör vara desamma som om det slutliga beslutet skulle fattas på nationell nivå. Enligt utskottet framstod det därmed som helt nödvändigt att låta en pre- sumtion för offentlighet gälla för alla uppgifter inom utrikessekre- tessens tillämpningsområde (bet. 1994/95:KU18, rskr. 1994/95:128).
Det gäller inte någon begränsning av bestämmelsens räckvidd. Bestämmelsen är tillämplig i all offentlig verksamhet, oberoende av vilken myndighet eller vilket annat offentligt organ som förfogar över de aktuella uppgifterna.
Bestämmelsen om utrikessekretess har enligt sin ordalydelse inte heller någon begränsning i fråga om uppgiftens innehåll. Högsta för- valtningsdomstolen (tidigare Regeringsrätten) har dock i ett par av- göranden (RÅ 1998 ref. 42 och RÅ 2000 ref. 22) anfört att det måste vara det konkreta informationsinnehållet i en uppgift – eller i vissa fall uppgiftens art och anknytning till internationell verksamhet – som medför att ett röjande av uppgiften kan skada landet eller för- orsaka störningar i de mellanfolkliga förbindelserna för att bestäm- melsen ska vara tillämplig.
Utredningen gör bedömningen att det är oklart i vilken utsträck- ning som uppgifter i Arachne kommer att omfattas av 15 kap. 1 §, det vill säga i vilken utsträckning det kommer att handla om uppgif- ter som till sitt innehåll och sin art rör Sveriges förbindelser med en annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller stats- lös. Det får anses tveksamt om exempelvis en gjord riskvärdering kan anses vara av sådant innehåll. En sådan bedömning kan dock
237
Behovet av åtgärder | SOU 2025:112 |
inte heller uteslutas, eftersom riskvärderingen är ett led i ett sam- arbete mellan kommissionen och de olika medlemsländerna.
För att en riskvärdering som Arachne genererar ska kunna sek- retessbeläggas enligt bestämmelsen krävs vidare att ett röjande kan antas störa Sveriges mellanfolkliga förbindelser eller på annat sätt skada landet. Det är här av betydelse hur negativt EU och andra medlemsländer skulle uppleva att uppgifterna röjdes och hur detta skulle påverka de mellanfolkliga förbindelserna. Som nämns har det i förarbetena till bestämmelsen angetts att avsändarens uppfattning i frågan i och för sig inte ska kunna avgöra om uppgiften ska hållas hemlig, men avsändarens intresse av sekretess kan ha betydelse för skadeprövningen i det enskilda fallet. Om avsändaren anser att en överlämnad uppgift är hemlig, kan det vara ett skäl för att anse att ett utlämnande skulle störa Sveriges mellanfolkliga förbindelser.
Utredningen konstaterar att det inte finns någon uttrycklig sekre- tessbestämmelse i budgetförordningen som rör Arachne. Arachne- teamet vid kommissionen har gett uttryck för ett önskemål att uppgif- ter i Arachne inte ska spridas.5 När det gäller gjorda riskvärderingar har detta tagit sig skriftligt uttryck i Arachne-stadgan. Det får dock anses oklart hur långt detta önskemål sträcker sig. Det finns också skäl att påminna om vad som sades i de ursprungliga förarbetena från 1979 om att skade- och störningsbegreppen inte bör ges en alltför vid innebörd och att mindre och tillfälliga störningar eller irritatio- ner inom ett lands ledning inte alltid ska leda till sekretess. Det bör också här beaktas det intresse för ökad öppenhet även inom EU som exempelvis öppenhetsförordningen ger uttryck för.
Sammanfattningsvis bedömer utredningen att det får anses vara tveksamt om uppgifter i Arachne, inklusive gjorda riskvärderingar, kan sekretessbeläggas med stöd av 15 kap. 1 § OSL, även om en sådan tillämpning inte kan anses utesluten i vissa fall.
Sekretess i det internationella samarbetet – 15 kap. 1 a § OSL
Enligt 15 kap. 1 a § OSL gäller sekretess för uppgift som en myndig- het har fått från ett utländskt organ på grund av en bindande EU- rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller med en mellanfolklig organisation, om det
5Komm2025/00388-10.
238
SOU 2025:112 | Behovet av åtgärder |
kan antas att Sveriges möjlighet att delta i det internationella sam- arbete som avses i rättsakten eller avtalet försämras om uppgiften röjs.
Som nämns ovan innehåller inte budgetförordningen någon be- stämmelse om sekretess för uppgifter i Arachne. Arachne-stadgan innehåller villkor för användningen. Arachne-stadgan kan dock inte anses vara en bindande EU-rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller med en mellanfolk- lig organisation.
Ett användande av Arachne är enligt gällande reglering inte heller nödvändigt och någon skyldighet att använda systemet följer inte heller i nuläget av någon sådan rättsakt eller sådant avtal som avses i 15 kap. 1 a § OSL.
Det kan dock noteras att det enligt ordalydelsen av 15 kap. 1 a § OSL inte krävs att någon sekretessreglering finns i en sådan rättsakt eller ett sådant avtal. Det räcker att en myndighet har fått uppgiften från ett utländskt organ på grund av en bindande EU-rätts- akt. Med uttrycket ”bindande EU-rättsakt” avses förordningar, direk- tiv och beslut (prop. 2012/13:192 s. 31). Det skulle möjligen kunna argumenteras för att – för det fall en svensk myndighet väljer att an- vända Arachne – myndigheten anses ha fått uppgiften från ett ut- ländskt organ, nämligen kommissionen som tillhandahåller systemet, och att det sker på grund av en bindande EU-rättsakt, nämligen bud- getförordningen. Möjligheten att använda Arachne är reglerad i arti- kel 36.2 d i budgetförordningen och därmed kan det möjligen sägas att tillgängliggörandet av uppgifterna i systemet sker på grund av budgetförordningen. Som nämns krävs det inte heller enligt orda- lydelsen någon uttrycklig sekretessbestämmelse i rättsakten eller avtalet. För att sekretess ska gälla räcker det med att det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs. Det kan sägas att det i budgetförordningen förutsätts ett internationellt sam- arbete mellan medlemsländerna och kommissionen när det gäller att tillgängliggöra och använda sig av uppgifter. När det gäller bedöm- ningen av om Sveriges möjlighet att delta i samarbetet skulle försäm- ras bör man enligt utredningens mening kunna beakta innehållet i Arachne-stadgan. Även om den inte i sig är bindande får det antas att kommissionen, liksom medlemsländer som använder systemet, förväntar sig att det som står där tillämpas lojalt av de länder och myndigheter som väljer att använda systemet. I samarbetet mellan
239
Behovet av åtgärder | SOU 2025:112 |
länderna och i förhållande till EU:s institutioner är det viktigt att förtroendet mellan aktörerna värnas. Informationsutbyte mellan aktörerna är centralt i många avseenden och det kan riskera att för- svåras om aktörerna inte har förtroende för att samtliga inblandade avser att behandla uppgifter som härrör från andra medlemsländer eller från kommissionen med tillbörlig aktsamhet. Av Arachne-stad- gan framgår också att kommissionen har rätt att dra tillbaka tillgången för programmyndigheter till Arachne om användarvillkoren inte följs (punkt 13).
Enligt utredningen kan det därmed argumenteras för att i vart fall gjorda riskvärderingar i Arachne ska vara belagda med sekretess och att detta följer av 15 kap. 1 a § OSL. Det bör enligt utredningens mening vara möjligt att sekretessbelägga även andra uppgifter som en svensk myndighet får tillgång till genom ett användande av Arachne, under förutsättning att det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten eller avtalet för- sämras om uppgiften röjs.
Det är dock också möjligt att göra en annan bedömning i denna fråga. Det kan argumenteras för att en myndighets tillgång till upp- gifterna vid ett frivilligt användande av Arachne inte kan sägas ske ”på grund av” en bindande EU-rättsakt. Möjligen är kopplingen mellan den tillgången och budgetförordningen för svag. I förarbe- tena till bestämmelsen framgår att det förutsätts att uppgiftsinne- havet är ”en direkt följd” av en bindande EU-rättsakt eller avtal (prop. 2012/13:192 s. 30). Vidare anges i förarbetena att – även om det inte utesluts av dess ordalydelse – bestämmelsen normalt inte aktualiseras i situationer då avtalet eller EU-rättsakten inte innehåller någon tydlig sekretessbestämmelse. I sådana fall bör det främst vara uppgiftens art och anknytning till det internationella samarbetet som medför att skaderekvisitet anses uppfyllt. Enligt förarbetena ligger det då närmare till hands att tillämpa bestämmelsen om utrikessekretess i 15 kap. 1 § OSL (prop. 2012/13:192 s. 35). Som anförs ovan finns det tveksamheter när det gäller i vilken utsträckning som den bestäm- melsen kan användas för att sekretessbelägga uppgifter i Arachne.
Det är alltså inte säkert att några uppgifter – inte ens gjorda risk- värderingar – kan sekretessbeläggas enligt 15 kap. 1 a § OSL. Under alla förhållanden måste det göras en bedömning i det enskilda fallet om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten försämras om uppgiften röjs.
240
SOU 2025:112 | Behovet av åtgärder |
Det kan här nämnas att bedömningen skulle bli annorlunda om ett användande av Arachne skulle bli obligatoriskt i framtiden. Det ligger då närmare till hands att bedöma 15 kap. 1 a § OSL som till- lämplig. Det bör nämligen då kunna argumenteras för att den svenska myndigheten har fått uppgifterna från ett utländskt organ på grund av en bindande EU-rättsakt. För att sekretess ska gälla krävs då en bedömning i det enskilda fallet om det kan antas att Sveriges möj- lighet att delta i det internationella samarbete som avses i rättsakten försämras om uppgiften röjs.
Utrikessekretess vid direktåtkomst – 15 kap. 1 b § OSL
Det gäller absolut sekretess för uppgift som en myndighet har elek- tronisk tillgång till i en upptagning för automatiserad behandling hos en annan stat eller mellanfolklig organisation, om myndigheten inte får behandla uppgiften enligt en bindande EU-rättsakt eller ett av Sverige eller EU ingånget avtal med en annan stat eller mellanfolk- lig organisation. Det följer av 15 kap. 1 b § OSL.
Bestämmelsen är föranledd av att uppgifter i utländska databaser som en svensk myndighet har direktåtkomst till som utgångspunkt utgör allmänna handlingar hos myndigheten, om uppgifterna ingår i en så kallad färdig elektronisk handling eller om de kan samman- ställas med rutinbetonade åtgärder och utan användning av förbjudna sökbegrepp. I förarbetena anges att syftet med bestämmelsen är att en myndighet inte i strid med ändamålsbegränsningar eller villkorade sökbegränsningar ska behöva söka fram uppgifter som inte omfattas av överenskommelsen om informationsutbyte endast för att kunna avgöra sekretessfrågan om uppgifterna begärs ut. För sådana upp- gifter som myndigheten får behandla enligt överenskommelsen om informationsutbyte är bestämmelsen inte tillämplig och innebär så- ledes inte någon begränsning av rätten att ta del av allmänna hand- lingar (prop. 2011/12:157 s. 17).
Som utvecklas i avsnitt 8.5.2 talar mycket för att svenska myn- digheter får anses ha direktåtkomst i vart fall till vissa uppgifter i Arachne, även om den bedömningen är förenad med viss osäkerhet.
För att 15 kap. 1 b § OSL ska vara tillämplig på uppgifter i Arachne krävs att det bedöms finnas ändamålsbegränsningar, sökbegräns-
241
Behovet av åtgärder | SOU 2025:112 |
ningar eller liknande i en bindande EU-rättsakt eller ett av Sverige eller EU ingånget avtal.
I Arachne-stadgan sägs att resultaten av riskvärderingar inte ska offentliggöras (should not be published) och att de inte ska användas för personliga intressen eller några andra syften (not be used for per- sonal interests or any other purposes, se vidare Arachne-stadgan punkterna 3 och 6.2 samt avsnitt 8.5.3). Det kan diskuteras om detta kan anses innebära en sådan begränsning. Dessutom kan det ifråga- sättas om stadgan utgör en sådan rättsakt eller ett sådant avtal.
Budgetförordningen är en bindande rättsakt. Det följer vissa be- gränsningar av artikel 36.7 där det framgår att åtkomsten till uppgif- ter i Arachne ska överensstämma med tillämpliga dataskyddsregler och begränsas till unionsinstitutioner och organ som genomför bud- geten. Det ligger enligt utredningen nära till hands att betrakta dessa som åtkomstbegränsningar enligt 15 kap. 1 b § OSL. Utredningen uppfattar det så att avsikten är att förvaltande myndigheter endast ska ha tillgång till uppgifter som de faktiskt har användning för i sin verksamhet. Detta tar sig bland annat uttryck i att myndigheterna endast ska ha tillgång till uppgifter avseende de projekt som myn- digheten hanterar. I kommande versioner av Arachne är också – som utredningen har uppfattat det – avsikten att myndigheterna endast ska få tillgång till uppgifter i databasen Orbis som rör personer och företag som är relevanta för dessa projekt. Avsikten synes vara att den närmare fördelningen av behörighet ska skötas av en nationell admi- nistratör. Även om detta inte i detalj uttryckligen framgår av budget- förordningen kan det enligt utredningen ändå sägas ha sin grund där. Det kan sägas följa av budgetförordningen att det ska finnas vissa användarbegränsningar, även om den närmare fördelningen och ut- formningen av dessa bestäms på annat sätt. Det framgår bland annat av artikel 36.7 andra stycket, enligt vilket åtkomsten till uppgifter i Arachne ska överensstämma med tillämpliga dataskyddsregler, respek- tera principerna om nödvändighet och proportionalitet och begrän- sas till aktörer som på olika sätt har roller när det gäller att genom- föra budgeten.
Denna bedömning får dock anses vara förenad med viss osäker- het, eftersom de exakta användarbegränsningarna inte uttryckligen fastställs i någon bindande EU-rättsakt eller något ingånget avtal.
Det är något oklart för utredningen om den tekniska utform- ningen av Arachne kommer att innebära att svenska myndigheter
242
SOU 2025:112 | Behovet av åtgärder |
kommer att kunna få tillgång till fler uppgifter än de har rätt att be- handla. Om svenska myndigheter genom Arachne får faktisk till- gång till fler uppgifter än vad de på grund av användarbegränsningar får behandla skulle 15 kap. 1 b § OSL möjligen kunna tillämpas på de uppgifter som omfattas av nämnda åtkomstbegränsningar.
Försvarssekretess – 15 kap. 2 § OSL
Bland de uppgifter som medlemsländerna från och med 2028 ska tillgängliggöra enligt 36.6 i budgetförordningen finns en beskriv- ning av åtgärdens art och ändamål (se artikel 38.2 e läst tillsammans med artikel 36.6 första stycket b). Som utvecklas i avsnitt 8.2.3 kan det inte uteslutas att det i förhållandena bakom ett stödprojekt kan finnas information som omfattas av försvarssekretess enligt 15 kap. 2 § OSL. Enligt den bestämmelsen gäller sekretess för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs.
Utredningen bedömer att i allmänhet bör åtgärdens art och ända- mål kunna beskrivas på ett sådant sätt att skyddsvärd information inte röjs. Det framstår mot den bakgrunden inte som sannolikt att det i Arachne kommer att finnas uppgifter som omfattas av bestäm- melsen. Skulle sådana uppgifter ändå finnas i Arachne kan de sekre- tessbeläggas enligt 15 kap. 2 § OSL, om skaderekvisitet anses vara uppfyllt i det enskilda fallet.
Förberedelser för inspektion, revision eller annan granskning – 17 kap. 1 § OSL
Uppgifter som svenska myndigheter får tillgång till genom Arachne, bland annat gjorda riskvärderingar, kan vara av intresse för och vara en del av myndighetens planläggning eller andra förberedelser för inspektioner, revisioner eller annan granskning. Om så är fallet och om syftet med granskningsverksamheten motverkas om uppgiften röjs kan uppgiften beläggas med sekretess enligt 17 kap. 1 § OSL.
Utredningen gör bedömningen att 17 kap. 1 § OSL kan få bety- delse för vissa uppgifter som myndigheter tar del av genom Arachne
243
Behovet av åtgärder | SOU 2025:112 |
som ett led i förberedelser för granskningar. En betydande del av det arbete som myndigheterna ska göra inom ramen för sådan kontroll och revision som är en del av genomförandet av EU:s budget bör kunna rymmas inom begreppet granskning enligt bestämmelsen. Vidare bör flera av de typer av uppgifter som därvid kan komma i fråga kunna omfattas av bestämmelsen.
Det framstår dock som tveksamt om bestämmelsen kan användas för att sekretessbelägga samtliga gjorda riskvärderingar som en myn- dighet har tillgång till genom Arachne. Som utvecklas i avsnitt 5.4.2 sparas samtliga historiska riskvärderingar för projekt i Arachne. Det kan ifrågasättas om sådana historiska uppgifter kan anses avse plan- läggning eller andra förberedelser för granskningar. (Jfr Kammar- rätten i Stockholms dom den 24 maj 2000 i mål nr 2303-2000, där kammarrätten fann att paragrafen – dåvarande 4 kap. 1 § sekretess- lagen – inte kunde tillämpas generellt på allt material i ett gransk- ningsärende utan endast på uppgifter som angick förberedelser inför en förestående granskning.) Utredningens bedömning är ändå att paragrafen bör kunna användas i vissa fall för att sekretessbelägga uppgifter i Arachne, inklusive gjorda riskvärderingar, i vart fall när uppgifterna mer konkret tar sikte på planläggning eller förberedelser för granskning. Det bör noteras att detta gäller gjorda riskvärderingar och inte riskvärderingar som inte har gjorts men skulle kunna göras.
Dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga utbetalningar – 17 kap. 1 b § OSL
En fråga är om 17 kap. 1 b § OSL skulle kunna användas för att sek- retessbelägga uppgifter som en myndighet får tillgång till genom Arachne, till exempel gjorda riskvärderingar. Enligt bestämmelsen gäller sekretess för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga utbetalningar, om det kan antas att det all- männas syfte med verksamheten motverkas om uppgiften röjs. Para- grafen tillkom i samband med framtagandet av rättslig reglering för den nya Utbetalningsmyndighetens verksamhet. Bestämmelsen om- fattar exempelvis uppgifter om vilka riskfaktorer som en myndighet har tagit fram för att identifiera misstänkt felaktiga utbetalningar, men även uppgifter om hur dataanalyser eller urvalsmodeller har ut- formats eller utvecklats kan sekretessbeläggas med stöd av bestäm-
244
SOU 2025:112 | Behovet av åtgärder |
melsen (prop. 2022/23:34 s. 215). Sekretessen gäller för dessa upp- gifter oavsett i vilken verksamhet som de förekommer.
Utredningen bedömer att det här kan vara fråga om felaktiga utbe- talningar i den mening som avses i bestämmelsen. Det kan också här påminnas om den sekretessbrytande bestämmelse, 10 kap. 15 a § OSL, som ska träda i kraft den 1 december 2025 (se avsnitt 7.1.2). Den avser också felaktiga utbetalningar. I propositionen anges att bestäm- melsen avser att motverka alla typer av felaktiga utbetalningar, och den tar alltså inte enbart sikte på felaktiga utbetalningar från välfärds- systemen utan också på utbetalningar som till exempel avser stöd till företag, civilsamhällesorganisationer och andra juridiska personer (prop. 2024/25:180 s. 28).
Det bör enligt utredningens mening kunna finnas utrymme för svenska myndigheter att tillämpa 17 kap. 1 b § OSL vid en använd- ning av Arachne i vissa fall. Det bör till exempel finnas utrymme att sekretessbelägga uppgifter i Arachne, såsom gjorda riskvärderingar
– trots att riskfaktorerna inte tagits fram av en svensk myndighet – med stöd av bestämmelsen. I vilken utsträckning detta kan ske får dock betraktas som något osäkert.
Enligt utredningen bör flera av de uppgifter som ingår i Arachne kunna anses avse metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval för att upptäcka felaktiga utbetalningar.
Det får dock bedömas som oklart i vilken utsträckning bestämmel- sen kan tillämpas på exempelvis gjorda riskvärderingar och andra mer konkreta uppgifter som hänför sig till kontroller eller gransk- ningar. Det bör dock enligt utredningen inte uteslutas att bestämmel- sen kan tillämpas också på gjorda riskvärderingar, i vart fall i vissa situationer.
Det framgår inte direkt av 17 kap. 1 b § OSL hur länge sekretessen gäller. Det anses dock följa av skaderekvisitet – att sekretess gäller endast om det kan antas att det allmännas syfte med verksamheten motverkas om uppgiften röjs – att sekretessen gäller endast så länge som uppgiften används i verksamheten. När uppgifterna inte längre används upphör sekretessen (se prop. 2022/23:34 s. 216). När det gäller uppgifter i Arachne, bland annat gjorda riskvärderingar, är det inte helt enkelt att ange tiden under vilken de används. Arachne är ett datautvinnings- och riskvärderingsverktyg som kopplar ihop data från medlemsstaterna om projekt och kontrakt med uppgifter i kom- mersiella databaser. Det görs automatiskt löpande riskvärderingar av
245
Behovet av åtgärder | SOU 2025:112 |
pågående projekt, vilka sparas i Arachne och kan tas fram för senare efterhandskontroller (se avsnitt 5.4.2). Det framgår av artikel 36.7 i budgetförordningen att uppgifterna i Arachne endast ska lagras under den period som är nödvändig och proportionell för att uppfylla det syfte som fastställs i punkt 2 d, det vill säga att motverka oriktigheter. Den längsta möjliga lagringsperioden får inte överstiga tio år från och med den sista ansökan om utbetalning som lämnats in till kom- missionen för den perioden. Enligt utredningens mening ligger det nära till hands att anse att uppgifterna kan sägas användas i den men- ingen att sekretess enligt 17 kap. 1 b § kan föreligga, om övriga krite- rier är uppfyllda, under hela den tid som uppgifterna lagras i Arachne.
Vidare bör det kunna argumenteras för att syftet med gransknings- verksamheten i stort skulle motverkas om vissa sådana riskvärderingar skulle röjas, eftersom det skulle kunna ge aktörer inblick i hur sådana riskvärderingar och urval görs. Det får också antas att svenska myn- digheter som använder Arachne inte kommer att få tillgång till allt innehåll i Arachne, utan endast sådant som har betydelse för att mot- verka felaktigheter rörande de projekt som de hanterar. Som utred- ningen uppfattat det kommer från och med 2028 inte heller databa- sen Orbis att vara sökbar beträffande personer och företag som saknar koppling till sådana projekt. Vad gäller databasen World Compliance är det redan i dag så att det inte är möjligt att söka på individer och att information om förekomst på de listor som ingår i databasen en- dast erhålls rörande individer och företag som förekommer i sådana projekt, via riskvärderingar. Detta talar med styrka för att de uppgif- ter som svenska myndigheter kommer att ha tillgång till genom Arachne huvudsakligen är sådana som kan sägas användas i arbetet med att förebygga, förhindra och upptäcka felaktiga utbetalningar.
Det skyddsintresse som skaderekvisitet avser tar sikte på det all- männas syfte med verksamheten. Frågan kan ställas om detta täcker de syften som ligger bakom budgetförordningen. Enligt utredningen bör den frågan besvaras jakande. När svenska myndigheter hanterar EU-stöd sker det i allmänhet inom ramen för delad förvaltning (och ibland genom direkt förvaltning tillsammans med medlemsstaterna). Sverige har då ett ansvar som medlemsland att säkerställa att felak- tiga utbetalningar motverkas. Att använda Arachne som ett verktyg i den verksamheten bidrar till att svenska myndigheter kan uppfylla det ansvaret. Om ett röjande av uppgifter försvårar ett effektivt an-
246
SOU 2025:112 | Behovet av åtgärder |
vändande av Arachne bör det anses motverka svenska myndigheters och därmed det allmännas syfte med verksamheten.
Det är som framkommit dock inte säkert att bestämmelsen kan användas i samtliga situationer för att sekretessbelägga gjorda risk- värderingar. Som nämns är det oklart om sådana uppgifter över huvud taget kan anses utgöra metoder, modeller och riskfaktorer på det sätt som krävs enligt bestämmelsen. Även om så skulle vara fallet är det inte säkert att en prövning av bestämmelsens skaderekvisit skulle leda till att uppgifterna kan sekretessbeläggas i samtliga fall. Bestäm- melsen är utformad med ett rakt skaderekvisit vilket innebär att det föreligger en presumtion för offentlighet. Vidare framgår i förarbe- tena att behovet av att sekretessbelägga en riskfaktor kan minska om det blir känt att en viss faktor uppfattas som en riskfaktor. Där anges att kända riskfaktorer, som därför antagligen inte behöver sekretess- beläggas, skulle exempelvis kunna vara att företrädaren för ett assi- stansbolag har stora skulder, saknar branschkunskap eller tidigare har varit involverad i bolag som har försatts i konkurs. Exakt vilka riskfaktorer som kan komma att sekretessbeläggas måste vara upp till respektive myndighet att bedöma. Det bör också kunna ändras över tid, eftersom nya riskfaktorer tillkommer (prop. 2022/23:34 s. 81 och 82).
Sammanfattningsvis bedömer utredningen att 17 kap. 1 b § OSL i viss utsträckning bör kunna användas för att sekretessbelägga upp- gifter i Arachne, bland annat gjorda riskvärderingar. Det får dock betraktas som oklart i vilken utsträckning detta kommer att vara möjligt.
Sammanfattande slutsatser
Utredningen bedömer att de uppgifter beträffande vilka det kan finnas behov av sekretesskydd för det allmännas intresse i betydande grad kommer att kunna beläggas med sekretess enligt gällande sekretess- bestämmelser. Det kan dock inte uteslutas att uppgifter i Arachne, inklusive gjorda riskvärderingar, i vissa fall inte kan sekretessbeläggas med stöd av gällande sekretessreglering i 15 kap. OSL – till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellan- folkliga organisationer – samt i 17 kap. – till skydd främst för myn- digheters verksamhet för inspektion, kontroll eller annan tillsyn.
247
Behovet av åtgärder | SOU 2025:112 |
8.5.5Vilket skydd ger gällande sekretessreglering för enskildas personliga och ekonomiska förhållanden?
Utredningens bedömning: De behov som utredningen har iden- tifierat när det gäller sekretess till skydd för enskildas personliga och ekonomiska intressen kan tillgodoses genom gällande sekre- tessbestämmelser.
Uppgifter om enskildas affärs- eller driftförhållanden vid till- syn, stödverksamhet och liknande har ett tillräckligt skydd genom 30 kap. 23 § OSL.
Skyddet för förföljda personer har ett tillräckligt skydd genom
21 kap. 3 § OSL. Därtill ger 21 kap. 7 § OSL ett skydd i de fall det kan antas att en uppgift efter ett utlämnande kommer att be- handlas i strid med dataskyddsregelverket.
Skälen för utredningens bedömning
Inledning
Genom Arachne kommer svenska myndigheter att få tillgång till en stor mängd uppgifter om enskildas personliga och ekonomiska för- hållanden. Det kommer att finnas sådana uppgifter i underlag från medlemsländerna och från kommissionen samt från databaserna Orbis och World Compliance. Det kan handla om normalt sett harmlösa uppgifter som namn och kontaktuppgifter. Även om uppgifterna var för sig framstår som mindre integritetskänsliga kan de dock tillsam- mans ge en myndighet tillgång till en mer omfattande bild av den en- skildes personliga och ekonomiska förhållanden. För personer som är förföljda kan givetvis även uppgifter om adress och liknande vara problematiska om de får spridning.
Genom databasen World Compliance kan myndigheter också få tillgång till information av känslig karaktär, såsom uppgifter om att en individ eller ett företag har begått vissa regelöverträdelser eller fått vissa sanktioner. Uppgifterna kan avse överträdelser som har fast- ställts av domstol men också exempelvis medieuppgifter om miss- tankar om oegentligheter, som senare visar sig vara grundlösa. Det kan också handla om uppgifter om affärs- eller driftförhållanden, såsom upphandlingsunderlag, avtal och affärshemligheter.
248
SOU 2025:112 | Behovet av åtgärder |
Som utvecklas i avsnitt 5.4.2 gör utredningen bedömningen att uppgifter i databaserna, såsom World Compliance, är en del av den information som kan anses ingå i en riskvärdering. Det är dock inte möjligt för en användare att söka direkt på enskilda personer eller företag i World Compliance.
Uppgift om enskilds affärs- eller driftförhållanden vid tillsyn, stödverksamhet och liknande – 30 kap. 23 § OSL
Det kan finnas behov av att hemlighålla uppgifter om affärs- eller driftförhållanden. Som nämns kan det inte uteslutas att uppgifter om affärs- eller driftförhållanden kan ingå bland de uppgifter som svenska myndigheter får tillgång till genom Arachne. Det kan handla exempelvis om upphandlingsunderlag, avtal, affärshemligheter och uppgifter om total projektkostnad.
I dessa fall kan 30 kap. 23 § OSL vara tillämplig. Med stöd av be- stämmelsen kan sekretess gälla för uppgift om en enskilds affärs- eller driftförhållanden, uppfinningar eller forskningsresultat, om det kan antas att den enskilde lider skada om uppgiften röjs, och för uppgift om andra ekonomiska eller personliga förhållanden för den som har trätt i affärsförbindelse eller liknande förbindelse med den som är föremål för myndighetens verksamhet.
Som utvecklas i avsnitt 7.1.7 krävs det, för att sekretess ska gälla enligt 30 kap. 23 § OSL, att regeringen har meddelat föreskrifter om det, vilket skett inom aktuellt område. Relevanta bestämmelser finns i 9 § offentlighets- och sekretessförordningen (2009:641), OSF, som i sin tur hänvisar till förordningens bilaga där det närmare anges i vilka fall sådan sekretess gäller. EU-förordningarna på området gäller ofta endast för en viss programperiod. Om det utfärdas nya förord- ningar som reglerar stödformerna för den kommande programperio- den får det antas att bilagan till offentlighets- och sekretessförord- ningen ändras så att dessa inkluderas.
De verksamheter som avses i 30 kap. 23 § OSL beskrivs som ut- redning, planering, prisreglering, tillståndsgivning, tillsyn eller stöd- verksamhet. Ordet tillsyn ska inte ges en alltför snäv tolkning utan får anses omfatta alla de fall där en myndighet har en övervakande eller styrande funktion i förhållande till näringslivet. Med stödverk- samhet avses bland annat sådan verksamhet som åsyftas i de olika stödförfattningarna på jordbruksområdet (Lenberg m.fl., Offentlig-
249
Behovet av åtgärder | SOU 2025:112 |
hets- och sekretesslagen, Norstedts Juridik, JUNO Version 31, Pub- licerad digitalt den 17 juni 2025, kommentaren till 30 kap. 23 § OSL). Dessa verksamheter bör enligt utredningens mening fånga in myn- digheternas arbete med att motverka felaktigheter i de projekt som omfattas av denna utredning.
Verksamheten ska vidare avse näringslivet, vilket beskrivs som produktion, handel, transportverksamhet eller näringslivet i övrigt. Många av de stöd som behandlas i detta betänkande tar sikte på när- ingslivet. I vissa fall kan det dock vara mera tveksamt om en sådan koppling till näringslivet finns som gör att bestämmelsen är tillämp- lig. I de fallen bör det inte heller finnas något behov av sekretess, till exempel därför att mottagaren av stöd är en myndighet.
Mot denna bakgrund bedömer utredningen att det kommer att finnas ett betydande skydd för uppgifter om enskilds affärs- eller driftförhållanden vid kontroller som utförs beträffande de stödfor- mer som är aktuella i detta betänkande.
Sekretess till skydd för förföljda personer
Som utvecklas i avsnitt 8.2.3 följer det inte av krav i artikel 36.6 i bud- getförordningen att medlemsstaterna eller deras myndigheter behö- ver tillgängliggöra adress till fysiska personer. Det synes inte heller finnas någon möjlighet att frivilligt lämna adressuppgifter i användar- gränssnittet för Arachne beträffande vissa fonder (se avsnitt 8.3.2). Sådana uppgifter kan dock bli tillgängliga för svenska myndigheter i vart fall genom databaserna Orbis och World Compliance.
Enligt 21 kap. 3 § första stycket OSL gäller sekretess för uppgift om enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadigvarande eller till- fälligt, den enskildes telefonnummer, e-postadress eller annan jäm- förbar uppgift som kan användas för att komma i kontakt med denne. Skaderekvisitet innebär att det krävs att det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om upp- giften röjs. Utredningen anser att 21 kap. 3 § första stycket OSL inne- bär ett tillräckligt skydd för förföljda personer för uppgifter om adress och liknande.
250
SOU 2025:112 | Behovet av åtgärder |
Behandling i strid med dataskyddsregleringen
Sekretess enligt 21 kap. 7 § skulle kunna aktualiseras om det kan antas att uppgifter i Arachne efter ett utlämnande kommer att behandlas i strid med dataskyddsregelverket. Bestämmelsen innebär att även om en uppgift inte omfattas av sekretess enligt någon annan bestäm- melse i offentlighets- och sekretesslagen, omfattas den av sekretess om det kan antas att den efter ett utlämnande kommer att behand- las i strid med till exempel dataskyddsförordningen eller dataskydds- lagen. Som framgår av avsnitt 7.1.7 tar bedömningen som ska göras inte sikte på om myndighetens eget utlämnande av uppgifter skulle strida mot dataskyddsregleringen, utan det är den efterföljande be- handlingen som ska bedömas.
Om det kan antas att de krav som gäller för att personuppgifter i Arachne ska få behandlas inte följs efter att personuppgiften läm- nats ut, till exempel avseende för vilka ändamål som uppgifterna får behandlas, omfattas uppgiften av sekretess och ska inte lämnas ut.
Om det blir aktuellt med en begäran att lämna ut en gjord riskvärder- ing, skulle en sådan begäran eventuellt kunna nekas efter en sådan prövning. Denna bestämmelse skulle således enligt utredningen kunna aktualiseras i vissa fall.
Utredningens överväganden om behov av åtgärder på dataskydds- området för ett användande av Arachne behandlas i avsnitt 8.5.8.
Sammanfattande överväganden och slutsatser
De behov som utredningen har identifierat när det gäller sekretess till skydd för enskildas personliga och ekonomiska intressen bedöms kunna uppfyllas genom gällande sekretessbestämmelser. Uppgifter om enskildas affärs- eller driftförhållanden vid tillsyn, stödverksam- het och liknande bedöms ha ett tillräckligt skydd genom 30 kap. 23 § OSL. Skyddet för förföljda personer bedöms ha ett tillräckligt skydd genom 21 kap. 3 § OSL. Därtill ger 21 kap. 7 § OSL ett skydd i de fall det kan antas att en uppgift efter ett utlämnande kommer att behandlas i strid med dataskyddsregelverket.
251
Behovet av åtgärder | SOU 2025:112 |
8.5.6Det kan finnas skäl för ny sekretessreglering
Utredningens bedömning: Gällande sekretessreglering ger ett betydande skydd när det gäller uppgifter som finns i Arachne. Om ett mer omfattande skydd är önskvärt, kan det finnas skäl för en ny sekretessreglering, både för att samarbetet inom EU inte ska försämras och för att svenska myndigheters arbete med kontroller och granskning inte ska motverkas.
Skälen för utredningens bedömning
Inledning
Som framkommer av föregående avsnitt bedömer utredningen be- hovet av sekretesskydd för uppgifter i Arachne som utgångspunkt vara begränsat, bland annat eftersom det huvudsakligen rör sig om offentliga uppgifter och det i vissa fall är tveksamt om uppgifterna ens utgör allmänna handlingar.
Trots detta kan det finnas behov av sekretesskydd för vissa upp- gifter i Arachne, vilket också utvecklas ovan. De behov som utred- ningen har identifierat när det gäller sekretess till skydd för enskil- das personliga och ekonomiska intressen bedöms kunna tillgodoses genom gällande sekretessbestämmelser. Även när det gäller sekretess till skydd för det allmännas intressen bedöms gällande sekretessre- glering ge ett betydande skydd. Det kan dock inte uteslutas att upp- gifter i Arachne, inklusive gjorda riskvärderingar, i vissa fall inte kan sekretessbeläggas med stöd av ovan nämnda bestämmelser i 15 kap. OSL – till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer – samt i 17 kap. – till skydd främst för myndigheters verksamhet för inspektion, kontroll eller annan tillsyn.
En intresseavvägning mellan sekretessintresset och det motstå- ende insynsintresset görs nedan. Dessförinnan behandlas möjlig- heten att även ytterligare sekretessbestämmelser kan komma att aktualiseras, att sekretessen ibland kan ge vika till förmån för parts- insyn samt att det finns en viss osäkerhet om vilka uppgifter som kan komma att finnas i Arachne och därmed vilka behov av sekretess som kan uppstå i framtiden.
252
SOU 2025:112 | Behovet av åtgärder |
Ytterligare sekretessbestämmelser kan komma att aktualiseras
Det är svårt att helt överblicka vilka uppgifter som svenska myndig- heter kan få tillgång till genom Arachne. Det kan därför inte ute- slutas att ytterligare sekretessbestämmelser än de som utredningen behandlar i det föregående kan komma att bli tillämpliga. För det fall uppgifter i Arachne används under pågående granskning skulle uppgifterna eventuellt kunna omfattas av sekretess enligt 17 kap.
2 § OSL. Vidare kan uppgifter som härrör från Arachne komma att lämnas från en förvaltande myndighet till en annan myndighet. Upp- gifterna kan då komma att användas i ett annat syfte än de som kom- mer till uttryck i budgetförordningen. (Givetvis behöver myndig- heterna i detta skede beakta dataskyddsregleringens krav, inte minst finalitetsprincipen, se vidare avsnitt 8.5.8.) Hos en mottagande myn- dighet kan ytterligare sekretessbestämmelser vara tillämpliga. Det får anses ligga utanför utredningens uppdrag att uttömmande redo- göra för de olika situationer och sekretessbestämmelser som då kan vara aktuella. Följande exempel kan dock nämnas. För det fall upp- gifter lämnas av en förvaltande myndighet för att användas i den brottsbekämpande verksamheten vid Polismyndigheten eller Eko- brottsmyndigheten skulle uppgifterna då, beroende på omständig- heterna, kunna komma att omfattas av förundersökningssekretess enligt 18 kap. 1 § OSL.
Bestämmelser om partsinsyn kan innebära att sekretessen bryts
Vid bedömningen av om gällande sekretessbestämmelser är tillräck- liga bör man också beakta att bestämmelserna om partsinsyn ibland innebär att uppgifter ska lämnas ut till vissa personer trots sekretess. I 10 § förvaltningslagen anges i fråga om partsinsyn att den som är part i ett ärende har rätt att ta del av allt material som har tillförts ärendet. Bestämmelsen i förvaltningslagen innehåller också en hän- visning till offentlighets- och sekretesslagen. Det är nämligen så, att även om uppgifter skyddas av sekretess – exempelvis det skydd som uppgifter i stödärenden åtnjuter enligt 30 kap. 23 § OSL som behand- las ovan – har en part i ärendet omfattande rätt till insyn i ärendet. 10 kap. 3 § OSL innehåller en sekretessbrytande bestämmelse som innebär att sekretess inte hindrar att en enskild eller en myndighet som är part i ett mål eller ärende hos domstol eller annan myndig-
253
Behovet av åtgärder | SOU 2025:112 |
het och som på grund av sin partsställning har rätt till insyn i hand- läggningen, tar del av en handling eller annat material i målet eller ärendet. För att partens möjlighet till insyn enligt paragrafen ska gälla ska det vara fråga om uppgifter i målet eller ärendet. Allmän bakgrundsinformation som en myndighet har tillgång till och som inte har särskild relevans i målet eller ärendet omfattas däremot inte. Detta innebär att bestämmelserna om partsinsyn inte ger rätt att ta del av samtliga uppgifter i Arachne utan endast sådant som har till- förts ett ärende där en person är part. Om en riskvärdering har till- förts ett ärende, till exempel i ett ärende om återkrav av ett utbetalat stöd, omfattas denna som utgångspunkt av rätten till partsinsyn (se nedan om att rätten inte är oinskränkt). Utredningen antar dock att det i regel inte finns skäl att tillföra gjorda riskvärderingar ärenden, då de inte utgör något bevis på att en oriktighet föreligger, utan endast ger indikationer på risker (se mer i avsnitt 3.4.3 och 5.2.2).
Den kategori av personer som av förvaltningslagen tillerkänns rätt till aktinsyn betecknas som part. Uttrycket part avser sökande, klagande och annan part. Med sökande avses den som hos en myn- dighet ansöker om en åtgärd som är reglerad i den offentligrättsliga lagstiftningen. En klagande är den som överklagar ett förvaltnings- beslut. Det kan vara en sökande som fått avslag på sin framställning eller någon som drabbats av ett ingripande och vill att beslutet ska upphävas eller ändras. Uttrycket annan part inbegriper bland annat den som är föremål för ett tillsynsärende och därmed intar ställning som så kallad förklarande part (Lenberg m.fl., Offentlighets- och sekretesslagen, Norstedts Juridik, JUNO Version 31, Publicerad digitalt den 17 juni 2025, kommentaren till 10 kap. 3 § OSL).
Partsinsynen i ärenden är inte oinskränkt. En sådan handling
eller ett sådant material får nämligen inte lämnas ut till parten i den utsträckning det av hänsyn till ett allmänt eller enskilt intresse är av synnerlig vikt att en sekretessbelagd uppgift i materialet inte röjs.
I sådana fall ska myndigheten på annat sätt lämna parten upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda (10 kap. 3 § OSL).
Den bedömning som utredningen gör ovan om det skydd som gällande sekretessregler ger ändras inte av det faktum att skyddet i vissa fall ger vika till förmån för partsinsynen. Denna intresseav- vägning har lagstiftaren redan gjort och det saknas anledning i detta
254
SOU 2025:112 | Behovet av åtgärder |
lagstiftningsärende att göra någon annan bedömning. Dessutom är partsinsynen inte oinskränkt.
En viss osäkerhet om vilka skyddsbehov som kan uppstå kvarstår
Det är svårt att helt överblicka vilka uppgifter som svenska myndig- heter kan få tillgång till genom Arachne. Sverige och svenska myn- digheter har inte någon kontroll över vilka uppgifter som tillförs Arachne från andra medlemsländer eller de databaser som är kopplade till systemet. Vidare är Arachne under utveckling vilket kan komma att förändra vilken tillgång till uppgifter som svenska myndigheter får på ett ännu oförutsebart sätt. Det kan inte uteslutas att det i Arachne kan komma att finnas uppgifter som har ett skyddsintresse vilka utredningen inte har identifierat.
Intresseavvägning
Som framgår ovan kan det finnas sekretessbehov som inte täcks av befintliga sekretessbestämmelser. Det följer av förarbetena till sekre- tessregleringen att en avvägning mellan sekretessintresset och insyns- intresset ska göras i sådana fall. Behovet av sekretess för en uppgift är oftast detsamma oavsett i vilket sammanhang uppgiften förekom- mer. Allmänintresset av insyn kan dock variera beroende på vilken verksamhet som det är fråga om. En avvägning mellan sekretess- respektive insynsintresset i fråga om en och samma uppgift kan därför utfalla olika hos olika myndigheter respektive i olika verksamheter hos en och samma myndighet (prop. 1979/80:2 Del A s. 75 och 76).
Rätten att ta del av allmänna handlingar är en medborgerlig rättig- het som utgör en viktig del av vårt demokratiska statsskick. Syftet med denna rätt är, så som det kommer till uttryck i 2 kap. 1 § TF, att främja ett fritt meningsutbyte och en fri och allsidig upplysning. Genom tillgången till allmänna handlingar underlättas en fri åsikts- bildning, en fri och på fakta grundad debatt i skilda samhällsfrågor liksom den medborgerliga kontrollen av den offentliga maktutöv- ningen.
De situationer som omfattas av detta betänkande rör på ett över- gripande plan svenska myndigheters hantering av EU-stöd. Det finns ett betydande insynsintresse när det gäller att kunna ta del av hand-
255
Behovet av åtgärder | SOU 2025:112 |
lingar för att säkerställa att myndigheternas hantering är korrekt. Detta insynsintresse måste dock vägas mot behovet av att sekretess- belägga uppgifter, bland annat i det allmännas intresse för att säker- ställa en effektiv granskning av ansökningar och utbetalade stöd.
Inledningsvis kan det konstateras att det finns en risk att det upp- står behov av sekretesskydd som inte har kunnat förutses, bland annat på grund av att det är oklart exakt vilka uppgifter som kommer att finnas i Arachne. Förhållandena kan också komma att ändras i framtiden eftersom Arachne är under utveckling. Dessa förhållan- den kan dock enligt utredningens mening inte åberopas för att införa ny sekretessreglering för uppgifter i Arachne, så att säga för säker- hets skull. För att det ska vara motiverat att göra undantag från det grundlagsskyddade insynsintresset bör det krävas mer konkreta risker för olägenheter om uppgifter röjs.
Enligt utredningen är det möjligt att argumentera för att gällande sekretessregler ska anses som tillräckliga. Gällande bestämmelser kommer i många situationer att kunna ge ett sekretesskydd för upp- gifter i Arachne, inklusive gjorda riskvärderingar. Det kan visser- ligen inte uteslutas att uppgifter i Arachne, inklusive gjorda riskvär- deringar, i vissa fall inte kommer att kunna sekretessbeläggas. Det beror delvis på intresseavvägningar som lagstiftaren redan har gjort mellan behovet av sekretess och insynsintresset, både när det gäller gällande sekretessbestämmelsers tillämpningsområde och valda skade- rekvisit. Exempelvis aktualiseras sekretess enligt 15 kap. 1 a § OSL enligt förarbetena normalt bara om det finns en tydlig sekretess- bestämmelse i en bindande EU-rättsakt (prop. 2012/13:192 s. 35), något som inte gäller för Arachne. Det är också tveksamt i vilken utsträckning gjorda riskvärderingar – om de ens omfattas av tillämp- ningsområdet för 17 kap. 1 b § OSL – kan beläggas med sekretess enligt bestämmelsen mot bakgrund av utformningen av dess skade- rekvisit. Det är dock alltså möjligt att argumentera för att en sådan ordning är i linje med de avvägningar som redan gjorts inom den svenska sekretessregleringen.
I sammanhanget kan det erinras om att Arachne-teamet vid kom- missionen har framfört ett önskemål om att uppgifter i Arachne inte ska spridas fritt6 och detta har vidare – beträffande gjorda riskvärder- ingar – kommit till uttryck i Arachne-stadgan. Utredningen konsta- terar dock att detta inte har kommit till uttryck i en tydlig sekretess-
6Komm2025/00388-10.
256
SOU 2025:112 | Behovet av åtgärder |
reglering i en bindande rättsakt. Det talar för att insynsintresset bör ha företräde. Det är enligt utredningens mening alltså ett fullt möj- ligt alternativ för regeringen att välja att inte gå vidare med något för- slag på en ny sekretessbestämmelse. Ställningstagandet berör delvis utrikespolitiska frågor om intresseavvägningen mellan den svenska offentlighetsprincipen och relationen med EU.
Det kan samtidigt argumenteras för att risken att uppgifter i Arachne i vissa fall inte kan sekretessbeläggas enligt gällande sekre- tessbestämmelser kan leda till att viktiga allmänna intressen inte får genomslag. Det skulle kunna innebära att möjligheterna för Sverige att delta i samarbetet med EU och övriga medlemsländer i genom- förandet av EU:s budget försämras. Det kan leda till att Sveriges möj- ligheter att uppfylla skyldigheterna enligt budgetförordningen mins- kar. En ökad möjlighet att sekretessbelägga uppgifter i Arachne skulle tydliggöra Sveriges ambition att delta i samarbetet med kom- missionen och övriga medlemsländer för att motverka felaktigheter i utbetalningen av EU-stöd. Detta talar för att en ny sekretessregler- ing införs.
Begränsade möjligheter att avstå från att lämna ut uppgifter som finns i Arachne, inklusive gjorda riskvärderingar, skulle också kunna innebära att syftet med den gransknings- och kontrollverksamhet som svenska myndigheter bedriver för att motverka felaktigheter med EU-stöd motverkas.
Enligt utredningens mening kan det mot denna bakgrund argu- menteras för att det finns skäl för en utökad möjlighet att sekretess- belägga uppgifter i Arachne, särskilt kopplat till riskvärderingsdelen av verktyget, både för att samarbetet inom EU inte ska försämras och för att myndigheternas arbete med kontroller och granskning inte ska motverkas. Ett sådant undantag från det grundlagsskyddade insynsintresset bör därmed anses som godtagbart. I det följande lämnas ett förslag på hur en ny sekretessbestämmelse skulle kunna utformas.
257
Behovet av åtgärder | SOU 2025:112 |
8.5.7Hur en ny sekretessreglering skulle kunna utformas
Utredningens förslag: Sekretess ska gälla för uppgift som härrör från en riskvärdering som har gjorts genom ett sådant system som avses i artikel 36.2 d i budgetförordningen, om det kan antas att syftet med den förvaltning, övervakning, kontroll och revision som ska ske i enlighet med budgetförordningen motverkas om uppgiften röjs.
Rätten att meddela och offentliggöra uppgifter ska ha företräde framför den tystnadsplikt som följer av den nya bestämmelsen.
Utredningens bedömning: I skaderekvisitet ingår vilken effekt ett offentliggörande av uppgiften skulle kunna antas få på sam- arbetet inom EU.
Det behövs inte någon ny sekretessbrytande bestämmelse.
Skälen för utredningens förslag och bedömning
En ny sekretessreglering har stöd i 2 kap. 2 § TF
En förutsättning för att kunna införa en ny reglering för skydd för uppgifter i Arachne är att det är möjligt med hänsyn till någon av de sekretessgrunder som räknas upp i 2 kap. 2 § TF. I paragrafen anges bland annat att rätten att få del av allmänna handlingar får begränsas om det krävs med hänsyn till rikets säkerhet eller dess förhållande till en annan stat eller en mellanfolklig organisation, myndigheters verksamhet för inspektion, kontroll eller annan tillsyn, intresset av att förebygga eller beivra brott, det allmännas ekonomiska intresse eller skyddet för enskildas personliga eller ekonomiska förhållanden.
Flera av de sekretessgrunder som anges i 2 kap. 2 § TF kan aktu- aliseras i nuvarande fall. När det gäller gjorda riskvärderingar finns det grund för hemlighållande med hänsyn till Sveriges förhållande till en annan stat eller en mellanfolklig organisation. Om uppgifterna röjs kan det motverka myndigheternas arbete med att motverka fel- aktigheter med EU-stöd. Uppgifterna bör därför också kunna hem- lighållas med hänsyn till myndigheters verksamhet för inspektion, kontroll eller annan tillsyn. Som utvecklas i avsnitt 5.4.2 kan upp- gifter om enskilda som finns i databaserna Orbis och World Com- pliance anses vara en del av den information som omfattas av en
258
SOU 2025:112 | Behovet av åtgärder |
riskvärdering. En bestämmelse som ger utökad möjlighet att sekre- tessbelägga sådana skulle alltså också kunna motiveras med hänsyn till behovet av skyddet för enskildas personliga eller ekonomiska förhållanden.
Räckvidd – i vilken verksamhet bör sekretess gälla?
En sekretessbestämmelses räckvidd bestäms i allmänhet genom att det i bestämmelsen anges att sekretessen för vissa typer av uppgif- ter bara gäller i viss typ av verksamhet eller hos en viss myndighet. I detta fall bör sekretessen ha en vid räckvidd. Den bör i vart fall motsvara budgetförordningens definition av budgetgenomförande (artikel 2.7). Sekretessbestämmelsen bör nämligen minst gälla i all verksamhet där svenska myndigheter deltar i genomförande av EU:s budget, såväl vid delad förvaltning som vid direkt förvaltning till- sammans med medlemsstaterna (den förvaltningsform som i dag gäller för RRF).
Ett alternativ är mot den bakgrunden att begränsa räckvidden på så sätt att sekretessen ska gälla i verksamhet som rör förvaltning, över- vakning, kontroll och revision som ska ske i enlighet med budget- förordningen. Insynsintresset talar för att inte låta räckvidden bli mer omfattande än vad som är nödvändigt.
Enligt utredningens mening är det dock lämpligare att sekretessen ska gälla hos alla myndigheter. Detta motsvarar regleringen i flera andra bestämmelser i 15 och 17 kap. OSL, exempelvis 15 kap. 1 och 2 §§ samt 17 kap. 1 a och 1 b §§ OSL. Det kan vara ändamålsenligt att myndigheter delar uppgifter mellan varandra för att mer effek- tivt motverka oriktigheter med allmänna medel. Om myndigheter delar uppgifter mellan varandra kommer bestämmelsen att vara en primär sekretessbestämmelse vid såväl den överlämnande som den mottagande myndigheten (jfr prop. 2022/23:34 s. 215).
Föremål – för vilka uppgifter ska sekretessen gälla?
Sekretessens föremål tar sikte på de uppgifter som kan hemlighållas med stöd av bestämmelsen. Enligt utredningen kan det övervägas två olika sätt att utforma en ny bestämmelse: ett vidare eller ett mer be- gränsat föremål. Ett vidare angreppssätt skulle kunna ta sikte på alla
259
Behovet av åtgärder | SOU 2025:112 |
uppgifter som härrör från Arachne. Det skulle omfatta både uppgif- ter som en svensk myndighet tar del av när Arachne används som ett riskvärderingsverktyg och uppgifter som erhålls när systemet används som ett datautvinningsverktyg. Detta skulle lagtekniskt kunna upp- nås på så sätt att sekretessen avser uppgift som härrör från ett sådant system som avses i artikel 36.2 d i budgetförordningen. Bestämmel- sen skulle då täcka samtliga uppgifter som härrör från Arachne, in- klusive uppgifter som erhålls inom ramen för gjorda riskvärderingar. För en sådan ordning talar bland annat att det finns oklarheter när det gäller exakt vilka uppgifter som kommer att finnas i Arachne, vilka skyddsbehov som kan uppstå och hur långt gällande sekretess- bestämmelser räcker för att tillgodose dessa skyddsbehov. För en sådan ordning talar också att Arachne-teamet vid kommissionen kan sägas ha gett uttryck för ett önskemål att uppgifter i Arachne över huvud taget inte ska offentliggöras.7
Insynsintresset talar för att inte ange sekretessens föremål vidare än vad som är nödvändigt utifrån de konkreta risker som har identi- fierats. Enligt utredningen talar därför det mesta för ett mer begrän- sat angreppssätt. Det är när det gäller just uppgifter som myndigheter tar del av när verktyget används för att göra riskvärderingar som ett sekretessbehov har kommit tydligare till uttryck i relevanta dokument. Det kan erinras om att Arachne-stadgan särskilt berör behovet av att riskvärderingar inte sprids. Det kan vidare erinras om att användare av Arachne inte kan söka fritt i den databas som kan antas innehålla de mest skyddsvärda uppgifterna, World Compliance, utan kan endast ta del av sådana uppgifter om de förekommer som en del av gjorda riskvärderingar avseende egna projekt (se mer i avsnitt 5.4.2). Lik- nande är tänkt att gälla för uppgifterna i Orbis.
Utredningen föreslår mot denna bakgrund att sekretessens före- mål bestäms till uppgift som härrör från en riskvärdering som har gjorts genom Arachne. Med detta avser utredningen att fånga in i princip alla de uppgifter som en myndighet kan få del av när Arachne används som ett riskvärderingsverktyg. Inte bara sådana uppgifter som en myndighet därvid faktiskt tar del av bör omfattas, utan alla uppgif- ter som myndigheten kan få del av. Det är nämligen så att användar- gränssnittets utformning innebär att användaren i viss mån kan välja hur mycket och hur detaljerade uppgifter användaren ska ta del av inom ramen för en riskvärdering.
7Komm2025/00388-10.
260
SOU 2025:112 | Behovet av åtgärder |
Inom ramen för detta bör många olika typer av information kunna omfattas. Till att börja med bör information om vilka värden en viss aktör får beträffande de olika riskindikatorerna omfattas. Även in- formation som en användare kan få del av om kopplingar till andra bolag samt om de bolag och personer som berörs bör ingå. Dess- utom bör den information som nås via länkar till externa källor ingå i sekretessens föremål.
Riskvärderingar i Arachne kan göras på olika sätt. Vissa riskvärder- ingar genereras automatiskt i Arachne. När det gäller förhandsfunk- tionen krävs det dock att en användare begär att en sådan riskvärder- ing ska göras. Alla dessa former av riskvärderingar kan sägas göras genom Arachne och bör omfattas av en eventuell ny bestämmelse.
Som utvecklas i avsnitt 8.5.2 bedömer utredningen vidare att endast uppgifter som härrör från gjorda riskvärderingar bör kunna utgöra allmänna handlingar. En begäran om att få ut de uppgifter som härrör från en riskvärdering inom ramen för förhandsfunktio- nen bör – i en situation där någon sådan riskvärdering inte redan har gjorts – kunna avslås redan på den grunden att någon sådan hand- ling över huvud taget inte förvaras hos myndigheten.
Exakt vilka uppgifter som kan anses härröra från en riskvärder- ing som har gjorts genom Arachne är till viss del beroende på den tekniska utformningen av systemets användargränssnitt, något som kan komma att förändras under det pågående utvecklingsarbetet. Det kan alltså inom ramen för denna utredning inte helt fastställas vilken information som kommer att omfattas av bestämmelsen. Det är den myndighet som får en begäran om utlämnande som ska ta ställ- ning till om den begärda uppgiften i det enskilda fallet omfattas av bestämmelsen.
För det fall ytterligare skyddsbehov identifieras i framtiden kan vid behov kompletterande reglering införas.
Styrka – under vilka förutsättningar ska sekretessen gälla?
Sekretessens styrka – det vill säga bestämmelsens skaderekvisit – bör beskrivas på så sätt att sekretess gäller om det kan antas att syftet med viss verksamhet motverkas om uppgiften röjs. Verksamheten bör beskrivas som den förvaltning, övervakning, kontroll och revi- sion som ska ske i enlighet med budgetförordningen. Om bedöm-
261
Behovet av åtgärder | SOU 2025:112 |
ningen görs att syftet med den verksamheten i stort motverkas om uppgifter i Arachne röjs – exempelvis därför att det underlättar för aktörer som felaktigt vill utnyttja stöd att ta fram strategier för ett sådant missbruk – bör sekretess kunna gälla även efter det att ett enskilt granskningsärende är avslutat.
Även fall då det kan antas att möjligheten för svenska myndig- heter att delta i samarbetet som kommer till uttryck i budgetförord- ningen försämras om uppgiften röjs bör omfattas. Om EU och andra medlemsstater känner tveksamhet inför Sveriges möjligheter att för- hindra spridning av skyddsvärda uppgifter som svenska myndigheter får tillgång till genom Arachne finns det en risk att det samarbete som är en förutsättning för ett effektivt motverkande av felaktig- heter med EU-medel fungerar mindre effektivt. Liknande resone- mang har förts i tidigare lagstiftningsärenden, bland annat när det gäller sekretess inom ramen för internationellt samarbete avseende tillsyn av civil luftfart (17 kap. 6 § OSL) och sekretess inom ramen för samarbetet inom EU avseende tillsyn av marknaderna för el och naturgas (17 kap. 7 b § OSL). Om Sverige inte skulle anses ha ett adekvat sekretesskydd skulle andra medlemsstater kunna bli mindre benägna att tillgängliggöra uppgifter som svenska myndigheter kan ha nytta av. Det skulle kunna leda till att informationsutbytet blir mindre omfattande och av sämre kvalitet än vad som annars skulle ha blivit fallet. Om så skulle ske skulle effektiviteten minska inte bara i Sveriges utan också i andra medlemsstaters arbete med att motverka felaktigheter med EU-medel och då skulle syftet med budgetförord- ningen motverkas (jfr prop. 2006/07:110 s. 45–48 och prop. 2012/13:7 s. 15–18).
Vid bedömningen av om skaderekvisitet är uppfyllt bör alltså bland annat vägas in vilken effekt ett offentliggörande av uppgiften skulle kunna antas få på det framtida samarbetet inom EU (jfr prop. 2012/13:7 s. 17).
Sekretesstiden
När en ny sekretessbestämmelse ska införas behöver man ta ställ- ning till hur länge sekretessen enligt den nya bestämmelsen högst ska få gälla. Sekretesstiden i olika sekretessbestämmelser varierar beroende på vilken typ av uppgift det är fråga om. När det gäller
262
SOU 2025:112 | Behovet av åtgärder |
sekretess till skydd för allmänna intressen förekommer sekretess- tider om 40 år (se t.ex. utrikes- respektive försvarssekretessen i 15 kap. 1 och 2 §§ OSL). I vissa fall anges inte någon sekretesstid alls. Så är fallet bland annat när det gäller 17 kap. 1–4 §§ OSL. Någon tidsbe- gränsning behövs där inte eftersom skaderekvisitet klart anger den tidpunkt då sekretessen upphör.
Som framgår ovan föreslår utredningen att skaderekvisitet ska ut- formas på liknande sätt som i nämnda bestämmelser i 17 kap. OSL, det vill säga att sekretess gäller om det kan antas att syftet med viss verksamhet motverkas om uppgiften röjs. Motsvarande skaderek- visit har ansetts innebära att behovet av att sekretessbelägga uppgif- terna finns under den tid som de används i myndighetens arbete. När uppgifterna inte längre används upphör sekretessen, och uppgifterna ska lämnas ut om de efterfrågas. Utredningen gör i avsnitt 8.5.4 vissa överväganden rörande tillämpningen av skaderekvisitet i 17 kap. 1 b § OSL på uppgifter i Arachne. Motsvarande överväganden gör sig gäll- ande här. Det framgår av artikel 36.7 i budgetförordningen att uppgif- terna i Arachne endast ska lagras under den period som är nödvändig och proportionell för att uppfylla det syfte som fastställs i punkt 2 d, det vill säga att motverka oriktigheter. Den längsta möjliga lagrings- perioden får inte överstiga tio år från och med den sista ansökan om utbetalning som lämnats in till kommissionen för den perioden. En- ligt utredningens mening bör uppgifterna som utgångspunkt anses användas i den meningen att skaderekvisitet är uppfyllt under hela den tid som uppgifterna lagras i Arachne. En prövning i det enskilda fallet behöver dock göras av den myndighet som hanterar frågan om utlämnande.
Hänvisning till budgetförordningen
Det finns två sätt att hänvisa till unionslagstiftning i nationell rätt, antingen genom statiska hänvisningar eller genom dynamiska hän- visningar. En statisk hänvisning innebär att hänvisningen avser EU- rättsakten i en viss angiven lydelse. En följd av denna hänvisnings- teknik är att den nationella författningen normalt behöver ändras varje gång EU-bestämmelsen ändras. En dynamisk hänvisning inne- bär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. För att eventuella ändringar i förordningen ska
263
Behovet av åtgärder | SOU 2025:112 |
få omedelbart genomslag i Sverige är det lämpligt att hänvisningar i den nya lagen är dynamiska.
Den nya bestämmelsens placering
Var en ny sekretessbestämmelse ska placeras beror på vilket intresse sekretessen är avsedd att skydda. Om en ny sekretessbestämmelse gäller till skydd för ett allmänt intresse bör den alltså placeras i rele- vant kapitel i lagens fjärde avdelning (15–20 kap.).
I aktuellt fall kan grunden för sekretess sägas främst vara dels skyd- det för myndighets verksamhet för inspektion, kontroll eller tillsyn, dels skyddet för rikets förhållande till andra stater eller mellanfolk- liga organisationer. I 17 kap. OSL finns bestämmelser om sekretess till skydd främst för myndigheters verksamhet för inspektion, kon- troll eller annan tillsyn. I detta kapitel finns dock även bestämmel- ser som också baseras på behovet av att skydda rikets förhållande till andra stater eller mellanfolkliga organisationer. Som exempel kan nämnas 17 kap. 7 § andra stycket, 17 kap. 7 a § och 17 kap. 7 b § OSL. I samband med införandet av den förstnämnda bestämmelsen änd- rades rubriken till 17 kap. till att lyda ”Sekretess till skydd främst för myndigheters verksamhet för inspektion, kontroll eller annan tillsyn” (prop. 2009/10:231 s. 35 och 36). Utredningen bedömer mot denna bakgrund att en placering i 17 kap. är väl förenlig med lagens systematik.
Rätten att meddela och offentliggöra uppgifter
Enligt 3 kap. 1 § OSL innebär sekretess ett förbud att röja uppgift, vare sig det sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretess innebär således såväl tystnads- plikt som handlingssekretess. När en ny bestämmelse om sekretess införs måste man ta ställning till om den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen ska ha företräde framför rätten att meddela och offentliggöra uppgifter som följer av 1 kap. 1 och 7 §§ TF och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen. Enligt förarbetena till sekretesslagen bör som grundprincip alltid gälla att stor återhållsamhet ska iakttas vid prövningen av om undantag från rätten att meddela och offentliggöra uppgifter ska göras i ett särskilt
264
SOU 2025:112 | Behovet av åtgärder |
fall. Där anges vidare att den enskilda sekretessbestämmelsens kon- struktion kan ge viss vägledning – när det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från rätten att meddela och offentliggöra uppgifter än i andra fall (prop. 1979/80:2 Del A s. 110 och 111).
När det gäller exempelvis sekretessbestämmelserna i 17 kap. 1– 2 §§ OSL – som rör förberedelser för inspektion, dataanalyser och urval i syfte att motverka felaktigheter i folkbokföringsverksam- heten och felaktiga utbetalningar samt viss pågående granskning – har rätten att meddela och offentliggöra uppgifter företräde fram- för tystnadsplikten.
Den föreslagna nya bestämmelsen innebär inte absolut sekretess. Den avser att skydda uppgifter om riskvärderingar som har genere- rats av Arachne i fall då det kan antas att syftet med den förvaltning, övervakning, kontroll och revision som ska ske i enlighet med budget- förordningen motverkas om uppgiften röjs. Utredningen anser att rätten att meddela och offentliggöra uppgifter ska ha företräde fram- för den tystnadsplikt som följer av den föreslagna bestämmelsen. Det bör därför inte göras någon ändring av 17 kap. 8 § OSL, den bestämmelse som anger i vilka fall tystnadsplikten inskränker rätten att meddela och offentliggöra uppgifter när det gäller bestämmel- serna i 17 kap. OSL.
Inte något behov av nya sekretessbrytande bestämmelser
Införande av en ny sekretessbestämmelse innebär att sekretess kom- mer att gälla mellan olika myndigheter. När en ny sekretessbestäm- melse införs bör det därför övervägas om det behöver införas några sekretessbrytande bestämmelser. Enligt utredningen innebär inte införandet av den föreslagna bestämmelsen något sådant behov. De befintliga sekretessbrytande bestämmelserna bedöms vara tillräckliga. Utredningen beaktar också den nya sekretessbrytande bestämmel- sen som behandlas i regeringens proposition Ökat informations- utbyte mellan myndigheter – en ny sekretessbrytande bestämmelse (se prop. 2024/25:180 och avsnitt 7.1.2).
265
Behovet av åtgärder | SOU 2025:112 |
8.5.8Det krävs inte författningsändringar på dataskyddsområdet för användande av Arachne
Utredningens bedömning: Svenska myndigheters användning av Arachne kräver inga författningsändringar på dataskyddsområdet.
Skälen för utredningens bedömning
Inledning
I avsnitt 7.2 redogör utredningen för gällande rätt på dataskyddsom- rådet, bland annat för kravet på rättslig grund och de grundläggande principerna för att en personuppgiftsbehandling ska vara laglig.
I detta avsnitt gör utredningen bedömningar av om befintligt data- skyddsregelverk är tillräckligt för den personuppgiftsbehandling som förväntas ske vid en användning av Arachne eller om det krävs för- fattningsändringar. Härvid lyfts vissa dataskyddsrättsliga frågor sär- skilt. Vidare ingår i detta delvis en kartläggning av skyddet för per- sonuppgifter i Arachne. Sådana frågor behandlas också i den samlade integritetsanalysen i kapitel 9.
Budgetförordningens reglering om dataskydd som rör Arachne och andra relevanta källor
Artikel 36.7 i budgetförordningen är central för den personuppgifts- behandling som kan förväntas ske vid en användning av Arachne. Artikeln är omfattande och innehåller bestämmelser om syftet med och användningen av Arachne. Systemet ska vara utformat för att användas i enlighet med de allmänna dataskyddsprinciper, inbegri- pet uppgiftsminimering och lagringsbegränsning, som är tillämpliga på behandling av personuppgifter. Artikeln innehåller också bestäm- melser om åtkomst till systemet, personuppgiftsansvar och längsta tid för behandling.
Arachne-stadgan innehåller ett antal principer men också informa- tion. Den tar upp ändamål som systemet kan användas för, vilka som är avsedda användare, skyldigheter för användare och för kommis- sionen samt frågor om åtkomststyrning. Längsta tid för behandling och enskildas rättigheter tas också upp. Det framgår också av stadgan
266
SOU 2025:112 | Behovet av åtgärder |
att en konsekvensbedömning enligt dataskyddsförordningen för EU:s institutioner har gjorts. För mer om denna, se den samlade integritetsanalysen i kapitel 9.
Enligt artikel 31 i dataskyddsförordningen för EU:s institutioner ska varje personuppgiftsansvarig föra ett register över behandling som utförs under dess ansvar, under vissa närmare förutsättningar. Ett centralt register kan föras. EU:s dataskyddsombud för ett regis- ter över personuppgiftsbehandling som utförs av kommissionen. En beskrivning av personuppgiftsbehandlingen för Arachne8 finns i registret. Där beskrivs ändamålen med behandlingen, vilka person- uppgifter som behandlas, hur behandlingen ska gå till, längsta tid för behandling, vilka som får tillgång till uppgifter, säkerhetsåtgär- der samt information till enskilda om deras rättigheter. Det kan nämnas att en motsvarande skyldighet att förteckna personuppgifts- behandling finns i dataskyddsförordningen, och gäller därmed även för svenska myndigheter.
Den vars personuppgifter behandlas ska i regel informeras om detta. Därför finns ofta information riktad till enskilda om hur deras personuppgifter behandlas. Det finns en sådan personuppgiftspolicy för Arachne9 som kommissionen har tagit fram. Personuppgifts- policyn innehåller en beskrivning av varför och hur kommissionen behandlar personuppgifter, vilken rättslig grund som behandlingen vilar på, vilka personuppgifter som kommissionen samlar in och be- handlar vidare, hur länge kommissionen behandlar personuppgifter och hur de skyddas samt vem som har tillgång till uppgifterna. Det finns också en beskrivning av den enskildes rättigheter och hur de kan utövas samt hänvisningar till var mer information kan hittas.
Tidigare nämnda frågor och svar avseende Arachne innehåller information som riktar sig till dem som behandlar personuppgifter, däribland myndigheter (Arachne, Frequently asked questions, ver- sion 2.3, den 19 augusti 2022 och Arachne, FAQ on data protection
8Record for processing of personal data, Title: Risk analysis for fraud prevention and detec- tion in the management of EU funds (ARACHNE SYSTEM). Reference: DPR-EC-00598.4, publicerad den 27 november 2023. https://ec.europa.eu/dpo-register/detail/DPR-EC-00598. Hämtat 2025-10-29.
9Protection of your personal data, Processing operation: Risk analysis for fraud prevention and detection in the management of European Structural Funds (ARACHNE), Data Con- troller: DAC, Record reference: DPR-EC-00598. Personuppgiftspolicyn är inte daterad och utredningen har inte kunnat identifiera ett entydigt datum för dess framtagande. En uppgift tyder på att den publicerades den 1 januari 2024. https://employment-social- affairs.ec.europa.eu/policies-and-activities/funding/european-social-fund-plus-esf/what- arachne_en. Hämtat 2025-10-23.
267
Behovet av åtgärder | SOU 2025:112 |
and related issues, Status as of 10th July 2024). I den senare behand- las flera frågor som rör risker för integritetsintrång.
Kommissionen har också en webbsida dedikerad för Arachne, med information riktad bland annat till enskilda.10
Det bör observeras att då Arachne är under utveckling och regler- ingen i budgetförordningen i stora delar ännu inte ska tillämpas, tar ovan nämnda källor sikte på Arachne som det fungerar i dag, och inte nödvändigtvis på en framtida användning av Arachne.
Rättslig grund för behandlingen
Användningen av Arachne som verktyg är frivillig, även om det finns reglerade skyldigheter för myndigheter att aktivt motverka oriktig- heter i såväl unionsrätten som nationell reglering. Särskilt artikel 36.2 i budgetförordningen betonar vikten av intern kontroll på alla förvalt- ningsnivåer – därmed inom såväl delad som direkt förvaltning – och av att oriktigheter motverkas bland annat genom (den frivilliga) an- vändningen av Arachne. Artikel 36.7 beskriver också syftet med och vikten av att använda Arachne för att uppnå målen i artikel 36.2.
Av avsnitt 8.2.6 framgår att den verksamhet som en statlig myn- dighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Ett användande av Arachne faller inom berörda myndigheternas be- fogenheter. Vidare är enligt utredningen behandlingen att anse som nödvändig (jfr utredningens bedömning i avsnitt 8.3.5). Den person- uppgiftsbehandling som kan förväntas bli aktuell genom ett använ- dande av Arachne faller därmed enligt utredningen tydligt inom grunden utförande av en uppgift av allmänt intresse (artikel 6.1 e i data- skyddsförordningen och 2 kap. 2 § dataskyddslagen).
Om det framöver blir en rättslig skyldighet att använda Arachne, kommer även den rättsliga grunden att fullgöra en rättslig förpliktelse (artikel 6.1 c i dataskyddsförordningen och 2 kap. 1 § dataskydds- lagen) att aktualiseras. Det kan, på samma grunder som utredningen framför i avsnitt 8.3.5 avseende uppgiftslämnande som sker utan att det finns en rättslig skyldighet till det, vara möjligt att argumentera för att denna rättsliga grund kan vara tillämplig även utan en uttryck-
10https://employment-social-affairs.ec.europa.eu/policies-and-activities/funding/european- social-fund-plus-esf/what-arachne_en. Hämtat 2025-10-25.
268
SOU 2025:112 | Behovet av åtgärder |
lig skyldighet att använda Arachne, men detta kan inte konstateras med säkerhet.
I likhet med bedömningen i avsnitt 8.2.6 anser utredningen att den rättsliga grunden kan uppfylla kraven på tydlighet och precision samt på en förutsebar tillämpning för personer som omfattas av den. Den reglering och det offentligt tillgängliga stöd- och informations- materialet om Arachne ger omfattande upplysningar om behand- lingen och grunden för den.
Utredningen utgår vidare från att unionsrätten är förenlig med Europakonventionen och uppfyller kravet på proportionalitet i arti- kel 6.3 i dataskyddsförordningen. För en samlad integritetsanalys, se kapitel 9.
Att det finns rättslig grund för personuppgiftsbehandlingen inne- bär att det inte genom författning behöver skapas några nya rätts- liga grunder.
Principerna i artikel 5 i dataskyddsförordningen
I avsnitt 7.2.5 redogör utredningen för principerna i artikel 5.1 i data- skyddsförordningen och för att det är den personuppgiftsansvarige som ska säkerställa att principerna efterlevs. Utredningen gör så långt det är möjligt bedömningar avseende möjligheten att efterleva principerna.
Arachne innehåller en stor mängd uppgifter och är ett kraftfullt verktyg. Det är av yttersta vikt att verktyget endast används på av- sett sätt. På samma grunder som anges i avsnitt 8.2.6 utgår utred- ningen från att de myndigheter som kommer att behandla person- uppgifter uppfyller principen om laglighet, korrekthet och öppenhet, principen om integritet och konfidentialitet samt principen om riktig- het. Även om det nu är fråga om svenska myndigheters ansvar att efterleva principerna i artikel 5 i dataskyddsförordningen och bud- getförordningen och andra relevanta källor i flera delar avser kom- missionens ansvar, kan källorna ändå ge svenska myndigheter viss vägledning i fråga om principerna. Vad gäller ovan nämnda princip om konfidentialitet hänvisar budgetförordningen uttryckligen till den principen när det gäller Arachne, med sikte på kommissionens ansvar (artikel 36.7 tredje stycket). Såväl artikel 36.7 i budgetförord- ningen som Arachne-stadgan (punkt 11) lyfter vidare kommissio-
269
Behovet av åtgärder | SOU 2025:112 |
nens ansvar att säkerställa att personuppgifter skyddas. I Arachne- stadgan anges också att kommissionen säkerställer transparens genom att informera enskilda om behandlingen (punkt 6.1).
När det gäller rättelser av fel gör ett förfarande benämnt ”Feed- back loop” det möjligt för användare – och därmed svenska myndig- heter – att anmäla fel eller inkonsekvenser och begära rättelse hos kommissionen av felaktiga matchningar mellan interna och externa data (punkt 6.2). Det finns således ett system för myndigheter att anmäla vissa felaktigheter, vilket kan underlätta möjligheten att efter- leva ovan nämnda princip om riktighet.
Det syfte med Arachne som framgår av budgetförordningen på- verkar också för vilka ändamål som personuppgifter får behandlas – även av svenska myndigheter – och ger därmed uttryck för principen om ändamålsbegränsning. Motverkandet av oriktigheter kan ske genom användningen av Arachne och systemet ska utformas för att underlätta riskbedömningar för urval, tilldelning, ekonomisk förvalt- ning, övervakning, utredning, kontroll och revision och bidra till att effektivt förebygga, upptäcka, korrigera och följa upp oriktig- heter såsom bedrägerier, korruption, intressekonflikter och dubbel- finansiering. Systemet ska endast använda riskindikatorer som är objektiva, proportionella, nödvändiga för riskbedömning och baserade på tillförlitliga uppgifts- och informationskällor (artikel 36.2 d och 36.7 första stycket).
Även Arachne-stadgan innehåller ändamålsangivelser. Av punkt 3 framgår vad programmyndigheterna kan använda systemet till och att programmyndigheterna som får tillgång till resultaten av Arachnes riskvärderingar bara ska använda dessa för förvaltningskontroller (management verifications), kontroller (controls) och revisioner (audits). Resultaten ska inte användas för personliga intressen eller några andra ändamål. Denna punkt riktar sig således till myndigheter.
Punkt 6.2 i Arachne-stadgan behandlar insamling av uppgifter. När det gäller externa data ska sådana uppgifter behandlas enbart för att identifiera risker för bedrägerier och oriktigheter när det gäller bland annat slutliga mottagare, stödmottagare, leverantörer, verklig huvudman och kontrakt, både vid godkännande- och genomförande- fasen. Detta ger också ett visst uttryck för en ändamålsbegränsning, som dock enligt utredningens bedömning tar sikte på kommissio- nens behandling av sådana uppgifter inom ramen för riskvärderings-
270
SOU 2025:112 | Behovet av åtgärder |
verktyget, eftersom det är kommissionen (och inte medlemsländer- nas myndigheter) som samlar in externa data.
Vad gäller principen om uppgiftsminimering nämns den uttryck- ligen i artikel 36.7 första stycket b och skäl 31 till budgetförordningen i fråga om utformningen av Arachne, så även principen om lagrings- minimering. Uppgifterna ska lagras under den period som är nöd- vändig och proportionell för att uppfylla syftet att motverka oriktig- heter. Den längsta möjliga lagringsperioden får inte överstiga tio år från och med den sista ansökan om utbetalning som lämnats in till kommissionen för den perioden (artikel 36.7 fjärde stycket). Även Arachne-stadgan tar upp frågor om längsta tid för behandling. Enligt stadgan lagras interna data och resultaten av riskberäkningar under tio år efter myndighetens betalningsanspråk till kommissionen. När det gäller RRF är lagringstiden fem år efter sista betalning (punkt 6.2 i Arachne-stadgan). Principen om lagringsminimering får därmed an- ses vara beaktad. Det bör noteras att då det är kommissionen som dri- ver Arachne och myndigheterna inte kan ta bort uppgifter i Arachne är det främst kommissionen som råder över frågan om lagringstiden.
En användning av Arachne bedöms av utredningen kunna vara för- enlig med ovan nämnda principer, men det är den myndighet som behandlar personuppgifter som behöver följa dem även i praktiken.
Vad gäller finalitetsprincipen kan det finnas skäl att lyfta följande. För att riskvärderingsverktyget ska ha god funktionalitet används uppgifter som finns i Arachne för att ta fram riskindikatorer. Detta kan innebära att uppgifter i Arachne också används som så kallade träningsdata. Det är enligt utredningens mening logiskt att ett tek- niskt verktyg som innehåller data använder dessa data för att träna verktyget så att det blir så effektivt och träffsäkert som möjligt. Ut- redningen ser en sådan användning, och därmed sådan personupp- giftsbehandling som följer av detta, som en så naturlig del av ända- målet med behandlingen att den som utgångspunkt inte kommer i konflikt med finalitetsprincipen (se också punkt 6.2 i Arachne-stad- gan om att enskilda ska informeras om att deras uppgifter kan komma att användas för ändamålet att identifiera riskindikatorer).
Även om utredningens uppdrag avser myndigheters användning av Arachne kan det finnas skäl att lyfta att information som finns
i Arachne kan vara av stort intresse för berörda myndigheter att an- vända även i annan verksamhet hos dessa myndigheter. Om en myn- dighet har ett sådant intresse behöver den bedöma om en sådan
271
Behovet av åtgärder | SOU 2025:112 |
personuppgiftsbehandling är förenlig med finalitetsprincipen. Det ankommer alltså på myndigheterna att bedöma förutsättningarna för en sådan fortsatt användning av uppgifterna.
Det ovanstående innebär att den reglering som finns bedöms vara tillräcklig och att det inte finns skäl att överväga några författ- ningsändringar som tar sikte på att uppfylla principerna i artikel 5 i dataskyddsförordningen.
Känsliga personuppgifter
I avsnitt 5.4 beskriver utredningen vilka slags uppgifter som Arachne kan innehålla. Det gäller bland annat uppgifter om personer i politiskt utsatt ställning, från den så kallade PEP-listan. Denna information kan innehålla uppgifter som avslöjar politiska åsikter, vilket utgör känsliga personuppgifter (artikel 9.1 i dataskyddsförordningen). Detta är också den kategori av känsliga personuppgifter som kom- missionen har angett som förekommande i beskrivningen av person- uppgiftsbehandlingen för Arachne. Arachne innehåller därmed käns- liga personuppgifter. Svenska myndigheter skulle därmed vid en användning av Arachne kunna få tillgång till känsliga personuppgifter. Läsning är exempel på behandling som då skulle kunna aktualiseras.
Behandling av känsliga personuppgifter är som huvudregel för- bjudet, men det finns undantag från förbudet i dataskyddsförord- ningen (se mer i avsnitt 8.2.6). Dataskyddsförordningen för EU:s institutioner innehåller i princip motsvarande förbud och undantag. I beskrivningen av personuppgiftsbehandlingen för Arachne anges de grunder på vilka den behandling av känsliga personuppgifter som förekommer är tillåten enligt artikel 10.2 i dataskyddsförordningen för EU:s institutioner, som är tillämplig vid kommissionens per- sonuppgiftsbehandling. En av dessa grunder är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten som ska stå i proportion till det eftersträvade syftet (artikel 10.2 g).
För svenska myndigheters behandling av känsliga personuppgif- ter är motsvarigheten i dataskyddsförordningen – artikel 9.2 g – och undantagen i 3 kap. 3 § första stycket dataskyddslagen tillämpliga.
En första fråga är om undantagssituationen i 3 kap. 3 § första stycket 1 dataskyddslagen – att uppgiften har lämnats till myndigheten och
272
SOU 2025:112 | Behovet av åtgärder |
behandlingen krävs enligt lag – kan bli aktuell här. Utredningen be- dömer att så inte blir fallet, så länge användningen av Arachne inte är obligatorisk.
Undantaget i 3 kap. 3 § första stycket 2 dataskyddslagen – att be- handlingen är nödvändig för handläggningen av ett ärende – skulle kunna aktualiseras i vissa fall. Begreppen handläggning och ärende ska tolkas på samma sätt som enligt 1 § förvaltningslagen. Begreppet handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas. Vad gäller kravet att behandlingen är nödvändig för handläggningen av ärendet, inne- bär det bland annat att bara sådana uppgifter som behövs i ärendet får behandlas. Som framgår tidigare (avsnitt 8.2.6) innebär begreppet nödvändig inte ett krav på att behandlingsåtgärden ska vara ound- gänglig (jfr också prop. 2017/18:105 s. 194). Då Arachne kan komma att användas inom ramen för ett ärende är det inte uteslutet att denna undantagssituation kan aktualiseras.
Undantaget i 3 kap. 3 § första stycket 3 dataskyddslagen – att be- handlingen är nödvändig med hänsyn till ett viktigt allmänt intresse
–behandlas närmare i avsnitt 8.2.6. Bestämmelsen möjliggör under vissa omständigheter behandling av känsliga personuppgifter hos myndigheter då behandlingen varken sker med koppling till ett visst ärende eller krävs enligt annan lag. Den är således tillämplig i så kallad faktisk verksamhet hos myndigheter, det vill säga i sådan förvaltnings- verksamhet som inte utgör ärendehandläggning. Det krävs att den personuppgiftsansvarige gör en bedömning av om behandlingen inne- bär ett otillbörligt intrång i den registrerades personliga integritet (se mer i prop. 2017/18:105 s. 194).
Behandling av känsliga personuppgifter med stöd av denna punkt förväntas kunna bli aktuell vid användning av Arachne. En stor del av myndigheternas kontrollverksamhet kan ske utan att det är en del i ärendehandläggning. Det är också ett viktigt allmänt intresse att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt (jfr avsnitt 8.2.6).
Ovanstående kan sammanfattas så att utredningen bedömer att känsliga personuppgifter kan få behandlas med stöd av 3 kap. 3 § dataskyddslagen. Bedömningen av om det är möjligt i det enskilda fallet behöver göras av den berörda myndigheten som ställs inför behandlingen.
273
Behovet av åtgärder | SOU 2025:112 |
En annan fråga är om det kan finnas ytterligare grunder på vilka känsliga personuppgifter kan få behandlas. Utöver grunden viktigt allmänt intresse, som behandlas ovan, anges i beskrivningen av per- sonuppgiftsbehandlingen för Arachne också den grund som mot- svarar artikel 9.2 e i dataskyddsförordningen, nämligen att behand- lingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade (artikel 10.2 e i dataskyddsförordningen för EU:s institutioner). Vidare nämns grunden att behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av en domstols dömande verksamhet (artikel 10.2 f i data- skyddsförordningen för EU:s institutioner). Denna grund har sin motsvarighet i artikel 9.2 f i dataskyddsförordningen. Dessa undan- tagsbestämmelser skulle eventuellt kunna bli aktuella att tillämpa för svenska myndigheter till exempel när det gäller känsliga personupp- gifter som rör politiskt utsatta personer. Även i sådana fall är det dock berörd myndighet som måste göra bedömningen om det är möjligt att behandla personuppgifterna i fråga.
Bland funktionerna i Arachne finns sökfunktioner. Vad gäller sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen, att det vid behandling som sker enbart med stöd av första stycket är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter, kan följande nämnas. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed för- bjuds sökningar som görs för att få fram ett urval av personer som till exempel har en viss politisk åsikt, religiös åskådning eller sexuell läggning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, till exempel för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för regis- tervård (se prop. 2017/18:105 s. 195).
Myndigheterna borde inte ha något sakligt intresse av att få fram ett urval av personer grundat på känsliga personuppgifter vid en an- vändning av Arachne. Förutsättningarna för att behandla känsliga personuppgifter behöver bedömas av den myndighet som vid en an- vändning av Arachne har för avsikt att utföra till exempel den aktu- ella sökningen.
Det finns inte behov av författningsändringar när det gäller be- handling av känsliga personuppgifter.
274
SOU 2025:112 | Behovet av åtgärder |
Uppgifter om domar och lagöverträdelser
Arachne kan komma att innehålla uppgifter om lagöverträdelser, ex- empelvis om domar. Det framgår också av beskrivningen av person- uppgiftsbehandlingen för Arachne att så är fallet i dagsläget.
Enligt artikel 10 i dataskyddsförordningen får behandling av per- sonuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av en myndighet eller då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och fri- heter fastställs. Ett fullständigt register över fällande domar i brott- mål får dock endast föras under kontroll av en myndighet.
3 kap. 8 § dataskyddslagen ger ett tydligt stöd i nationell rätt att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter. Svenska myndigheter får alltså behandla sådana uppgifter. Det finns därför inte behov av författningsändringar när det gäller behandling av uppgifter om domar och lagöverträdelser.
Uppgifter om personnummer
Som framgår av avsnitt 8.2.6 har personnummer och samordnings- nummer en särställning genom att medlemsstaterna har getts möjlig- het att införa särskilda villkor för behandlingen (artikel 87 i data- skyddsförordningen), vilket också har skett genom 3 kap. 10 § dataskyddslagen. Behandling av sådana uppgifter får ske utan sam- tycke om det är klart motiverat med hänsyn till ändamålet med be- handlingen, vikten av en säker identifiering eller något annat beak- tansvärt skäl.
Det kommer sannolikt att förekomma personnummer i Arachne, även om födelsedatum kan förväntas vara den vanligaste formen av identifikationsuppgift inom EU. Utredningen bedömer att svenska myndigheters behandling av uppgifter om personnummer och sam- ordningsnummer i regel ska anses som förenlig med kraven i 3 kap. 10 § dataskyddslagen. Det är dock den berörda myndigheten som har att bedöma behovet.
Det finns inte behov av författningsändringar när det gäller be- handling av uppgifter om personnummer och samordningsnummer.
275
Behovet av åtgärder | SOU 2025:112 |
Personuppgiftsansvar
Begreppet personuppgiftsansvarig är centralt i dataskyddsregler- ingen och definieras som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsam- mans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (se också avsnitt 8.2.6).
Kommissionen är personuppgiftsansvarig för Arachne i den mening som avses i artikel 3.8 i dataskyddsförordningen för EU:s institutioner. Detta följer direkt av artikel 36.7 tredje stycket i bud- getförordningen. Kommissionen pekas också ut som ansvarig för utveckling, förvaltning och övervakning av Arachne, för att säker- ställa uppgifternas säkerhet och konfidentialitet samt autentisering av användarna och för att skydda it-systemet mot felaktig förvalt- ning och missbruk.
I beskrivningen av personuppgiftsbehandlingen för Arachne an- ges det inte vara aktuellt med ett gemensamt personuppgiftsansvar. Detta talar starkt för att endast kommissionen bestämmer ända- målen och medlen för behandlingen av personuppgifter i Arachne.
I frågor och svar om Arachne finns dock uttalanden som skapar viss osäkerhet i frågan. I en uppsättning frågor och svar besvaras frågan om kommissionen kommer att vara personuppgiftsansvarig för Arachne – eftersom kommissionen bestämmer ändamålen och medlen för RRF – med att kommissionen vid direkt förvaltning är ensamt personuppgiftsansvarig för uppgifter som avser RRF. Vidare anges att detta betyder att kommissionen bestämmer ändamålen och medlen för behandlingen av personuppgifter inom Arachne-ram- verket. Det anges dock i samma svar att vid delad förvaltning kan – till skillnad från ovan – både kommissionen och medlemsstaterna agera som personuppgiftsansvariga, och dela på ansvaret att bestämma ändamålen och medlen för behandlingen (Arachne, FAQ on data protection and related issues, Status as of 10th July 2024, fråga 16).
Det kan också nämnas att en fråga huruvida kommissionen kom- mer att bli ägare av uppgifter som en nationell myndighet för in i Arachne besvaras nekande. Kommissionen anger i svaret att de natio- nella myndigheterna kommer att fortsätta vara ägare av sina uppgif- ter och att kommissionens ansvar inte går längre än till fördjupade analyser och berikning av uppgifter (Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 69). Som svar på
276
SOU 2025:112 | Behovet av åtgärder |
en efterföljande fråga uppger kommissionen att medlemsstaterna be- håller ägandet av uppgifter som de har fört in i Arachne, och att det därför är upp till de nationella myndigheterna att ha rutiner för att hantera begäranden från enskilda gällande tillgång till och rättelse av uppgifter som delas i Arachne. Det anges dock därefter att på kom- missionsnivå behandlas alla personuppgifter i enlighet med data- skyddsförordningen för EU:s institutioner och att alla begäranden från enskilda att få tillgång till och rättelse av personuppgifter han- teras i enlighet med den regleringen (fråga 70).
Frågan kan därför ställas om svenska myndigheter – trots vad som anges i budgetförordningen – kan anses som personuppgifts- ansvariga avseende uppgifter som de kan komma att föra in i Arachne. Ovan nämnda något tvetydiga uttalanden förhåller sig inte till den gällande budgetförordningen. Europeiska datatillsynsmannen (EDPS, på engelska European Data Protection Supervisor) lämnade ett ytt- rande under förhandlingarna av den nu gällande budgetförordningen. EDPS välkomnade då att artikel 36.7 utsåg kommissionen som per- sonuppgiftsansvarig för systemet. EDPS noterade dock att andra en- heter kommer att använda och få tillgång till uppgifter inom ramen för sina uppdrag och bedömde det som sannolikt att dessa också skulle komma att agera som personuppgiftsansvariga. EDPS före- slog därför att rollerna för dem som ska använda och få tillgång till personuppgifter som behandlas av systemet skulle klargöras i försla- get (Opinion 14/2022, den 7 juli 2022).11
Utredningen har inte identifierat några bestämmelser i budget- förordningen i fråga om personuppgiftsansvar för andra än kommis- sionen. Några sådana klargöranden som EDPS efterfrågade verkar inte ha gjorts.
Utredningen anser att utgångspunkten i nuläget måste vara att kommissionen ska anses som personuppgiftsansvarig för uppgifter i Arachne, oavsett vem som har fört in uppgifterna i systemet. Det är kommissionen som närmast råder över ändamålen och medlen för Arachne. Då Arachne är under utveckling och stödjande doku- mentation och rutiner behöver tas fram som gäller kommande ver- sioner av Arachne, kan dock frågor om personuppgiftsansvar komma att klargöras framöver.
11https://www.edps.europa.eu/system/files/2022-07/22-07-07_financial-rules-applicable-to- general-budget-union_en.pdf. Hämtat 2025-10-29.
277
Behovet av åtgärder | SOU 2025:112 |
Oavsett om man är personuppgiftsansvarig eller inte ligger alltid ett ansvar hos den som behandlar personuppgifter att säkerställa be- handlingens förenlighet med dataskyddsregelverket. Eftersom bland annat sökning och läsning utgör behandling av personuppgifter ansva- rar de svenska myndigheter som bereds tillgång till uppgifter i data- basen för sådan behandling som de utför.
Det finns inte behov av författningsändringar när det gäller per- sonuppgiftsansvaret.
Enskildas rättigheter
Genom att dataskyddsförordningen och dataskyddsförordningen för EU:s institutioner gäller vid den personuppgiftsbehandling som sker i Arachne, gäller dessa författningars bestämmelser om enskildas rättigheter. Rätten till information är en av rättigheterna (artikel 13 och 14 i dataskyddsförordningen). Som framgår av avsnitt 8.2.6 har begränsningar av rättigheterna i dataskyddsförordningen införts i nationell rätt genom bestämmelser i 5 kap. dataskyddslagen, varige- nom bland annat rätten att få tillgång till personuppgifter inte alltid gäller, till exempel om sekretess gäller för uppgifterna.
IArachne-stadgan anges att kommissionen säkerställer transpa- rens genom att följa villkoren om tillhandahållande av information och om enskildas rättigheter enligt artiklarna 15–24 i dataskyddsför- ordningen för EU:s institutioner. Det hänvisas också till att person- uppgiftspolicyn för Arachne är publicerad på Arachnes hemsida (punkt 6.1). I Arachne-stadgan finns vidare uttalanden som riktar sig direkt till användare av Arachne. Myndigheterna måste informera mottagare om att deras uppgifter kommer att behandlas för att iden- tifiera riskindikatorer. Informationen bör lämpligen lämnas som data- skyddsklausuler i tilldelningsbeslutet eller kontraktet. Det anges också att kommissionen har en webbsida som förklarar förfarandet och syftet med dataanalyser. Myndigheterna ska ha en länk till denna sida på sin egen webbsida (punkt 6.2).
Som nämns ovan riktar sig personuppgiftspolicyn för Arachne till dem vars personuppgifter behandlas och den ger information till enskilda om hur personuppgifter behandlas och hur deras rättigheter kan tillgodoses. Kommissionens webbsida om Arachne ger också information om den personuppgiftsbehandling som sker i Arachne.
278
SOU 2025:112 | Behovet av åtgärder |
Även om detta främst tar sikte på kommissionens personuppgifts- behandling ger dokumentationen samtidigt upplysningar om den behandling som en användning av Arachne medför även när Arachne används av andra, till exempel av medlemsstaters myndigheter.
En annan rättighet är rätten till rättelse (artikel 16 i dataskydds- förordningen). Enligt beskrivningen av personuppgiftsbehandlingen för Arachne är medlemsstaterna huvudsakligen ansvariga för de data som medlemsstaterna själva tillhandahåller (punkt 7). Som framgår under föregående rubrik anser utredningen att det finns vissa oklar- heter när det gäller hur långt ansvaret för svenska myndigheter sträcker sig när det gäller uppgifter som de för in i systemet. Svenska myndig- heters ansvar kan enligt utredningens mening inte sträcka sig längre än vad som är möjligt att utöva utifrån att det är kommissionen som driver systemet. Enligt nämnda punkt i beskrivningen av personupp- giftsbehandlingen ska en registrerad som begär ändringar rörande sina uppgifter rikta sin begäran till medlemsstatens myndighet. Med- lemsstaters myndigheter kan dock inte göra ändringar i Arachne, varken avseende uppgifter som de har fört in i systemet eller avse- ende riskvärderingar. Ändring av uppgifter kan dock ske genom att en myndighet sänder in uppgifter på nytt, vilka bearbetas av kommis- sionen en gång i veckan varefter ändringarna beaktas vid kommande riskvärderingar.
I avsnitt 8.5.2 beskrivs hur uppgifter från vissa databaser används för att berika uppgifter avseende interna data från medlemsstaterna. Dessa uppgifter från databaserna baseras enligt beskrivningen av per- sonuppgiftsbehandlingen för Arachne på bland annat mottagares års- redovisningar. En begäran av rättelse av sådana uppgifter bör av den registrerade sändas till den organisation som ansvarar för mottagande av årsredovisningar. Sådan information uppdateras i Arachne-data- basen var tredje månad och beaktas därefter i kommande riskvärder- ingar. Inte heller beträffande sådana uppgifter kan medlemsstater göra ändringar. Den registrerade kan också kontakta medlemssta- tens myndigheter för att få rättelse av sådana uppgifter som har gjorts offentligt tillgängliga (punkt 7).
Ovan beskrivna rättelseförfaranden, även om det avser nu gäll- ande Arachne-system och dess framtida funktion är oklar, påvisar enligt utredningen att svenska myndigheter kan utöva sitt ansvar i viss utsträckning, nämligen genom att verka för att uppgifter rättas
–i nuläget genom att sända in korrekta uppgifter.
279
Behovet av åtgärder | SOU 2025:112 |
Utredningen har inte identifierat behov av ny reglering eller för- fattningsändringar när det gäller enskildas rättigheter. Utredningen bedömer att befintlig EU-rättslig och nationell reglering är tillräcklig när det gäller enskildas rättigheter och möjligheterna att begränsa dessa.
Utlämnande till tredjeland
Enligt beskrivningen av personuppgiftsbehandlingen för Arachne – som avser den tidigare budgetförordningen – kan personuppgifter komma att överföras till tredjeland, då uppgifter kan överföras till Storbritannien (punkt 6). Denna överföring utförs inte av medlems- staternas myndigheter utan av kommissionen, varför ansvaret för att överföringen är förenlig med dataskyddsregleringen ligger på kom- missionen. Det kan dock nämnas att i beskrivningen av personupp- giftsbehandlingen anges också enligt vilka bestämmelser i dataskydds- förordningen för EU:s institutioner som överföringen är laglig.
Om en svensk myndighet avser att överföra uppgifter som den hämtar från Arachne till tredjeland ankommer det på myndigheten att bedöma om förutsättningarna enligt dataskyddsförordningen är uppfyllda, både när det gäller själva överföringen och den fortsatta behandling som överföringen innebär.
Särskilt om åtkomst, tillgång och behörigheter
Såväl budgetförordningen som Arachne-stadgan och andra relevanta källor anger villkor för åtkomsten till uppgifter.
Enligt artikel 36.7 andra stycket i budgetförordningen ska åt- komsten till de uppgifter som behandlas av Arachne överensstämma med tillämpliga dataskyddsregler, respektera principerna om nöd- vändighet och proportionalitet och begränsas till vissa aktörer. Det handlar bland annat om de unionsinstitutioner och organ som genom- för budgeten, de medlemsstater som genomför budgeten inom ramen för delad förvaltning eller inom ramen för direkt förvaltning till- sammans med medlemsstaterna samt de personer eller enheter som genomför budgeten inom ramen för indirekt förvaltning. Vidare kan åtkomst ges till unionens utrednings-, kontroll- och revisionsorgan,
280
SOU 2025:112 | Behovet av åtgärder |
däribland Olaf, ECA och Eppo, inom ramen för utövandet av deras respektive befogenheter.
Uppgifter som är tillgängliga via Arachne ska enligt samma stycke göras tillgängliga för Europaparlamentet och rådet från fall till fall i den utsträckning som är nödvändig och står i proportion till utövan- det av deras respektive befogenheter, i samband med förfarandet för beviljande av ansvarsfrihet för kommissionen.
Även Arachne-stadgan innehåller upplysningar om tillgången för EU-organ såsom Olaf, ECA och Eppo samt om uppgifter som kommissionen kan komma att ta del av. Kommissionen har tillgång till både gjorda riskvärderingar och företagens databaser. När det gäller myndigheter får rätt till åtkomst ges till den som är en del av förvaltnings- eller kontrollsystemet avseende ett program. Det är den lokala administratören som ska säkerställa att den som begär tillgång till systemet verkligen är en del av förvaltningen och kontrollen av det aktuella programmet. Av stadgan framgår också att kommissio- nen har rätt att dra tillbaka tillgången till Arachne för myndigheter om användarvillkoren inte följs (punkterna 5, 8, 10 och 13).
Av beskrivningen av personuppgiftsbehandlingen för Arachne framgår att varje användare av Arachne i medlemsländerna ska ha tillgång till uppgifter som rör företag och personer beträffande de program som de har fått tillgång till. Det framgår också att tillgång till personuppgifter ska ske på ”need-to-know basis” (punkt 5).
Enligt frågor och svar om Arachne har användare i andra med- lemsstater i de flesta fall bara åtkomsträttigheter till program eller planer inom medlemsstaten. Viss information från andra medlems- stater är tillgänglig, till exempel när ett företag är involverat i flera projekt som genomförs i olika medlemsstater. En medlemsstat kan också välja att medge andra medlemsstater tillgång till uppgifter om egna program, vilket kan vara relevant till exempel gällande Interreg- programmen (Arachne, Frequently asked questions, version 2.3, den 19 augusti 2022, fråga 9).
Begränsningarna av ovan nämnda slag kan sägas tillgodose flera olika krav i dataskyddsförordningen, såsom principerna om ändamåls- begränsning och uppgiftsminimering (artikel 5), kraven på inbyggt dataskydd och dataskydd som standard (artikel 25) samt kravet på rättslig grund för de olika aktörer som behandlar personuppgifter vid en användning av Arachne (artikel 6). De har också betydelse
281
Behovet av åtgärder | SOU 2025:112 |
för de bedömningar som görs i den samlade integritetsanalysen, se kapitel 9.
Sammanfattning av utredningens slutsatser
Utredningens bedömningar ovan kan sammanfattas så att det inte finns hinder i dataskyddshänseende mot att berörda myndigheter utför en sådan personuppgiftsbehandling som en användning av Arachne förväntas innebära, samt att det inte finns skäl att föreslå några författningsändringar på dataskyddsområdet avseende sådan behandling.
Befintlig dataskyddsreglering är tillräcklig. Som en följd av detta ser inte utredningen skäl att föreslå reglering i en ny registerlag eller annan dataskyddslagstiftning för en ändamålsenlig personuppgifts- behandling i denna del. Utredningens bedömning innebär också att det inte behövs ändringar i annan reglering än rörande dataskydd för att möjliggöra personuppgiftsbehandlingen.
Det bör observeras att utredningens bedömningar om förenlig- heten med dataskyddsregelverket inte kan avse behandlingen i det enskilda fallet. Det är den personuppgiftsansvarige som behöver säker- ställa att den personuppgiftsbehandling som faktiskt utförs är för- enlig med dataskyddsregleringen.
8.6Användande av Edes som verktyg
8.6.1Uppdraget i denna del
Den 1 januari 2028 blir det obligatoriskt att tillämpa Edes vid hanter- ing av samtliga EU-stöd, förutom avseende RRF (se artikel 144.5 och 277 i budgetförordningen, se också avsnitt 6.2.8).
Utredningen har i uppdrag att utreda frågor som syftar till att säkerställa att svenska myndigheter har förutsättningar att använda Edes-databasen. Det handlar om att bedöma om mottagna eller till- gängliga uppgifter inom ramen för Edes kommer att utgöra allmänna handlingar i Sverige och i vilken mån uppgifterna omfattas av befint- liga sekretessbestämmelser eller om det finns behov av nya sekretess- bestämmelser för att säkerställa att uppgifterna får ett tillfredsstäl- lande skydd. Det handlar också om uppdraget att kartlägga det skydd
282
SOU 2025:112 | Behovet av åtgärder |
för personuppgifter som finns i Edes-databasen och utreda om det finns behov av nya eller ändrade bestämmelser för att möjliggöra den personuppgiftsbehandling som krävs för att uppfylla kraven inom ramen för Edes och att lämna nödvändiga författningsförslag. En kartläggning av skyddet för personuppgifter finns också i den sam- lade integritetsanalysen i kapitel 9.
Som framgår i avsnitt 6.2.9 bedömer utredningen att de skyldig- heter och krav som hänför sig till utanordnare inte riktar sig mot med- lemsländerna och därför saknar betydelse i detta betänkande. Inte heller bedömer utredningen att budgetförordningen medför några nya krav på att tillgängliggöra eller registrera uppgifter som ska an- vändas i Edes. Att svenska myndigheter inte kommer att föra in upp- gifter direkt i Edes innebär att det inte finns skäl att behandla utred- ningens uppdrag som gäller sekretesskydd för uppgifter som svenska myndigheter registrerar inom ramen för Edes, rättsliga förutsätt- ningar för registrering av uppgifter eller behov av författningsänd- ringar i dessa avseenden.
Det som är nytt och som blir obligatoriskt för svenska myndig- heter är en skyldighet att kontrollera Edes-databasen innan stöd be- talas ut, och att stöd inte ska betalas ut om det vid en sådan kontroll framkommer att det finns ett beslut om uteslutning beträffande den som söker medel. En sådan användning av Edes-databasen innebär en åtkomst till uppgifter, vilket i sig leder till vissa rättsliga frågor. Myndigheter kan också använda Edes-databasen på frivillig väg, vilket också medför åtkomst till uppgifter.
8.6.2Blir uppgifterna i Edes allmänna handlingar hos svenska myndigheter?
Utredningens bedömning: Uppgifter i Edes kan bli allmänna handlingar hos de svenska myndigheter som använder systemet.
283
Behovet av åtgärder | SOU 2025:112 |
Skälen för utredningens bedömning
Blir uppgifter i Edes att betrakta som inkomna och förvarade hos svenska myndigheter genom direktåtkomst?
I avsnitt 8.5.2 redogörs för gällande rätt när det gäller allmänna hand- lingar och direktåtkomst. Enligt domstolspraxis är det avgörande vid bedömningen av om en teknisk lösning innebär en direktåtkomst om informationen är tillgänglig med tekniska hjälpmedel som myn- digheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas på det sätt som avses i 2 kap.
6 § TF. Om svenska myndigheter anses få tillgång till uppgifter genom direktåtkomst till en utländsk myndighets databas innebär det att uppgifterna skulle kunna anses vara förvarade hos den svenska myn- digheten i tryckfrihetsförordningens mening.
Enligt utredningen talar mycket för att den tekniska utformningen av Edes kan innebära att svenska myndigheter anses få direktåtkomst till information genom systemet. Systemet synes nämligen vara ut- format så – och det får antas gälla även framtida versioner – att infor- mationen kommer vara tillgänglig för användaren för att på egen hand söka eller få svar på frågor. Vidare synes åtkomsten ge användaren en möjlighet att också hämta hem informationen till sitt eget system och bearbeta den där. Åtkomsten innebär också att uppgifter kan hämtas utan att kommissionen har kontroll över vilka uppgifter som hämtas. Ett kriterium som brukar anföras för att beskriva direktåt- komst är att mottagaren saknar möjlighet att själv kunna påverka innehållet, något som får anses gälla svenska myndigheters tillgång till Edes.
Det kan dock inte uteslutas att tillgången till uppgifter i Edes kan bedömas på annat sätt. Det finns vissa oklarheter när det gäller Edes som inte har kunnat klargöras under arbetet med denna utredning (se avsnitt 6.2.2). Utformningen av och funktionerna i Edes kan dessutom komma att förändras i framtiden.
Sammanfattningsvis bedömer utredningen att mycket talar för att det kan bli fråga om direktåtkomst till uppgifter i Edes. Bedöm- ningarna i detta betänkande behöver därför ta höjd för att uppgifter i Edes kan anses vara allmänna handlingar utifrån 2 kap. 6 § TF.
284
SOU 2025:112 | Behovet av åtgärder |
Är biblioteksregeln tillämplig på uppgifterna i Edes?
Biblioteksregeln – som behandlas närmare i avsnitt 8.5.2 – omfattar handlingar som en myndighet använder på motsvarande sätt som böcker i ett bibliotek, det vill säga för att söka faktaunderlag i all- mänhet, rättsfallsreferenser eller tidskriftsartiklar och liknande (jfr prop. 1990/91:60 s. 31). När det gäller referensdatabaser som pro- ducerats av enskilda organ, med vilka utländska myndigheter jäm- ställs, har det inte ansetts rimligt att dessa skulle vara fria för insyn enligt offentlighetsprincipen (prop. 2001/02:70 s. 26). Det har alltså betydelse vilka slags uppgifter det är fråga om och hur uppgifterna används av myndigheterna.
Enligt utredningen är det tveksamt om uppgifterna i Edes är så- dana att biblioteksregeln är tillämplig, även om det inte kan uteslutas.
Begränsningsregeln i 2 kap. 7 § TF kan innebära att sammanställningar inte anses förvarade hos en myndighet
Den så kallade begränsningsregeln i 2 kap. 7 § TF – som behandlas närmare i avsnitt 8.5.2 – innebär att en sammanställning inte anses vara förvarad hos en myndighet om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Den bestämmel- sen skulle kunna bli aktuell om någon av en myndighet begär ut en sammanställning av uppgifter ur Edes som innebär att myndigheten måste söka efter ett urval av personer som exempelvis har en viss politisk åsikt. Om sådana sökningar är möjliga och en dylik begäran inkommer är det upp till myndigheten att bedöma om bestämmel- sen är tillämplig.
Sammanfattande slutsatser
Utgångspunkten bör enligt utredningens mening vara att uppgifter i Edes kan anses förvarade hos och därmed bli allmänna handlingar hos de svenska myndigheter som använder Edes. Det bedöms inte vara troligt men kan inte uteslutas att uppgifter som finns i Edes kan komma att omfattas av biblioteksregeln och därmed inte anses utgöra allmänna handlingar. Den så kallade begränsningsregeln kan
285
Behovet av åtgärder | SOU 2025:112 |
också bli aktuell när det gäller sammanställningar som myndigheten saknar befogenhet att göra tillgängliga, med följden att sådana sam- manställningar inte anses vara förvarade hos myndigheten. Det är utlämnande myndighet som har att göra bedömningen i en utläm- nandesituation.
8.6.3Finns det behov av sekretesskydd för uppgifter som finns i Edes?
Utredningens bedömning: Det kan finnas behov av sekretess- skydd för uppgifter som svenska myndigheter får tillgång till vid ett användande av Edes. Det kommer inte i någon större utsträck- ning finnas behov av sekretess till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisatio- ner. De behov som har identifierats är främst följande.
•Behov att kunna hemlighålla uppgifter för att myndigheternas arbete med kontroller och granskning inte ska motverkas
•Behov att kunna hemlighålla uppgift om en enskilds affärs- eller driftförhållanden med mera i tillsynsverksamhet och liknande
•Behov att kunna hemlighålla uppgifter om personliga förhål- landen, särskilt för förföljda personer.
Skälen för utredningens bedömning
Inledning
Som framgår ovan bedömer utredningen att skyldigheten för svenska myndigheter att använda Edes enligt budgetförordningen inte om- fattar någon skyldighet att lämna uppgifter som ska tillföras Edes- databasen. Det ligger därför utanför utredningens uppdrag att be- döma behovet av sekretess när det gäller den skyldighet som svenska myndigheter kan ha enligt sektorsspecifika regler att lämna uppgif- ter som eventuellt tillförs Edes (jfr avsnitt 4.6 och 6.2.6).
Behovet av sekretess behöver dock bedömas när det gäller svenska myndigheters tillgång till uppgifter i Edes. Som konstateras i föregå-
286
SOU 2025:112 | Behovet av åtgärder |
ende avsnitt kan uppgifter i Edes komma att bli allmänna handlingar hos de myndigheter som använder systemet. Om det inte finns någon tillämplig sekretessbestämmelse kommer därför svenska myndig- heter vara skyldiga att på begäran lämna ut uppgifterna. I detta av- snitt behandlas frågan om huruvida det finns behov av sekretess- skydd för dessa uppgifter.
Vilken ledning kan dras av budgetförordningen och andra relevanta källor?
Budgetförordningen innehåller inte några bestämmelser som tar di- rekt sikte på frågor om offentlighet och sekretess vid enheter som deltar i genomförandet av budgeten för uppgifter som finns i Edes. Vissa bestämmelser finns som kan sägas ge uttryck för att uppgifter som rör Edes bör behandlas med försiktighet, men det synes då främst ta sikte på kommissionens åtgärder att tillhandahålla information som en del av sin årsrapport till Europaparlamentet (artikel 144.6 andra stycket) och på publicering av uppgifter på kommissionens webbplats (artikel 142.2). Dessa bestämmelser bedöms alltså inte rikta sig till medlemsstaterna eller deras myndigheter.
Som utvecklas i avsnitt 8.5.3 ger budgetförordningen i stället på flera ställen uttryck för nödvändigheten av transparens i arbetet med att genomföra EU:s budget. Budgetförordningen innehåller regler som tar sikte på dataskydd och vem som ska få åtkomst till uppgif- terna. Att uppgifter i Edes ska behandlas i enlighet med rätten till integritet och övriga rättigheter som fastställs i dataskyddsförord- ningen för EU:s institutioner framgår av artikel 144.1 första stycket i budgetförordningen.
Enligt artikel 144.5 första stycket ska alla personer och enheter som deltar i genomförandet av budgeten i enlighet med artikel 62 av kommissionen beviljas tillgång till uppgifterna om beslut om ute- slutning enligt artikel 138. Som utvecklas i avsnitt 6.2.7 bedömer utredningen att svenska myndigheters tillgång till uppgifter i Edes- databasen kan vara begränsad till uppgifter om uteslutning på vissa grunder.
I personuppgiftspolicyn för Edes (som nämns i avsnitt 6.2.6) finns det skrivningar om krav på konfidentialitet som träffar bland andra externa experter knutna till kommissionen som deltar i utveckling och underhåll av Edes. Av skrivningarna framgår att sådana aktörer
287
Behovet av åtgärder | SOU 2025:112 |
är bundna av skyldigheter som rör konfidentialitet med mera. Några liknande skrivningar om att mottagare av uppgifter från Edes är bundna av skyldigheter som rör konfidentialitet finns inte beträffande den tillgång till uppgifter som medlemsstater har.
Personuppgiftspolicyn för Edes innehåller också information om till vilka aktörer och under vilka förutsättningar som kommissionen överför personuppgifter till vissa mottagare i tredjeländer eller till internationella organisationer. Det anges att uppgifter överförs base- rat på särskilda bestämmelser i överenskommelser med mera. Det anges också att informationen som kommissionen samlar in inte ska lämnas till någon tredje part, om det inte finns någon rättslig skyldig- het att göra detta. Denna sistnämnda skrivning nämns särskilt i utred- ningens direktiv i samband med uppdraget att utreda om det finns behov av skydd för uppgifter vid användning av Edes. Utredningen uppfattar att denna skrivning i personuppgiftspolicyn för Edes tar sikte på att kommissionen beskriver att de inte lämnar ifrån sig upp- gifter i Edes annat än när det finns en rättslig skyldighet att göra det, och att skrivningen inte i sig innebär några skyldigheter för eller för- väntningar på nationella myndigheter i medlemsstaterna att hantera uppgifter på ett särskilt sätt eller att säkerställa något särskilt skydd för uppgifterna.
Utredningen har frågat Edes-teamet vid kommissionen om med- lemsstater eller deras myndigheter får eller kommer att få tillgång till uppgifter genom Edes som behöver hållas hemliga, men inte fått några klargörande svar.12
Sammantaget konstaterar utredningen att såväl budgetförord- ningen som personuppgiftspolicyn för Edes innehåller skrivningar som kan sägas ge uttryck för att uppgifter i Edes bör behandlas med försiktighet, men att de inte utgör några konkreta bestämmelser eller skrivningar om att vissa uppgifter ska kunna beläggas med sekretess.
Utredningens överväganden och slutsatser
Svenska myndigheter kommer genom Edes-databasen att få tillgång till uppgifter om fall som avser uteslutning. Se avsnitt 6.2.6 för en närmare beskrivning av vilka uppgifter som kan finnas i Edes. Det kan inte uteslutas att det i Edes kan förekomma uppgifter där det
12Komm2025/00388-7 och Komm2025/00388-8.
288
SOU 2025:112 | Behovet av åtgärder |
finns ett behov av sekretess. Enligt utredningen kan det främst finnas behov av sekretesskydd i följande avseenden, vilka kort utvecklas nedan.
•Behov att kunna hemlighålla uppgifter för att myndigheternas arbete med kontroller och granskning inte ska motverkas
•Behov att kunna hemlighålla uppgift om en enskilds affärs- eller driftförhållanden med mera i tillsynsverksamhet och liknande
•Behov att kunna hemlighålla uppgifter om personliga förhållan- den, särskilt för förföljda personer.
Det kan finnas behov av sekretess för uppgifter i Edes till skydd för allmänna intressen. Beträffande Edes har utredningen inte identifi- erat något tydligt behov av sekretess för att Sveriges möjlighet att delta i samarbetet inom EU inte ska försämras. Även om det i bud- getförordningen och personuppgiftspolicyn för Edes förekommer generella skrivningar om att uppgifter i Edes ska hanteras med om- sorg har det inte getts uttryck för något tydligt önskemål om sek- retess hos medlemsstater som genomför budgeten beträffande några uppgifter i Edes. Ett sådant behov av sekretess kan dock inte helt uteslutas, eftersom det från EU:s sida ändå på olika sätt har getts uttryck för att uppgifter i Edes bör hanteras på ett omsorgsfullt sätt.
Ett behov av sekretesskydd i det allmännas intresse skulle kunna ta sikte på exempelvis uppgifter om projekt som har betydelse för Sveriges tillgång till livsmedel under kris- och krigstider och annat som rör Sveriges försvarsförmåga.
Det kan också finnas behov att sekretessbelägga uppgifter för att myndigheternas arbete med kontroller och granskning inte ska mot- verkas. I sammanhanget kan erinras om att information ska undan- tas från offentliggörande på kommissionens webbsida om det är nöd- vändigt att bevara konfidentialiteten i en utredning eller i nationella rättsliga förfaranden (artikel 142.2 i budgetförordningen).
Det kan också finnas behov av sekretess till skydd för uppgift om enskildas ekonomiska förhållanden. Det kan inte uteslutas att uppgif- ter om enskildas affärs- eller driftförhållanden kan ingå bland de upp- gifter som svenska myndigheter får tillgång till genom Edes. Det kan handla exempelvis om avtal och affärshemligheter. Det skulle även kunna förekomma uppgifter om total projektkostnad, vilka skulle kunna vara skyddsvärda för näringsidkare i vissa fall. I vilken
289
Behovet av åtgärder | SOU 2025:112 |
utsträckning sådana uppgifter kan förekomma i Edes bedöms vara oklart. I allmänhet bör uppgifterna där – till exempel om grunderna för beslut om uteslutning – kunna utformas på ett sätt så att sådana uppgifter inte röjs.
Det kan inte heller uteslutas att det kan finnas behov av sekretess- skydd för enskildas personliga förhållanden. Edes kan innehålla upp- gifter om bland andra stödmottagare och personer i ledningen för ett företag. Uppgifterna i Edes kan röra exempelvis namn, adress och identifikationsnummer. Risken för att svenska myndigheter får till- gång till skyddsvärd information av detta slag genom Edes bedöms vara begränsad. Behov av sekretess kan dock finnas även för sådana i regel harmlösa uppgifter för förföljda personer.
Det kan inte uteslutas att det kan finnas behov av skydd för upp- gifter även om andra personliga förhållanden, exempelvis om det finns en risk att personuppgifter behandlas i strid mot personuppgifts- regelverket efter ett eventuellt utlämnande. I detta sammanhang kan särskilt nämnas uppgifter om brott och överträdelser (jfr artikel 10 i dataskyddsförordningen).
Det kan slutligen konstateras att det – bland annat eftersom syste- met kan komma att förändras – kan vara svårt att förutse vilka upp- gifter som kommer att finnas i Edes och därmed vilka ytterligare be- hov av sekretesskydd som kan uppstå.
8.6.4Vilket skydd ger gällande sekretessreglering för allmänna intressen?
Utredningens bedömning: För det fall att uppgifter i Edes skulle aktualisera behov av sekretess till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisatio- ner är gällande sekretessbestämmelser tillräckliga.
När det gäller behov av sekretess till skydd främst för myndig- heters verksamhet för inspektion, kontroll eller annan tillsyn är gällande sekretessbestämmelser tillräckliga.
290
SOU 2025:112 | Behovet av åtgärder |
Skälen för utredningens bedömning
Utrikessekretess – 15 kap. 1 § OSL
Utredningen har inte identifierat något behov av att sekretessbelägga uppgifter för att Sveriges förbindelser med annan stat eller mellan- folklig organisation inte ska störas. Om ett sådant behov skulle upp- stå kan det finnas utrymme att sekretessbelägga uppgiften enligt 15 kap. 1 § OSL om utrikessekretess.
Sekretess i det internationella samarbetet – 15 kap. 1 a § OSL
Utredningen har inte identifierat något tydligt behov av sekretess för att Sveriges möjlighet att delta i samarbetet kring Edes inte ska försämras om uppgifter röjs. Om ett sådant behov skulle uppstå kan det finnas utrymme att använda 15 kap. 1 a § OSL.
Enligt 15 kap. 1 a § OSL gäller sekretess för uppgift som en myn- dighet har fått från ett utländskt organ på grund av en bindande EU- rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller med en mellanfolklig organisation, om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs.
Från och med den 1 januari 2028 blir det obligatoriskt att använda Edes inom ramen för samtliga förvaltningsformer. Svenska myndig- heters tillgång till uppgifterna i Edes kommer då att ske på grund av budgetförordningen, som är en bindande EU-rättsakt. Det kriteriet i paragrafen är alltså uppfyllt.
Budgetförordningen innehåller inte någon bestämmelse om sek- retess för uppgifter i Edes, något som inte heller krävs enligt orda- lydelsen i 15 kap. 1 a § OSL. På motsvarande sätt som beskrivs be- träffande Arachne (se avsnitt 8.5.4) kan det argumenteras för att
15 kap. 1 a § är tillämplig, trots att det inte finns någon bestämmelse om sekretess. Det skulle då vara möjligt att belägga uppgifter i Edes med sekretess om det skulle kunna antas att Sveriges möjlighet att delta i det internationella samarbetet kring Edes försämras om upp- giften röjs. Det kan sägas att det i budgetförordningen förutsätts ett internationellt samarbete mellan medlemsländerna och kommis- sionen när det gäller Edes.
291
Behovet av åtgärder | SOU 2025:112 |
Det är dock också möjligt att göra en annan bedömning i denna fråga. Det anges i förarbetena att – även om det inte utesluts av dess ordalydelse – bestämmelsen normalt aktualiseras bara i situationer då avtalet eller EU-rättsakten innehåller en tydlig sekretessbestäm- melse (prop. 2012/13:192 s. 35).
Det är alltså inte säkert att några uppgifter kan beläggas med sek- retess enligt 15 kap. 1 a § OSL. Under alla förhållanden måste det göras en bedömning i det enskilda fallet om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rätts- akten försämras om uppgiften röjs. Som nämns har dock utredningen inte heller identifierat något tydligt behov av att sekretessbelägga uppgifter i det syftet.
Utrikessekretess vid direktåtkomst – 15 kap. 1 b § OSL
Det gäller absolut sekretess för uppgifter som en myndighet har elek- tronisk tillgång till i en upptagning för automatiserad behandling hos en annan stat eller mellanfolklig organisation, om myndigheten inte får behandla uppgiften enligt en bindande EU-rättsakt eller ett av Sverige eller EU ingånget avtal med en annan stat eller mellanfolk- lig organisation. Det följer av 15 kap. 1 b § OSL, som behandlas när- mare i avsnitt 8.5.4.
För att bestämmelsen ska vara tillämplig på Edes krävs att det finns ändamålsbegränsningar, sökbegränsningar eller liknande i en bindande EU-rättsakt eller ett av Sverige eller EU ingånget avtal.
Budgetförordningen är en bindande rättsakt. Svenska myndigheters tillgång till uppgifter bedöms vara begränsad till beslut om uteslut- ning på vissa grunder (se vidare avsnitt 6.2.7). Även om det fram- står som naturligt att Edes kommer att innehålla tekniska sökbe- gränsningar som innebär att användare inte får tillgång till annat än vad de har rätt att få del av är det oklart exakt hur sökbegränsning- arna ser ut och kommer att se ut i Edes och i vilken mån det kommer att vara möjligt för svenska myndigheter att få tillgång till uppgifter som de inte har rätt att behandla. Om så skulle vara fallet skulle
15 kap. 1 b § OSL möjligen kunna tillämpas på de uppgifter som om- fattas av gällande åtkomstbegränsningar.
292
SOU 2025:112 | Behovet av åtgärder |
Försvarssekretess – 15 kap. 2 § OSL
En särskild fråga är om svenska myndigheter genom Edes skulle få tillgång till uppgifter som det finns anledning att hemlighålla för att skydda försvarsintressen. I 15 kap. 2 § OSL regleras försvarssekre- tessen, som behandlas i avsnitt 8.5.4.
Bland de uppgifter som kan finnas i Edes finns grunderna för be- slut om uteslutning. Det är oklart för utredningen exakt vilka uppgif- ter som därvid kommer att vara tillgängliga för svenska myndigheter. I förhållandena bakom ett stödprojekt kan det finnas information som omfattas av försvarssekretess enligt 15 kap. 2 § OSL. Utredningen bedömer att grunderna för en uteslutning i allmänhet bör kunna anges på ett sådant sätt att försvarshemligheter inte röjs. Det fram- står mot den bakgrunden inte som sannolikt att det i Edes kommer att finnas uppgifter som omfattas av bestämmelsen. Skulle sådana uppgifter ändå finnas i Edes kan de sekretessbeläggas enligt 15 kap. 2 § OSL, om skaderekvisitet anses vara uppfyllt i det enskilda fallet.
Förberedelser för inspektion, revision eller annan granskning – 17 kap. 1 § OSL
De uppgifter som en svensk myndighet tar del av genom Edes skulle kunna vara av betydelse exempelvis inom ramen för förberedelser inför en granskning som tar sikte på återbetalning av felaktigt utbe- talat stöd. Det bör i sådana situationer kunna finnas utrymme att sekretessbelägga uppgifterna enligt 17 kap. 1 § OSL (som behand- las närmare i avsnitt 8.5.4), om syftet med granskningsverksamheten motverkas om uppgiften röjs.
Dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga utbetalningar – 17 kap. 1 b § OSL
Enligt sekretessbestämmelsen i 17 kap. 1 b § OSL gäller sekretess för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga utbetalningar, om det kan antas att det allmännas syfte med verksamheten motverkas om uppgiften röjs. Den behandlas närmare i avsnitt 8.5.4. Enligt utredningen kommer de uppgifter som erhålls
293
Behovet av åtgärder | SOU 2025:112 |
genom Edes i allmänhet inte att avse sådana metoder, modeller och riskfaktorer som avses i bestämmelsen och den bedöms därför inte vara relevant när det gäller Edes.
Sammanfattande överväganden och slutsatser
Som utvecklas ovan bedömer utredningen att det inte i någon större utsträckning kommer att finnas uppgifter som behöver sekretess- beläggas med anledning av intresset av skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer. I den mån sådana uppgifter förekommer i Edes bedöms gällande sek- retessbestämmelser vara tillräckliga.
När det gäller behov av sekretess till skydd främst för myndig- heters verksamhet för inspektion, kontroll eller annan tillsyn bedömer utredningen att gällande sekretessbestämmelser är tillräckliga.
8.6.5Vilket skydd ger gällande sekretessreglering för enskildas personliga och ekonomiska förhållanden?
Utredningens bedömning: De behov som utredningen har iden- tifierat när det gäller sekretess till skydd för enskildas personliga och ekonomiska intressen kan tillgodoses genom gällande sekre- tessbestämmelser.
Uppgifter om enskildas affärs- eller driftförhållanden vid till- syn, stödverksamhet och liknande har ett tillräckligt skydd genom 30 kap. 23 § OSL.
Skyddet för förföljda personer har ett tillräckligt skydd genom
21 kap. 3 § OSL. Därtill ger 21 kap. 7 § OSL ett skydd i de fall det kan antas att en uppgift efter ett utlämnande kommer att behand- las i strid med dataskyddsregelverket.
294
SOU 2025:112 | Behovet av åtgärder |
Skälen för utredningens bedömning
Uppgift om enskilds affärs- eller driftförhållanden vid tillsyn, stödverksamhet och liknande – 30 kap. 23 § OSL
Det kan inte uteslutas att uppgifter om enskildas affärs- eller drift- förhållanden kan ingå bland de uppgifter som svenska myndigheter får tillgång till genom Edes. Det kan handla exempelvis om avtal och affärshemligheter. För det fall att sådana uppgifter i undantagsfall skulle förekomma omfattas de av tillämpningsområdet för 30 kap. 23 § OSL (se vidare avsnitt 8.5.5).
För att en uppgift ska kunna beläggas med sekretess krävs vidare att skaderekvisitet är uppfyllt, vilket är fallet om det kan antas att den enskilde lider skada om uppgiften röjs.
Behovet av sekretess till skydd för enskild i verksamhet som avser tillsyn med mera i fråga om näringslivet bedöms vara tillräckligt till- godosett genom 30 kap. 23 § OSL.
Sekretess till skydd för förföljda personer
I Edes kan det förekomma uppgifter om adress och andra kontakt- uppgifter rörande fysiska personer. Enligt 21 kap. 3 § första stycket OSL gäller sekretess för uppgift om enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadigvarande eller tillfälligt, den enskildes telefonnummer, e-post- adress eller annan jämförbar uppgift som kan användas för att komma i kontakt med denne. Enligt bestämmelsens skaderekvisit krävs att det av särskild anledning kan antas att den enskilde eller någon när- stående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs. Utredningen anser att 21 kap. 3 § första stycket OSL innebär ett tillräckligt skydd för förföljda per- soner för uppgifter om adress och liknande.
Behovet av sekretess till skydd för uppgift om enskilds person- liga förhållanden när det gäller förföljda personer bedöms vara till- godosett genom gällande reglering.
295
Behovet av åtgärder | SOU 2025:112 |
Behandling i strid med dataskyddsregleringen
Sekretess enligt 21 kap. 7 § OSL skulle kunna aktualiseras om det kan antas att uppgifter i Edes efter ett utlämnande kommer att behandlas i strid med dataskyddsregelverket. Bestämmelsen innebär att även om en uppgift inte omfattas av sekretess enligt någon annan bestäm- melse i offentlighets- och sekretesslagen, omfattas den av sekretess om det kan antas att den efter ett utlämnande kommer att behandlas i strid med till exempel dataskyddsförordningen eller dataskydds- lagen. Bestämmelsen behandlas närmare i avsnitt 7.1.7 och 8.5.5.
Om det kan antas att de krav som gäller för att personuppgifter i Edes ska få behandlas inte följs efter det att personuppgiften har lämnats ut, till exempel avseende för vilka ändamål som uppgifterna får behandlas, omfattas uppgiften av sekretess och ska inte lämnas ut. Denna bestämmelse skulle således enligt utredningen kunna aktu- aliseras i vissa fall.
Utredningens överväganden om behov av åtgärder på dataskydds- området för ett användande av Edes behandlas i avsnitt 8.6.7.
Sammanfattande överväganden och slutsatser
De behov som utredningen har identifierat när det gäller sekretess till skydd för enskildas personliga och ekonomiska intressen bedöms kunna tillgodoses genom gällande sekretessbestämmelser. Uppgif- ter om enskildas affärs- eller driftförhållanden vid tillsyn, stödverk- samhet och liknande bedöms ha ett tillräckligt skydd genom 30 kap. 23 § OSL. Skyddet för förföljda personer bedöms vara tillräckligt genom 21 kap. 3 § OSL. Därtill ger 21 kap. 7 § OSL ett skydd i de fall det kan antas att en uppgift efter ett utlämnande kommer att be- handlas i strid med dataskyddsregelverket. Gällande sekretessbestäm- melser bedöms ge ett tillräckligt skydd för uppgifter som svenska myndigheter kan få tillgång till genom Edes.
296
SOU 2025:112 | Behovet av åtgärder |
8.6.6Det krävs inte författningsändringar på sekretessområdet för användande av Edes
Utredningens bedömning: Det finns inte behov av någon ny sekretessreglering med anledning av svenska myndigheters an- vändande av Edes.
Skälen för utredningens bedömning: Som framgår ovan bedömer utredningen att befintlig sekretessreglering är tillräcklig för att till- godose identifierade sekretessbehov när det gäller uppgifter som svenska myndigheter kan komma att få tillgång till genom Edes. Det kan inte uteslutas att det i Edes kan förekomma uppgifter som inte skyddas av sekretess. Det kan handla om uppgifter som omfattas av befintliga sekretessbestämmelsers tillämpningsområde men där en prövning av tillämplig bestämmelses skaderekvisit i det enskilda fallet inte leder till att en uppgift kan hemlighållas. Att sådana uppgifter ska lämnas ut beror då på intresseavvägningar som lagstiftaren redan har gjort mellan behovet av sekretess och insynsintresset. Inte heller det förhållandet att det kan finnas en risk för att det kommer att upp- stå behov av sekretesskydd som inte har kunnat förutses kan enligt utredningen motivera att ny sekretessreglering införs. För att det ska vara motiverat att göra undantag från det grundlagsskyddade insyns- intresset bör det krävas mer konkreta risker för olägenheter om upp- gifter röjs.
Sammanfattningsvis gör utredningen bedömningen att det inte krävs någon ny sekretessreglering för att svenska myndigheter ska kunna använda Edes.
297
Behovet av åtgärder | SOU 2025:112 |
8.6.7Det krävs inte författningsändringar på dataskyddsområdet för användande av Edes
Utredningens bedömning: Svenska myndigheters användning av Edes-databasen kräver inga författningsändringar på dataskydds- området.
Skälen för utredningens bedömning
Inledning
I avsnitt 7.2 redogör utredningen för gällande rätt på dataskyddsom- rådet, bland annat för kravet på rättslig grund och de grundläggande principerna för att en personuppgiftsbehandling ska vara laglig.
I detta avsnitt gör utredningen bedömningar av om befintligt data- skyddsregelverk är tillräckligt för den personuppgiftsbehandling som kommer att aktualiseras vid en användning av Edes eller om det krävs författningsändringar. Härvid lyfts vissa dataskyddsrättsliga frågor särskilt. Vidare görs i detta avsnitt delvis en kartläggning av skyddet för personuppgifter i Edes-databasen. Skyddet för personuppgifter behandlas också i den samlade integritetsanalysen i kapitel 9.
Budgetförordningens reglering om dataskydd som rör Edes och andra relevanta källor
Det finns flera bestämmelser i budgetförordningen om Edes som avser skyddet för personuppgifter. Dessa tar inte sikte på medlems- staters eller deras myndigheters behandling av personuppgifter, då det är kommissionen som för in uppgifter i Edes-databasen och dri- ver systemet. Enligt artikel 144.1 första stycket ska uppgifter som utbyts inom ramen för Edes och som centraliseras i databasen som inrättats av kommissionen behandlas i enlighet med rätten till integ- ritet och övriga rättigheter som fastställs i dataskyddsförordningen för EU:s institutioner.
I det register över personuppgiftsbehandling som EU:s data- skyddsombud för finns en beskrivning av personuppgiftsbehand-
298
SOU 2025:112 | Behovet av åtgärder |
lingen för Edes13. I denna beskrivs ändamålen med behandlingen, hur och vilka personuppgifter som behandlas, längsta tid för behand- ling, vilka som får tillgång till uppgifter, säkerhetsåtgärder och infor- mation till enskilda om deras rättigheter.
Personuppgiftspolicyn för Edes innehåller beskrivningar av var- för och hur kommissionen behandlar personuppgifter, vilken rättslig grund som behandlingen vilar på, vilka personuppgifter som kommis- sionen samlar in och behandlar vidare, hur länge kommissionen lag- rar personuppgifterna och skyddar dem samt vilka som har tillgång till uppgifterna. Det finns också beskrivningar av den enskildes rättig- heter och hur dessa kan utövas, samt hänvisningar till var mer infor- mation kan hittas.
Kommissionen har också en webbsida för Edes.14
Rättslig grund för behandlingen
Den 1 januari 2028 blir det obligatoriskt att tillämpa Edes vid hanter- ing av samtliga EU-stöd, förutom avseende RRF. Utredningen be- dömer att det för de myndigheter som omfattas av skyldigheten att verkställa beslut om uteslutning kommer att finnas rättslig grund för nu aktuell personuppgiftsbehandling enligt grunden fullgöra en rättslig förpliktelse (artikel 6.1 c i dataskyddsförordningen och 2 kap. 1 § dataskyddslagen). För att kunna kontrollera om det finns beslut om uteslutning behöver berörda myndigheter konsultera databasen. En sökning på till exempel den stödsökande kan ge en träff som inne- håller personuppgifter. Den stödsökande kan också vara en enskild firma. Enligt utredningens mening innebär detta att det är nödvän- digt att behandla personuppgifter.
Även den rättsliga grunden att utföra en uppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen och 2 kap. 2 § dataskydds- lagen) kommer enligt utredningens mening att vara tillämplig. Edes- databasen kan komma att användas av svenska myndigheter både en- ligt skyldigheter och på frivillig väg, men i båda fallen med grund i budgetförordningen. Utredningen bedömer på samma grunder som
13Record for processing of personal data, Title: Entry of a Data Subject in the Early Detection and Exclusion System (EDES-DB), Reference DPR-EC-04410.2, publicerad den 8 februari 2022. https://ec.europa.eu/dpo-register/detail/DPR-EC-04410. Hämtat 2025-10-29.
14https://commission.europa.eu/strategy-and-policy/eu-budget/how-it-works/annual- lifecycle/implementation/anti-fraud-measures/edes_sv. Hämtat 2025-11-02.
299
Behovet av åtgärder | SOU 2025:112 |
framgår av avsnitt 8.2.6 och 8.5.8 att berörda myndigheters använd- ning av Edes-databasen rör sig om ett allmänt intresse och att den personuppgiftsbehandling som den kan medföra som utgångspunkt är att anse som nödvändig.
Utredningen bedömer att de rättsliga grunderna kan uppfylla kraven på tydlighet och precision samt på en förutsebar tillämpning för de personer som omfattas av dem. Utredningen utgår också från att unionsrätten är förenlig med Europakonventionen och uppfyller kravet på proportionalitet i artikel 6.3 i dataskyddsförordningen. För en samlad integritetsanalys, se kapitel 9.
Att det finns rättslig grund för den förväntade personuppgifts- behandlingen innebär att det inte genom författning behöver skapas några nya rättsliga grunder.
Principerna i artikel 5 i dataskyddsförordningen
I avsnitt 7.2.5 redogör utredningen för principerna i artikel 5.1 i data- skyddsförordningen och för att det är den personuppgiftsansvarige som ska säkerställa att principerna efterlevs. Utredningen gör så långt det är möjligt bedömningar avseende möjligheten att efterleva prin- ciperna.
På samma grunder som anges i avsnitt 8.2.6 utgår utredningen från att de myndigheter som kommer att behandla personuppgifter upp- fyller principen om laglighet, korrekthet och öppenhet, principen om integritet och konfidentialitet samt principen om riktighet. Även om det här är fråga om svenska myndigheters ansvar att efterleva principerna i artikel 5 i dataskyddsförordningen och budgetförord- ningen och andra relevanta källor i flera delar avser kommissionens ansvar, kan källorna ändå ge svenska myndigheter viss vägledning i fråga om principerna. Vad gäller sistnämnda princip anges i budget- förordningen att om några uppgifter har rättats, utplånats eller änd- rats ska uppgifterna i Edes-databasen uppdateras, där så är lämpligt (artikel 144.1 fjärde stycket).
Vad gäller principen om ändamålsbegränsning framgår ändamålet med en användning av Edes av till exempel artikel 137.1 i budgetför- ordningen. Detta är en generell beskrivning och avser inte specifikt personuppgiftsbehandling eller användningen av databasen. Syftet med systemet är att göra det lättare att
300
SOU 2025:112 | Behovet av åtgärder |
•tidigt upptäcka personer eller enheter som är ett hot mot unio- nens ekonomiska intressen,
•utesluta personer eller enheter som befinner sig i en uteslutnings- situation från att ta del av EU-medel,
•ålägga ekonomiska sanktioner mot mottagare av EU-medel.
När det gäller ändamålet med Edes-databasen finns en beskrivning i skäl 132: Information om tidig upptäckt av risker och om beslut om uteslutning och åläggande av ekonomiska sanktioner för en per- son eller enhet bör sammanföras centralt och för detta ändamål bör tillhörande uppgifter lagras i en databas som inrättas och drivs av kommissionen som ägare av det centraliserade systemet.
Även personuppgiftspolicyn för Edes och beskrivningen av per- sonuppgiftsbehandlingen beskriver ändamålen med behandlingen av personuppgifter i Edes.
När det gäller principerna om uppgifts- och lagringsminimering framgår av budgetförordningen i stor utsträckning vilka uppgifter som Edes ska innehålla och i viss mån också hur länge som uppgifter ska behandlas. Då det är kommissionen som driver Edes-databasen och svenska myndigheter inte för in uppgifter direkt i databasen, råder inte svenska myndigheter över dess innehåll. Utgångspunkten bör dock enligt utredningens mening vara att de uppgifter som finns i Edes-databasen motsvaras av vad som behövs för att Edes ska kunna fungera på ett ändamålsenligt sätt.
När det gäller längsta tid för behandling finns i artikel 144.4 tredje stycket reglerade lagringstider för uppgifter avseende vissa situatio- ner. När det gäller uppgifter om tidig upptäckt som lämnas i enlig- het med artikel 144.3 får lagringstiden inte överstiga ett år. Om den behöriga utanordnaren under den perioden begär att panelen ska ut- färda en rekommendation i ett fall som avser uteslutning eller ekono- miska sanktioner får lagringstiden förlängas fram till dess att den be- höriga utanordnaren har fattat ett beslut. Även i beskrivningen av personuppgiftsbehandlingen och personuppgiftspolicyn för Edes finns närmare angivelser om längsta tid för behandling av uppgifter. Det finns således anvisningar som rör lagringsminimering.
Det ovanstående innebär att den reglering som finns bedöms vara tillräcklig och att det inte finns skäl att överväga några författnings-
301
Behovet av åtgärder | SOU 2025:112 |
ändringar som tar sikte på att uppfylla principerna i artikel 5 i data- skyddsförordningen.
Känsliga personuppgifter
I avsnitt 6.2.6 beskrivs vilka slags uppgifter som Edes-databasen kan innehålla och som svenska myndigheter kan förväntas få del av. Av beskrivningen framkommer inte något som kan anses som känsliga personuppgifter. I beskrivningen av personuppgiftsbehandlingen för Edes, som utgår från regleringen om Edes enligt den tidigare budget- förordningen, anges det inte vara aktuellt med känsliga personupp- gifter.
För det fall det ändå skulle bli aktuellt att behandla känsliga per- sonuppgifter inom ramen för Edes kan det erinras om att det finns undantag från förbudet mot behandling av sådana uppgifter. I av- snitt 8.2.6 beskriver utredningen närmare de tre undantagssituatio- nerna i 3 kap. 3 § första stycket dataskyddslagen, som tar sikte på behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse.
En första fråga är om undantagssituationen som avser att uppgif- terna har lämnats till myndigheten och behandlingen krävs enligt lag kan bli aktuell vid ett användande av Edes. I aktuella fall kommer be- rörd myndighet att ta del av uppgifter genom att konsultera en data- bas som ägs av kommissionen. Utredningen gör bedömningen att detta bör likställas med att uppgifter lämnas till myndigheten. Detta ligger i linje med de bedömningar som utvecklas i avsnitt 8.6.2 om att mycket talar för att det kan bli fråga om direktåtkomst till uppgif- ter i Edes. Frågan, om uppgifterna kan anses ha lämnats till myndig- heten, behöver dock bedömas av myndigheten som har att behandla personuppgifterna.
Härutöver ska behandlingen krävas enligt lag. Enligt förarbetena klargör bestämmelsen att det är tillåtet att utföra sådan behandling som krävs i myndigheternas verksamhet som en direkt följd av framför allt offentlighets- och sekretesslagens och förvaltningslagens bestämmel- ser om hur allmänna handlingar ska hanteras (prop. 2017/18:105 s. 194). Den behandling som här är i fråga kan inte sägas vara en di- rekt följd av sådana bestämmelser. Behandlingen är i stället en följd av budgetförordningen. Det kommer att vara nödvändigt att konsul-
302
SOU 2025:112 | Behovet av åtgärder |
tera Edes-databasen, och om en myndighet därvid behöver kontrol- lera en uteslutningsgrund, som ger information som innehåller käns- liga personuppgifter, bör detta innebära att behandlingen krävs enligt budgetförordningen. EU-förordningar jämställs med lag vid tillämp- ningen av offentlighets- och sekretesslagen (prop. 2017/18:105
s. 130). Behandlingen bör därför enligt utredningen bedömas om- fattas av undantagsregelns ordalydelse och det kan konstateras att förarbetsuttalandet inte anger att uppräkningen av lagbestämmelser är uttömmande. Enligt utredningen talar mycket för att undantaget bör kunna vara tillämpligt vid ett användande av Edes. Det är den berörda myndigheten som har att bedöma om förutsättningar för behandling av känsliga uppgifter föreligger.
Den andra undantagssituationen, behandling som är nödvändig för handläggningen av ett ärende, skulle kunna aktualiseras i vissa fall. Den behandlas närmare i avsnitt 8.5.8. På samma grunder som anges i det avsnittet är det inte uteslutet att denna undantagsbestämmelse kan bli tillämplig. Det är den berörda myndigheten som har att be- döma om myndigheten har stöd för att ta del av känsliga person- uppgifter.
Den tredje undantagssituationen, att behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otill- börligt intrång i den registrerades personliga integritet, behandlas närmare i avsnitt 8.2.6 och 8.5.8. Behandling av känsliga personupp- gifter med stöd av denna undantagsbestämmelse skulle kunna bli aktu- ell vid användningen av Edes, då en stor del av myndigheternas kon- trollverksamhet kan ske utan att det är en del i ärendehandläggning. Utredningen anser att behandlingen bör kunna anses som nödvändig med hänsyn till ett viktigt allmänt intresse. Om ovan nämnda undan- tagsbestämmelser inte är tillämpliga, kan därmed denna i flera fall förväntas kunna ge stöd för behandling av känsliga personuppgifter.
En grundläggande användning av Edes-databasen är att myndig- heter ska söka i den. Sökförbudet i 3 kap. 3 § andra stycket data- skyddslagen, att det vid behandling som sker enbart med stöd av första stycket är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter, behandlas närmare i avsnitt 8.5.8. Myndigheterna borde inte ha något sakligt intresse av att få fram ett urval av personer grundat på känsliga per- sonuppgifter vid en behandling av uppgifter i Edes-databasen. Förut- sättningarna för att behandla känsliga personuppgifter behöver be-
303
Behovet av åtgärder | SOU 2025:112 |
dömas av den myndighet som vid en användning av Edes har för avsikt att utföra en viss sökning.
Det finns inte behov av författningsändringar när det gäller be- handling av känsliga personuppgifter.
Uppgifter om domar och lagöverträdelser
Edes-databasen kommer att innehålla uppgifter som rör domar och överträdelser och svenska myndigheter kommer vid sin användning av databasen att få tillgång till sådana uppgifter och behandla dem, till exempel genom läsning. Det framgår också av beskrivningen av personuppgiftsbehandlingen för Edes att sådana uppgifter kan före- komma i dag. Som framgår av artikel 10 i dataskyddsförordningen får personuppgifter som rör fällande domar i brottmål bara behandlas under kontroll av en myndighet eller när behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder för de registrerades rättigheter och friheter fast- ställs (se mer i avsnitt 8.5.8). Genom 3 kap. 8 § dataskyddslagen finns också stöd i nationell rätt för myndigheter att behandla personupp- gifter enligt artikel 10. Svenska myndigheter får därmed behandla sådana uppgifter.
Det finns därför inte behov av författningsändringar när det gäller behandling av uppgifter om domar och lagöverträdelser.
Uppgifter om personnummer
Som framgår av avsnitt 8.2.6 har personnummer och samordnings- nummer en särställning genom att medlemsstaterna har getts möj- lighet att införa särskilda villkor för behandlingen (artikel 87 i data- skyddsförordningen), vilket också har skett genom 3 kap. 10 § dataskyddslagen. Behandling av sådana uppgifter får ske utan sam- tycke om det är klart motiverat med hänsyn till ändamålet med be- handlingen, vikten av en säker identifiering eller något annat beak- tansvärt skäl.
Det kommer sannolikt att förekomma personnummer i Edes-data- basen, även om födelsedatum kan förväntas vara den vanligaste for- men av identifikationsuppgift inom EU. Utredningen bedömer att svenska myndigheters behandling av uppgifter om personnummer
304
SOU 2025:112 | Behovet av åtgärder |
och samordningsnummer i regel ska anses som förenlig med kraven i 3 kap. 10 § dataskyddslagen. Det är dock den berörda myndigheten som har att bedöma behovet.
Det finns inte behov av författningsändringar när det gäller be- handling av uppgifter om personnummer och samordningsnummer.
Personuppgiftsansvar
Det anges visserligen inte uttryckligen i budgetförordningen att kom- missionen är personuppgiftsansvarig för den personuppgiftsbehand- ling som sker i Edes-databasen, men att så är fallet framgår av flera för- hållanden. Det är kommissionen som inrättat och driver databasen. I budgetförordningen hänvisas såvitt gäller Edes till dataskyddsför- ordningen för EU:s institutioner. I personuppgiftspolicyn för Edes beskrivs kommissionen som den som samlar in och behandlar per- sonuppgifter vidare. Som kontaktuppgift till den personuppgiftsan- svarige anges vidare en funktionsbrevlåda hos kommissionen. Något gemensamt personuppgiftsansvar anges i beskrivningen av person- uppgiftsbehandlingen för Edes inte vara aktuellt.
Eftersom sökning och läsning är behandling av personuppgifter ansvarar dock de myndigheter som bereds tillgång till uppgifter i databasen för den behandlingen. Svenska myndigheter är person- uppgiftsansvariga för den behandling som de utför.
Det finns inte behov av författningsändringar när det gäller per- sonuppgiftsansvaret.
Enskildas rättigheter
Som framgår ovan är det kommissionen som för in uppgifter i Edes- databasen och som driver databasen. Dataskyddsförordningen för EU:s institutioner gäller vid personuppgiftsbehandling som sker i Edes och därmed gäller den förordningens bestämmelser om enskil- das rättigheter. Det finns också bestämmelser om enskildas rättig- heter direkt i budgetförordningen.
Det finns flera bestämmelser som tar sikte på enskildas rätt till information. Uppgifter om fall som avser tidig upptäckt, uteslutning eller ekonomiska sanktioner ska föras in i databasen av den behöriga utanordnaren, dock först efter att ha underrättat den berörda perso-
305
Behovet av åtgärder | SOU 2025:112 |
nen eller enheten. En sådan underrättelse kan skjutas upp under ex- ceptionella omständigheter (artikel 144.1 andra stycket i budget- förordningen). Kommissionen ska i vissa fall på begäran informera personer eller enheter om vilka uppgifter som lagrats i databasen med avseende på den personen eller enheten (artikel 144.1 tredje stycket). När det gäller offentliggörande av uteslutning och ekonomiska sanktioner ska den behöriga utanordnaren i enlighet med dataskydds- förordningen för EU:s institutioner informera den berörda perso- nen eller enheten om dennes rättigheter enligt bestämmelserna om
uppgiftsskydd och om vilka förfaranden som gäller för att utöva rättigheterna (artikel 142.1 femte stycket).
Dessa skyldigheter att informera är därmed inte lagda på med- lemsstaterna eller deras myndigheter.
I personuppgiftspolicyn för Edes finns information som tar sikte på bland annat rätten till rättelse (punkt 8). Den registrerade har rätt till rättelse om personuppgifterna inte är korrekta eller ofullständiga, och begäran om rättelse ska lämnas till den ansvariga utanordnaren. Rättigheterna rörande uppgifter i Edes-databasen kan också utövas genom att den registrerade kontaktar den personuppgiftsansvarige, dataskyddsombudet eller EDPS, vars kontaktuppgifter lämnas i samma dokument.
När svenska myndigheter behandlar personuppgifter i Edes-data- basen (söker och läser) gäller dataskyddsförordningens och data- skyddslagens bestämmelser om enskildas rättigheter (se närmare i avsnitt 8.2.6). Möjligheten för svenska myndigheter att tillgodose enskildas rättigheter när det gäller Edes är dock begränsad, då det är kommissionen som råder över systemets innehåll.
Utredningen har inte identifierat behov av ny reglering eller för- fattningsändringar när det gäller enskildas rättigheter.
Utlämnande till tredjeland
Enligt beskrivningen av personuppgiftsbehandlingen för Edes – som avser den tidigare budgetförordningen – kan personuppgifter komma att överföras till tredjeland. Denna överföring utförs inte av medlems- staternas myndigheter varför ansvaret för att överföringen är förenlig med dataskyddsregleringen ligger på kommissionen. I beskrivningen av personuppgiftsbehandlingen anges enligt vilka bestämmelser i
306
SOU 2025:112 | Behovet av åtgärder |
dataskyddsförordningen för EU:s institutioner som en överföring kan bedömas vara laglig.
Om en svensk myndighet avser att överföra uppgifter som den hämtar från Edes-databasen till tredjeland ankommer det på myn- digheten att bedöma om förutsättningarna enligt dataskyddsför- ordningen är uppfyllda, både när det gäller själva överföringen och den fortsatta behandling som överföringen innebär.
Sammanfattning av utredningens slutsatser
Utredningens bedömningar ovan kan sammanfattas så att det inte finns hinder i dataskyddshänseende mot att berörda myndigheter ska kunna utföra den personuppgiftsbehandling som en användning av Edes-databasen förväntas medföra och att det inte behövs några författningsändringar på dataskyddsområdet med anledning av en sådan behandling.
Befintlig dataskyddsreglering är tillräcklig. Som en följd av detta ser utredningen inte skäl att föreslå reglering i en ny registerlag eller annan dataskyddslagstiftning för att möjliggöra en ändamålsenlig per- sonuppgiftsbehandling i denna del. Utredningens bedömning inne- bär också att det inte behövs ändringar rörande dataskydd i annan reglering för att möjliggöra personuppgiftsbehandlingen.
Det bör observeras att utredningens bedömningar om förenlig- heten med dataskyddsregelverket inte kan avse behandlingen i det enskilda fallet. Det är den personuppgiftsansvarige som behöver säkerställa att den personuppgiftsbehandling som faktiskt utförs är förenlig med dataskyddsregleringen.
307
Behovet av åtgärder | SOU 2025:112 |
8.7Finns det behov av ytterligare åtgärder?
Utredningens bedömning: Det krävs inte några ändringar i be- rörda myndigheters instruktioner eller annan författning som reglerar myndigheternas uppdrag med anledning av de skyldig- heter som behandlas i detta betänkande. Några sådana ändringar krävs inte heller med anledning av det uppgiftslämnande som svenska myndigheter kan komma att göra på frivillig basis eller med anledning av ett användande av Arachne eller Edes på fri- villig basis.
Skälen för utredningens bedömning
Inte något behov av ändringar i myndighetsinstruktioner eller andra författningar
Budgetförordningen är direkt tillämplig och därmed är också de skyl- digheter som följer av den direkt tillämpliga. Det krävs därmed inte någon åtgärd på nationell nivå för att dessa skyldigheter ska gälla för svenska myndigheter. Det handlar här om skyldigheterna att till- gängliggöra uppgifter enligt artikel 36.6 i budgetförordningen, att säkerställa ett visst offentliggörande av uppgifter samt att använda Edes. Dessa skyldigheter börjar gälla från och med 2028.
Av myndigheternas instruktioner framgår i dag vilka uppdrag och uppgifter som myndigheterna har beträffande de olika EU-fonderna, se exempelvis 9 § förordningen (2009:1464) med instruktion för Sta- tens jordbruksverk och 1 § förordningen (2007:907) med instruktion för Rådet för Europeiska socialfonden i Sverige. Enligt utredningens bedömning kommer det att åligga myndigheterna att uppfylla skyl- digheterna i budgetförordningen inom ramen för de uppdrag de har enligt bland annat sina instruktioner. Det krävs därmed inte någon författningsändring för att myndigheterna ska ha de skyldigheter som är reglerade i budgetförordningen inom sina respektive områden.
När det gäller de situationer då myndigheterna har anledning att lämna uppgifter utan att det finns en rättslig skyldighet att göra det, kommer det inte att ske till följd av uttryckliga krav i någon EU- förordning eller svensk författning. På liknande sätt som utredningen anför i avsnitt 8.3.5 har myndigheterna dock en rättslig grund för
308
SOU 2025:112 | Behovet av åtgärder |
att lämna uppgifter som en del i sin uppgift att ha fungerande kon- trollsystem och säkerställa att EU-medel endast går till den som har rätt till det. Det krävs inte att en myndighets instruktion föreskriver ett uppgiftslämnande för att detta ska vara möjligt. Utredningen be- dömer att det inte finns behov av ändringar i berörda myndigheters instruktioner eller annan författning som reglerar myndigheternas uppgifter för att möjliggöra det frivilliga uppgiftslämnande som be- rörs i detta betänkande.
Utredningen bedömer att det inte heller finns behov av ändringar i berörda myndigheters instruktioner eller annan författning som reglerar myndigheternas uppgifter för att möjliggöra en användning av Arachne som verktyg. Inte heller krävs några sådana ändringar för att det ska vara möjligt för myndigheterna att – i förekommande fall – använda Edes på frivillig basis.
I sammanhanget kan också konstateras att det kan förväntas ske förändringar när det gäller organisationen av fonder på EU-nivå, som också medför ändringar av organisationen av förvaltningen av EU- medel på nationell nivå, exempelvis med nya svenska förordningar som gäller den kommande programperioden. Även om det skulle krä- vas ändringar i myndighetsinstruktioner för att peka ut de uppgifter som berörs i detta betänkande saknas det därför för närvarande för- utsättningar att lämna förslag i dessa delar.
Utredningen bedömer att det inte heller finns andra skäl för änd- ringar i berörda myndigheters instruktioner eller annan författning som reglerar myndigheternas uppgifter utifrån de frågor som behand- las i detta betänkande.
Interna myndighetsrutiner eller liknande kan dock behövas, vilket inte omfattas av denna utrednings uppdrag att utreda närmare.
Nationell administratör för Edes
En nationell administratör kan behöva utses för att Edes ska kunna användas i Sverige (se SOU 2024:22 s. 439). Den frågan ligger dock utanför utredningens uppdrag.
309
9 Samlad integritetsanalys
9.1Inledning
Som framgår av kapitel 8 lämnar utredningen inte några författnings- förslag när det gäller dataskydd och personuppgiftsbehandling, efter- som befintlig reglering bedöms vara tillräcklig. Det uppgiftslämnande till kommissionen och den användning av Arachne och Edes som budgetförordningen kräver eller möjliggör medför dock en utökad och ändrad personuppgiftsbehandling hos de berörda svenska myn- digheterna och innebär också att uppgifter som lämnas av svenska myndigheter kommer att få en större spridning än i dag. Motsva- rande kan ske om offentliggörande av uppgifter skulle bli aktuellt enligt artikel 38.4 tredje stycket i budgetförordningen.
I detta kapitel finns en integritetsanalys, som innefattar en samlad bedömning av integritets- och proportionalitetsaspekter av den för- väntade personuppgiftsbehandlingen. Detta kapitel kan därmed sägas också delvis behandla utredningens uppdrag att kartlägga skyddet för personuppgifter, utöver vad som redan följer av kapitel 7 och 8.
9.2Vad är personlig integritet och hur görs bedömningar om skyddet för den personliga integriteten?
Respekten för individens självbestämmande och integritet är grund- läggande i en demokrati. Någon enhetlig definition av begreppet personlig integritet finns inte. Regeringen uttalade dock i samband med den senaste utvidgningen av integritetsskyddet i regeringsfor- men att en rimlig utgångspunkt för bedömningen av behovet av ett utökat skydd för den personliga integriteten var att den skulle ske utifrån den enskildes intresse av att skydda information om sina
311
Samlad integritetsanalys | SOU 2025:112 |
personliga förhållanden (se prop. 2009/10:80 s. 175). Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid helt eller delvis automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar. Även rådande samhällsvärderingar kan ha påverkan på vilken reglering och begränsning av behandlingen av per- sonuppgifter som är nödvändig för att skydda den personliga integ- riteten (prop. 2005/06:173 s. 15).
Enligt artikel 35.1 i dataskyddsförordningen ska den personupp- giftsansvarige i vissa fall göra en konsekvensbedömning avseende dataskydd före behandlingen av personuppgifter. En konsekvens- bedömning behöver dock inte göras om en sådan redan har gjorts
i lagstiftningsarbetet (se närmare artikel 35.10).
I nu aktuellt fall måste det antas att integritetsanalyser och mot- svarande konsekvensbedömningar av den personuppgiftsbehandling som kommer att ske med anledning av budgetförordningen har ut- förts på EU-nivå (se också avsnitt 4.4). Det finns dock utrymme att göra vissa bedömningar avseende den förväntade påverkan på integri- teten genom en integritetsanalys även inom ramen för denna utred- nings uppdrag. En del i detta är att göra en värdering av eventuella risker som har identifierats på EU-nivå, vilket utredningen också har som uttryckligt uppdrag att göra. Härvid beaktas även annan integritetsreglering, som EU:s rättighetsstadga.
9.3Den aktuella personuppgiftsbehandlingen och gällande dataskyddsreglering
Den personuppgiftsbehandling som väntas bli aktuell beskrivs i flera avsnitt ovan. Förenklat rör det sig om att personuppgifter kan kom- ma att behandlas vid svenska myndigheters uppgiftslämnande till kommissionen – såväl enligt rättsliga krav som på frivillig basis – och vid myndigheters eventuella offentliggörande av uppgifter samt att personuppgifter kan komma att behandlas när svenska myndig- heter använder sig av Arachne och Edes, då främst genom läsning och sökning. Beskrivningarna omfattar personuppgiftsbehandling
312
SOU 2025:112 | Samlad integritetsanalys |
som väntas ske av svenska myndigheter, men också vilka andra aktö- rer som kan förväntas behandla personuppgifter som svenska myn- digheter kommer att lämna, såsom kommissionen, andra EU-insti- tutioner och andra medlemsstaters myndigheter med motsvarande uppdrag som berörda svenska myndigheter.
Vidare beskrivs syftena med den förväntade personuppgiftsbe- handlingen, vilket rör motverkandet av oriktigheter gällande EU- medel. Det redogörs också för att dataskyddsförordningen är tillämp- ligt regelverk när det gäller svenska myndigheters personuppgifts- behandling.
Det framgår också av beskrivningen att en stor del av de uppgifter som kommer att behandlas med anledning av budgetförordningen inte utgör personuppgifter.
9.4Kartläggning och bedömning av integritetsriskerna
9.4.1Vilka typer av personuppgifter behandlas och är de skyddsvärda?
Utredningen beskriver i tidigare avsnitt när känsliga personuppgifter liksom personuppgifter som rör domar och lagöverträdelser samt per- sonnummer kan komma att behandlas. Dessa slags uppgifter är mer skyddsvärda och kringgärdas av särskilda krav. Utredningen redogör också för i vilken utsträckning en sådan behandling kan vara tillåten.
Även behandling av andra slags uppgifter än ovan nämnda slag kan medföra särskilda integritetsrisker. Det kan till exempel vara upp- gifter om enskildas ekonomi, uppgifter om personer med skyddade personuppgifter eller uppgifter som rör negativa omdömen om per- soner, utan att det behöver gälla domar eller lagöverträdelser. Sådana slags uppgifter kan förekomma bland de uppgifter som svenska myn- digheter kommer att lämna ut eller få tillgång till.
Av relevans vid bedömningen av integritetsrisker kan vara om uppgifter omfattas av sekretess. De flesta personuppgifter som för- väntas behandlas kommer inte att vara sekretessbelagda och kommer dessutom i stor omfattning redan att vara offentliggjorda. Samtidigt bedömer utredningen också att bland det mindre antal uppgifter som kan vara skyddsvärda finns det ett gott sekretesskydd utifrån ett svenskt perspektiv. Vidare finns användnings- och åtkomstbe-
313
Samlad integritetsanalys | SOU 2025:112 |
gränsningar som begränsar möjligheten för andra aktörer att få del av uppgifter. Utredningen föreslår vidare en ändring av sekretess- regleringen i syfte att ge ett ytterligare skydd för uppgifter.
9.4.2Hur omfattande är personuppgiftsbehandlingen?
De uppgifter som förväntas behandlas rör uppgifter om mottagare av EU-stöd, stödåtgärder och verkliga huvudmän. Andelen person- uppgifter bedöms i förhållande till det totala antalet uppgifter komma att vara liten. Svenska myndigheter bedöms inte komma att lämna detaljerad information om enskilda. Arachne och Edes skulle kunna innehålla detaljerad information, men det är då i allmänhet inte fråga om uppgifter som svenska myndigheter har lämnat.
Som helhet är det fråga om mycket stora uppgiftsmängder som förväntas tillgängliggöras för kommissionen av svenska myndigheter samt behandlas i systemen, och då främst i Arachne. Arachne är ett riskvärderings- och datautvinningsverktyg som syftar till att bearbeta stora datamängder. Detta i sig kan medföra integritetsrisker. Uppgif- terna kan också komma att behandlas under lång tid. En stor del av uppgifterna som svenska myndigheter kommer att tillgängliggöra är dock sådana som redan tillgängliggörs för kommissionen eller som är offentliggjorda eller kommer att offentliggöras.
9.4.3Vilka andra omständigheter kan vara relevanta vid bedömningen av integritetsriskerna?
Flera andra omständigheter kan vara relevanta vid bedömningen av integritetsriskerna. Utredningen beskriver i tidigare avsnitt ingående vilka aktörer som förväntas behandla uppgifter och i vilka roller. Per- sonuppgiftsansvariga är såväl kommissionen som, för svenskt vidkom- mande, svenska myndigheter som kommer att utföra behandlingen. Vad gäller systemen Arachne och Edes är kommissionen personupp- giftsansvarig. I den utsträckning som kommissionen är personupp- giftsansvarig, ligger det större ansvaret att beakta integritetsaspekter på kommissionen.
De registrerades inflytande över och kännedom om den förvän- tade personuppgiftsbehandlingen kan också ha betydelse. I många fall rör det sig om personuppgifter som den enskilde har lämnat till
314
SOU 2025:112 | Samlad integritetsanalys |
myndigheter, till exempel inom ramen för en ansökan om EU-medel, eller för registrering till exempel hos Bolagsverket. Vad gäller person- uppgiftsbehandling som kan komma att ske i Arachne gäller informa- tionsskyldigheter både för kommissionen och svenska myndigheter.
De övergripande ändamålen med behandlingen är också relevanta. Utredningen har kartlagt dessa – det övergripande syftet är att mot- verka oriktig hantering av EU-medel – samt bedömer ändamålen som godtagbara.
Den spridning som personuppgifterna kommer att få har också betydelse, då spridning normalt ökar integritetsriskerna. De uppgif- ter som svenska myndigheter förväntas lämna till kommissionen förväntas få en bred spridning, då uppgiftslämnandet syftar till att uppgifterna ska komma till användning, främst som underlag för risk- värderingar. Samtidigt kommer tillgången till uppgifter i Arachne för andra aktörer att vara begränsad. Kommissionen kommer att offentliggöra vissa av de uppgifter som kommer att lämnas av svenska myndigheter, med stöd av artikel 38 i budgetförordningen. Svenska myndigheter kan också komma att offentliggöra uppgifter med stöd av artikeln, i de fall det rör direkt förvaltning tillsammans med med- lemsstaterna. I båda dessa fall finns det möjlighet att avstå från offent- liggörande av hänsyn till integritetsrisker.
Den teknik som kringgärdar personuppgiftsbehandlingen kan också ha betydelse. Det finns därför flera bestämmelser i dataskydds- förordningen som tar sikte på säkerhetsaspekter och skyddsåtgärder vid behandlingen.
En särskild risk handlar om automatiserat individuellt besluts- fattande. Den enskilde har rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Ett sådant besluts- fattande får dock ske under vissa förutsättningar (artikel 22 i data- skyddsförordningen).
315
Samlad integritetsanalys | SOU 2025:112 |
9.4.4Vilka risker finns och hur tas de om hand?
Då Arachne och Edes har inrättats och drivs av kommissionen och den behandling som aktualiseras följer främst av EU-reglering och inte av nationell rätt, är en naturlig utgångspunkt för utredningens överväganden av integritetsaspekterna det som följer av den regler- ing som finns och de överväganden som har gjorts på EU-nivå. Som anges i avsnitt 9.2 förväntas kommissionen ha utfört integritetsana- lyser och konsekvensbedömningar i den utsträckning som det är nödvändigt.
Enligt Arachne-stadgan (Arachne, Charter for the introduction, the application and the integration of the Arachne risk scoring tool) har en konsekvensbedömning gjorts enligt dataskyddsförordningen för EU:s institutioner för att analysera, identifiera och minimera de risker för dataskyddet som följer av kommissionens behandling. Per- sonuppgiftsbehandlingen bedömdes genom befintliga skyddsåtgär- der, säkerhetsåtgärder och mekanismer för att minska riskerna inte innebära någon hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömningen har validerats av dataskyddsombudet (punkt 6.1). Här bör påminnas om att stadgan avser nu gällande för- hållanden och därmed inte tar sikte på en framtida version av Arachne.
Vidare finns det skäl att lyfta vissa synpunkter som EDPS läm- nade under förhandlingarna av den nu gällande budgetförordningen. EDPS välkomnade att artikel 36.7 på ett tydligt sätt angav mottagare av uppgifter och användare av systemet samt att kommissionen peka- des ut som personuppgiftsansvarig för systemet. EDPS påpekade vidare bland annat att lagring och behandling av flera olika kategorier av uppgifter samlat i ett it-system skapar risker och att kraven på uppgiftsminimering, inbyggt dataskydd och säkerhetsaspekter måste beaktas för att minska dessa risker (Opinion 14/2022, den 7 juli 2022).
Risker som utredningen har identifierat när det gäller myndig- heters uppgiftslämnande till kommissionen och till Arachne är att en rutinmässig överföring kan medföra en risk att fler uppgifter än de som ska eller får lämnas ut, ändå lämnas ut. Vidare kan själva över- föringsmomentet innebära risker ur säkerhetssynpunkt, såsom obe- hörig åtkomst till uppgifter. Dessa risker omhändertas enligt utred- ningens mening genom att överföring av uppgifter till Arachne sker genom ifyllande av förvalda fält, vilket i nuläget sker manuellt i vart fall första gången som en överföring ska ske, samt genom att kom-
316
SOU 2025:112 | Samlad integritetsanalys |
missionen ska säkerställa säkra kanaler för överföring av uppgifter (jfr punkt 11 i Arachne-stadgan). Vidare ankommer det på berörd myndighet att inför ett rutinmässigt utlämnande göra en gedigen prövning av om uppgifterna kan lämnas ut.
När det gäller det eventuella offentliggörandet av uppgifter på EU:s webbplats kan det finnas risk att uppgifter som inte ska offent- liggöras enligt artikel 38.4 tredje stycket i budgetförordningen, ändå publiceras. Det ankommer på berörd myndighet att göra bedöm- ningar av vilka uppgifter som ska offentliggöras. Härvid behöver sär- skilt beaktas att offentliggörande ska underlåtas i vissa situationer.
När det gäller den behandling av personuppgifter som kommer att ske i Arachne utgör den sambearbetning av uppgifter som Arachne utför i sig en risk, eftersom den kan möjliggöra en omotiverad kart- läggning av enskilda. Samlingen av ett stort antal uppgifter i en enda databas kan också medföra risk för en omfattande obehörig intern och extern åtkomst till uppgifter. Utredningen bedömer att omhän- dertagande av dessa risker kan antas ske av kommissionen genom regler om och rutiner för åtkomstbegränsningar samt säkra it-lös- ningar. Ett stort ansvar vilar också på den lokala administratören att endast tilldela behörigheter till den som har rätt till det. Åtkomst ska, som utgångspunkt, dessutom ges endast till uppgifter som rör det egna programmet eller planen. Därmed får risken för en omoti- verad kartläggning av enskilda anses som liten.
Risker ur säkerhetssynpunkt, såsom för obehörig åtkomst, kan finnas även för uppgifter i Edes. Liknande åtgärder för att omhän- derta riskerna som nämns ovan avseende Arachne, kan förväntas avse- ende Edes. Här kan dock påminnas om att svenska myndigheter inte kommer att föra in uppgifter direkt i det systemet, och att ansvaret för säkerheten och omhändertagande av integritetsrisker ligger på kommissionen.
Det följer krav på inbyggt dataskydd och dataskydd som standard samt krav på att vidta lämpliga tekniska och organisatoriska skydds- åtgärder direkt av såväl dataskyddsförordningen som dataskydds- förordningen för EU:s institutioner. Denna reglering är i sig att anse som skyddsåtgärder. Kraven gäller generellt, och är därmed tillämp- liga gällande personuppgiftsbehandling som sker såväl i Edes som i Arachne. Regleringen kan också sägas kompletteras av bland annat Arachne-stadgan, där exempelvis punkt 11 anger att kommissionen genomför alla tekniska och organisatoriska säkerhetsåtgärder för
317
Samlad integritetsanalys | SOU 2025:112 |
att skydda personuppgifterna mot oavsiktlig eller avsiktlig förstör- ing eller förlust av uppgifter eller mot obehörig tillgång.
Även viss reglering i budgetförordningen kan sägas ta sikte på skyddsåtgärder, såsom följande. Vid genomförandet av budgeten ska medlemsstaterna och kommissionen säkerställa överensstäm- melse med EU:s rättighetsstadga, i enlighet med artikel 51 i stadgan, och respektera unionens värden enligt artikel 2 i Fördraget om Euro- peiska unionen som är relevanta vid genomförandet av budgeten (artikel 6.3). När det gäller Arachne anges i artikel 36.7 i budgetför- ordningen att kommissionen är ansvarig för utveckling, förvaltning och övervakning av Arachne, för att säkerställa uppgifternas säkerhet och konfidentialitet, autentisering av användarna samt för att skydda it-systemet mot felaktig förvaltning och missbruk.
Även reglering på nationell nivå kan utgöra skyddsåtgärder. Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsför- ordning, dataskyddslagen, innehåller sådan reglering. Krav på skydds- åtgärder har i svensk rätt ofta ansetts tillgodosett genom att upp- gifter omfattas av bestämmelser om sekretess (se prop. 2017/18:105 s. 85). Som framgår av tidigare avsnitt bedömer utredningen att sek- retess kan komma att gälla för flera av de uppgifter som kan före- komma i Arachne och Edes. Utredningen föreslår även en ändring i sekretessregleringen i syfte att ge ett ytterligare skydd för uppgifter.
Vad gäller automatiserat beslutsfattande, inklusive profilering, förekommer inte detta enligt nu gällande dokumentation för be- handling i Arachne och Edes. Riskvärderingar som Arachne produ- cerar ska inte heller direkt leda till beslut utan syftar till att ge en indikation på vad berörd myndighet kan ha skäl att utreda närmare. Det sker därmed inget automatiserat beslutsfattande till följd av gjorda riskvärderingar. Om sådant beslutsfattande skulle bli aktu- ellt framöver, finns det i såväl dataskyddsförordningen som data- skyddsförordningen för EU:s institutioner regelverk som anger för- utsättningarna för sådant beslutsfattande.
Sammanfattningsvis bedömer utredningen att de integritetsrisker som har identifierats kan omhändertas.
318
SOU 2025:112 | Samlad integritetsanalys |
9.5AI-förordningen behöver beaktas
Arachne är under utveckling, och bland insatser och åtgärder som bör genomföras för att säkerställa att Arachnes funktioner förblir av hög standard nämns i budgetförordningen användning av artifi- ciell intelligens för analys och tolkning av data (skäl 32 till budget- förordningen).
Användningen av artificiell intelligens (AI) kan medföra stor på- verkan på enskildas integritet. Även om det är kommissionen som driver och ansvarar för Arachne och därmed ansvarar för att det finns stöd för att använda AI-system finns det skäl att nämna EU:s all- männa reglering av artificiell intelligens, AI-förordningen1. Den syf- tar till att förbättra den inre marknadens funktion och främja använd- ningen av människocentrerad och tillförlitlig AI, samtidigt som en hög skyddsnivå säkerställs för hälsa, säkerhet och grundläggande rättigheter som fastställs i stadgan, inbegripet demokrati, rättssta- tens principer och miljöskydd, mot de skadliga effekterna av AI- system i unionen, och att stödja innovation (artikel 1.1). AI-förord- ningen trädde i kraft den 1 augusti 2024 och den 2 augusti 2026 blir de flesta delar av förordningen tillämpliga.
I AI-förordningen klassificeras AI-system baserat på deras poten- tiella risk för samhället och individers rättigheter i olika risknivåer. Viss användning ska förbjudas och annan tillåtas med restriktioner och krav i form av bland annat tillsyn och registrering. AI-förord- ningen gäller för den som utvecklar, tillhandahåller eller använder AI-system, både inom privat och offentlig verksamhet.
AI-förordningen och dataskyddsförordningen gäller parallellt. Detta betyder bland annat att dataskyddsförordningen gäller när personuppgifter behandlas i samband med utveckling eller använd- ning av AI. Som framgår av avsnitt 8.5.8 kan uppgifter som finns i Arachne användas som så kallade träningsdata vid framtagande och förbättring av riskindikatorer. Detta är ett exempel på när det kan bli fråga om att använda personuppgifter vid träning av AI-modeller. Utredningen utgår från att kommissionen beaktar såväl dataskydds- regelverkets som AI-förordningens reglering vid användningen av
1Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmo- niserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens).
319
Samlad integritetsanalys | SOU 2025:112 |
AI. När det gäller svenska myndigheters användning av AI-system har även de att förhålla sig till AI-förordningen. AI-förordningen är i sig en skyddsåtgärd för att ta om hand möjliga integritetsrisker (jfr avsnitt 9.4.4).
Det förväntas ske förändringar av svensk rätt med anledning av AI-förordningen. Utredningen om AI-förordningen lämnade i okto- ber 2025 betänkandet Anpassningar till AI-förordningen – Säker an- vändning, effektiv kontroll och stöd för innovation (SOU 2025:101).
9.6Samlad nödvändighets- och proportionalitetsbedömning
Såväl lämnandet och offentliggörandet av uppgifter som använd- ningen av Arachne och Edes kommer att ske som en följd av regler- ing på EU-nivå. Den författningsändring som utredningen föreslår avser en ändring i sekretessregleringen i syfte att ge ett ytterligare skydd för uppgifter. EU är vid sin lagstiftning bunden av – i nu aktu- ella delar – motsvarande regelverk som Sverige, vilket innebär att den lagstiftning som EU tar fram ska vara förenlig med dataskydds- regelverket och EU:s rättighetsstadga. Begränsningar i utövandet av de rättigheter och friheter som erkänns i stadgan, bland annat rätten till skydd för personuppgifter, får med beaktande av propor- tionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1 i EU:s rättighetsstadga). Krav på proportionalitet genom- syrar också EU-lagstiftningen generellt. Utgångspunkten är därför att den förväntade behandlingen är såväl nödvändig som proportio- nerlig i förhållande till det integritetsintrång som den kan medföra.
I det följande gör utredningen vissa överväganden om behovet av behandlingen och proportionaliteten av den i förhållande till syf- tena ur ett svenskt perspektiv.
Svenska myndigheter har flera roller när det gäller att hantera EU-medel. De kan sägas vara en kanal för att förmedla EU-medel, men de har också ett ansvar att säkerställa att medlen bara går till den som har rätt till det, och att ha välfungerande rutiner för att säker- ställa detta. Både Arachne och Edes är verktyg för att säkerställa en korrekt hantering av EU-medel och att därmed motverka oriktig-
320
SOU 2025:112 | Samlad integritetsanalys |
heter på det området. Skyldigheten att tillgängliggöra uppgifter för kommissionen har samma syfte. Det är fråga om att uppfylla mål av allmänt samhällsintresse, och gemensamma verktyg förbättrar möj- ligheterna att uppnå målen. Att det finns behov av ett sådant till- gängliggörande och en sådan användning av Arachne och Edes har bedömts på EU-nivå. Av ett sådant tillgängliggörande och en sådan användning följer att det också krävs viss personuppgiftsbehandling. Utredningen ifrågasätter inte det behovet. Regleringen i budgetför- ordningen ger också utrymme för att inte fler personuppgifter behö- ver lämnas än de som redan behandlas enligt sektorsspecifik reglering.
Utredningen bedömer vidare att den behandling som svenska myndigheter förväntas utföra medför ett begränsat intrång i den grundläggande rätten till privatliv och dataskydd. Utredningen bedö- mer också att de risker som har identifierats kan tas om hand (se av- snitt 9.4.4). Utöver detta finns skäl att påminna om att en stor del av personuppgifterna som kommer att behandlas är sådana som redan är offentliggjorda, inte sällan av den enskilde själv. Åtgärderna och det integritetsintrång som åtgärderna innebär för de registrerade är enligt utredningens bedömning proportionerliga i förhållande till målet att motverka oriktigheter avseende EU-medel, vilket är av all- mänt samhällsintresse.
Utredningen bedömer sammanfattningsvis den personuppgifts- behandling som svenska myndigheter förväntas utföra som såväl nöd- vändig som proportionerlig. Utredningen har också bedömt att den personuppgiftsbehandling som svenska myndigheter förväntas utföra även i övrigt kan ske i enlighet med gällande dataskyddsreglering.
321
10Ikraftträdande och övergångsbestämmelser
Utredningens förslag: Den nya bestämmelsen i offentlighets- och sekretesslagen ska träda i kraft den 1 januari 2027.
Utredningens bedömning: Några övergångsbestämmelser be- hövs inte.
Skälen för utredningens förslag och bedömning: Om regeringen väljer att gå på linjen att det bör införas en ny sekretessbestämmelse för att säkerställa att svenska myndigheter har rättsliga förutsätt- ningar att använda Arachne bör författningsändringen träda i kraft så snart som möjligt, för att möjliggöra ett frivilligt användande av Arachne. Utredningen bedömer att den nya bestämmelsen i of- fentlighets- och sekretesslagen (2009:400) bör kunna träda i kraft den 1 januari 2027. Det finns inte behov av övergångsbestämmelser.
323
11 Konsekvenser
11.1Inledning
I detta kapitel redovisas konsekvenserna av utredningens förslag. Konsekvenserna redovisas i enlighet med förordningen (2024:183) om konsekvensutredningar. Konsekvensbeskrivningen innehåller också en redovisning av vilka konsekvenser förslaget innebär för skyd- det av EU:s finansiella intressen, spridningen av personuppgifter inom och mellan myndigheter samt skyddet av den personliga integriteten, vilket särskilt tas upp i kommittédirektiven.
11.2Utredningens uppdrag
Utredningen har i uppdrag att undersöka de rättsliga förutsättning- arna för svenska myndigheter att använda det av kommissionen admi- nistrerade riskvärderingsverktyget Arachne och uppfylla kraven enligt den omarbetade budgetförordningen, bland annat skyldighe- terna inom ramen för systemet för tidig upptäckt och uteslutning (Edes), för att motverka felaktiga utbetalningar och bedrägerier i samband med hantering av EU-medel. I uppdraget ingår att bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna använda Arachne och uppfylla sina skyldigheter inom ramen för Edes samt lämna nödvändiga författningsförslag. Utred- ningen har kommit fram till att det finns anledning att lämna ett för- fattningsförslag.
325
Konsekvenser | SOU 2025:112 |
11.3Utgångspunkter för bedömningen av konsekvenserna
Utredningen lämnar ett författningsförslag, nämligen en ny bestäm- melse i offentlighets- och sekretesslagen (2009:400), OSL, som inne- bär att sekretess under vissa förhållanden ska gälla för uppgifter som härrör från en riskvärdering som har gjorts genom Arachne. Enligt utredningens bedömning är det också möjligt att argumentera för att Arachne kan användas även utan en sådan ny bestämmelse, det vill säga att befintliga sekretessbestämmelser är tillräckliga.
Det är konsekvenserna av detta förslag som beskrivs i detta av- snitt. Syftet med förslaget är att säkerställa att det finns rättsliga förutsättningar för ett användande av Arachne.
De övergripande intressen som ligger bakom utredningens upp- drag och därmed också det lämnade förslaget handlar om att EU:s finansiella intressen ska skyddas. Sverige deltar i genomförandet av EU:s budget. För att Sverige ska kunna uppfylla det ansvar som föl- jer av detta krävs det att svenska myndigheter har tillgång till infor- mation och verktyg för att kunna motverka oriktigheter med EU- medel. Ett användande av Arachne är för närvarande frivilligt men det kan vara ett viktigt led i att Sverige effektivt ska kunna motverka oriktigheter med EU-medel. Om det inte finns förutsättningar för Sverige att uppfylla de krav som ställs kan det försvåra för svenska myndigheter att delta i det samarbete som EU och medlemsländerna har kring informationsutbyte med mera och som bland annat mani- festeras i användandet av nämnda verktyg.
Rent generellt kan sägas att Arachne är ett datautvinnings- och riskvärderingsverktyg som kommissionen har tagit fram för att hjälpa medlemsstaternas myndigheter att kontrollera hur EU-stöd används och förvaltas. Verktyget kan leda till att svenska myndigheter får in- formation om fler risker för missbruk av EU-medel. Det kan minska förekomsten av sådant missbruk. Denna information kan också – under vissa förutsättningar – komma de brottsbekämpande myndig- heterna till del. På så sätt skulle ett användande av Arache möjligen också kunna leda till ett mer effektivt brottsbekämpande arbete.
Utredningen ser dock inte som sin uppgift att analysera konse- kvenserna av ett användande av Arachne i sig. Inför ett beslut att ansluta svenska myndigheter till Arachne behöver vissa övervägan- den göras beträffande kostnader som en sådan anslutning innebär
326
SOU 2025:112 | Konsekvenser |
åena sidan och de vinster som en sådan anslutning innebär å andra sidan. Det ligger utanför utredningens uppdrag att göra sådana över- väganden. Utredningens uppgift är att utreda de rättsliga förutsätt- ningarna för bland annat ett användande av Arachne. Konsekvens- beskrivningen är därför utformad med fokus på förslaget om en ny sekretessbestämmelse.
11.4Problembeskrivning och målsättning
Det är viktigt att det finns rättsliga förutsättningar för svenska myn- digheter att använda Arachne och att uppfylla sina skyldigheter en- ligt Edes. Edes kommer att bli obligatoriskt att använda även för svenska myndigheter och det kan även vara ändamålsenligt att svenska myndigheter använder Arachne i arbetet med att motverka felaktig- heter med EU-medel. Sverige har ett ansvar i förhållande till EU att uppfylla sin del i att skydda EU:s finansiella intressen. Om kommis- sionen anser att Sverige inte lever upp till detta riskerar Sverige finan- siella sanktioner. Sverige har också ett eget intresse av att motverka felaktiga utbetalningar.
När det gäller Edes anser utredningen att det står klart att det inte krävs några författningsåtgärder. Även när det gäller Arachne är det enligt utredningen möjligt att argumentera för att svensk rätt redan uppfyller dessa förutsättningar. Det finns dock också utrymme för en annan bedömning. Det bör därför lämnas förslag på utform- ning av en bestämmelse som säkerställer att det finns rättsliga för- utsättningar för att använda Arachne.
11.5Utredningens förslag
Utredningen lämnar ett förslag på utformning av en ny bestämmelse i offentlighets- och sekretesslagen. Förslaget innebär att sekretess ska gälla för uppgift som härrör från en riskvärdering som har gjorts genom Arachne, om det kan antas att syftet med den förvaltning, övervakning, kontroll och revision som ska ske i enlighet budget- förordningen motverkas om uppgiften röjs. Bestämmelsen syftar både till att samarbetet inom EU inte ska försämras och till att myn- digheternas arbete med kontroller och granskning inte ska motverkas.
327
Konsekvenser | SOU 2025:112 |
11.6Nollalternativ
Nollalternativet innebär att förslaget inte genomförs. Det är enligt utredningen möjligt att argumentera för att förslaget inte behövs och att gällande sekretessregler är tillräckliga. Gällande bestämmelser kommer i många situationer att kunna ge ett sekretesskydd för upp- gifter i Arachne, inklusive gjorda riskvärderingar. Det kan visserli- gen inte uteslutas att uppgifter i Arachne, inklusive riskvärderingar, i vissa fall inte kommer att kunna sekretessbeläggas. Det beror del- vis på intresseavvägningar som lagstiftaren redan har gjort mellan behovet av sekretess och insynsintresset, både när det gäller gällande sekretessbestämmelsers tillämpningsområde och valda skaderekvisit.
Även om det från kommissionens sida har framförts ett önske- mål om att uppgifter i Arachne – och särskilt gjorda riskvärderingar
–inte ska spridas har detta inte kommit till uttryck i en tydlig sekre- tessreglering i en bindande rättsakt. Det är möjligt att argumentera för att insynsintresset därmed bör väga över. Ställningstagandet i denna del berör delvis utrikespolitiska frågor om intresseavvägningen mellan den svenska offentlighetsprincipen och relationen med EU.
Om det inte införs någon ny bestämmelse i offentlighets- och sekretesslagen kan det dock finnas en risk att svenska myndigheter inte kommer att kunna sekretessbelägga uppgifter som härrör från riskvärderingar i den utsträckning som vore önskvärt och att det därmed kan anses finnas rättsliga hinder mot att använda Arachne.
11.7Alternativa lösningar
11.7.1En mer begränsad räckvidd
Förslaget innebär att den nya sekretessbestämmelsens räckvidd är obegränsad. Ett alternativ är att begränsa räckvidden på så sätt att sekretessen ska gälla endast i viss verksamhet, nämligen i verksam- het som rör sådan förvaltning, övervakning, kontroll och revision som ska ske i enlighet budgetförordningen. Insynsintresset talar för att inte låta räckvidden bli mer omfattande än vad som är nödvändigt.
328
SOU 2025:112 | Konsekvenser |
11.7.2Ett vidare föremål
Enligt förslaget bestäms sekretessens föremål till uppgifter som här- rör från en riskvärdering som har gjorts genom Arachne.
Ett alternativ skulle kunna vara att ange föremålet på ett vidare sätt och låta det ta sikte på alla uppgifter som härrör från Arachne, inklusive riskvärderingar. För en sådan ordning talar bland annat att det finns oklarheter när det gäller exakt vilka uppgifter som kommer att finnas i Arachne, vilka skyddsbehov som kan uppstå och hur långt gällande sekretessbestämmelser räcker för att tillgodose dessa skydds- behov. För en sådan ordning talar också att Arachne-teamet vid kom- missionen kan sägas ha gett uttryck för ett önskemål att uppgifter i Arachne över huvud taget inte ska offentliggöras.1 Ett vidare före- mål skulle alltså kunna bidra till att främja relationen till EU.
11.8Motivering till och syftet med förslaget
Gällande sekretessregler bedöms kunna ge ett betydande skydd för de uppgifter som eventuellt skulle kunna behöva ett sådant skydd. Det kan dock inte uteslutas att uppgifter i Arachne, inklusive gjorda riskvärderingar, i vissa fall inte kan sekretessbeläggas med stöd av gällande sekretessreglering. Genom förslaget säkerställs det därmed att det finns möjlighet för svenska myndigheter att, under vissa för- utsättningar, sekretessbelägga uppgifter som härrör från riskvärder- ingar som har gjorts genom Arachne.
En obegränsad räckvidd är att föredra framför en sådan mer be- gränsad räckvidd som skisseras ovan. Enligt utredningens mening är det lämpligare att sekretessen ska gälla hos alla myndigheter för uppgifter av ett visst slag. Detta motsvarar regleringen i flera andra bestämmelser i 15 och 17 kap. OSL, exempelvis 15 kap. 1 och 2 §§ samt 17 kap. 1 a och 1 b §§ OSL. Det kan vara ändamålsenligt att myndigheter delar uppgifter mellan varandra för att mer effektivt motverka oriktigheter med allmänna medel.
Det är vidare lämpligast att ange föremålet på ett mer begränsat sätt än att – som beskrivs ovan – låta det omfatta alla uppgifter som härrör från Arachne. Det är när det gäller just gjorda riskvärderingar som ett sekretessbehov har framkommit tydligare. Insynsintresset
1Komm2025/00388-10.
329
Konsekvenser | SOU 2025:112 |
talar för att inte ange sekretessens föremål vidare än vad som är nöd- vändigt utifrån de konkreta risker som har identifierats. För det fall ytterligare skyddsbehov identifieras i framtiden kan det vid behov införas kompletterande reglering.
Utredningen har vidtagit åtgärder för att förslaget inte ska med- föra mer långtgående begränsningar än vad som bedöms vara nöd- vändigt. Till dessa hör att föremålet är begränsat till just uppgifter som härrör från riskvärderingar. Vidare har bestämmelsen försetts med ett rakt skaderekvisit, vilket innebär att en skadebedömning ska göras i varje enskilt fall. Detta säkerställer att uppgifter inte sekre- tessbeläggs slentrianmässigt.
11.9Påverkan på offentlighetsprincipen och insynsintresset
Utredningens bedömning: Förslaget har en godtagbar påverkan på offentlighetsprincipen och insynsintresset.
Skälen för utredningens bedömning: Eftersom utredningens för- slag är en ny sekretessbestämmelse analyseras först förslagets påver- kan på offentlighetsprincipen och insynsintresset. Rätten att ta del av allmänna handlingar är en medborgerlig rättighet som utgör en viktig del av vårt demokratiska statsskick. För att det ska vara moti- verat att göra undantag från det grundlagsskyddade insynsintresset bör det krävas mer konkreta risker för olägenheter om uppgifter röjs. En avvägning mellan sekretessintresset och insynsintresset presen- teras i en intresseanalys i avsnitt 8.5.6. Utredningen bedömer där att det kan finnas skäl för en utökad möjlighet att sekretessbelägga riskvärderingar, både för att samarbetet inom EU inte ska försäm- ras och för att myndigheternas arbete med kontroller och granskning inte ska motverkas. Det föreslagna undantaget från det grundlags- skyddade insynsintresset bedöms alltså vara motiverat.
330
SOU 2025:112 | Konsekvenser |
11.10Konsekvenser för skyddet av EU:s finansiella intressen
Det övergripande syfte som ligger bakom utredningens uppdrag och därmed dess förslag handlar om att EU:s finansiella intressen ska skyddas. För att Sverige ska kunna uppfylla sin del i att skydda EU:s finansiella intressen krävs det att svenska myndigheter har tillgång till information och verktyg för att kunna motverka oriktigheter med EU-medel.
I stor utsträckning bedöms gällande sekretessregler vara tillräck- liga för att svenska myndigheter ska kunna använda Arachne. Det kan dock finnas skäl för ny sekretessreglering när det gäller möjlig- heten att hemlighålla riskvärderingar, både för att samarbetet inom EU inte ska försämras och för att myndigheternas arbete med kon- troller och granskning inte ska motverkas. Genom förslaget säker- ställs det därmed att det finns rättsliga förutsättningar för svenska myndigheter att använda Arachne. Förslaget bedöms alltså ge positiva konsekvenser för skyddet av EU:s finansiella intressen.
11.11 Konsekvenser för staten, kommuner och regioner
Utredningens bedömning: Förslaget innebär inte några kostna- der för staten, kommuner och regioner.
Skälen för utredningens bedömning
Konsekvenser för myndigheterna
Genom förslaget säkerställs att myndigheterna som hanterar EU- stöd har rättsliga förutsättningar att använda Arachne. Det är möj- ligt att en anslutning till och ett användande av Arachne leder till både kostnader och besparingar för myndigheterna som ansluter sig till Arachne. Dessa konsekvenser ligger dock utanför utredningens uppdrag att analysera.
Den föreslagna sekretessbestämmelsen har en obegränsad räck- vidd, vilket innebär att den ska tillämpas av alla myndigheter och andra som omfattas av offentlighets- och sekretesslagen om de för- varar uppgifter som härrör från riskvärderingar som har gjorts genom
331
Konsekvenser | SOU 2025:112 |
Arachne och sådana begärs ut. Det får antas att så sker i begränsad omfattning, särskilt när det gäller andra myndigheter än de som använder Arachne. Det är inte möjligt att uppskatta i vilken utsträck- ning sådana begäranden om utlämnande skulle ske eller vilka kostna- der de skulle orsaka. Under alla förhållanden bedömer utredningen att sådana eventuella kostnader får antas rymmas inom ordinarie ramar.
Konsekvenser för de brottsbekämpande myndigheterna och domstolarna
Det är möjligt att de brottsbekämpande myndigheterna får tillgång till information från myndigheter som kan komma att använda Arachne och att denna information kan leda till att fler misstankar om brottslighet med EU-medel uppkommer. Det skulle i sin tur kunna leda till en ökning av antalet åtal och brottmålsrättegångar rörande missbruk av EU-medel. Det är inte möjligt att uppskatta hur stor en sådan ökning skulle vara. I sammanhanget kan det ha betydelse att Eppo som EU:s oberoende åklagarmyndighet väcker talan när det gäller brott som skadar EU:s ekonomiska intressen, och att brottsanmälningar kan göras direkt till Eppo (se avsnitt 5.3.5).
De eventuella konsekvenserna av ett användande av Arachne för de svenska brottsbekämpande myndigheterna och domstolarna är vidare inte en direkt konsekvens av utredningens förslag i sig, som syftar till att säkerställa rättsliga förutsättningar för svenska myn- digheter att använda Arachne men inte angår själva användandet av verktyget.
Övriga konsekvenser för staten
Det övergripande syfte som ligger bakom utredningens uppdrag och därmed förslag handlar som nämns ovan om att EU:s finansi- ella intressen ska skyddas. Betydande belopp betalas ut genom EU- fonderna. Utredningen har inte tillgång till någon uppskattning av vad missbruket av de EU-stöd som omfattas av denna utredning upp- går till. Generellt kan dock antas att missbruk med EU-stöden kan uppgå till stora belopp. Olaf har i ett pressmeddelande från juni 2025 uppgett att myndigheten under 2024 avslöjat missbruk av EU-medel
332
SOU 2025:112 | Konsekvenser |
på över 870 miljoner euro.2 Om myndigheterna får bättre möjligheter att förebygga, förhindra, upptäcka, utreda och korrigera oriktigheter med EU-medel kan det leda till samhällsekonomiska vinster inom de områden där EU-stöd betalas ut. Utredningen har inte något underlag för att uppskatta hur stora de ekonomiska effekterna av ett användande av Arachne skulle vara. Denna konsekvensbeskriv- ning tar inte heller sikte på konsekvenserna av ett användande av Arachne i sig.
Ekonomiska konsekvenser för staten kan också uppkomma om kommissionen anser att skyddet av EU-medel inte är tillräckligt starkt i Sverige och beslutar om finansiella sanktioner. Detta skulle kunna medföra att kommissionen beslutar att inte finansiera vissa stöd med medel från EU:s budget. Sverige skulle då kunna bli tvunget att finansiera stöden med uteslutande nationella medel. Uppmärk- sammade brister kan även påverka tilldelningen av medel vid näst- kommande programperiod (SOU 2024:22, s. 511). Förslaget inne- bär att det säkerställs att det finns rättsliga förutsättningar för svenska myndigheter att använda Arachne. Därmed undviks enligt utred- ningen risken att Sverige drabbas av finansiella sanktioner från EU på den grunden att Sverige inte uppfyller kraven på kontroll av EU- medel med avseende på ett användande av Arachne.
Konsekvenser för kommuner och regioner
Utredningen bedömer att förslaget inte har några särskilda konse- kvenser för kommuner och regioner. De berörs inte av förslaget på annat sätt än att sekretessbestämmelsen gäller i all verksamhet som omfattas av offentlighets- och sekretesslagen, se ovan. Förslaget be- döms inte heller ha någon påverkan på den kommunala självstyrelsen.
2https://anti-fraud.ec.europa.eu/document/download/2faf8402-7723-4d69-a4c8- 5568acd1e27e_en?filename=pr-16062025-OLAF-exposes-fraud-involving-over-eur870- million_en.pdf. Hämtat 2025-11-01.
333
Konsekvenser | SOU 2025:112 |
11.12 Konsekvenser för företag och andra enskilda
Utredningens bedömning: Förslaget innebär inte några admi- nistrativa krav eller kostnader för företag.
Förslaget kan innebära ett stärkt sekretesskydd för uppgifter som rör enskilda.
Skälen för utredningens bedömning: Förslaget innebär inte några administrativa krav eller kostnader för företag. Generellt kan sägas att åtgärder som kan bidra till att arbetet med att motverka felaktig- heter med EU-stöd blir mer effektivt snarare kan leda till positiva effekter för företag genom att utrymmet minskar för de aktörer som missbrukar stöden. Det i sin tur kan bidra positivt till andra företags verksamhet på så sätt att den osunda konkurrensen minskar. Dessa följder är dock inte konsekvenser av förslaget till ny sekretessbestäm- melse och behandlas inte vidare här.
Både företag och andra enskilda kan påverkas av förslaget till ny sekretessbestämmelse på så sätt att bestämmelsen kan möjliggöra ett sekretessbeläggande av uppgifter vars röjande kan skada enskilda. Det kan handla om uppgifter om en enskilds affärs- eller driftför- hållanden eller om uppgifter om personliga förhållanden, exempel- vis rörande förföljda personer. För att den föreslagna bestämmelsen ska kunna tillämpas på sådana uppgifter krävs att uppgifterna härrör från en riskvärdering som har gjorts genom Arachne och att det kan antas att syftet med viss förvaltning, övervakning, kontroll och revi- sion motverkas om uppgiften röjs. Det bör dock noteras att den före- slagna bestämmelsen inte ger utrymme för sekretess enbart i den enskildes intresse.
11.13 EU-rätten och Sveriges internationella åtaganden
Utredningens bedömning: Förslaget är förenligt med EU-rätten och Sveriges internationella åtaganden.
Skälen för utredningens bedömning: Förslaget syftar till att svenska myndigheter ska ha rättsliga förutsättningar att använda Arachne. Genom förslaget säkerställs att sådana rättsliga förutsättningar finns.
334
SOU 2025:112 | Konsekvenser |
Förslaget överensstämmer därmed med de skyldigheter som följer av Sveriges anslutning till EU.
Några andra internationella åtaganden bedöms inte påverkas.
11.14Konsekvenser för spridningen av personuppgifter inom och mellan myndigheter
I avsnitt 9.4.3 behandlas den spridning som personuppgifter kan få vid ett användande av Arachne och Edes samt vid uppfyllande av Sveriges skyldigheter enligt budgetförordningen. När det gäller för- slaget till ny bestämmelse i offentlighets- och sekretesslagen gör ut- redningen bedömningen att den i sig inte skulle leda till någon ökad spridning av personuppgifter inom eller mellan myndigheter. Bestäm- melsen innebär en möjlighet att sekretessbelägga uppgifter som här- rör från riskvärderingar som Arachne genererar. Inom ramen för sådana riskvärderingar kan det förekomma personuppgifter och för- slaget kan således innebära att spridningen av dessa uppgifter blir mindre omfattande.
11.15Konsekvenser för skyddet
av den personliga integriteten
I kapitel 9 gör utredningen en samlad integritetsanalys av den för- väntade personuppgiftsbehandling som följer av ett användande av Arachne och Edes samt av ett uppfyllande av Sveriges skyldigheter enligt budgetförordningen. Som där utvecklas kan det vid bedöm- ningen av integritetsrisker vara av relevans om uppgifter omfattas av sekretess. Utredningen gör bedömningen att förslaget om en ny sekretessbestämmelse inte har några negativa konsekvenser för skyd- det av den personliga integriteten. Det är möjligt att sekretessbestäm- melsen kan bidra till att ytterligare minska integritetsriskerna vid användandet av Arachne genom att möjligheten att sekretessbelägga uppgifter ökar. Inom ramen för riskvärderingar kan det förekomma personuppgifter. Det bör dock noteras att den föreslagna bestämmel- sens skaderekvisit tar sikte på situationen att syftet med viss förvalt- ning, övervakning, kontroll och revision motverkas om uppgiften
335
Konsekvenser | SOU 2025:112 |
röjs. Bestämmelsen ger alltså inte utrymme för sekretess enbart i den enskildes intresse.
11.16Ikraftträdande, informationsinsatser och utvärdering
Om regeringen väljer att gå på linjen att det bör införas en ny sekre- tessbestämmelse bör den nya bestämmelsen – för att möjliggöra ett frivilligt användande av Arachne och säkerställa ett sekretesskydd för uppgifter – träda i kraft så fort som möjligt. Något behov av sär- skilda informationsinsatser bedöms inte föreligga.
Den föreslagna sekretessbestämmelsen bör utvärderas två år efter ikraftträdandet. Denna tidsperiod bedöms ge ett tillräckligt underlag för att kunna bedöma bestämmelsens effekter samtidigt som even- tuella brister kan åtgärdas inom rimlig tid. Regeringen bör ta ställ- ning till om utvärderingen ska göras inom Regeringskansliet eller av en extern aktör, exempelvis ESV. Det framstår som lämpligt med en statistisk sammanställning av antalet ärenden där bestämmelsen har tillämpats och en stickprovsgranskning av eventuella beslut för att bedöma enhetligheten i tillämpningen. Detta skulle kunna kom- pletteras med intervjuer med handläggare som tillämpar bestämmel- sen och eventuellt en enkät till berörda externa parter för att fånga upp eventuella oförutsedda konsekvenser.
Utvärderingen kan lämpligen ta sikte på i vart fall bestämmel- sens ändamålsenlighet att uppfylla sitt syfte, dess tillämpbarhet – om bestämmelsens utformning ger tydlig vägledning för handläggare
–samt dess proportionalitet – om inskränkningen i offentlighetsprin- cipen står i proportion till skyddsintresset. Det kan särskilt noteras att förslagets föremål är begränsat till uppgifter som härrör från risk- värderingar som har gjorts genom Arachne. För det fall ytterligare skyddsbehov identifieras i framtiden kan vid behov kompletterande reglering införas där föremålet tar sikte på alla uppgifter som härrör från Arachne (se vidare avsnitt 8.5.7).
336
12 Författningskommentar
12.1Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
17 kap.
Riskvärderingar vid genomförande av EU:s budget
7 d §
Sekretess gäller för uppgift som härrör från en riskvärdering som har gjorts genom ett sådant system som avses i artikel 36.2 d i Europaparlamentets och rådets förordning (EU, Euratom) 2024/2509 av den 23 september 2024 om finansiella regler för unionens allmänna budget (omarbetning), om det kan antas att syftet med den förvaltning, övervakning, kontroll och revision som ska ske i enlighet med Europaparlamentets och rådets förordning (EU, Euratom) 2024/2509 motverkas om uppgiften röjs.
Paragrafen är ny. Övervägandena finns i avsnitt 8.5.6 och 8.5.7. De uppgifter som omfattas av sekretess är uppgifter som härrör
från en riskvärdering som har gjorts genom ett visst system som be- handlas i artikel 36.2 d i budgetförordningen. Verktyget har namnet Arachne.
Endast uppgifter som härrör från riskvärderingar som redan har gjorts omfattas. I den mån den tekniska utformningen av Arachne innebär att en riskvärdering genereras först på begäran av en myn- dighet och någon sådan begäran inte har gjorts förvaras över huvud taget inte några uppgifter som härrör från en sådan riskvärdering hos myndigheten.
I begreppet uppgifter som härrör från riskvärderingar ingår till att börja med information om vilka värden som en viss aktör har beträf- fande olika riskindikatorer. Även den information som en användare
337
Författningskommentar | SOU 2025:112 |
får del av om kopplingar till andra bolag samt om de bolag och per- soner som berörs kan ingå. Dessutom kan den information som nås via länkar till externa källor ingå i sekretessens föremål. Exakt vilken information som ingår får bedömas i det enskilda fallet, bland annat utifrån den tekniska utformningen av användargränssnittet.
Sekretess gäller för uppgifterna oavsett i vilken verksamhet som de förekommer. Om myndigheter delar uppgifter som härrör från risk- värderingar mellan varandra kommer bestämmelsen att vara en primär sekretessbestämmelse vid såväl den överlämnande som den motta- gande myndigheten. Om sekretess gäller vid den mottagande myndig- heten kan det inte antas att syftet med sådan verksamhet som avses i bestämmelsen motverkas om uppgiften lämnas till myndigheten.
Sekretessens styrka beskrivs på så sätt att sekretess gäller om det kan antas att syftet med viss verksamhet motverkas om uppgiften röjs. Regelns utformning med ett rakt skaderekvisit innebär en pre- sumtion för offentlighet. Vid bedömningen av om skaderekvisitet är uppfyllt bör bland annat vägas in vilken effekt ett offentliggörande av uppgiften skulle kunna antas få på det framtida samarbetet inom EU som förutsätts i budgetförordningen (jfr prop. 2012/13:7 s. 20).
Den verksamhet som avses är den förvaltning, övervakning, kon- troll och revision som ska ske i enlighet med budgetförordningen. Det handlar alltså om den kontroll- och granskningsverksamhet som ska bedrivas av de svenska myndigheter som deltar i genomförandet av EU:s budget. Formuleringen anknyter till definitionen i artikel 2.7 i budgetförordningen, enligt vilken budgetgenomförande betyder utförande av verksamheter som rör förvaltning, övervakning, kon- troll och revision av budgetanslag i enlighet med de metoder som föreskrivs i artikel 62.
Bestämmelsen innebär att sekretess kan hindra ett utlämnande så länge som uppgiften har betydelse i verksamheten. När uppgif- terna inte längre har betydelse i verksamheten upphör sekretessen och uppgifterna får lämnas ut. Det förhållandet att det framgår av artikel 36.7 i budgetförordningen att uppgifterna i Arachne endast ska lagras under den period som är nödvändig och proportionell för att uppfylla det syfte som fastställs i punkt 2 d – det vill säga att mot- verka oriktigheter – kan tala för att uppgifterna har betydelse för verk- samheten så länge som de lagras. En prövning i det enskilda fallet be- höver göras av den myndighet som hanterar frågan om utlämnande.
338
Bilaga 1
Kommittédirektiv 2024:125
Användning av vissa verktyg för att skydda
EU:s finansiella intressen
Beslut vid regeringssammanträde den 12 december 2024
Sammanfattning
En särskild utredare ska undersöka de rättsliga förutsättningarna för svenska myndigheter att använda riskbedömningsverktyget Arachne och uppfylla kraven enligt den omarbetade budgetförordningen, bl.a. skyldigheterna inom ramen för systemet för tidig upptäckt och ute- slutning (Edes), för att motverka felaktiga utbetalningar och bedrä- gerier i samband med hantering av EU-medel.
Utredaren ska bl.a.
•kartlägga vilka uppgifter myndigheterna skulle få tillgång till, regi- strera eller annars utbyta vid en användning av Arachne och inom ramen för Edes, samt vilken tillgång andra aktörer skulle få till uppgifterna,
•kartlägga och bedöma vilka skyldigheter som svenska myndig- heter skulle ha vid en användning av Arachne och inom ramen för Edes,
•utifrån kartläggningen bedöma om det finns behov av ändrade regler för att svenska myndigheter ska kunna använda Arachne och upp- fylla sina skyldigheter inom ramen för Edes,
•lämna nödvändiga författningsförslag.
Uppdraget ska redovisas senast den 19 november 2025.
339
Bilaga 1 | SOU 2025:112 |
Att motverka felaktiga utbetalningar, dubbelfinansiering och andra oegentligheter är centralt för skyddet av EU:s finansiella intressen
Det är viktigt att de svenska myndigheter som deltar i genomförandet av EU:s budget har ändamålsenliga system för att säkerställa tillgång till den information som behövs för att göra riskbedömningar av stöd- sökande och slutliga stödmottagare, och för att i efterhand kontrol- lera dessa. Bristfälliga kontroller av de stödsökande riskerar att leda till felaktiga utbetalningar av EU-medel.
Idagsläget saknar myndigheterna tillräckliga möjligheter att struk- turerat och regelmässigt utbyta och samköra uppgifter om utbetalda medel och stödsökande respektive slutliga stödmottagare. Detta med- för svårigheter att kontrollera riktigheten i vissa ingivna underlag som ligger till grund för beslut om stöd. Ett förbättrat informationsutbyte mellan myndigheterna kan därför bidra till att förebygga och mot- verka otillåten dubbelfinansiering och andra typer av bedrägerier.
Riskbedömningsverktyget Arachne och systemet för tidig upptäckt och uteslutning (Edes)
Arachne är ett verktyg för riskbedömning som Europeiska kommis- sionen har utvecklat för att hjälpa medlemsstaternas myndigheter att kontrollera och följa upp användningen och förvaltningen av EU- medel. För närvarande är användningen av Arachne frivillig, och tjäns- ten tillhandahålls kostnadsfritt av kommissionen.
Systemet för tidig upptäckt och uteslutning (Edes) inrättades 2016 och syftar till att göra det lättare att tidigt upptäcka personer eller aktörer som konstaterats utgöra en risk för EU:s ekonomiska intressen, och utesluta dem från att ta del av EU-medel. En uteslut- ning kan gälla i upp till fem år. Systemet omfattar i dag hantering av EU-medel inom s.k. direkt och indirekt förvaltning, dvs. medel som EU-institutioner eller deras partnerorganisationer förvaltar. Reglerna om Edes finns i Europaparlamentets och rådets förordning (EU, Euratom) 2024/2509 av den 23 september 2024 om finansiella regler för unionens allmänna budget (budgetförordningen).
340
SOU 2025:112 | Bilaga 1 |
Den omarbetade budgetförordningen innebär skärpta krav på rapportering av uppgifter och ett utökat tillämpningsområde för Edes
Hösten 2024 trädde den omarbetade budgetförordningen i kraft. Enligt den ska Arachne i möjligaste mån kunna använda automatiskt registrerade uppgifter från relevanta nationella och europeiska data- baser. Av artikel 36 i budgetförordningen framgår också att de organ som deltar i genomförandet av EU:s budget fr.o.m. nästa program- period ska göra viss information tillgänglig för kommissionen i ett maskinläsbart format. Kommissionen ska därefter registrera upp- gifterna i Arachne. Det finns också möjlighet att registrera ytterligare uppgifter i Arachne, utöver de obligatoriska, för en mer komplett riskvärdering.
Av artikel 36 i budgetförordningen framgår också att kommissio- nen senast under 2027 ska presentera en utvärdering av Arachne. Kommissionen, ministerrådet och Europaparlamentet har gemen- samt uttalat en avsikt att efter denna utvärdering överväga om det ska bli obligatoriskt för medlemsländerna att använda Arachne i sin hand- läggning och kontroll av EU-medel. Av budgetförordningen framgår vidare att Edes ska omfatta samtliga stöd som utbetalas under den nya programperioden. Edes ska därmed fr.o.m. 2028 omfatta även de EU- medel som hanteras inom ramen för delad förvaltning, dvs. medel som EU och medlemsstaterna förvaltar gemensamt. Det innebär bl.a. att förvaltande myndigheter och utbetalande organ ska kontrollera i Edes-databasen om en stödsökande är utesluten från att ta del av EU- medel, innan de beslutar om tilldelning eller utbetalning av sådana medel.
Enligt artiklarna 36 och 38 i budgetförordningen ska medlems- staterna tillhandahålla vissa uppgifter om stödmottagare och under- leverantörer till kommissionen, som sedan ska publicera uppgifterna på en central webbplats på europeisk nivå. Även denna skyldighet gäller fr.o.m. nästa programperiod.
Systemen har ansetts ändamålsenliga i en svensk kontext
Regeringen gav den 3 november 2021 en särskild utredare i uppdrag att utreda hanteringen av EU-medel i Sverige (dir. 2021:109). I upp- draget ingick att analysera om det finns behov av en gemensam platt- form för hantering av information om sådana medel. I betänkandet
341
Bilaga 1 | SOU 2025:112 |
En ny organisation för förvaltning av EU-medel, som överlämnades till regeringen den 15 mars 2024, bedömer utredningen att myndig- heter mer systematiskt än i dag behöver kunna dela information om EU-medel i syfte att uppfylla högt ställda krav på granskning och kontroll (SOU 2024:22 s. 23). Enligt utredningen skulle en svensk anslutning till Arachne kunna öka myndigheternas förmåga att på ett ändamålsenligt, effektivt och rättssäkert sätt dela information med varandra i syfte att motverka felaktiga utbetalningar och bedrägerier. Vidare bedömer utredningen att Edes är ändamålsenligt för att säker- ställa att EU-medel inte utbetalas till uppenbart olämpliga aktörer. Utredningen anser dock att de rättsliga förutsättningarna behöver utredas närmare (SOU 2024:22 s. 448 och 455–457).
Uppdraget att säkerställa att svenska myndigheter uppfyller kraven i den omarbetade budgetförordningen och har förutsättningar att använda Arachne
Efter det att den omarbetade budgetförordningen har trätt i kraft be- höver svenska myndigheter kunna uppfylla kraven i förordningen, bl.a. skyldigheterna inom ramen för Edes. Det finns därför behov av att utreda om det behövs ändrade regler för att uppfylla kraven. Även de rättsliga förutsättningarna för svenska myndigheter att registrera data i Arachne och använda verktyget för riskbedömning behöver ut- redas närmare.
Kartlägga tillgången till uppgifter och skyldigheter vid användning av Arachne och Edes
Arachne sammanställer information om aktörer i projekt från delta- gande medlemsstaters nationella projektdatabaser med uppgifter i två kommersiella databaser som bl.a. innehåller information om cirka 400 miljoner företag och 200 miljoner företagsägare från hela världen samt företag och individer som tilldömts sanktioner eller andra på- följder. Med hjälp av denna sammanställning genererar Arachne en riskbedömning som syftar till att hjälpa förvaltningsmyndigheter att identifiera de projekt, stödmottagare, leverantörer och avtal där det finns risk för bedrägerier, intressekonflikter eller andra oegentligheter.
342
SOU 2025:112 | Bilaga 1 |
Uppgifter som utbyts inom ramen för Edes förvaras i en databas som inrättats och tillhandahålls av kommissionen (se artikel 144 i bud- getförordningen). Edes-databasen innehåller uppgifter om personer och enheter som är uteslutna från möjligheten att motta EU-medel och som har ålagts ekonomiska sanktioner. Databasen är tillgänglig för personer och enheter som deltar i genomförandet av EU-bud- geten, för att de ska kunna kontrollera dess uppgifter när de tilldelar kontrakt eller beslutar om stöd.
Det behövs en kartläggning av vilken tillgång svenska myndigheter skulle ha till uppgifter i Arachne och vilka skyldigheter de skulle få vid hanteringen av sådana uppgifter. Motsvarande kartläggning bör göras för uppgifter som mottas eller annars hanteras inom ramen för Edes och vid användning av Edes-databasen.
De svenska myndigheter som främst bedöms vara aktuella för att använda systemen är förvaltande och attesterande myndigheter i delad förvaltning, dvs. myndigheter som förvaltar medel tillsammans med kommissionen. Det kan innefatta utbetalande organ och myndig- heter som deltar i genomförandet av Sveriges återhämtningsplan. Det behöver dock klarläggas om även andra myndigheter som deltar i genomförandet av EU:s budget kan komma att omfattas av de krav som gäller för Arachne respektive Edes-databasen enligt budgetför- ordningen.
Utredaren ska därför
•beskriva vilka myndigheter som kan komma att använda Arachne eller Edes-databasen,
•kartlägga och beskriva vilken typ av åtkomst de aktuella myndig- heterna, vid användning av Arachne eller inom ramen för Edes, skulle få till uppgifter i Arachne eller i Edes-databasen när dessa används som ett led i handläggningen av ärenden eller vid kontroll- åtgärder, med beaktande av eventuella begränsningar avseende vilka sökningar som får göras i systemet eller för vilka ändamål person- uppgiftsbehandling får ske,
•kartlägga och beskriva vilka uppgifter som ska eller får registreras eller annars utbytas i Arachne och inom ramen för Edes, samt i vilken utsträckning som aktörer utanför den egna myndigheten skulle få tillgång till uppgifterna,
343
Bilaga 1 | SOU 2025:112 |
•kartlägga vilka regler som styr användningen av Arachne och be- döma vilka skyldigheter som berörda myndigheter skulle få vid en användning av verktyget, och
•kartlägga och bedöma vilka skyldigheter berörda myndigheter skulle få inom ramen för Edes, särskilt vid användning av Edes- databasen.
Finns det behov av skydd för uppgifter vid användning av Arachne eller Edes?
Enligt offentlighetsprincipen har allmänheten rätt att få insyn i statens och kommunens verksamhet, bl.a. genom rätten att ta del av allmänna handlingar hos myndigheter (se 2 kap. tryckfrihetsförordningen). Be- gränsningar av rätten att ta del av allmänna handlingar regleras i offent- lighets- och sekretesslagen (2009:400), i det följande förkortad OSL, eller i lag som OSL hänvisar till.
I betänkandet En ny organisation för förvaltning av EU-medel framhålls att uppgifter som finns tillgängliga i Arachne kan komma att klassificeras som allmänna handlingar hos myndigheter som an- vänder riskbedömningsverktyget. Uppgifterna skulle därmed kunna begäras ut av externa aktörer, under förutsättning att de inte omfattas av sekretess. Utredningen noterar samtidigt att det av kommissionens stadga för införandet och tillämpningen av Arachnes riskbedöm- ningsverktyg vid förvaltningskontroller, den s.k. Arachnestadgan, framgår att resultaten av riskberäkningar som görs i systemet om- fattas av villkoren för skydd av personuppgifter och inte får offentlig- göras (SOU 2024:22 s. 453).
Ibetänkandet anges att liknande frågor kan uppstå i fråga om myn- digheters hantering av uppgifter inom ramen för Edes. Förutsätt- ningarna för offentliggörande av uppgifter ur Edes-databasen re- gleras i artikel 142 i budgetförordningen. Enligt denna reglering ska kommissionen som huvudregel offentliggöra viss information om ute- slutningen och i tillämpliga fall om de ekonomiska sanktionerna, om det behövs för att förstärka uteslutningsbeslutets och de ekonomiska sanktionernas avskräckande verkan. Vidare framgår det av beskriv- ningen av integritetsskyddet inom Edes att uppgifter inte ska lämnas till en tredje part, om det inte finns någon rättslig skyldighet att göra
344
SOU 2025:112 | Bilaga 1 |
detta (Privacy Statement for the database of the Early Detection and Exclusion System [EDES], DPR-EC-04410).
Utredaren ska därför
•utifrån sin kartläggning bedöma i vilken utsträckning mottagna eller tillgängliga uppgifter inom ramen för Arachne och Edes kom- mer att utgöra allmänna handlingar i Sverige, och i vilken mån uppgifterna i sådana fall omfattas av befintliga sekretessbestäm- melser eller om det finns behov av nya sekretessbestämmelser för att säkerställa att uppgifterna får ett tillfredsställande skydd, och
•lämna nödvändiga författningsförslag.
Finns det förutsättningar för att registrera eller annars utbyta uppgifter i Arachne eller inom ramen för Edes?
För att myndigheter ska kunna utbyta sekretessbelagda uppgifter krävs att en sekretessbrytande bestämmelse är tillämplig. I 10 kap. OSL finns ett antal sekretessbrytande bestämmelser och undantag från sekretess som gäller till förmån för såväl enskilda som myndigheter. Av 10 kap. 28 § OSL följer att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldigheten följer av lag eller förordning. I 8 kap. 3 § OSL finns en motsvarande reglering för uppgifter som lämnas till en utländsk myndighet.
Av betänkandet En ny organisation för förvaltning av EU-medel framgår att vissa myndigheter är osäkra på om de skulle kunna regi- strera uppgifter i Arachne som omfattas av sekretess (SOU 2024:22 s. 456). I betänkandet anges att liknande frågor kan uppstå i fråga om myndigheters hantering av uppgifter som utbyts inom ramen för Edes.
Det kan inte uteslutas att uppgifter om stödsökande eller stödmot- tagares projekt omfattas av försvarssekretess enligt 15 kap. 2 § OSL. Den typen av uppgifter bör inte förekomma i systemen.
Utredaren ska därför
•utifrån sin kartläggning utreda och analysera om det, bland den data som får eller ska registreras eller annars utbytas i Arachne eller inom ramen för Edes, finns uppgifter som skulle kunna om- fattas av sekretess, och om det finns rättsliga förutsättningar för svenska myndigheter att registrera eller annars utbyta dessa,
345
Bilaga 1 | SOU 2025:112 |
•analysera och bedöma vilket skydd eventuella sekretessbelagda uppgifter skulle ha i samband med andra medlemsstaters och EU- institutioners användning av Arachne och inom ramen för Edes,
•utreda hur Arachnes funktionalitet och användning påverkas om eventuella sekretessbelagda uppgifter inte kan registreras, särskilt i fråga om uppgifter som inte är obligatoriska att registrera,
•bedöma om det finns behov av ändrade regler för att svenska myn- digheter ska kunna registrera uppgifter i Arachne eller uppfylla kraven inom ramen för Edes, och
•lämna nödvändiga författningsförslag.
Kan svenska myndigheter uppfylla kraven i den omarbetade budgetförordningen?
Enligt artikel 36.6 i budgetförordningen ska medlemsstaterna för pro- gram som beslutas under programperioden som löper fr.o.m. 2028 och framåt göra vissa uppgifter tillgängliga för kommissionen, som i sin tur ska registrera uppgifterna i Arachne. Enligt artikel 38 ska med- lemsstaterna också göra vissa uppgifter tillgängliga för publicering på en av kommissionen tillhandahållen webbplats. Det behöver därför klarläggas om det finns några hinder för myndigheterna att uppfylla dessa skyldigheter.
Utredaren ska därför
•bedöma om det finns behov av ändrade regler för att svenska myn- digheter ska kunna uppfylla de krav som ställs i den omarbetade budgetförordningen, särskilt i fråga om rapportering av uppgifter för registrering i Arachne, och
•lämna nödvändiga författningsförslag.
Behovet av ytterligare regler om skydd för den personliga integriteten och personuppgiftsbehandling
Ett utökat informationsutbyte kan innebära ett intrång i den enskildes personliga integritet. Regler om skydd för den personliga integriteten finns bl.a. i regeringsformen (2 kap. 6 § andra stycket), den europeiska konventionen angående skydd för de mänskliga rättigheterna och de
346
SOU 2025:112 | Bilaga 1 |
grundläggande friheterna (artikel 8) och Europeiska unionens stadga om de grundläggande rättigheterna (artiklarna 7 och 8). Ett allmänt skydd för den personliga integriteten finns även i Europaparlamen- tets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), i det följande förkortad EU:s dataskyddsförordning.
Den information som svenska myndigheter skulle kunna behöva behandla vid användning av Arachne eller inom ramen för Edes kan innehålla personuppgifter. För personuppgiftsbehandling i allmän- het gäller EU:s dataskyddsförordning. Denna förordning komplet- teras i olika avseenden av nationella författningar, t.ex. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning (dataskyddslagen). Förutom dataskyddslagen finns även registerförfattningar som reglerar hur personuppgifter får behandlas i vissa offentliga verksamheter. Vidare finns ett dataskyddsombud på EU-nivå, som bl.a. ansvarar för att tillhandahålla information om de register som finns och validera de konsekvensbedömningar av upp- giftsskydd som görs av kommissionen.
När vissa myndigheter behandlar personuppgifter i syfte att t.ex. förebygga, förhindra eller upptäcka brottslig verksamhet gäller i stället brottsdatalagen (2018:1177). Om det för en myndighet som bedriver verksamhet inom brottsdatalagens tillämpningsområde finns en författning med bestämmelser som avviker från brottsdatalagen, ska dock den författningen tillämpas.
Den 1 januari 2025 träder lagen (2024:488) om personuppgifts- behandling i vissa ärenden om stöd till civilsamhället i kraft. Lagen gäller för myndigheter och enskilda organ som handlägger ärenden om statligt reglerat stöd till civilsamhället, och syftar till att ge dessa möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och skydda människor mot att deras personliga integritet kränks vid sådan behandling. I förarbetena till lagen anför regeringen att den före- slagna, gemensamma regleringen av behandling av personuppgifter i ärenden om stöd syftar till att säkerställa ett enhetligt och tillräckligt säkert skydd för personuppgifter, oberoende av vilket organ som hand- lägger ärendet (prop. 2023/24:119 s. 138).
När det gäller registerförfattningar har det också framhållits att bredare ändamålsbestämmelser kan skapa flexibilitet och förutsätt-
347
Bilaga 1 | SOU 2025:112 |
ningar att hålla jämna steg med samhällsutvecklingen (SOU 2023:100 s. 514). Om det finns behov av nya eller ändrade bestämmelser för att möjliggöra den personuppgiftsbehandling som en användning av Arachne medför eller som krävs för att uppfylla kraven inom ramen för Edes, finns det mot den bakgrunden skäl att överväga om regler- ingen bör samlas i en särskild lag och om den kan vara brett formu- lerad för att ge myndigheterna möjlighet att behandla personupp- gifter på ett ändamålsenligt sätt.
Utredaren ska därför
•kartlägga vilken personuppgiftsbehandling som en anslutning till Arachne och Edes skulle medföra,
•kartlägga det skydd för personuppgifter som finns i Arachne och Edes-databasen, samt värdera eventuella risker som kommissio- nens dataskyddsombud har identifierat,
•utreda om det finns behov av nya eller ändrade bestämmelser för att möjliggöra den personuppgiftsbehandling som en användning av Arachne medför eller som krävs för att uppfylla kraven inom ramen för Edes,
•lämna nödvändiga författningsförslag.
Konsekvensbeskrivningar
Utredaren ska, i enlighet med förordningen (2024:183) om konse- kvensutredningar, redovisa en konsekvensutredning. Utredaren ska särskilt redovisa vilka konsekvenser utredarens förslag innebär för skyddet av EU:s finansiella intressen, spridningen av personupp- gifter inom och mellan myndigheter samt skyddet av den personliga integriteten.
Kontakter och redovisning av uppdraget
Utredaren ska hålla sig informerad om och beakta relevant arbete på området som pågår inom Regeringskansliet och EU.
Vid genomförandet av uppdraget ska utredaren samråda med de delar av Regeringskansliet som ansvarar för hantering av EU-medel, samt övriga berörda myndigheter och organisationer.
348
SOU 2025:112 | Bilaga 1 |
De myndigheter som deltar i genomförandet av Sveriges åter- hämtningsplan inom ramen för faciliteten för återhämtning och resiliens har fått i uppdrag att analysera sina respektive förutsätt- ningar att använda Arachne (se t.ex. KN2024/01135). Utredaren ska beakta återrapporteringen från dessa uppdrag.
Uppdraget ska redovisas senast den 19 november 2025.
(Finansdepartementet)
349
Statens offentliga utredningar 2025
Kronologisk förteckning
1.Skärpta krav för svenskt medborgar- skap. Ju.
2.Några frågor om grundläggande fri- och rättigheter. Ju.
3.Skatteincitament för forskning och utveckling. En översyn av FoU-avdraget och expertskatte- reglerna. Fi.
4.Moderna och enklare skatteregler för arbetslivet. Fi.
5.Avgift för områdessamverkan
– och andra åtgärder för trygghet
i byggd miljö. LI.
6.Plikten kallar! En modern personal- försörjning av det civila försvaret. Fö.
7.Ny kärnkraft i Sverige – effektivare tillståndsprövning och ändamålsenliga avgifter. KN.
8.Bättre förutsättningar för trygghet och studiero i skolan. U.
9.På språklig grund. U.
10.En förändrad abortlag – för en god, säker och tillgänglig abortvård. S.
11.Straffbarhetsåldern. Ju.
12.AI-kommissionens Färdplan för Sverige. Fi.
13.En effektivare organisering av mindre myndigheter – analys och förslag. Fi.
14.En skärpt miljöstraffrätt och
ett effektivt sanktionssystem. KN.
15.Stärkta drivkrafter och möjligheter för biståndsmottagare. Volym 1 och 2. S.
16.Ett nytt regelverk för uppsikt och förvar. Ju.
17.Anpassning av svensk rätt till EU:s avskogningsförordning. LI.
18.Ett likvärdigt betygssystem. Volym 1 och 2. U.
19.Kunskap för alla – nya läroplaner med fokus på undervisning och lärande. U.
20.Kommunal anslutning till Utbetal- ningsmyndighetens verksamhet. Fi.
21.Miljömålsberedningens förslag om en strategi för hur Sverige ska leva upp till EU:s åtaganden inom biologisk mångfald respektive nettoupptag av växthusgaser från markanvändnings- sektorn (LULUCF). KN.
22.Förbättrad konkurrens i offentlig och privat verksamhet. KN.
23.Ersättningsregler med brottsoffret i fokus. Ju.
24.Publiken i fokus
– reformer för ett starkare filmland. Ku.
25.Arbetslivskriminalitet – upplägg, verktyg och åtgärder, fortsatt arbete. A.
26.Tid för undervisningsuppdraget – åtgärder för god undervisning och läraryrkenas attraktivitet. U.
27.En socionomutbildning i tiden. U.
28.Frihet från våld, förtryck och utnytt- jande. En jämställdhetspolitisk strategi mot våld och en stärkt styrning av centrala myndigheter. A.
29.Ökad kvalitet hos Samhall
och fler vägar till skyddat arbete. A.
30.Enklare mervärdesskatteregler vid försäljning av begagnade varor och donation av livsmedel. Fi.
31.Utmönstring av permanent uppehålls- tillstånd och vissa anpassningar till miniminivån enligt EU:s migrations- och asylpakt. Ju.
32.Vissa förändringar av jaktlagstiftningen. LI.
33.Skärpta och tydligare krav på vandel för uppehållstillstånd. Ju.
34.Ett modernare konsumentskydd vid distansavtal. Ju.
35.Etableringsboendelagen
– ett nytt system för bosättning för vissa nyanlända. A.
36.Skydd för biologisk mångfald i havs- områden utanför nationell jurisdiktion. UD.
37.Skärpta villkor för friskolesektorn. U.
38.Att omhänderta barn och unga. S.
39.Digital teknik på lika villkor.
En reglering för socialtjänsten och verksamhet enligt LSS. S.
40.Säkrare tivoli. Ju.
41.Pensionsnivåer och pensionsavgiften
–analyser på hundra års sikt. S.
42.Säkerhetsskyddslagen – ytterligare kompletteringar. Ju.
43.Säkerställ tillgången till läkemedel
–förordnande och utlämnande
i bristsituationer. S.
44.Förbättrat stöd i skolan. U.
45.Ökat informationsutbyte mellan myndigheter – några anslutande frågor. Ju.
46.Tryggare idrottsarrangemang. Ju.
47.Spänning i tillvaron – hur säkrar vi vår framtida elförsörjning? KN.
48.Stärkt pandemiberedskap. S.
49.Säkerhetspolisens behandling av personuppgifter. Ju.
50.En ny nationell myndighet för viltförvaltning. LI.
51.Bättre förutsättningar för klimatanpassning. KN.
52.Ökad insyn i politiska processer. Ju.
53.Kvalificering till socialförsäkring och ekonomiskt bistånd
för vissa grupper. S.
54.Ett skärpt regelverk om utvisning på grund av brott. Ju.
55.En reformerad samhällsorientering för bättre integration. A.
56.Stärkt skydd för domstolarnas och domarnas oberoende. Ju.
57.Polisiär beredskap i fred, kris och krig. Ju.
58.En stärkt hästnäring – för företagande, jämställdhet, jämlikhet och folkhälsa. LI.
59.Stärkt lagstiftning mot hedersrelaterat våld och förtryck. Ju.
60.En starkare fondmarknad. Fi.
61.Sveriges internationella adoptionsverk- samhet − lärdomar och vägen framåt.
Volym 1 och 2. S.
62.Ansvaret för hälso- och sjukvården. Volym 1 Bedömningar och förslag. Volym 2 Underlagsrapporter. S.
63.Stärkt patientsäkerhet genom rätt kompetens − utifrån hälso- och sjukvårdens och tandvårdens behov. S.
64.En ny kontrollorganisation i livs- medelskedjan – för ökad effektivitet, likvärdighet och konkurrenskraft. LI.
65.En mer flexibel hyresmarknad. Ju.
66.En straffreform. Volym 1, 2, 3 och 4. Ju.
67.Arlanda – en viktig port för det svenska välståndet. Åtgärder som stärker konkurrenskraften för Arlanda flygplats. LI.
68.Nya samverkansformer, modern bygg- nads- och reparationsberedskap – för ökad försörjningsberedskap. KN.
69.Effektivare samverkan för djur- och folkhälsa. LI.
70.Längre liv, längre arbetsliv – förlängd rätt att kvarstå i anställningen. A.
71.Fortsatt utveckling av en nationell läkemedelslista – en del i en ny nationell infrastruktur för datadelning.
Del 1 och 2. S.
72.Verktyg för en mer likvärdig resursfördelning till skolan. U.
73.En arbetsmiljöstrategi för ett förändrat arbetsliv. A.
74.Ny reglering för den arbetsmarknads- politiska verksamheten. A.
75.Folkbokföringsverksamhet, biometri och brottsbekämpning. Fi.
76.Det handlar om oss
– så bryter vi utanförskapet
och bygger en starkare gemenskap. A.
77.En översyn av den statliga löne- garantin. A.
78.En reformerad underrättelse verksamhet. Fö.
79.Samlade förmågor för ökad cybersäkerhet. Fö.
80.Koordinatbestämda fastighetsgränser. Ju.
81.En ny organisation av ekobrotts- bekämpningen. Ju.
82.Sysselsättning och boende på lands bygden – Juridiska personers förvärv av jordbruksmark och en effektiv tillämpning av glesbygdsbestämmel- serna. LI.
83.Ett nationellt förbud mot tiggeri. Ju.
84.Hem för barn och unga. För en trygg, säker och meningsfull vård. S.
85.Ökad tydlighet, stärkt samverkan
–förutsättningar för framtidens utveck- lingspolitik. LI.
86.Redo! En utredning om personalför- sörjningen av det militära försvaret. Fö.
87.Straffrättsliga åtgärder mot korruption och tjänstefel. Ju.
88.Tidigt besked om lämplig användning av mark och vatten. KN.
89.En moderniserad fiskelagstiftning. Volym 1 och 2. LI.
90.Förmedling av post till personer med skydd i folkbokföringen. Fi.
91.Nya regler om arv och testamente
–bland annat ett testamentsregister
i offentlig regi och ett stärkt skydd för efterlevande sambor. Ju.
92.En kulturkanon för Sverige. Ku.
93.En robust skogspolitik för aktivt skogsbruk. Del 1 och 2. LI.
94.En säkrare utrikesförvaltning. UD.
95.Skärpta villkor för anhöriginvandring. Ju.
96.Fler möjligheter till ökat välstånd. Fi.
97.Krishantering och ändrade rörelseregler för försäkringsföretag. Volym I, II, III & IV. Fi.
98.En bättre organisering av fastighetsbildningsverksamheten. LI.
99.Ändring av permanent uppehålls- tillstånd för vissa utlänningar. Ju.
100.Åtgärder mot illegal ip-tv. Ku.
101.Anpassningar till AI-förordningen – säker användning, effektiv kontroll och stöd för innovation. Fi.
102.Bättre ansvarsfördelning. Ju.
103.En ny produktansvarslag. Ju.
104.Ny kärnkraft i Sverige – ett samlat system för omhändertagande av radioaktivt avfall. KN.
105.Om överföring av Första AP-fondens verksamhet och tillgångar till Tredje och Fjärde AP-fonderna. Fi.
106.Om överföring av Sjätte AP-fondens verksamhet och tillgångar till Andra AP-fonden. Fi.
107.Sveriges nationella klimatmål
–uppdaterat etappmål till 2030. KN.
108.Ett datalyft mot fel, fusk och frånvaro. S.
109.Särskilda provokativa åtgärder. Ju.
110.Snabbare bredband i hela landet
–åtgärder för effektivare utbyggnad av gigabitinfrastruktur. Fi.
111.Rättssäkerhetens pris. Ju.
112.Verktyg för skydd av EU-medel. Rättsliga förutsättningar för svenska myndigheter att använda Arachne och Edes. Fi.
Statens offentliga utredningar 2025
Systematisk förteckning
Arbetsmarknadsdepartementet
Arbetslivskriminalitet – upplägg, verktyg och åtgärder, fortsatt arbete. [25]
Frihet från våld, förtryck och utnyttjande. En jämställdhetspolitisk strategi mot våld och en stärkt styrning av centrala myndigheter. [28]
Ökad kvalitet hos Samhall och fler vägar till skyddat arbete. [29]
Etableringsboendelagen – ett nytt system för bosättning för vissa nyanlända. [35]
En reformerad samhällsorientering för bättre integration. [55]
Längre liv, längre arbetsliv – förlängd rätt att kvarstå i anställningen. [70]
En arbetsmiljöstrategi för ett förändrat arbetsliv. [73]
Ny reglering för den arbetsmarknads- politiska verksamheten. [74]
Det handlar om oss
– så bryter vi utanförskapet
och bygger en starkare gemenskap. [76]
En översyn av den statliga löne- garantin. [77]
Finansdepartementet
Skatteincitament för forskning och utveckling. En översyn av FoU-avdraget och expertskatte- reglerna. [3]
Moderna och enklare skatteregler för arbetslivet. [4]
AI-kommissionens Färdplan för Sverige. [12]
En effektivare organisering av mindre myndigheter – analys och förslag. [13]
Kommunal anslutning till Utbetalnings- myndighetens verksamhet. [20]
Enklare mervärdesskatteregler vid försäljning av begagnade varor och donation av livsmedel. [30]
En starkare fondmarknad. [60]
Folkbokföringsverksamhet, biometri och brottsbekämpning. [75]
Förmedling av post till personer med skydd i folkbokföringen. [90]
Fler möjligheter till ökat välstånd. [96]
Krishantering och ändrade rörelseregler för försäkringsföretag. Volym I, II, III & IV. [97]
Anpassningar till AI-förordningen – säker användning, effektiv kontroll och stöd för innovation. [101]
Om överföring av Första AP-fondens verksamhet och tillgångar till Tredje och Fjärde AP-fonderna. [105]
Om överföring av Sjätte AP-fondens verksamhet och tillgångar till Andra AP-fonden. [106]
Snabbare bredband i hela landet
–åtgärder för effektivare utbyggnad av gigabitinfrastruktur. [110]
Verktyg för skydd av EU-medel. Rättsliga förutsättningar för svenska myndig- heter att använda Arachne och Edes. [112]
Försvarsdepartementet
Plikten kallar! En modern personal- försörjning av det civila försvaret. [6]
En reformerad underrättelse- verksamhet. [78]
Samlade förmågor för ökad cybersäkerhet. [79]
Redo! En utredning om personalförsörj ningen av det militära försvaret. [86]
Justitiedepartementet
Skärpta krav för svenskt medborgarskap. [1]
Några frågor om grundläggande fri- och rättigheter. [2]
Straffbarhetsåldern. [11]
Ett nytt regelverk för uppsikt och förvar. [16]
Ersättningsregler med brottsoffret i fokus. [23]
Utmönstring av permanent uppehålls- tillstånd och vissa anpassningar till miniminivån enligt EU:s migrations- och asylpakt. [31]
Skärpta och tydligare krav på vandel för uppehållstillstånd. [33]
Ett modernare konsumentskydd vid distansavtal. [34]
Säkrare tivoli. [40]
Säkerhetsskyddslagen – ytterligare kompletteringar. [42]
Ökat informationsutbyte mellan myndigheter – några anslutande frågor. [45]
Tryggare idrottsarrangemang. [46]
Säkerhetspolisens behandling av personuppgifter. [49]
Ökad insyn i politiska processer. [52]
Ett skärpt regelverk om utvisning på grund av brott. [54]
Stärkt skydd för domstolarnas och domarnas oberoende. [56]
Polisiär beredskap i fred, kris och krig. [57]
Stärkt lagstiftning mot hedersrelaterat våld och förtryck. [59]
En mer flexibel hyresmarknad. [65]
En straffreform. Volym 1, 2, 3 och 4. [66] Koordinatbestämda fastighetsgränser. [80]
En ny organisation av ekobrotts- bekämpningen. [81]
Ett nationellt förbud mot tiggeri. [83]
Straffrättsliga åtgärder mot korruption och tjänstefel. [87]
Nya regler om arv och testamente
–bland annat ett testamentsregister i offentlig regi och ett stärkt skydd för efterlevande sambor. [91]
Skärpta villkor för anhöriginvandring. [95]
Ändring av permanent uppehållstillstånd för vissa utlänningar. [99]
Bättre ansvarsfördelning. [102] En ny produktansvarslag. [103]
Särskilda provokativa åtgärder. [109] Rättssäkerhetens pris. [111]
Klimat- och näringslivsdepartementet
Ny kärnkraft i Sverige – effektivare tillståndsprövning och ändamålsenliga avgifter. [7]
En skärpt miljöstraffrätt och
ett effektivt sanktionssystem. [14]
Miljömålsberedningens förslag om en strategi för hur Sverige ska leva upp till EU:s åtaganden inom biologisk mångfald respektive nettoupptag av växthusgaser från markanvändnings- sektorn (LULUCF). [21]
Förbättrad konkurrens i offentlig och privat verksamhet. [22]
Spänning i tillvaron – hur säkrar vi vår framtida elförsörjning? [47]
Bättre förutsättningar för klimatanpassning. [51]
Nya samverkansformer, modern bygg- nads- och reparationsberedskap – för ökad försörjningsberedskap. [68]
Tidigt besked om lämplig användning av mark och vatten. [88]
Ny kärnkraft i Sverige – ett samlat system för omhändertagande av radioaktivt avfall. [104]
Sveriges nationella klimatmål – uppdaterat etappmål till 2030. [107]
Kulturdepartementet
Publiken i fokus – reformer för ett star- kare filmland. [24]
En kulturkanon för Sverige. [92] Åtgärder mot illegal ip-tv. [100]
Landsbygds- och infrastrukturdepartementet
Avgift för områdessamverkan
–och andra åtgärder för trygghet i byggd miljö. [5]
Anpassning av svensk rätt till EU:s avskogningsförordning. [17]
Vissa förändringar av jaktlagstiftningen. [32]
En ny nationell myndighet för viltförvaltning. [50]
En stärkt hästnäring – för företagande, jämställdhet, jämlikhet och folkhälsa. [58]
En ny kontrollorganisation i livsmedels kedjan – för ökad effektivitet, lik värdighet och konkurrenskraft. [64]
Arlanda – en viktig port för det svenska välståndet. Åtgärder som stärker konkurrenskraften för Arlanda flygplats. [67]
Effektivare samverkan för djur- och folk- hälsa. [69]
Sysselsättning och boende på landsbygden
–Juridiska personers förvärv av jord- bruksmark och en effektiv tillämpning av glesbygdsbestämmelserna. [82]
Ökad tydlighet, stärkt samverkan
–förutsättningar för framtidens utvecklingspolitik. [85]
En moderniserad fiskelagstiftning. Volym 1 och 2. [89]
En robust skogspolitik för aktivt skogsbruk. Del 1 och 2. [93]
En bättre organisering av fastighetsbildningsverksamheten. [98]
Socialdepartementet
En förändrad abortlag
–för en god, säker och tillgänglig abortvård. [10]
Stärkta drivkrafter och möjligheter för biståndsmottagare Volym 1 och 2. [15]
Att omhänderta barn och unga. [38]
Digital teknik på lika villkor.
En reglering för socialtjänsten och verksamhet enligt LSS. [39]
Pensionsnivåer och pensionsavgiften
– analyser på hundra års sikt. [41] Säkerställ tillgången till läkemedel
–förordnande och utlämnande i bristsituationer. [43]
Stärkt pandemiberedskap. [48]
Kvalificering till socialförsäkring och ekonomiskt bistånd för vissa grupper. [53]
Sveriges internationella adoptionsverk-
samhet − lärdomar och vägen framåt.
Volym 1 och 2. [61]
Ansvaret för hälso- och sjukvården. Volym 1 Bedömningar och förslag. Volym 2 Underlagsrapporter. [62]
Stärkt patientsäkerhet genom rätt kompetens − utifrån hälso- och sjukvårdens och tandvårdens behov. [63]
Fortsatt utveckling av en nationell läke- medelslista – en del i en ny nationell infrastruktur för datadelning.
Del 1 och 2. [71]
Hem för barn och unga. För en trygg, säker och meningsfull vård. [84]
Ett datalyft mot fel, fusk och frånvaro. [108]
Utbildningsdepartementet
Bättre förutsättningar för trygghet och studiero i skolan. [8]
På språklig grund. [9]
Ett likvärdigt betygssystem Volym 1 och 2. [18]
Kunskap för alla – nya läroplaner med fokus på undervisning och lärande. [19]
Tid för undervisningsuppdraget – åtgärder för god undervisning och läraryrkenas attraktivitet. [26]
En socionomutbildning i tiden. [27] Skärpta villkor för friskolesektorn. [37] Förbättrat stöd i skolan. [44]
Verktyg för en mer likvärdig resursfördelning till skolan. [72]
Utrikesdepartementet
Skydd för biologisk mångfald i havsområden utanför nationell jurisdiktion. [36]
En säkrare utrikesförvaltning. [94]