Personuppgifter vid införsel av varor till EU som rör säkerhet och skydd

När du tar in en vara från ett land utanför EU ska uppgifter om införseln lämnas till tullmyndigheterna i EU, Norge, Schweiz och Förenade kungariket avseende Nordirland.

De personuppgifter som ska lämnas är namn, kontaktuppgifter och eventuellt identifikationsnummer till avsändare, mottagare och andra aktörer som är involverade i transporten av din vara. Därutöver lämnas uppgifter om de varor som förs in och hur de förs in.

Det kan vara du själv, en aktör som har ansvar för att frakta din vara, ett tullombud eller någon annan uppgiftsskyldig som lämnar uppgifterna.

Därutöver behandlar Tullverket uppgifter om olika typer av risker och riskbedömningar. Uppgifterna kan komma från Tullverket, tullmyndigheter i andra medlemsstater, tullmyndigheterna i Norge, Schweiz och Förenade kungariket, Europeiska kommissionen, privata aktörer som är involverade i transport- och importverksamhet, myndigheter med specialistkunskap inom olika områden samt myndigheter som arbetar med brottsbekämpning och säkerhet.

Därför behandlar Tullverket uppgifterna (ändamål)

Tullverket och andra tullmyndigheter inom EU, Norge, Schweiz och Förenade kungariket avseende Nordirland som berörs av införseln av dina varor till EU behandlar dina personuppgifter för att göra en bedömning av om din vara kan utgöra en risk för hälsa och säkerhet, och därför inte får tas ombord på ett flygplan eller ett fartyg, eller släppas in i EU.

Dina personuppgifter behandlas också för att följa upp, utvärdera, utveckla och planera tullmyndigheternas arbete med riskhantering.

Vem tar emot personuppgifterna

Inom Tullverket har anställda som arbetar med att hindra farliga varor från att föras in i EU samt de som arbetar med uppföljning av den verksamheten tillgång till uppgifterna. Uppgifter som lämnas om införseln av varan är också tillgängliga för anställda som arbetar med granskning av deklarationshandlingar i övrigt.

Den som har lämnat uppgifter via Europeiska kommissionens centrala system till Tullverket om din införsel får information som exempelvis om varan får lastas och att den ska kontrolleras.

Tullmyndigheterna i alla medlemsstater som berörs av din införsel får del av dina uppgifter, exempelvis tullmyndigheten i den medlemsstat där varan först kommer in i EU och i den medlemsstat där mottagaren av varan finns. Även en tullmyndighet som inte direkt berörs av din införsel kan efter att ha flaggat för en särskild risk också få del av dina uppgifter. Tullmyndigheterna kan också utanför en pågående införsel utbyta uppgifter för att fastställa gemensamma riskkriterier och standarder, kontrollåtgärder och prioriterade kontrollområden.

Tullmyndigheterna i Norge, Schweiz och Förenade kungariket får del av dina personuppgifter när de berörs av din införsel.

Europeiska kommissionen tar del av dina uppgifter vid överföring eller lagring av uppgifterna. Kommissionen kan också komma att ta del av uppgifterna vid övervakning och uppföljning av gemensamma riskkriterier samt vid samarbeten kring riskanalyser.

Om Tullverket behöver ta hjälp av en annan myndighet med specialistkunskap inom ett visst område för att kunna bedöma en risk, kan dina personuppgifter komma att lämnas till myndigheten som besitter den särskilda kunskapen (exempelvis Läkemedelsverket, Jordbruksverket och Strålskyddsmyndigheten). Motsvarande gäller i övriga länder som deltar i detta samarbete.

Tullverkets brottsbekämpande verksamhet kan komma att ta emot personuppgifter om det föreligger misstanke om brott eller brottslig verksamhet.

Uppgifter kan också komma att lämnas till andra brottsbekämpande myndigheter och myndigheter med uppdrag att skydda Sverige, EU eller de samarbetande länderna om det finns misstanke om brott eller brottslig verksamhet.

Överföring av uppgifter till land utanför EU

Tullverket lämnar inga personuppgifter direkt till länder utanför EU inom ramen för personuppgiftsbehandling föranledd av säkerhet och skydd, däremot kan detta göras via Europeiska kommissionen.

Norges tullmyndighet deltar i detta tullsamarbete med stöd av protokoll nr 10 till EES-avtalet (EES=Europeiska ekonomiska samarbetsområdet). Norge är ett EES-land och omfattas av samma dataskyddsreglering som EU-länderna.

Schweiz tullmyndighet deltar i detta tullsamarbete med stöd av avtalet mellan Europeiska gemenskapen och Schweiziska edsförbundet om underlättande av kontroller och formaliteter vid godstransporter samt säkerhetsrelaterade tullåtgärder. Schweiz har enligt ett beslut av Europeiska kommissionen adekvat skyddsnivå för personuppgiftsbehandling.

Tullmyndigheten i Förenade kungariket deltar i detta tullsamarbetet avseende Nordirland. Europeiskakommissionen har fattat ett tidsbegränsat beslut om att Förenade kungariket har en adekvat skyddsnivå. Beslutet gäller till och med den 27 juni 2025 och kan förlängas ytterligare om villkoren för det är uppfyllda. Samtidigt kan beslutet också återkallas tidigare om skyddsnivån för personuppgifter sänks.

De EU-gemensamma systemen ger uppgiftslämnare i ett land utanför EU möjlighet att utbyta information med medlemsstaternas tullmyndigheter via en särskild domän utformad för ekonomiska aktörer i ett land utanför EU som är involverade i export av varor till EU.

Rättslig grund

Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen och regleras i följande tullagstiftning:

Artiklarna 16.1, 46.3 o 5, 47.2, 127-129, 133 och 139 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen, tullkodexen.

Artikel 182-188 i kommissionens genomförandeförordning (EU) 2015/2447 av den 24 november 2015 om närmare regler för genomförande av vissa bestämmelser i tullkodex i dess lydelse efter ändring genom kommissionens genomförandeförordning (EU) 2020/893 av den 29 juni 2020.

Artiklarna 104-113 a) och uppgiftskategori F i bilaga B TXK.

Bedömningen av om en vara kan utgöra en risk kan ibland bygga på information om misstanke om brott. I dessa fall sker behandlingen av personuppgifter enligt brottsdatalagen (2018:1177) och lagen (2018:1694) om Tullverkets behandling av personuppgifter på brottsdatalagens område, även om det är samma tullagstiftning som ska tillämpas. Den rättsliga grunden för sådan behandling finns i 2 kap. 1 § 4 i lagen om Tullverkets behandling av personuppgifter på brottsdatalagens område och handlar om att fullgöra förpliktelser som följer av internationella åtaganden.

Gallring

Tullverket tar bort dina uppgifter från de nationella systemen senast sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i Tullverket första gången. Gallring regleras i lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet 2 kap. 10 §.

I EU-gemensamma system där kommissionen och medlemsstaterna är gemensamt personuppgiftsansvariga lagras uppgifter i tio år från det att uppgifterna behandlades för första gången i det centrala systemet. Uppgifter som berörs av ett överklagande eller annat domstolsförfarande tas inte bort förrän det förfarandet har avslutats.

Lagringsperiod för EU-gemensamma system framgår av artiklarna 113.2 a) och 113.4 i kommissionens genomförandeförordning (EU) 2023/1070 av den 1 juni 2023 om tekniska arrangemang för utveckling, underhåll och användning av elektroniska system för utbyte och lagring av information enligt Europaparlamentets och rådets förordning (EU) nr 952/2013.

Gemensamt personuppgiftsansvar

Som utgångspunkt har Tullverket personuppgiftsansvar för den personuppgiftsbehandling som Tullverket utför, oavsett var behandlingen sker.

Personuppgiftsbehandling i EU-gemensamma system:

• Tullmyndigheterna i EU, Norge, Schweiz och Förenade kungariket för Nordirland är gemensamt personuppgiftsansvariga för den behandling som sker för lagring och informationsutbyte. Europeiska kommissionen är i dessa fall personuppgiftsbiträde till tullmyndigheterna.
• Europeiska kommissionen är gemensamt personuppgiftsansvarig med tullmyndigheterna i EU, Norge, Schweiz och Förenade kungariket för Nordirland vid övervakning och uppföljning av de gemensamma riskkriterierna.
• Tullverket och andra tullmyndigheter inom EU samt EU-kommissionen kan också samarbeta för att gemensamt genomföra riskanalyser i de centrala systemen med hjälp av olika analysverktyg. Det kan innebära att EU-kommissionen, Tullverket och andra tullmyndigheter i EU är gemensamt personuppgiftsansvariga för den behandlingen. Tullverket har för Sveriges räkning tillsammans med övriga parter tagit fram ett arrangemang om gemensamt personuppgiftsansvar.