OBS: Detta är utgåva 2020.8. Sidan är avslutad 2020.

Vid överföring av personuppgifter till medlemsstater, tredje land och internationella organisationer gäller särskilda villkor som Skatteverket måste beakta. Med medlemsstater menas stater som är medlemmar i EU samt Island, Liechtenstein, Norge och Schweiz. Reglerna om överföring av personuppgifter omfattar även överföring till internationella organisationer.

Grundläggande förutsättningar för överföring av personuppgifter till tredjeland och internationella organisationer

För att Skatteverket överhuvudtaget ska kunna överföra personuppgifter till tredjeland och internationella organisationer ställer brottsdatalagen upp särskilda villkor som måste vara uppfyllda. En grundläggande förutsättning för att Skatteverket ska kunna överföra personuppgifter är att myndigheten genom rättsordningen är behörig myndighet.

För att överföring ska kunna ske ska Skatteverket även behandla personuppgifterna hos sig inom brottsdatalagens tillämpningsområde. Lagstiftningen omfattar även personuppgifter som är avsedda att behandlas i ett tredjeland eller av en internationell organisation. Det är då fråga om sådana personuppgifter som inte är föremål för automatiserad eller annan strukturerad behandling i Sverige, utan överförs till ett tredjeland eller en internationell organisation för att t.ex. läggas in i en databas.

Det är inte ovanligt att personuppgifter överförs till tredjeland genom så kallade nationella kontaktpunkter inom ramen för internationellt samarbete. Syftet med nationella kontaktpunkter är att underlätta det internationella samarbetet genom att varje stat pekar ut en viss myndighet som är ständigt tillgänglig och genom vilken all information till staten kanaliseras, oberoende av vem den slutliga mottagaren är. Kontaktpunkten ser till att informationen omedelbart vidarebefordras till mottagaren. Det är dock endast behöriga myndigheter som kan fungera som kontaktpunkter för informationsutbyte inom ramlagens tillämpningsområde.

För att överföring ska få ske måste även de grundläggande kraven för behandling enligt brottsdatalagen vara uppfyllda.

Det är viktigt att skyddsnivån inom unionen inte undergrävs när personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra adressater i tredjeland eller till internationella organisationer. Därför måste Skatteverket upprätthålla det krav på skyddsnivå som brottsdatalagen ställer även vid överföring av personuppgifter till tredje land och internationella organisationer.

En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation kan samtidigt innebära utlämnande av allmänna handlingar. Då aktualiseras även bestämmelser om sekretess. (Se mer i prop. 2017/18:232 sid. 400 ff).

Villkor för överföring till tredjeland och internationella organisationer

Reglerna om överföring av personuppgifter omfattar även överföring till internationella organisationer. Om Skatteverket vill föra över personuppgifter till tredje land eller en internationell organisation måste vissa villkor vara uppfyllda (8 kap. 1 § brottsdatalagen):

  • Överföringen måste vara nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Skatteverket kan t.ex. behöva överföra personuppgifter till ett tredjeland för att få hjälp med bevisupptagning i ett ärende som handläggs i Sverige.
  • Överföringen måste riktas till en behörig myndighet i ett tredje land eller till en internationell organisation som är en behörig myndighet. Personuppgifterna ska följaktligen överföras till en myndighet eller en annan aktör som har i uppdrag att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Den behöriga myndigheten som personuppgifterna lämnas till behöver däremot inte ha samma arbetsuppgifter som Skatteverket har.
  • Den mottagande behöriga myndigheten måste omfattas av ett beslut om adekvat skyddsnivå från EU-kommissionen.

Vid avsaknad av beslut om tillräckliga skyddsgarantier

Om det inte finns något beslut om tillräckliga skyddsgarantier eller tillräckliga skyddsåtgärder fastställda i ett avtal eller garantier om tillräckligt skydd från den mottagande behöriga myndigheten får överföringen bara göras om den är nödvändig för att

  • skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person
  • skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför personuppgifterna föreskriver det
  • avvärja en omedelbar eller allvarlig fara för den allmänna säkerheten i en medlemsstat eller i ett tredjeland
  • i ett enskilt fall förebygga, förhindra, avslöja, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot, förebygga och förhindra hot mot den allmänna säkerheten, och i ett enskilt fall fastslå, göra gällande eller försvara rättsliga anspråk.

Vid en prövning får den registrerades intresse av skydd mot kränkning av rättigheter och friheter inte väga tyngre än det allmännas intresse av att en sådan överföring sker (8 kap. 4 och 5 §§ brottsdatalagen). Det finns också krav på särskild dokumentation och information till tillsynsmyndigheten vid sådan överföring (7 kap. 3 och 4 §§ brottsdataförordningen)

Överföring av uppgifter som Skatteverket fått från andra medlemsstater ska vara medgiven

Personuppgifter som Skatteverket har fått från en annan behörig myndighet i en medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till Skatteverket har medgett att de överförs (8 kap. 2 § brottsdatalagen).

Om ett medgivande på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation endast om

  • det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet
  • det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller någon annan medlemsstat.

Den som skulle ha gett tillstånd ska då utan dröjsmål informeras om att överföringen har gjorts (7 kap. 1 § brottsdataförordningen).

Överföring till andra än behöriga myndigheter

En svensk behörig myndighet får i ett enskilt fall överföra personuppgifter till någon som inte är en behörig myndighet i ett tredjeland. Förutsättningar för en sådan överföring anges i 8 kap. 8 § brottsdatalagen och 7 kap. 2 och 5 §§ brottsdataförordningen.

Särskilda villkor (användningsbegränsningar) för överföring av personuppgifter

Om Skatteverket har fått personuppgifter från ett tredjeland eller en internationell organisation och det finns särskilda användningsbegränsningar uppställda i en överenskommelse, ska Skatteverket följa villkoren oavsett vad som är föreskrivet i lag eller annan författning (8 kap. 9 § brottsdatalagen).

Skatteverket får, vid överföring av personuppgifter till ett tredjeland eller en internationell organisation, i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till den enskildes rätt eller från allmän synpunkt. Sådana villkor får emellertid inte strida mot en internationell överenskommelse som är bindande för Sverige (8 kap. 10 § brottsdatalagen).

Om Skatteverket ska överföra personuppgifter till en annan medlemsstat kan Skatteverket behöva ställa upp villkor för att få använda personuppgifterna. Användningsbegränsningar får emellertid endast tillämpas i enskilda fall och villkoren får inte strida mot en bindande internationell överenskommelse. Det innebär i så fall också en skyldighet att i vissa fall dokumentera överföringar som görs till tredjeland eller internationella organisationer en skyldighet att informera tillsynsmyndigheten om vissa överföringar till tredjeland och internationella organisationer.(prop. 2017/18:232 sid. 397 f).

Referenser på sidan

Lagar & förordningar

Propositioner

  • Proposition 2017/18:232 Brottsdatalag [1] [2]