Regeringskansliets rättsdatabaser

Regeringens proposition 2017/18:254 Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning Prop. 2017/18:254 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 26 april 2018 Stefan Löfven Heléne Fritzon (Justitiedepartementet) Propositionens huvudsakliga innehåll Regeringen lämnar i propositionen förslag som anpassar utlännings-datalagen till EU:s dataskyddsförordning. Förordningen, som ska börja tillämpas den 25 maj 2018, är direkt tillämplig i Sverige. Svenska författningar behöver dock anpassas för att säkerställa att förordningen får ett effektivt genomslag och att svensk rätt inte strider mot förordningen. Förslagen innebär bl.a. att hänvisningarna till personuppgiftslagen upphävs och att vissa bestämmelser kompletteras med hänvisningar till förordningen. Regeringen föreslår även ändringar avseende utlännings-datalagens förhållande till annan lagstiftning och utformningen av förbudet mot integritetskänsliga sökningar. Det föreslås också vissa undantag från förordningens bestämmelser. Lagändringarna föreslås träda i kraft den 1 december 2018. Innehållsförteckning 1 Förslag till riksdagsbeslut 4 2 Förslag till lag om ändring i utlänningsdatalagen (2016:27) 5 3 Ärendet och dess beredning 11 4 Bestämmelser om behandling av personuppgifter 11 4.1 1995 års dataskyddsdirektiv och personuppgiftslagen 11 4.2 Utlänningsdatalagen 12 4.3 EU:s dataskyddsreform 12 4.3.1 Dataskyddsförordningen och 2016 års dataskyddsdirektiv 12 4.3.2 Anpassning av nationell reglering till EU:s dataskyddsreform 13 5 Utgångspunkter för anpassningen av utlänningsdatalagen 14 6 Anpassning av bestämmelserna i utlänningsdatalagen 18 6.1 Utlänningsdatalagen måste anpassas till den nya dataskyddsregleringen 18 6.2 Tillämpningsområdet 18 6.3 Förhållandet till annan lagstiftning 19 6.3.1 Förhållandet till den allmänna dataskyddsregleringen 19 6.3.2 Förhållandet till brottsdatalagen 22 6.3.3 Förhållandet till övrig lagstiftning 24 6.4 Ändamålsbestämmelser och finalitetsprincipen 27 6.5 Känsliga personuppgifter 30 6.6 Tillgång till personuppgifter 36 6.7 Integritetskänsliga sökningar 37 6.8 Information om personuppgiftsincidenter 38 6.9 Den registrerades rättigheter 40 6.10 Överföringar av personuppgifter till tredjeland 45 6.11 Dataskyddsombud 48 6.12 Personnummer och samordningsnummer 49 6.13 Tillsynsmyndighetens handläggning och beslut samt sanktionsavgifter 51 6.14 Skadestånd 52 6.15 Gallring av personuppgifter 52 6.16 Automatiserade beslut 54 7 Ikraftträdande- och övergångsbestämmelser 56 8 Konsekvenser av förslagen 57 9 Författningskommentar 58 Bilaga 1 Europaparlamentets och rådets förordning (EU) 2016/679 65 Bilaga 2 Sammanfattning departementspromemorian En omarbetad utlänningsdatalag (Ds 2017:45) 153 Bilaga 3 Promemorians lagförslag 156 Bilaga 4 Förteckning över remissinstanser 164 Bilaga 5 Lagrådsremissens lagförslag 165 Bilaga 6 Lagrådets yttrande 171 Utdrag ur protokoll vid regeringssammanträde den 26 april 2018 172 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i utlänningsdatalagen (2016:27). 2 Förslag till lag om ändring i utlänningsdatalagen (2016:27) Härigenom föreskrivs i fråga om utlänningsdatalagen (2016:27) dels att 7, 8 och 10 §§ ska upphöra att gälla, dels att rubriken närmast före 7 § ska utgå, dels att nuvarande 14 § ska betecknas 15 § och nuvarande 15 § ska betecknas 14 §, dels att 3, 5, 6, 13, den nya 14, 17, 18, 20 och 21 §§ ska ha följande lydelse, dels att rubriken närmast före nuvarande 14 § ska sättas närmast före den nya 15 § och att rubriken närmast före nuvarande 15 § ska sättas närmast före den nya 14 §, dels att det ska införas fem nya paragrafer, 4 a-4 c, 18 a och 18 b §§, och närmast före 4 a, 18 a och 18 b §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse 3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige om verksamheten inte utgör brottsbekämpande verksamhet. Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige. Förhållandet till annan reglering 4 a § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 4 b § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 4 c § Denna lag gäller inte vid behandling av personuppgifter som omfattas av tillämpningsområdet för brottsdatalagen (2018:000). 5 § Denna lag gäller inte när personuppgifter behandlas med stöd av 1. lagen (2000:344) om Schengens informationssystem, 2. lagen (2006:444) om passagerarregister, 2. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller 3. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). 3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller 4. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). 6 § När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för visering-ar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), gäller bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd om inte något annat följer av VIS-förordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för visering-ar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) ska bestämmelserna om rätten till ersättning i artikel 82 i EU:s dataskyddsförordning tillämpas om inte något annat följer av VIS-förordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. 13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas när det är nödvändigt för att tillhandahålla information till 1. riksdagen eller regeringen, 2. en annan myndighet eller en enskild, om uppgifterna lämnas med stöd av lag eller förordning, eller 3. en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. Personuppgifter som behandlas enligt 11 och 12 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. 14 § Sådana känsliga personuppgifter som anges i 13 § personuppgifts-lagen (1998:204) får endast behandlas Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas 1. för de ändamål som anges i 11 § 1-4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller 2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §. Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela 1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och 2. föreskrifter om gallring. 17 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar 1. ras eller etniskt ursprung, 2. politiska åsikter, 3. religiös eller filosofisk övertygelse, 4. medlemskap i fackförening, 5. hälsa, eller 6. sexualliv. Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Detsamma gäller för uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Förbudet omfattar inte uppgifter om beslut om förvar enligt utlänningslagen (2005:716). Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §. 18 § Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp. Vid sökning i personuppgifter får sådana uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen (1998:204) inte användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen (2005:716) får dock användas som sökbegrepp. Information om personuppgiftsincidenter 18 a § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Rätten att göra invändningar 18 b § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 20 § Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 14 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §. Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 15 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §. Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 14 § andra stycket 1, 2 eller 5. Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 15 § andra stycket 1, 2 eller 5. Om det finns skäl för det ska Migrationsverket på eget initiativ lämna uppgifter som avses i andra stycket andra meningen till Polismyndigheten. 21 § Trots hänvisningen till 33 § personuppgiftslagen (1998:204) i 8 § första stycket 8 är det tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400). Personuppgifter får föras över till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400). Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland. 1. Denna lag träder i kraft den 1 december 2018. 2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet. 3 Ärendet och dess beredning Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), härefter dataskyddsförordningen. Förordningen, som börjar tillämpas den 25 maj 2018, finns i svensk lydelse som bilaga 1. Chefen för Justitiedepartementet gav i april 2017 en utredare i uppdrag att lämna förslag på de författningsändringar i utlänningsdatalagen (2016:27) och utlänningsdataförordningen (2016:30) som behövs för att komplettera dataskyddsförordningen. Uppdraget redovisades i september 2017 i departementspromemorian En omarbetad utlänningsdatalag - Anpassning till EU:s dataskyddsförordning (Ds 2017:45). En sammanfattning av promemorian och promemorians lagförslag finns i bilagorna 2 och 3. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissvaren finns tillgängliga i Justitiedepartementet (dnr Ju2017/07761/L7). Lagrådet Regeringen beslutade den 21 mars 2018 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådet lämnade förslaget utan erinran. Vissa språkliga ändringar har gjorts i förhållande till förslaget i lagrådsremissen. 4 Bestämmelser om behandling av personuppgifter 4.1 1995 års dataskyddsdirektiv och personuppgiftslagen Den generella regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1995 års dataskyddsdirektiv). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen följer i princip samma struktur som direktivet och innehåller bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade. Personuppgiftslagen är tillämplig även utanför direktivets tillämpningsområde och gäller för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande regler i en annan författning. Det finns en stor mängd sådana bestämmelser i vad som brukar kallas särskilda registerförfattningar eller andra informationshanteringsförfattningar, som framför allt reglerar hur olika myndigheter får behandla personuppgifter. Syftet med dessa författningar är att anpassa personuppgiftsregleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra avvägningar mellan verksamhetens behov av effektivitet och den enskildes rätt till skydd för sin integritet. 4.2 Utlänningsdatalagen Utlänningsdatalagen är en sektorsspecifik registerlag som reglerar all automatiserad personuppgiftsbehandling som sker i den verksamhet som Migrationsverket, utlandsmyndigheterna och Polismyndigheten bedriver enligt utlännings- och medborgarskapslagstiftningen. Kompletterande bestämmelser till lagen finns i utlänningsdataförordningen. Syftet med regleringen är att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt och effektivt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. I lagen finns bestämmelser om bl.a. tillåtna ändamål för personuppgiftsbehandling, behandling av känsliga personuppgifter, behandling av uppgifter i Migrationsverkets register över fingeravtryck och fotografier, sökbegränsningar och myndigheters direktåtkomst till Migrationsverkets register. Regelverket är tänkt att vara flexibelt för att passa de olika myndigheternas verksamhet och för att möjliggöra utveckling och effektivisering av myndigheternas verksamhet och it-stöd. På grund av den snabba tekniska utvecklingen har målsättningen också varit att i så stor utsträckning som möjligt göra utlänningsdatalagen och utlänningsdataförordningen teknikneutrala. Utlänningsdatalagen gäller i stället för personuppgiftslagen, men innehåller hänvisningar till de bestämmelser i den lagen som ska gälla inom tillämpningsområdet. 4.3 EU:s dataskyddsreform 4.3.1 Dataskyddsförordningen och 2016 års dataskyddsdirektiv Europeiska kommissionen presenterade den 25 januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en allmän dataskyddsförordning som ersätter 1995 års dataskyddsdirektiv, dels ett nytt direktiv med särregler för personuppgiftsbehandling i främst den brottsbekämpande sektorn (2016 års dataskyddsdirektiv). Dataskyddsförordningen kommer från och med den 25 maj 2018 att utgöra grunden för generell personuppgiftsbehandling inom EU. Det huvudsakliga syftet med förordningen är bl.a. att säkerställa en enhetlig skyddsnivå över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen kommer att vara direkt tillämplig i alla EU:s medlemsstater men förutsätter och möjliggör samtidigt kompletterande och specificerande nationella bestämmelser av olika slag. 2016 års dataskyddsdirektiv, som ska vara genomfört i nationell rätt senast den 6 maj 2018, innehåller bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Även sådan personuppgiftsbehandling som utförs av behöriga myndigheter för att skydda mot, förebygga och förhindra hot mot den allmänna säkerheten ingår i tillämpningsområdet. Syftet med direktivet är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, samt att säkerställa att det utbyte av personuppgifter som krävs inom unionen mellan behöriga myndigheter varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Av artikel 2.2 d i dataskyddsförordningen jämförd med artikel 1.1 i 2016 års dataskyddsdirektiv framgår att förordningen inte gäller för sådan personuppgiftsbehandling som omfattas av direktivets tillämpningsområde. 4.3.2 Anpassning av nationell reglering till EU:s dataskyddsreform I propositionen Ny dataskyddslag föreslår regeringen att personuppgiftslagen ska upphävas och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, ska införas (prop. 2017/18:105). Förslaget antogs av riksdagen den 18 april 2018 och träder i kraft den 25 maj 2018. Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan i svensk rätt. Lagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i sektorsspecifika registerförfattningar. I propositionen Brottsdatalag föreslår regeringen att dataskyddsdirektivet ska genomföras i svensk rätt bl.a. genom en ny ramlag, brottsdatalagen (prop. 2017/18:232). Lagen ska vara generellt tillämplig inom det område som direktivet reglerar och vara subsidiär i förhållande till annan lag eller förordning. Regeringen utgår i nu aktuell proposition från att brottsdatalagen kommer att få det innehåll som föreslås i prop. 2017/18:232. 5 Utgångspunkter för anpassningen av utlänningsdatalagen Regeringens bedömning: Den behandling av personuppgifter som får utföras enligt utlänningsdatalagen är tillåten enligt artikel 6.1 och 6.3 i dataskyddsförordningen. Dataskyddsförordningen ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i utlänningsdatalagen. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Datainspektionen efterfrågar en vidare analys av frågan om lagstiftningen på området är proportionell mot det legitima mål som eftersträvas. Inspektionen anser även att den rättsliga grunden för personuppgiftsbehandling ska framgå direkt av lagtexten. Migrationsverket invänder mot promemorians bedömning att hela den verksamhet som verket har anförtrotts på utlännings- och medborgarskapsområdet faller inom ramen för den rättsliga grunden uppgift av allmänt intresse och efterfrågar ett vidare resonemang i den delen. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen. Skälen för regeringens bedömning Dataskyddsförordningens bestämmelser om rättslig grund för behandling av personuppgifter Dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. En sådan grund är t.ex. att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som den personuppgiftsansvarige har (artikel 6.1 c). En annan är att behandlingen behövs för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Personuppgifter får också behandlas om det är nödvändigt för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (artikel 6.1 f). Uppräkningen i artikel 6.1 är uttömmande. Om ingen av de grunder som anges där är tillämplig är behandlingen inte laglig och får därmed inte genomföras. De rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling. Dataskyddsförordningens artikel 6 motsvarar i många avseenden artikel 7 i 1995 års dataskyddsdirektiv och 10 § personuppgiftslagen. En väsentlig skillnad är att den rättsliga grunden om behandling för ändamål som rör ett berättigat intresse enligt artikel 6.1 f i förordningen inte gäller för behandling som utförs av myndigheter (artikel 6.1 andra stycket). En annan betydelsefull skillnad är att det i förordningen ställs upp krav på att vissa rättsliga grunder för behandlingen ska vara fastställda i unionsrätten eller den nationella rätten (artikel 6.3 första stycket). Det nya kravet gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse som den som är personuppgiftsansvarig har (artikel 6.1 c). Det gäller även behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Kravet innebär alltså att de nyssnämnda rättsliga grunderna - rättslig förpliktelse, allmänt intresse och myndighetsutövning - ska vara fastställda i unionsrätten eller den nationella rätten för att kunna läggas till grund för personuppgiftsbehandling. Att den rättsliga grunden ska vara fastställd i unionsrätten eller nationell rätt innebär inte ett krav på att själva behandlingen av personuppgifter måste regleras. Däremot måste den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen ha stöd i rättsordningen (prop. 2017/18:105 s. 48). Vilken rättslig grund en behandling vilar på har betydelse för hur behandlingen får regleras. Om personuppgiftsbehandlingen är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, ger dataskyddsförordningen medlemsstaterna visst utrymme att i nationell lagstiftning behålla eller införa bestämmelser för att anpassa tillämpningen av förordningen (artikel 6.2 och 6.3 andra stycket). Det är alltså möjligt att i angivna situationer på nationell nivå föreskriva särskilda krav som ska gälla för behandlingen. Den rättsliga grund som en behandling vilar på får därmed avgörande betydelse för om nationella bestämmelser som reglerar personuppgiftsbehandling i en verksamhet kan behållas. Det bör noteras att den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter enligt dataskyddsförordningen måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Det finns därmed en bortre gräns för vilka uppgifter som kan behandlas. Det finns rättslig grund för behandling av personuppgifter enligt utlänningsdatalagen Utlänningsdatalagen gäller för personuppgiftsbehandling som Migrationsverket, utlandsmyndigheterna och Polismyndigheterna utför enligt utlännings- och medborgarskapslagstiftningen. Myndigheternas uppdrag och uppgifter inom detta område är fastställda genom lag och annan författning. I prop. 2017/18:105 betonar regeringen att dataskyddsförordningens krav på att den rättsliga grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. I propositionen hänvisas till att legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § regeringsformen, som anger att den offentliga makten utövas under lagarna. Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Det torde inte förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser (prop. 2017/18:105 s. 50). När det gäller den rättsliga grunden uppgift av allmänt intresse invänder Migrationsverket - utan att närmare utveckla skälen för det - mot promemorians bedömning att hela den verksamhet som verket har anförtrotts på utlännings- och medborgarskapsområdet faller inom ramen för denna grund. Begreppet "uppgift av allmänt intresse" definieras inte närmare i dataskyddsförordningen. I prop. 2017/18:105 bedömer regeringen att för att myndigheternas verksamhet ska kunna fungera även fortsättningsvis måste begreppet uppgift av allmänt intresse ges en vid betydelse. Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra bedöms vara av allmänt intresse. Myndigheternas uppdrag och åligganden framgår av bl.a. författningar och regeringsbeslut antagna i enlighet med grundlagens bestämmelser om normgivningskompetens. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsägbara regler (s. 56 f). Detta gäller även för de uppgifter som anförtrotts Migrationsverkets på utlännings- och medborgarskapsområdet. Med beaktande av det anförda delar regeringen promemorians bedömning att sådan behandling som avses i utlänningsdatalagen täcks av de rättsliga grunder som anges i artikel 6.1 c och e i dataskyddsförordningen. Det saknas anledning att, som efterfrågas av Datainspektionen, uttryckligen ange detta i lagtexten. Datainspektionen efterfrågar även en vidare analys av om lagstiftningen i enlighet med artikel 6.3 är proportionell i förhållande till det legitima mål som eftersträvas. Dataskyddsförordningens krav i detta avseende speglar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Europakonventionen är inkorporerad i svensk rätt. Det bör vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. I prop. 2017/18:105 utvecklas regeringens bedömningar i fråga om myndigheters verksamhet och uppgifter och innebörden av förordningens krav på proportionalitet (avsnitt 8.2). Någon ytterligare analys av om lagstiftningen är proportionell mot det legitima mål som eftersträvas är enligt regeringens mening inte påkallad i detta sammanhang. Regeringens slutsats är att den rättsliga grunden för den personuppgiftsbehandling som får utföras enligt utlänningsdatalagen är fastställd i den nationella rätten på ett sådant sätt som krävs enligt dataskyddsförordningen. Vidare uppfyller den ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas. Behandlingen är således tillåten enligt artikel 6.1 och 6.3 i dataskyddsförordningen. Dataskyddsförordningen ger utrymme för en sådan särskild reglering av personuppgiftsbehandling som finns i utlänningsdatalagen EU-förordningar ska enligt artikel 288 i fördraget om Europeiska unionens funktionssätt ha allmän giltighet och vara till alla delar bindande och direkt tillämpliga i varje medlemsstat. Förordningar gäller alltså fullt ut och med samma innehåll inom hela EU och ska inte genomföras i nationell rätt. En medlemsstat kan behålla eller införa nationell lagstiftning på det område som en förordning omfattar endast om förordningen ger utrymme för det. Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Som anges ovan förutsätter detta att det är fråga om sådan personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). I enlighet med skäl 8 i dataskyddsförordningen kan medlemsstaterna dessutom under vissa förutsättningar, och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga, införliva delar av förordningen i nationell rätt. Enligt artikel 23 i dataskyddsförordningen får begränsningar ske av vissa av de rättigheter och skyldigheter som föreskrivs i förordningen. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt intresse. Det förutsätter också att begränsningen sker för något av de ändamål som anges i artikel 23, t.ex. unionens eller en medlemsstats viktiga mål av generellt allmänt intresse eller skydd av rättsväsendets oberoende och rättsliga åtgärder. Den personuppgiftsbehandling som sker inom utlänningsdatalagens tillämpningsområde vilar på de rättsliga grunder som framgår av artikel 6.1 c och e. Det innebär att dataskyddsförordningen ger utrymme att såväl begränsa myndigheternas möjligheter till behandling av personuppgifter som att utöka deras skyldigheter genom mer specificerade krav i förhållande till dataskyddsförordningen. Det måste dock vara fråga om sådana kompletteringar eller undantag till dataskyddsförordningens bestämmelser, eller sådana specifika bestämmelser som kan anses anpassa tillämpningen av förordningens bestämmelser, som är tillåtna. I utlänningsdatalagen finns bestämmelser om bl.a. ändamål med personuppgiftsbehandlingen (11-13 §§), tillgången till personuppgifter (16 §), behandling av känsliga personuppgifter (15 §), sökbegränsningar (17-18 §§) och överföring av personuppgifter till tredjeland (21 §). Bestämmelserna har sin grund i de särskilda behov som myndigheterna har av att behandla personuppgifter för sin verksamhet. Bestämmelserna utgör specifika krav för uppgiftsbehandlingen som säkerställer en laglig och rättvis behandling av personuppgifter inom tillämpningsområdet. Regeringen bedömer att den typ av kompletterande reglering av personuppgiftsbehandling som finns i utlänningsdatalagen kan behållas även när dataskyddsförordningen ska börja tillämpas. Utlänningsdatalagen behöver dock i vissa avseenden anpassas till den nya dataskyddsförordningen. Regeringen återkommer till den frågan i avsnitt 6. 6 Anpassning av bestämmelserna i utlänningsdatalagen 6.1 Utlänningsdatalagen måste anpassas till den nya dataskyddsregleringen Dataskyddsförordningen hindrar alltså inte en sådan sektorspecifik reglering av personuppgiftsbehandling som finns i utlänningsdatalagen. Det finns däremot behov av att anpassa utlänningsdatalagen till den nya regleringen i dataskyddsförordningen och i viss mån till det nya dataskyddsdirektivet. Bland annat finns det skäl att förändra bestämmelserna om hur lagen förhåller sig till annan reglering. Vidare finns det skäl att överväga om vissa av bestämmelserna i lagen, för att undvika dubbelreglering eller normkonflikter, bör ändras eller upphävas med anledning av dataskyddsförordningen, samt om det behöver införas undantag från vissa av dataskyddsförordningens bestämmelser. I promemorian görs bedömningen att utlänningsdatalagens bestämmelser om lagens syfte (1 §), vissa av bestämmelserna om lagens tillämpningsområde (2 §), personuppgiftsansvar (9 §), direktåtkomst (19 §), uppgiftsskyldighet (20 §), avskiljande av personuppgifter (22 §), säkerhetsåtgärder (23 §) och föreskriftsrätten (14-16, 19 och 21-23 §§) är förenliga med dataskyddsförordningen. Samtliga remissinstanser tillstyrker eller lämnar promemorians bedömningar i dessa delar utan invändningar. Även regeringen delar promemorians bedömning att de angivna bestämmelserna är förenliga med dataskyddsförordningen och därför inte behöver ändras. Bestämmelserna kommer inte att behandlas särskilt i kommande avsnitt. I detta sammanhang kan nämnas att några remissinstanser har synpunkter och förslag avseende utlänningsdatalagen i frågor som inte har samband med anpassningen till dataskyddsförordningen och som inte behandlas i promemorian. Det gäller bl.a. Pensionsmyndigheten som framför en begäran om ökad direktåtkomst till vissa register, Migrationsverket som efterfrågar lagstöd för att upprätta en s.k. referensdatabas och Sveriges advokatsamfund som anser att det i utlänningsdatalagen bör införas nya regler som konkretiserar vilka åtgärder myndigheterna ska vidta för att säkerställa personuppgifternas korrekthet. Dessa frågor behandlas inte i propositionen. 6.2 Tillämpningsområdet Regeringens bedömning: Dataskyddsförordningen kräver ingen ändring av utlänningsdatalagens bestämmelse om att lagen endast är tillämplig på personuppgiftsbehandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regeringens bedömning överensstämmer med promemorians. Remissinstanserna: Sveriges advokatsamfund framför att utlänningsdatalagens materiella tillämpningsområde bör motsvara dataskyddsförordningens tillämpningsområde, och förordar att bestämmelsen ändras så att ordalydelsen är densamma som i dataskyddsförordningen. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen. Skälen för regeringens bedömning: Enligt 4 § utlänningsdatalagen är lagen endast tillämplig på personuppgiftsbehandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Avgränsningen av utlänningsdatalagens tillämpningsområde motsvarar i denna del personuppgiftslagens tillämpningsområde. Enligt artikel 2.1. i dataskyddsförordningen är förordningen tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Av artikel 4.6 i dataskyddsförordningen framgår att med begreppet register avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Dataskyddsförordningens tillämpningsområde är alltså något annorlunda formulerat än utlänningsdatalagens. Regeringen delar dock promemorians bedömning att det inte är fråga om någon saklig skillnad och att det inte finns någon risk att tillämpningsområdet missuppfattas. Den formulering som används i utlänningsdatalagen är inarbetad i svensk rätt och förekommer i flera olika författningar. Till skillnad från Sveriges advokatsamfund anser regeringen att bestämmelsen inte behöver ändras. 6.3 Förhållandet till annan lagstiftning 6.3.1 Förhållandet till den allmänna dataskyddsregleringen Regeringens förslag: Bestämmelsen i utlänningsdatalagen om hur lagen förhåller sig till personuppgiftslagen ska upphävas och alla hänvisningar till personuppgiftslagen ska tas bort. I lagen införs en bestämmelse som klargör att lagen kompletterar EU:s dataskyddsförordning. Det införs också en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av utlänningsdatalagen eller föreskrifter som har meddelats i anslutning till lagen. Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås att utlänningsdatalagen ska gälla i stället för dataskyddslagen och att det i lagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska gälla. Remissinstanserna: Flera remissinstanser, bl.a. Uppsala universitet, Polismyndigheten och Sveriges advokatsamfund, påpekar, utan att invända mot promemorians förslag, att EU:s dataskyddsreform och de föreslagna ändringarna leder till ett komplext och svåröverskådligt rättsligt system. Justitiekanslern påpekar att det är av vikt att så långt det är möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling. I övrigt yttrar sig ingen remissinstans särskilt över förslaget. Skälen för regeringens förslag Hänvisningarna till personuppgiftslagen tas bort Enligt 7 § utlänningsdatalagen gäller den lagen i stället för personuppgiftslagen, om inte något annat anges i 8 §. Den senare bestämmelsen innehåller i sin tur hänvisningar till de bestämmelser i personuppgiftslagen som gäller när personuppgifter behandlas enligt utlänningsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen. Utlänningsdatalagen innehåller även andra bestämmelser som hänvisar till personuppgiftslagen. När dataskyddsförordningen börjar tillämpas kommer personuppgiftslagen att upphävas, vilket innebär att hänvisningar till personuppgiftslagen inte kan finnas kvar. Utlänningsdatalagens bestämmelse om hur lagen förhåller sig till personuppgiftslagen bör därför upphävas och alla hänvisningar till personuppgiftslagen tas bort. Utlänningsdatalagens förhållande till dataskyddsförordningen Dataskyddsförordningen kommer från och med den 25 maj 2018 att utgöra den generella reglering för behandling av personuppgifter som utlänningsdatalagen måste anpassas till. Utlänningsdatalagen kommer, som konstateras i avsnitt 5, att innehålla bestämmelser som kompletterar dataskyddsförordningen. Det bör införas en bestämmelse i lagen som upplyser om detta. De hänvisningar till dataskyddsförordningen som föreslås i denna proposition bör vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan emellertid inte uteslutas att utlänningsdatalagen ändå kan behöva ändras i samband med framtida ändringar i förordningen. Utlänningsdatalagens förhållande till dataskyddslagen Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) innehåller de bestämmelser som på ett generellt plan kompletterar dataskyddsförordningen. Dataskyddslagen är, i likhet med personuppgiftslagen, subsidiär i förhållande till bestämmelser om behandling av personuppgifter i annan lag eller förordning. I promemorian föreslås att utlänningsdatalagen ska ha motsvarande förhållande till dataskyddslagen som den har till personuppgiftslagen, och att det i utlänningsdatalagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska gälla inom utlänningsdatalagens tillämpningsområde. I promemorian anförs att regleringen på detta sätt blir tydlig och att bestämmelserna i utlänningsdatalagen inte måste jämföras med bestämmelserna i dataskyddslagen för att det ska kunna fastställas vilka regler som är tillämpliga i ett enskilt fall. En annan lagteknisk lösning är att dataskyddslagen gäller inom utlänningsdatalagens tillämpningsområde, om inte annat följer av utlänningsdatalagen eller föreskrifter som har meddelats i anslutning till den. För en sådan lösning talar att den huvudsakliga regleringen på området, dvs. dataskyddsförordningen, är direkt tillämplig och inte kan göras subsidiär i förhållande till utlänningsdatalagen. Utlänningsdatalagen kan alltså inte som tidigare innehålla en uttömmande reglering av personuppgiftsbehandling inom lagens tillämpningsområde. Till detta kommer att den kompletterande regleringen på generell nivå, dvs. dataskyddslagen, nära anknyter till bestämmelserna i dataskyddsförordningen. Den lagtekniska lösning som föreslås i promemorian riskerar därmed, trots ansatsen att skapa tydlighet, att leda till oklarhet om vad som gäller i förhållande till vissa bestämmelser i dataskyddslagen som det enligt förslaget saknas hänvisningar till. Det gäller t.ex. sådana bestämmelser i dataskyddslagen som införlivar delar av dataskyddsförordningen i nationell rätt eller upplyser om innehållet i förordningen. Regeringen bedömer att dataskyddslagens bestämmelser i stora delar är relevanta för berörda myndigheters verksamhet och att det endast i begränsad utsträckning kommer att bli nödvändigt att införa undantag från dataskyddslagens regler i utlänningsdatalagen. Till det kommer att många andra registerförfattningar kommer att gälla utöver dataskyddslagen (se t.ex. prop. 2017/18:113, prop. 2017/18:115 och prop. 2017/18:95). Eftersom den rättsliga systematiken redan är förhållandevis komplex är det, såsom Justitiekanslern påpekar, viktigt att eftersträva en likartad lagstiftningsteknik i de lagar som reglerar personuppgiftsbehandling. Sammantaget talar alltså övervägande skäl för att dataskyddslagen bör gälla vid behandling av personuppgifter enligt utlänningsdatalagen, om inte annat följer av utlänningsdatalagen eller anslutande föreskrifter. Flera remissinstanser framhåller att det rättsliga systemet, där dataskyddsförordningen ska tillämpas parallellt med svensk lagstiftning, som i sin tur är subsidiär i flera led, leder till ett mycket svåröverskådligt rättsligt system. Bland annat Polismyndigheten framhåller med anledning av detta att lagstiftaren bör ta ett helhetsgrepp över de olika författningsförslag som är konsekvensen av dataskyddsreformen. Regeringen har förståelse för dessa synpunkter. Det bör dock framhållas att den ökade komplexiteten är en följd av att det nya EU-rättsliga regelverket är direkt tillämpligt och att detta förutsätter kompletterande nationell reglering och anpassningar av de befintliga regelverken. Den korta tid som står till buds för att anpassa den svenska dataskyddsregleringen till den nya EU-regleringen medger inte några mer omfattande nationella reformer på detta område. Som regeringen anger i prop. 2017/18:105 är det dock inte uteslutet att vissa sådana övergripande förändringar skulle kunna vara befogade och därför bli föremål för överväganden i ett annat sammanhang (s. 23). När det gäller de bestämmelser i personuppgiftslagen som 8 § utlänningsdatalagen hänvisar till kan det konstateras att dataskyddsförordningen och dataskyddslagen innehåller motsvarigheter till de flesta av dessa. Flera av promemorians förslag innebär att utlänningsdatalagen ska innehålla en hänvisning till en viss bestämmelse i dataskyddslagen. Dessa förslag behandlas nedan i fråga om personnummer och samordningsnummer (avsnitt 6.12), tillsynsmyndighetens handläggning och beslut samt sanktionsavgifter (avsnitt 6.13), den registrerades rättigheter (avsnitt 6.9) och skadestånd (avsnitt 6.14). När det gäller dataskyddslagens bestämmelser om förhållandet till tryck- och yttrandefrihet, behandling av känsliga personuppgifter för arkivändamål av allmänt intresse, användningsbegränsningar för arkiverade personuppgifter och överklagande instämmer regeringen i promemorians bedömning att dessa bestämmelser i dataskyddslagen bör gälla i myndigheternas verksamhet. Samtliga remissinstanser tillstyrker eller lämnar promemorians förslag utan invändningar. Bestämmelserna kommer därför inte att behandlas särskilt i kommande avsnitt. Att bestämmelserna blir tillämpliga följer av regeringens förslag att dataskyddslagen ska gälla vid behandling av personuppgifter enligt utlänningsdatalagen, om inte annat följer av utlänningsdatalagen eller anslutande föreskrifter. Det kan nämnas att även om dataskyddslagen gäller, och det inte finns avvikande bestämmelser i utlänningsdatalagen, kan vissa bestämmelser i dataskyddslagen sakna betydelse för myndigheternas behandling av personuppgifter. Som exempel kan nämnas 2 kap. 3 § om enskilda arkiv och 2 kap. 4 § om barns samtycke. 6.3.2 Förhållandet till brottsdatalagen Regeringens förslag: Bestämmelsen i utlänningsdatalagen om att lagen inte gäller vid behandling av personuppgifter i Polismyndighetens brottsbekämpande verksamhet ska upphävas. Det ska i stället införas en bestämmelse om att utlänningsdatalagen inte gäller vid behandling av personuppgifter som omfattas av tillämpningsområdet för brottsdatalagen. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag. Flera remissinstanser, bl.a. Polismyndigheten, Migrationsverket och Sveriges advokatsamfund, efterfrågar dock förtydliganden och exemplifiering av de olika lagarnas tillämpningsområde. Skälen för regeringens förslag Utlänningsdatalagen ska inte gälla vid behandling av personuppgifter inom tillämpningsområdet för brottsdatalagen Utlänningsdatalagen reglerar enligt 3 § den behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige samt utresa eller avlägsnande från Sverige. Däremot reglerar lagen inte behandling av personuppgifter i Polismyndighetens brottsbekämpande verksamhet, som i dag i stället regleras i polisdatalagen (2010:361). Dataskyddsförordningens bestämmelser gäller inte för sådan personuppgiftsbehandling som omfattas av 2016 års dataskyddsdirektivs tillämpningsområde. Direktivet ska genomföras i svensk rätt genom en ny ramlag, brottsdatalagen (2018:000). Brottsdatalagen ska enligt förslaget vara tillämplig vid behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Även behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet kommer enligt förslaget att omfattas av brottsdatalagen (1 kap. 2 § brottsdatalagen). Det begrepp som i dag används för att avgränsa utlänningsdatalagens tillämpningsområde från polisdatalagens - brottsbekämpande verksamhet - skiljer sig från tillämpningsområdet för brottsdatalagen. Det finns därför anledning att avgränsa utlänningsdatalagens tillämpningsområde på ett annat sätt än i dag. Regeringen föreslår, i likhet med promemorian, att utlänningsdatalagens bestämmelse om att lagen inte gäller vid behandling av personuppgifter i Polismyndighetens brottsbekämpande verksamhet ska tas bort. Förhållandet mellan utlänningsdatalagen och brottsdatalagen bör i stället regleras i en ny bestämmelse som klargör att utlänningsdatalagen inte gäller vid behandling av personuppgifter som omfattas av tillämpningsområdet för brottsdatalagen. Den nya bestämmelsen är avsedd att ersätta den befintliga avgränsningen mot Polismyndighetens brottsbekämpande verksamhet för att anpassa lagen till det nya regelverket för personuppgiftsbehandling. Gränsdragningen mellan utlänningsdatalagen och brottsdatalagen Som nämnts gäller brottsdatalagen för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet. För att brottsdatalagen ska vara tillämplig krävs således dels att den som behandlar personuppgifter är en behörig myndighet, dels att behandlingen utförs för något av de syften som anges i lagen. Med behörig myndighet avses myndigheter som fullgör uppgifter inom brottsdatalagens tillämpningsområde (1 kap. 6 § brottsdatalagen). Migrationsverket och utlandsmyndigheterna har varken något brottsbekämpande uppdrag eller har anförtrotts myndighetsutövning på det området. Generellt sett är därför brottsdatalagen inte tillämplig på den personuppgiftsbehandling som utförs av dessa myndigheter. Att en brottmålsdom expedieras till en myndighet eller att en viss myndighet får tillgång till uppgifter i belastningsregistret eller misstankeregistret innebär inte att den myndigheten blir behörig myndighet i brottsdatalagens mening. Inte heller Migrationsverkets lagreglerade skyldighet att anmäla misstänkta brott enligt bidragsbrottslagen (2007:612) eller verkets skyldigheter enligt förordningen (2016:775) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet innebär att brottsdatalagen blir tillämplig. Polismyndigheten är däremot en myndighet med ett brottsbekämpande uppdrag. All verksamhet som myndigheten utför faller dock inte in under brottsdatalagens tillämpningsområde. Vid den personuppgiftsbehandling som Polismyndigheten utför är det i stället syftet med behandlingen som blir avgörande för vilket regelverk som ska tillämpas. Polismyndighetens verksamhet enligt 3 § utlänningsdatalagen faller under brottsdatalagens tillämpningsområde om den sker för något av de syften som anges i 1 kap. 2 § brottsdatalagen. Som exempel kan nämnas Polismyndighetens behandling av personuppgifter vid utvisning på grund av brott. Eftersom utvisning är en särskild rättsverkan av brott, som innebär att en straffrättslig påföljd verkställs, faller denna personuppgiftshantering under brottsdatalagens tillämpningsområde. Det blir alltså nödvändigt för myndigheten att bedöma syftet med behandlingen av personuppgifter för att avgöra vilket regelverk som blir tillämpligt. I vissa fall kan samma personuppgiftsbehandling ha två olika syften, varav det ena ligger inom brottsdatalagens tillämpningsområde och det andra utanför. Som regeringen uttalar i prop. 2017/18:232 bör sådana situationer betraktas som två olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk. Regelverken kan då bli tillämpliga samtidigt (s. 101). Behandling av personuppgifter i samband med gränskontroll kan vara en sådan situation. I prop. 2017/18:232 redogör regeringen även i vägledande syfte för ett antal allmänna principer som gäller gränsdragningsfrågor (se prop. 2017/18:232, avsnitt 6.7). Vissa frågor som rör gränsdragningen mellan brottsdatalagen och utlänningsdatalagen behandlas också i författningskommentaren, se avsnitt 9. 6.3.3 Förhållandet till övrig lagstiftning Regeringens förslag: Utlänningsdatalagen ska inte gälla när personuppgifter behandlas med stöd av lagen om passagerarregister. Dataskyddsförordningens bestämmelser om skadestånd ska tillämpas vid behandling av personuppgifter som sker med stöd av VIS-förordningen, om inte annat följer av den förordningen. Regeringens bedömning: Det behövs inte några särskilda bestämmelser i utlänningsdatalagen om rättelse och radering av personuppgifter som behandlas med stöd av VIS-förordningen. Utlänningsdatalagens avgränsning mot Schengens informationssystem, viseringskodexen och Eurodac-förordningen är förenlig med dataskyddsförordningen och kan behållas. Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås att det ska införas bestämmelser som motsvarar 28 och 48 §§ personuppgiftslagen beträffande rättelse och skadestånd, som ska gälla för personuppgiftsbehandling enligt VIS-förordningen. Remissinstanserna: Ingen av remissinstanserna invänder mot promemorians förslag och bedömning. Skälen för regeringens förslag och bedömning Schengens informationssystem, viseringskodexen och Eurodac-förordningen För viss behandling av personuppgifter som myndigheterna utför på utlännings- och medborgarskapsområdet finns regler i annan lagstiftning eller i direkt tillämpliga EU-förordningar. För att undvika dubbelreglering och säkerställa att det inte införs reglering som står i strid med dessa EU-förordningar har det i 5 § utlänningsdatalagen gjorts undantag från tillämpningsområdet för behandling av personuppgifter som sker med stöd av vissa andra regelverk. Sådant undantag har bl.a. gjorts för personuppgifter som behandlas med stöd av lagen (2000:344) om Schengens informationssystem, Europaparlamentets och rådets förordning (EG) nr 810/2009 (viseringskodex) och Europaparlamentets och rådets förordning (EU) nr 603/2013 (Eurodac-förordningen). Medlemsstaterna har möjlighet att bestämma tillämpningsområdet för de särskilda registerförfattningar som kompletterar dataskyddsförordningen. I detta ingår även att avgränsa tillämpningsområdet på det sätt som gjorts i 5 § utlänningsdatalagen. Liksom promemorian bedömer regeringen att den nuvarande avgränsningen av utlänningsdatalagens tillämpningsområde som kommer till uttryck i 5 § bör finnas kvar. Lagen om passagerarregister Europeiska unionens råd antog den 29 april 2004 direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare, det s.k. API-direktivet. I direktivet regleras flygtransportörers skyldighet att översända förhandsinformation om passagerare (API-uppgifter) till behöriga nationella myndigheter. Syftet med direktivet är att förbättra gränskontrollerna och att bekämpa olaglig invandring. Direktivet utgör också ett led i kampen mot terrorism. API-direktivets bestämmelser om transportörers uppgiftsskyldighet har genomförts i Sverige genom bestämmelserna i 9 kap. 3 a-f §§ utlänningslagen (2005:716). Därutöver finns en särskild registerförfattning - lagen (2006:444) om passagerarregister - som reglerar hur Polismyndigheten får behandla de API-uppgifter som transportörerna har fört över till myndigheten. Lagen innehåller bl.a. bestämmelser om ändamålet med behandlingen, utlämnande av uppgifter, direktåtkomst, rättelse och skadestånd. Behandlingen av personuppgifter enligt lagen om passagerarregister utförs delvis i brottsbekämpande syfte, vilket faller under 2016 års dataskyddsdirektivs och brottsdatalagens tillämpningsområde. Eftersom syftet med lagen även är att förbättra gränskontrollerna faller personuppgiftsbehandlingen emellertid delvis också under dataskyddsförordningens tillämpningsområde. Det finns därför anledning att reglera förhållandet mellan utlänningsdatalagen och lagen om passagerarregister. Detta bör ske genom en bestämmelse i utlänningsdatalagen som klargör att lagen inte gäller för sådan behandling av personuppgifter som utförs med stöd av lagen om passagerarregister. I enlighet med befintlig systematik bör bestämmelsen föras in som en ny punkt i 5 §. VIS-förordningen Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) reglerar EU:s gemensamma informationssystem för viseringar. Av artikel 33.3 och artikel 38.2 i VIS-förordningen framgår att den registrerades rätt till skadestånd, korrigering (motsvarande rättelse) och radering ska regleras i medlemsstaternas nationella rätt. För att uppfylla VIS-förordningens krav på nationell reglering finns i 6 § utlänningsdatalagen i dag en bestämmelse som innebär att 28 och 48 §§ personuppgiftslagen om rättelse respektive skadestånd gäller när personuppgifter behandlas med stöd av VIS-förordningen, om inte något annat följer av den förordningen. I övrigt är utlänningsdatalagen inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. Eftersom personuppgiftslagen kommer att upphävas måste hänvisningen till den lagens bestämmelser tas bort (se avsnitt 6.3.1). Dataskyddsförordningen innehåller bestämmelser om rättelse (artikel 16) och radering (artikel 17) som kommer att vara direkt tillämpliga vid behandling av personuppgifter med stöd av VIS-förordningen. EU-förordningar jämställs med svensk lag, vilket innebär att det inte behövs några särskilda bestämmelser i utlänningsdatalagen om rättelse och radering av personuppgifter som behandlas med stöd av VIS-förordningen. Dataskyddsförordningens bestämmelser om skadestånd (artikel 82) gäller enligt sin ordalydelse endast för överträdelser av dataskyddsförordningen. Av skäl 146 till förordningen framgår i och för sig att uttrycket behandling som strider mot dataskyddsförordningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med förordningen samt medlemsstaternas nationella rätt som närmare specificerar förordningens bestämmelser. Det framstår emellertid som tveksamt om regleringen om skadestånd i dataskyddsförordningen också kan anses vara direkt tillämplig vid överträdelser av regleringen i VIS-förordningen. Det bör därför införas en hänvisning till dataskyddsförordningens bestämmelser om skadestånd i utlänningsdatalagen. VIS-förordningens krets av skadeståndsberättigade är mer omfattande än motsvarande krets i dataskyddsförordningen, bl.a. eftersom den även innefattar medlemsstater. Detsamma gäller i dag i förhållande till personuppgiftslagens skadeståndsbestämmelser, som inte heller omfattar medlemsstater. I förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 45) bedömde regeringen att om ett krav på ersättning framställs av någon som faller utanför bestämmelserna i personuppgiftslagen finns det generella regler om skadestånd i skadeståndslagen (1972:207) som under vissa förutsättningar kan tillämpas. Den ändring som nu föreslås innebär inte någon ändring i det avseendet. I övrigt bör, på samma sätt som i dag, utlänningsdatalagen inte vara tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. 6.4 Ändamålsbestämmelser och finalitetsprincipen Regeringens förslag: Personuppgifter som behandlas för de primära ändamålen i utlänningsdatalagen ska få behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Regeringens bedömning: Utlänningsdatalagens ändamålsbestämmelser är förenliga med dataskyddsförordningen och kan behållas. Promemorians förslag och bedömning överensstämmer i huvudsak med regeringens. I promemorian föreslås att det ska införas en ny bestämmelse som anger att personuppgifter som behandlats enligt 11 och 12 §§ även får behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enligt med artikel 89.1 i dataskyddsförordningen. Det föreslås också att 13 § andra stycket ska kompletteras med en hänvisning till dataskyddsförordningens bestämmelser om finalitetsprincipen. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig över förslaget och bedömningen. Sveriges advokatsamfund anser att det vore önskvärt med en mer specifik reglering av ändamålsbestämmelserna, där i vart fall vissa ärendetyper anges särskilt. Advokatsamfundet anser även att det saknas anledning att särskilt ange att personuppgiftsbehandling får ske för testverksamhet. Vidare framför advokatsamfundet att möjligheten att behandla personuppgifter för arkivändamål av allmänt intresse följer direkt av artikel 5.1 b i dataskyddsförordningen och att förslaget i den delen innebär ett införlivande av dataskyddsförordningen som inte är tillåtet. Ambassaden Peking önskar ett förtydligande av hur 11 § 1 är avsedd att tillämpas. Skälen för regeringens förslag och bedömning Utlänningsdatalagens ändamålsbestämmelser Utlänningsdatalagen innehåller, i likhet med många andra registerförfattningar, verksamhetsspecifika ändamålsbestämmelser som anger den yttersta ram inom vilken personuppgifter får behandlas. I 11 och 12 §§ utlänningsdatalagen anges de s.k. primära ändamålen, som innebär att myndigheterna får behandla personuppgifter för - handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§, - kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige, - utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar, - framställning av statistik, - utförande av testverksamhet, eller - fullgörande av skyldighet att registrera eller på annat sätt dokumentera en personuppgift. Migrationsverket får också behandla personuppgifter om det behövs för återsökning av avgöranden, rättsutredningar och annan rättslig information eller information som rör förhållanden i andra länder. I 13 § anges de s.k. sekundära ändamålen, som innebär att personuppgifter som behandlas enligt 11 och 12 §§ även får behandlas när det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen, till en annan myndighet eller en enskild om uppgifterna lämnas med stöd av lag eller förordning. Under vissa förutsättningar får de även behandlas när det är nödvändigt för att lämna ut information till en utländsk myndighet, ett EU-organ eller mellanfolklig organisation. I 13 § andra stycket föreskrivs att i ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i 13 § första stycket, under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. Ändamålsbestämmelser i lagstiftning som reglerar myndigheters personuppgiftsbehandling är en typ av specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling. Sådana bestämmelser är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen. I enlighet med artikel 23.2 a i dataskyddsförordningen ska dessutom, när så är relevant, lagstiftning som begränsar tillämpningsområdet för förordningens rättigheter och skyldigheter innehålla specifika ändamålsbestämmelser. Dataskyddsförordningen ger alltså utrymme för att ha bestämmelser om tillåtna ändamål i nationella registerförfattningar. Regeringen bedömer mot denna bakgrund att ändamålsbestämmelserna i utlänningsdatalagen är förenliga med dataskyddsförordningen och kan behållas. För att tydliggöra att bestämmelserna inte innebär något hinder mot vidarebehandling för bl.a. arkivändamål föreslås i det följande dock vissa ändringar i 13 § andra stycket. Det saknas skäl att, såsom Sveriges advokatsamfund och Ambassaden Peking är inne på, specificera ändamålsbestämmelserna ytterligare. Finalitetsprincipen och vidarebehandling av personuppgifter för arkivändamål En allmän dataskyddsrättslig princip är att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt den s.k. finalitetsprincipen får uppgifterna inte senare behandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Detta kommer till uttryck bl.a. i 9 § första stycket c och d personuppgiftslagen. Av 9 § andra stycket följer dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska ses som oförenlig med de ändamål för vilka uppgifterna samlades in. Arkivering av handlingar innebär att de personuppgifter som ingår i handlingarna vidarebehandlas, dvs. behandlas för ett annat ändamål än det ursprungliga. Av 8 § andra stycket personuppgiftslagen följer dock att lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Genom hänvisningen i 8 § första stycket 2 utlänningsdatalagen gäller detta även inom utlänningsdatalagens område. Det är angeläget att lagens förhållande till arkivreglerna förblir detsamma även när personuppgiftslagen upphör att gälla. Myndigheternas arkivbildning är av vikt för att tillgodose behovet av information för rättskipningen och förvaltningen samt forskningens behov. Att allmänna handlingar bevaras hos myndigheterna är även en förutsättning för att bl.a. offentlighetsprincipen ska kunna utnyttjas. När dataskyddsförordningen börjar tillämpas kommer principerna i 9 § första stycket c och d personuppgiftslagen att följa av artikel 5.1 b i förordningen. Enligt artikeln ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. Av artikel 89.1 framgår att behandling för något av dessa ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dataskyddslagen innehåller inte någon motsvarighet till 8 § andra stycket första meningen personuppgiftslagen. Skälet till det är att den behandling av personuppgifter som myndigheter utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då enligt skäl 50 inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (prop. 2017/18:105 s. 111). Ändamålsbestämmelserna bör kompletteras med en bestämmelse om finalitetsprincipen Ändamålsbestämmelserna i utlänningsdatalagen innebär att personuppgifter får behandlas för vissa särskilt angivna ändamål och är avsedda att vara uttömmande. Den möjlighet till vidarebehandling som finns i 13 § avser endast tillhandahållande av information, och omfattar alltså inte sådan vidarebehandling av personuppgifter som sker för arkivändamål. När 8 § andra stycket personuppgiftslagen, som klargör att dataskyddsregleringen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar, upphör att gälla finns det en risk att utlänningsdatalagens uttömmande ändamålsbestämmelser kan uppfattas som ett hinder mot att behandla personuppgifter för arkivändamål. Som anförs i promemorian bör det därför klargöras att bestämmelserna i lagen inte hindrar att personuppgifter vidarebehandlas för arkivändamål av allmänt intresse. I promemorian föreslås att ändamålsbestämmelserna i utlänningsdatalagen ska kompletteras med en ny bestämmelse som anger att personuppgifter som behandlats enligt 11 och 12 §§ även får behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enligt med artikel 89.1 i dataskyddsförordningen. Detta bedöms utgöra ett sådant införlivande av dataskyddsförordningen som är tillåtet enligt skäl 8 till förordningen. Regeringen anser emellertid att kompletteringen av den sekundära ändamålsbestämmelsen lämpligen bör ta sin utgångspunkt i att finalitetsprincipen gäller och att behandling som är förenlig med denna är tillåten. Bestämmelsen i 13 § andra stycket bör därför ändras på så vis att det blir tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. En sådan utformning av ändamålsbestämmelserna ligger i linje med hur många andra registerförfattningar är utformade och säkerställer att vidarebehandling kan ske för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med regleringen i dataskyddsförordningen. Lösningen tillgodoser även Sveriges advokatsamfunds synpunkter. En uttrycklig hänvisning till dataskyddsförordningen, såsom föreslås i promemorian, är inte nödvändig. En konsekvens av förslaget är att utlänningsdatalagens ändamålsbestämmelser inte längre kan betraktas som uttömmande, vilket innebär att det kan bli mindre tydligt för myndigheter och enskilda vilken personuppgiftsbehandling som får förekomma med stöd av utlänningsdatalagen. Regeringen bedömer dock att finalitetsprincipen i sig innebär ett integritetsskydd eftersom den förbjuder ytterligare behandling av personuppgifter som är oförenlig med ursprungsändamålen. Den föreslagna ordningen är enligt regeringen godtagbar ur integritetssynpunkt. Skillnaden mellan promemorians och regeringens förslag lär sannolikt vara mycket begränsad. De primära ändamålsbestämmelserna i 11 och 12 §§ utlänningsdatalagen, som reglerar myndigheternas möjlighet att samla in personuppgifter, är alltjämt uttömmande. Myndigheterna kommer alltså att ha samma möjligheter och begränsningar när det gäller att samla in personuppgifter som tidigare. Liksom tidigare kommer det också att finnas en möjlighet att vidarebehandla personuppgifter i syfte att tillhandahålla information för andra ändamål än de som anges i 13 § första stycket, under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. 6.5 Känsliga personuppgifter Regeringens förslag: Bestämmelsen i utlänningsdatalagen om behandling av känsliga personuppgifter ska hänvisa till EU:s dataskyddsförordning i stället för till personuppgiftslagen. Regeringens bedömning: Det är möjligt att i övrigt behålla bestämmelserna i utlänningsdatalagen om behandling av känsliga personuppgifter och om Migrationsverkets register över fingeravtryck och fotografier. Promemorians förslag och bedömning överensstämmer med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig särskilt över förslaget och bedömningen. Säkerhets- och integritetsskyddsnämnden efterfrågar en analys av vilket behov de myndigheter som tillämpar utlänningsdatalagen har av att behandla genetiska uppgifter, och framhåller att om myndigheterna inte har ett sådant behov bör behandling av sådana uppgifter inte tillåtas. Förvaltningsrätten i Malmö är tveksam till att det går att förlita sig på de tidigare bedömningar som lagstiftaren gjort beträffande känsliga personuppgifter, med beaktande av att kategorin känsliga personuppgifter nu har utökats samt att utvecklingen av den digitala informationshanteringen förändras snabbt. Datainspektionen efterfrågar överväganden som visar att kravet på proportionalitet är uppfyllt beträffande de nya personuppgiftskategorierna. Inspektionen anser även att det bör göras en hänvisning till dataskyddsförordningens artikel 9.2 g för att klargöra med vilket rättsligt stöd behandlingen av känsliga personuppgifter sker. Sveriges advokatsamfund invänder mot promemorians beskrivning av vad som kan anses utgöra en ansiktsbild som entydigt identifierar en person. Skälen för regeringens förslag och bedömning Utlänningsdatalagens bestämmelser om känsliga personuppgifter Känsliga personuppgifter förekommer i stor utsträckning i den verksamhet som bedrivs på utlännings- och medborgarskapsområdet. I förarbetena till utlänningsdatalagen bedömde regeringen att de undantag för behandling av känsliga personuppgifter som finns i personuppgiftslagen och personuppgiftsförordningen inte är tillräckliga för att täcka all nödvändig behandling av känsliga personuppgifter inom de aktuella myndigheternas verksamhet. En reglering av behandlingen av känsliga personuppgifter borde därför finnas i utlänningsdatalagen (prop. 2015/16:65 s. 79). Känsliga personuppgifter definieras i 13 § personuppgiftslagen som personuppgifter som rör hälsa eller sexualliv och personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Enligt 15 § utlänningsdatalagen får sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen endast behandlas för de ändamål som anges i 11 § 1-4 och 6 samt 13 § utlänningsdatalagen, under förutsättning att uppgifterna är absolut nödvändiga för syftet med behandlingen. Därutöver får känsliga personuppgifter behandlas i löpande text för återsökning av information som rör förhållanden i andra länder, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som faller under utlänningsdatalagens tillämpningsområde. Bestämmelserna om i vilka situationer känsliga personuppgifter får behandlas är uttömmande. Känsliga personuppgifter får alltså inte behandlas för utförande av testverksamhet (jfr 11 § 5 utlänningsdatalagen) eller för återsökning av avgöranden, rättsutredningar eller annan rättslig information (jfr 12 § 1 utlänningsdatalagen). I förarbetena till utlänningsdatalagen framhölls att rekvisitet absolut nödvändigt avsåg att markera att behandlingen ska ske med restriktivitet och att behovet att behandla den känsliga uppgiften ska prövas noga i det enskilda fallet - både i samband med att uppgiften samlas in och vid senare behandling av redan insamlade uppgifter (a. prop. s. 81). Enligt 15 § andra stycket 1 utlänningsdatalagen har regeringen rätt att meddela ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter. Några sådana bestämmelser finns inte i utlänningsdataförordningen. Dataskyddsförordningens och dataskyddslagens bestämmelser om känsliga personuppgifter Dataskyddsförordningen innehåller i likhet med 1995 års dataskyddsdirektiv och personuppgiftslagen ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter (artikel 9.1). Förbudet omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Artikel 9.1 i förordningen omfattar nya kategorier av uppgifter jämfört med motsvarande bestämmelse i 1995 års dataskyddsdirektiv (artikel 8.1). Direktivets bestämmelse innefattar inte genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person eller uppgifter om en persons sexuella läggning. Artikel 8.1 i direktivet har genomförts i svensk rätt genom 13 § personuppgiftslagen, som är avsedd att ha samma innebörd som direktivets bestämmelse (prop. 1997/98:44 s. 124). Uppgifter om sexuell läggning har i svensk rätt ansetts ingå i begreppet sexualliv och införandet av det begreppet i förordningen innebär således inte någon egentlig utvidgning från svenskt perspektiv (prop. 2000/01:126 s. 31 och prop. 2007/08:95 s. 125-129). Tillägget av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person utgör dock en utvidgning jämfört med den nuvarande ordningen. I rubriken till artikel 9 i dataskyddsförordningen anges att bestämmelsen avser behandling av särskilda kategorier av personuppgifter. I skäl 10 och 51 omnämns dessa uppgifter i stället som känsliga respektive särskilt känsliga personuppgifter. I personuppgiftslagen och andra författningar används benämningen känsliga personuppgifter. Det begreppet är väl inarbetat, även på EU-nivå, och språkligt lättare att använda och förstå, inte minst i författningstext. Regeringen anser därför att begreppet känsliga personuppgifter bör användas som samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen (prop. 2017/18:105 s. 74 f.). Precis som i 1995 års dataskyddsdirektiv och personuppgiftslagen kompletteras förbudet i dataskyddsförordningen av ett antal undantag som gör det möjligt att behandla känsliga personuppgifter i vissa fall. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades rättigheter och intressen (artikel 9.2 g). Undantaget i artikel 9.2 g är visserligen direkt tillämpligt men det är möjligt för medlemsstaterna att införa mer specifika bestämmelser i nationell rätt. I prop. 2017/18:105 (s. 87) bedömer regeringen att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt samt att ärendebegreppet i de allra flesta fall är förhållandevis tydligt och bör kunna användas som avgränsning. I propositionen föreslås bestämmelser om myndigheters behandling av känsliga personuppgifter som innebär att sådan behandling är tillåten (1) om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, (2) om behandlingen är nödvändig för handläggningen av ett ärende, eller (3) i annat fall, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § dataskyddslagen). Utlänningsdatalagens bestämmelser om känsliga personuppgifter är förenliga med dataskyddsförordningen Regeringen bedömer att den behandling av känsliga personuppgifter som möjliggörs genom utlänningsdatalagen är nödvändig av hänsyn till ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. I lagen finns särskilda bestämmelser som är ägnade att värna den enskildes personliga integritet, t.ex. ändamålsbegränsningar, behörighetsregler och regler om förbud mot att söka på bl.a. känsliga personuppgifter i databaser. Denna reglering uppfyller enligt regeringens mening dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Det är alltså möjligt att behålla den nuvarande regleringen avseende känsliga personuppgifter i utlänningsdatalagen. Nuvarande reglering är särskilt utformad och anpassad till de aktuella myndigheternas verksamhet. Bestämmelserna om behandling av känsliga personuppgifter i utlänningsdatalagen bör därför behållas och utgöra en reglering som avviker från 3 kap. 3 § dataskyddslagen. Till skillnad från Datainspektionen anser regeringen att det inte behöver införas en hänvisning till artikel 9.2 g i dataskyddsförordningen i syfte att klargöra med vilket rättsligt stöd behandlingen av känsliga personuppgifter sker. Utlänningsdatalagens hänvisning till personuppgiftslagens bestämmelse om känsliga personuppgifter, som kommer att upphävas, bör däremot ersättas med en hänvisning till artikel 9.1 i dataskyddsförordningen. Denna förändring innebär att även genetiska och biometriska uppgifter för att entydigt identifiera en fysisk person kommer att omfattas av reglerna om känsliga personuppgifter. Som nämns ovan bedöms dock sexuell läggning redan ingå i begreppet sexualliv. Biometriska uppgifter definieras i artikel 4.14 som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person. Som ett exempel anges ansiktsbilder. I skäl 51 i dataskyddsförordningen anges bl.a. att behandling av foton inte systematiskt bör anses utgöra behandling av känsliga personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering. 2016 års dataskyddsdirektiv innehåller samma definition av begreppet biometriska uppgifter som dataskyddsförordningen. I prop. 2017/18:232 bedömer regeringen att fotografier och filmer som inte bearbetas tekniskt i syfte att åstadkomma identifiering faller utanför den definitionen. Om bilder däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilderna omfattas de av definitionen (s. 86). Det saknas anledning att göra en annan bedömning av begreppet biometriska uppgifter i detta sammanhang. En ansiktsbild omfattas alltså av regleringen om känsliga personuppgifter endast om den behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Säkerhets- och integritetsskyddsnämnden efterfrågar en analys av de aktuella myndigheternas behov av att behandla genetiska uppgifter. Som anges i promemorian är det svårt att förutse hur den tekniska utvecklingen kommer att förändra möjligheterna att behandla personuppgifter inom ramen för verksamhetssystemen. Regleringen i utlänningsdatalagen är tänkt att vara flexibel för att passa de olika myndigheterna och möjliggöra utveckling och effektivisering av deras verksamhet. Målsättningen är också att regelverket i så stor utsträckning som möjligt ska vara teknikneutralt. Regeringen bedömer därför att det inte framstår som ändamålsenligt att särreglera genetiska uppgifter i detta sammanhang. Beträffande synpunkterna från Datainspektionen och Förvaltningsrätten i Malmö bör det framhållas att bedömningen ovan - dvs. att regleringen avseende känsliga personuppgifter i utlänningsdatalagen är förenlig med dataskyddsförordningen - inkluderar samtliga kategorier av sådana personuppgifter som anges i dataskyddsförordningen. Det finns dock skäl att särskilt se över bestämmelserna om Migrationsverkets register över fingeravtryck och fotografier. Regeringen återkommer till detta nedan. Sveriges advokatsamfund har synpunkter på promemorians beskrivning av vad som kan anses utgöra en ansiktsbild som entydigt identifierar en person. Som anges ovan är det endast sådana ansiktsbilder som behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person som omfattas av de särskilda bestämmelserna om känsliga personuppgifter. Särskilt om Migrationsverkets register över fingeravtryck och fotografier I begreppet biometriska uppgifter ingår bl.a. fingeravtryck och ansiktsbilder. Det finns därför skäl att särskilt se över bestämmelserna om Migrationsverkets register över fingeravtryck och fotografier. Av 14 § första stycket utlänningsdatalagen framgår att Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen. Enligt den bestämmelsen får Migrationsverket eller Polismyndigheten fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige, om utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller om det finns grund att besluta om förvar. Av 14 § andra stycket utlänningsdatalagen följer att registrens uppgifter om fingeravtryck eller fotografier - med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ - får användas endast i vissa särskilt utpekade verksamheter eller situationer. Dessa utgörs av prövning av vissa ansökningar om uppehållstillstånd, ärenden om avvisning eller utvisning, testverksamhet, för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller för kontroll av fingeravtryck mot Polismyndighetens fingeravtrycks- och signalementsregister. Vissa kompletterande bestämmelser finns i utlänningsdataförordningen. Av 2 § i förordningen framgår att register över fingeravtryck och fotografier endast får innehålla fingeravtryck och fotografier samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift. I 3 § finns föreskrifter om gallring av uppgifter i registren över fingeravtryck och fotografier. Syftet med Migrationsverkets register över fingeravtryck och fotografier är att underlätta identifikation av de som söker uppehållstillstånd i Sverige. Utredning av identitet är av betydelse för Migrationsverkets handläggning av ärenden både vad gäller prövning av asylskäl, fastställande av ansvarig medlemsstat enligt EU-förordningar och för att underlätta vid eventuell återresa eller svenskt medborgarskap. Fingeravtryckskontroller är en viktig del av det arbetet. Migrationsverket använder sig även vid behov av automatiserade fotojämförelser som ett komplement till andra undersökningar när det gäller att knyta inkomna fotografier till en identitet. Detta förfarande medför bl.a. att handläggningstiderna i asylprocessen kan kortas, identiteten på fler personer kan fastställas och arbetet med återresor kan effektiviseras. Skälet till den särreglering som gäller beträffande Migrationsverkets register över fingeravtryck och fotografier är de speciella rutiner som gäller för denna behandling och den konstruktion som valts för registerföringen. Vid tillkomsten av utlänningsdatalagen pekade regeringen bl.a. på att Migrationsverkets register över fingeravtryck är avskilda från verkets ärendehanteringssystem och andra datasystem och att fingeravtryck är personuppgifter av ett speciellt slag eftersom de kräver användning av speciell teknik för att kunna behandlas. I fråga om fotografier framhöll regeringen även att en säkrare identitetsanalys av inkomna fotografier gynnar enskildas integritet, genom att risken för oklarheter och missförstånd om enskildas identitet minskar (prop. 2015/16:65 s. 72 ff.). Det är av stor vikt för Migrationsverkets verksamhet att det finns möjlighet till en effektiv behandling av personuppgifter i form av fingeravtryck och fotografier. Gällande regler är anpassade för att möjliggöra ett effektivt användande av de aktuella registren och föregicks av noggranna överväganden avseende bl.a. integritetsskyddsfrågor. Ansiktsbilder i Migrationsverkets register omfattas av regleringen om känsliga personuppgifter om de behandlas med särskild teknik som möjliggör identifiering och autentisering av en fysisk person. Regeringen bedömer att den personuppgiftsbehandling som regleras i 14 § utlänningsdatalagen är nödvändig av hänsyn till ett viktigt allmänt intresse och att förutsättningarna även i övrigt för att tillämpa undantaget i artikel 9.2 g i dataskyddsförordningen är uppfyllda. Det krävs därmed inte några ändringar i 14 § utlänningsdatalagen med anledning av dataskyddsförordningen. Det förhållandet att fingeravtryck och ansiktsbilder kommer att ingå i kategorin känsliga personuppgifter innebär däremot att det krävs redaktionella ändringar i utlänningsdatalagen. Bestämmelsen om behandling av känsliga personuppgifter bör kompletteras med en upplysning om att känsliga personuppgifter även får behandlas med stöd av den bestämmelse som reglerar Migrationsverkets rätt att föra register över fingeravtryck och fotografier. Detta innebär att uppgifter i form av fingeravtryck och fotografier som förekommer i det registret alltjämt får användas enligt de nuvarande förutsättningarna. För att utlänningsdatalagens bestämmelser om känsliga personuppgifter ska ha en logisk inbördes ordning bör även paragraferna byta plats med varandra. Det innebär att redaktionella ändringar även måste göras i 20 § som reglerar Migrationsverkets uppgiftsskyldighet gentemot andra myndigheter. 6.6 Tillgång till personuppgifter Regeringens bedömning: Bestämmelsen i utlänningsdatalagen om tillgång till personuppgifter är förenlig med dataskyddsförordningen och kan behållas. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Sveriges advokatsamfund anser att bestämmelsen i 16 § utlänningsdatalagen bör utgå då den saknar självständig betydelse och innebär ett otillåtet införlivande av dataskyddsförordningen. I övrigt yttrar sig inte någon av remissinstanserna särskilt över bedömningen. Skälen för regeringens bedömning: Enligt 16 § utlänningsdatalagen ska tillgången till personuppgifter begränsas till det varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter. Enligt artikel 24.1 i dataskyddsförordningen ska den personuppgiftsansvarige, med beaktande av bl.a. behandlingens art, omfattning, ändamål och riskerna, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. Enligt artikel 25.2 ska den personuppgiftsansvarige också genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för dess lagring och deras tillgänglighet. Enligt artikel 32 i dataskyddsförordningen har den personuppgiftsansvarige vidare en skyldighet att se till att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätthålls. Detta ska ske bl.a. genom lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i denna del återfinns även i de allmänna principer för personuppgiftsbehandling som framgår av artikel 5.1 f i dataskyddsförordningen. Även om skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till personuppgifter kan sägas följa av dataskyddsförordningen delar regeringen promemorians bedömning att bestämmelsen i 16 § utlänningsdatalagen utgör ett sådant specifikt krav på personuppgiftsbehandling som enligt artikel 6.2 får fastställas i nationell rätt. Till skillnad från Sveriges advokatsamfund anser regeringen därför att bestämmelsen kan och bör behållas. 6.7 Integritetskänsliga sökningar Regeringens förslag: Det ska vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Detsamma ska gälla för uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Undantag ska göras för sökningar i Migrationsverkets register över fotografier och fingeravtryck samt för sökningar som gäller beslut om förvar. Promemorians förslag och bedömning överensstämmer i sak med regeringens förslag. I promemorian föreslås en annan lagteknisk utformning av sökförbudet. Remissinstanserna: Migrationsverket anser att den föreslagna utformningen av sökbegränsningen omöjliggör ett effektivt sökande efter uppgifter som är centrala för asylprocessen och efterfrågar en utformning av regelverket kring sökbegränsningar som möjliggör behandling av känsliga personuppgifter i avidentifierad statistik. Även Säkerhets- och integritetsskyddsnämnden ifrågasätter utformningen av det föreslagna sökförbudet och anser att dess ordalydelse i praktiken förhindrar all användning av sökbegrepp, vilket bl.a. kan omöjliggöra en effektiv registervård och tillsyn. Skälen för regeringens förslag: En vanligt förekommande skyddsåtgärd i registerförfattningar är sökbegränsningar. I utlänningsdatalagen finns regler om sådana begränsningar i 17 och 18 §§. Reglerna innebär att det inte är tillåtet att som sökbegrepp använda uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Vidare är det inte tillåtet att som sökbegrepp använda personuppgifter som direkt pekar ut den registrerade vid återsökning av information som rör förhållanden i andra länder. Det är inte heller tillåtet att som sökbegrepp använda sådana uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen, dock med undantag för beslut om förvar. De uppgifter som avses i 21 § personuppgiftslagen, som motsvarar artikel 8.5 i 1995 års dataskyddsdirektiv, innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Bestämmelserna om sökbegränsningar har införts för att minimera riskerna för att känsliga personuppgifter missbrukas och för att upprätthålla integritetsskyddet. Dataskyddsförordningen innehåller inte någon begränsning av vilka typer eller former av sökbegränsningar som kan införas i nationell rätt. Regeringen bedömer att det är angeläget att behålla det skydd som de nuvarande sökbegränsningarna innebär för den enskildes integritet. Det finns därför inte skäl att göra några ändringar avseende vilka kategorier av personuppgifter som ska omfattas av sökförbudet. Det finns inte heller skäl att ändra förbudet mot att använda personuppgifter som direkt pekar ut den registrerade vid återsökning av information som rör förhållanden i andra länder. Som Migrationsverket och Säkerhets- och integritetsskyddsnämnden för fram finns det dock skäl att se över utformningen av sökförbudet. Myndigheterna pekar på att den föreslagna utformningen av sökförbudet omöjliggör såväl ett effektivt sökande av centrala uppgifter som en effektiv registervård och tillsyn. I prop. 2017/18:105 och i prop. 2017/18:232 föreslås en sökbegränsning som utgår ifrån syftet med sökningen. Enligt förslagen ska det vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. En sådan utformning innebär inte större möjligheter att använda känsliga personuppgifter som sökbegrepp vid sådana sökningar som det tidigare sökförbudet varit avsett att hindra, såsom kartläggning av personer på grundval av etnicitet. Däremot skulle en sökbegränsning som utformats utifrån syftet med sökningen inte hindra sökningar som görs för andra ändamål, t.ex. i syfte att utöva tillsyn, för att ta fram verksamhetsstatistik eller för registervård, dvs. då syftet med sökningen inte är att identifiera ett urval av individer. Enligt regeringen är en sådan lagteknisk utformning att föredra även i utlänningsdatalagen. Det bör alltså vara förbjudet för myndigheterna att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Som anges ovan bör samma kategorier av personuppgifter som i dag omfattas av sökförbudet. Utöver sådana känsliga personuppgifter som avses i artikel 9.1 dataskyddsförordningen omfattas alltså även personuppgifter som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Detta bör framgå direkt av lagtexten. Att bestämmelsen om sökbegränsningar kommer att hänvisa till dataskyddsförordningens bestämmelse om känsliga personuppgifter innebär att även genetiska och biometriska uppgifter omfattas. För att inte omöjliggöra nödvändiga sökningar i Migrationsverkets register över fotografier och fingeravtryck bör det göras ett undantag från sökförbudet för detta. Även det nuvarande undantaget för uppgifter om beslut om förvar bör finnas kvar. 6.8 Information om personuppgiftsincidenter Regeringens förslag: Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt dataskyddsförordningen ska inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Promemorians förslag överensstämmer i sak med regeringens. Promemorian föreslår en annan lagteknisk utformning av bestämmelsen. Remissinstanserna: Datainspektionen framför att det föreslagna undantaget från skyldigheten att informera om en personuppgiftsincident kan göras med stöd av både artikel 23.1 e och f i dataskyddsförordningen. I övrigt yttrar sig ingen remissinstans särskilt över förslaget. Skälen för regeringens förslag: Genom artikel 33 i dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla personuppgiftsincidenter till tillsynsmyndigheten. Med personuppgiftsincident avses enligt artikel 4.12 en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige enligt artikel 34.1 utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten. Sådan information krävs dock inte om (a) den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder, (b) den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att det inte längre kommer att uppstå en hög risk för de registrerades rättigheter och friheter, eller (c) det skulle inbegripa en oproportionell ansträngning. I det sistnämnda fallet ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt (artikel 34.3). De direkt tillämpliga undantagen i dataskyddsförordningen omfattar inte situationen att de uppgifter som ska lämnas till den registrerade omfattas av sekretess eller tystnadsplikt. Dataskyddsförordningen ger emellertid en möjlighet att i nationell rätt föreskriva begränsningar av skyldigheten att informera den registrerade om en personuppgiftsincident (artikel 23). Det finns därför anledning att överväga om en sådan begränsning bör införas i utlänningsdatalagen. Dataskyddsförordningens bestämmelse om information till den registrerade vid en personuppgiftsincident skulle kunna innebära att den registrerade får information om att hans eller hennes personuppgifter behandlas av Migrationsverket, Polismyndigheten eller utlandsmyndigheterna, trots att det råder sekretess om detta förhållande gentemot den registrerade själv. Ett exempel på en sådan situation skulle kunna vara att A söker asyl i Sverige och uppger som skyddsskäl att hon eller han är förföljd av sin make, B. Senare söker även B asyl i Sverige, ovetandes om att även A sökt asyl här. Vid en incident som rör person A:s ärende skulle B, utan ett undantag för sekretess, ha rätt att få information om incidenten och därmed indirekt också om att A befinner sig i landet. Mot denna bakgrund bedömer regeringen att den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident inte bör gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. En sådan begränsning av den personuppgiftsansvariges skyldigheter bedöms möjlig eftersom den sker i syfte att säkerställa skyddet för den registrerade eller andras rättigheter och friheter i enlighet med artikel 23.1 i och, som Datainspektionen påpekar, för att säkerställa ett viktigt mål av generellt allmänt intresse i enlighet med artikel 23.1 e. Regeringen bedömer också att begränsningen kan ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och att den utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Till skillnad från vad som föreslås i promemorian bör bestämmelsens utformning ta sin utgångspunkt i den personuppgiftsansvariges skyldighet att informera om personuppgiftsincidenter. 6.9 Den registrerades rättigheter Regeringens förslag: En bestämmelse ska införas i utlänningsdatalagen som anger att rätten att göra invändningar mot behandling av personuppgifter enligt artikel 21.1 i dataskyddsförordningen inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen. Regeringens bedömning: Utlänningsdatalagen bör inte innehålla några undantag från den registrerades rättigheter enligt artiklarna 13-19 i dataskyddsförordningen, utöver vad som följer av dataskyddslagen. Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås inte något undantag från den registrerades rätt att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Vidare föreslås i promemorian att utlänningsdatalagen ska innehålla en hänvisning till dataskyddslagens bestämmelser om den registrerades rätt till information. Förslaget överensstämmer i denna del i sak med regeringens bedömning. Remissinstanserna: Ingen av remissinstanserna invänder mot promemorians förslag och bedömning. Skälen för regeringens förslag och bedömning Dataskyddsförordningens bestämmelser om den registrerades rättigheter I kapitel III i dataskyddsförordningen behandlas den registrerades rättigheter. Det finns bestämmelser om rätten till information (artiklarna 13 och 14), registerutdrag (artikel 15), rätten till rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18) och dataportabilitet (artikel 20). Vidare behandlas rätten att göra invändningar (artikel 21) och att motsätta sig automatiskt individuellt beslutsfattande (artikel 22). I anslutning till dessa rättigheter finns även bestämmelser om hur och när information ska lämnas (artikel 12) och bestämmelser om anmälningsskyldighet för det fall rättelse, radering eller begränsning av behandling sker (artikel 19). De rättigheter för enskilda som följer av dataskyddsförordningen har, med vissa undantag, sina motsvarigheter i 1995 års dataskyddsdirektiv och personuppgiftslagen. Rättigheterna har dock förstärkts i vissa avseenden genom dataskyddsförordningen, bl.a. när det gäller rätten till information och tillgång till uppgifter. Den registrerades rättigheter, med motsvarande skyldigheter för den personuppgiftsansvarige, är direkt tillämpliga. Rättigheterna är emellertid inte absoluta utan kan enligt artikel 23 i dataskyddsförordningen begränsas, under vissa förutsättningar. Enligt artikeln får begränsningar införas i nationell rätt om begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle, i syfte att säkerställa vissa angivna viktiga intressen. En nyhet i dataskyddsförordningen jämfört med 1995 års dataskyddsdirektiv är att det anges att en begränsande lagstiftningsåtgärd, när så är relevant, ska innehålla specifika bestämmelser i vissa avseenden, bl.a. om skyddsåtgärder. Nedan behandlas frågan om det skulle behövas särskilda regler i utlänningsdatalagen som begränsar enskildas rättigheter enligt dataskyddsförordningen när det gäller rätten till information och tillgång till personuppgifter, rätten till rättelse, radering och begränsning av behandling av personuppgifter och rätten att göra invändningar mot behandling. Rätten till dataportabilitet är inte tillämplig vid den personuppgiftsbehandling som sker enligt utlänningsdatalagen eftersom sådan behandling inte grundar sig på samtycke eller avtal. Dataportabilitet behandlas därför inte nedan. Automatiskt beslutsfattande, som inte regleras i utlänningsdatalagen, behandlas i avsnitt 6.16. Rätten till information och tillgång till personuppgifter Av 8 § första stycket 5 utlänningsdatalagen framgår att bestämmelser om information till den registrerade i 23 och 25-27 §§ personuppgiftslagen gäller vid tillämpning av utlänningsdatalagen. Däremot hänvisas inte till 24 § personuppgiftslagen om information som ska lämnas om personuppgifter som har samlats in från någon annan källa än den registrerade. Artikel 13 och 14 i dataskyddsförordningen reglerar vilken information som ska lämnas till den registrerade och har i allt väsentligt motsvarande innebörd som 23 och 24 §§ personuppgiftslagen, även om omfattningen av den information som ska tillhandahållas har utvidgats. Artikel 15 i dataskyddsförordningen reglerar den registrerades rätt till tillgång till personuppgifter och motsvarar 26 § personuppgiftslagen om information som ska lämnas efter ansökan (s.k. registerutdrag). I prop. 2017/18:105 föreslår regeringen undantag från vissa av dataskyddsförordningens rättigheter och skyldigheter. Rätten till information och tillgång enligt artiklarna 13-15 i dataskyddsförordningen ska enligt förslaget inte gälla sådana uppgifter som omfattas av sekretess eller tystnadsplikt (5 kap. 1 § första stycket dataskyddslagen). Vidare ska rätten till registerutdrag som huvudregel inte gälla personuppgifter som finns i löpande text som inte har fått sin slutliga utformning eller som utgör minnesanteckning eller liknande (5 kap. 2 § dataskyddslagen). I likhet med promemorian anser regeringen att dessa bestämmelser, som motsvarar 26 § tredje stycket och 27 § personuppgiftslagen, bör gälla även när personuppgifter behandlas enligt utlänningsdatalagen. I promemorian föreslås att utlänningsdatalagen ska innehålla hänvisningar till bestämmelserna i dataskyddslagen. Att bestämmelserna i 5 kap. 1 § första stycket och 2 § dataskyddslagen blir tillämpliga följer emellertid av regeringens förslag att dataskyddslagen ska gälla vid behandling av personuppgifter enligt utlänningsdatalagen, om inte annat följer av utlänningsdatalagen eller anslutande föreskrifter (avsnitt 6.3.1). Som nämns ovan är 24 § personuppgiftslagen, som motsvarar artikel 11 i 1995 års dataskyddsdirektiv, inte tillämplig enligt utlänningsdatalagen. Enligt 24 § första stycket ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen, om personuppgifterna har samlats in från någon annan källa än den registrerade. Av andra stycket följer dock att information inte behöver lämnas till den registrerade om det finns bestämmelser om registreringen eller utlämnandet av personuppgifterna i en lag eller någon annan författning. I förarbetena till utlänningsdatalagen konstaterades att någon hänvisning till 24 § personuppgiftslagen inte var nödvändig i utlänningsdatalagen eftersom det föreslogs att sådana bestämmelser som föreskrivs i 24 § andra stycket personuppgiftslagen skulle införas i utlänningsdatalagen (prop. 2015/16:65 s. 50). En motsvarighet till 24 § personuppgiftslagen finns i artikel 14 i dataskyddsförordningen. Artikel 14.5 c innehåller dock ett undantag som innebär att den personuppgiftsansvarige inte behöver lämna information till den registrerade, om den personuppgiftsansvarige har rätt att ta emot eller lämna ut uppgifterna enligt medlemsstatens nationella rätt. En förutsättning för att undantaget ska vara tillämpligt är att den nationella rätten fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Den typ av reglering som avses i undantaget i artikel 14.5 c finns i utlänningsdatalagen och i t.ex. förvaltningslagen (2017:900). Utlänningsdatalagen innehåller vidare skyddsåtgärder i form av bestämmelser om tillåtna ändamål, tillgången till personuppgifter och sökbegränsningar. Regeringen bedömer, liksom promemorian, att detta innebär att förordningens bestämmelser om information som ska tillhandahållas när personuppgifter inte har erhållits från den registrerade inte behöver tillämpas inom utlänningsdatalagens område. Eftersom undantaget följer direkt av dataskyddsförordningen finns det inget behov av att reglera frågan i utlänningsdatalagen. Regeringen anser sammanfattningsvis att rätten till information och tillgång till personuppgifter enligt artiklarna 13-15 i dataskyddsförordningen inte bör begränsas för behandling av personuppgifter inom utlänningsdatalagens tillämpningsområde utöver vad som följer av dataskyddslagen. Rätten till rättelse och radering av personuppgifter Enligt 28 § personuppgiftslagen är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Bestämmelsen gäller vid behandling av personuppgifter enligt utlänningsdatalagen (8 § första stycket 6 utlänningsdatalagen). En myndighet får dock inte utplåna uppgifter i en allmän handling, om det skulle strida mot andra bestämmelser. Av 28 § personuppgiftslagen framgår även att den personuppgiftsansvarige i vissa fall ska underrätta tredje man, till vilken uppgifterna har lämnats ut, om korrigeringsåtgärden. När det gäller rättelse motsvaras 28 § personuppgiftslagen av artikel 16 i dataskyddsförordningen, som innebär att den registrerade har rätt att utan dröjsmål få felaktiga personuppgifter rättade. Med beaktande av ändamålet med behandlingen ska den registrerade även ha rätt att komplettera ofullständiga personuppgifter. Regeringen anser att det inte finns skäl att i utlänningsdatalagen begränsa rätten till rättelse enligt dataskyddsförordningen. Möjligheterna för en enskild att enligt artikel 17 i dataskyddsförordningen få personuppgifter raderade är mer omfattande än möjligheterna till utplåning av personuppgifter enligt 28 § personuppgiftslagen. Bestämmelsen i förordningen gäller dock inte bl.a. om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning eller för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse. Rätten till radering ska inte heller gälla i den utsträckning som den sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med sådan behandling som sker för arkivändamål av allmänt intresse (artikel 17.3 d i dataskyddsförordningen). Som anges i avsnitt 5 är den personuppgiftsbehandling som sker inom utlänningsdatalagens tillämpningsområde nödvändig som ett led i myndighetsutövning och för att kunna utföra en uppgift av allmänt intresse. Regeringen bedömer mot denna bakgrund att regleringen i dataskyddsförordningen innebär att personuppgifter som behandlas inom utlänningsdatalagens tillämpningsområde normalt är undantagna från rätten till radering. Det saknas skäl att i utlänningsdatalagen ytterligare begränsa denna rätt. Rätten att begära begränsning av behandling av personuppgifter Enligt artikel 18 i dataskyddsförordningen har den registrerade rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas. Med begränsning avses en markering av lagrade personuppgifter i syfte att begränsa behandlingen av dessa i framtiden (artikel 4.3 i dataskyddsförordningen). Om den registrerade bestrider att personuppgifterna är riktiga eller har gjort en invändning mot behandling av uppgifterna enligt artikel 21.1 i dataskyddsförordningen, ska den personuppgiftsansvarige begränsa behandlingen under tiden uppgifternas riktighet kontrolleras eller en bedömning görs av vems berättigade skäl som väger tyngst, den registrerades eller den personuppgiftsansvariges (artikel 18.1 a och d). Behandlingen ska även begränsas om den är olaglig eller om personuppgifterna inte längre behövs för ändamålen med behandlingen (artikel 18.1 b och c). Att behandlingen ska begränsas innebär enligt artikel 18.2 att personuppgifter inte får behandlas på något annat sätt än att lagras. Undantag görs dock bl.a. för det fall behandlingen sker av skäl som rör ett viktigt allmänintresse. Bestämmelsen i artikel 18.1 d, som reglerar begränsning av behandling när den enskilde har invänt mot behandling, får ingen betydelse vid behandling som är tillåten enligt utlänningsdatalagen, eftersom rätten att invända mot behandling inte föreslås gälla i dessa fall (se nedan). Någon rätt att få behandling begränsad med stöd av artikel 18.1 d kommer därför inte att finnas vid behandling som är tillåten enligt lagen. I de övriga fall som avses i artikel 18.1 innebär dataskyddsförordningen att den registrerade har en rätt att få behandlingen begränsad. Myndigheternas verksamhet inom utlänningsdatalagens tillämpningsområde är dock, som konstateras i avsnitt 5, regelmässigt av allmänt intresse. Att det inte sker några avbrott i myndigheternas verksamhet och ärendehandläggning är enligt regeringens mening ett sådant viktigt allmänintresse som avses i artikel 18.2 i dataskyddsförordningen, som innebär att de tillämpande myndigheterna kan fortsätta att utföra nödvändig personuppgiftsbehandling även om behandlingen har begränsats. Det saknas behov av att införa ytterligare inskränkningar av rätten till begränsning av behandling. Skyldigheten att underrätta tredje man om vidtagna korrigeringsåtgärder I artikel 19 i dataskyddsförordningen finns bestämmelser om underrättelse till mottagare av personuppgifter om rättelser, raderingar eller begränsningar av behandling. Artikeln motsvarar i huvudsak vad som gäller i dag (28 § personuppgiftslagen och 8 § första stycket 6 utlänningsdatalagen). Det har inte framkommit skäl att i utlänningsdatalagen begränsa denna rättighet. Rätten att göra invändningar mot behandling av personuppgifter Artikel 21 i dataskyddsförordningen reglerar enskildas möjligheter att motsätta sig behandling av personuppgifter. Enligt artikeln ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning) eller artikel 6.1 f (den allmänna intresseavvägningen). Följden av att en invändning görs enligt artikel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. För myndigheternas del innebär regleringen att invändningar endast får göras mot behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Myndigheter får nämligen inte grunda sin rätt till behandling av personuppgifter på den allmänna intresseavvägningen enligt artikel 6.1 f i dataskyddsförordningen när de fullgör sina uppgifter. Begränsningen innebär också att rätten att göra invändningar inte gäller vid behandling av personuppgifter som är nödvändig exempelvis för att en myndighet ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c), såsom en skyldighet att föra ett offentligt register. Som nämns inledningsvis i detta avsnitt ges medlemsstaterna genom artikel 23 i dataskyddsförordningen möjlighet att begränsa vissa av förordningens rättigheter och skyldigheter, däribland rätten att göra invändningar enligt artikel 21. Enligt artikel 23.1 får en sådan begränsning göras om den sker med respekt för de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle, bl.a. i syfte att säkerställa andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse. I artikel 23.2 föreskrivs vidare att lagstiftningsåtgärder som avses i punkt 1 ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende bl.a. ändamålen med behandlingen eller kategorierna av behandling och lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling. Det är av stor betydelse att personuppgifter får behandlas i de aktuella myndigheternas verksamhet oberoende av den registrerades inställning. Den behandling som är tillåten enligt lagen är en förutsättning för att myndigheterna ska kunna utföra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. Den personuppgiftsansvarige får närmast undantagslöst anses kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för de aktuella myndigheterna att behandla relevanta personuppgifter bör den registrerade inte ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning får anses utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Utlänningsdatalagen innehåller dessutom specifika bestämmelser om bl.a. ändamålen med behandlingen, de kategorier av uppgifter som får behandlas, sökbegränsningar och gallring. Regleringen innebär en förhållandevis snäv ram för personuppgiftsbehandlingen och minimerar risken för kränkning av den registrerades rättigheter och friheter. Den får därför anses uppfylla de krav som uppställs i artikel 23.2 dataskyddsförordningen. Till skillnad från promemorian anser regeringen således att den registrerades rätt att invända mot den personuppgiftsbehandling som sker enligt utlänningsdatalagen bör begränsas. Det bör därför införas en ny bestämmelse i lagen som anger att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den. 6.10 Överföringar av personuppgifter till tredjeland Regeringens förslag: Det som anges om den registrerades samtycke i bestämmelsen i utlänningsdatalagen om överföringar av personuppgifter till tredjeland ska tas bort. Regeringens bedömning: Bestämmelsen är i övrigt förenlig med dataskyddsförordningen och kan behållas. Promemorians förslag överensstämmer delvis med regeringens bedömning. Promemorian föreslår att det i lagen ska införas en upplysning om att sådana överföringar av personuppgifter till tredjeland som avses i 21 § utlänningsdatalagen ska få ske även om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45.3 eller lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen. Promemorian föreslår inte att det som anges om den registrerades samtycke i bestämmelsen om överföringar av personuppgifter till tredjeland ska tas bort. Remissinstanserna: Sveriges advokatsamfund framför att tredjelandsöverföringar kan ha potentiellt förödande konsekvenser för den registrerade och att det därför finns synnerligen starka skäl att sådana överföringar sker med stor försiktighet. Advokatsamfundet föreslår att tredjelandsöverföringar bara ska vara tillåtna om de är nödvändiga för ett viktigt skäl som rör allmänintresset och att sådana överföringar aldrig ska få ske om det finns en risk för att den registrerade eller någon annan utsätts för övergrepp eller lider annat allvarligt men till följd av överföringen. Uppsala universitet anser att det bör uppställas tydligare ramar för de aktuella överföringarna och pekar på att personuppgifterna riskerar att i det mottagande landet användas på ett sätt som inte är förenligt med EU:s dataskyddsregler och rättighetsstadgan samt att det för den enskilde kan röra sig om mycket ingripande åtgärder. I övrigt yttrar sig ingen remissinstans särskilt över förslaget. Skälen för regeringens förslag och bedömning Bestämmelser om överföring av personuppgifter till tredjeland i utlänningsdatalagen och personuppgiftslagen Bestämmelser om överföring av personuppgifter till tredjeland finns i 8 § första stycket 8 utlänningsdatalagen som hänvisar till 33-35 §§ personuppgiftslagen. Av 33 § första stycket personuppgiftslagen framgår att det är förbjudet att föra över personuppgifter som är under behandling till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Bestämmelsen i 34 § personuppgiftslagen innehåller undantag från förbudet; överföring av personuppgifter till tredjeland utan adekvat skyddsnivå är t.ex. tillåten om det behövs för fullgörande av vissa avtal eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. I förarbetena till utlänningsdatalagen (prop. 2015/16:65 s. 96 ff.) bedömde regeringen att bestämmelserna i personuppgiftslagen om överföring av personuppgifter till tredjeland inte tillgodoser all överföring av personuppgifter som är befogad inom utlänningsdatalagens tillämpningsområde. Som exempel nämndes att myndigheterna kan ha behov av att föra över uppgifter till exempelvis s.k. förtroendeadvokater i tredjeland när utlandsmyndigheter biträder svenska myndigheter med utredning i ärenden. Vidare nämndes sådana utlämnanden som behövs när Migrationsverket i ärenden om återvändanden behöver ordna resehandlingar och mottagande i mottagarlandet samt sådana överföringar som Polismyndigheten i verkställighetsärenden behöver göra till utländska beskickningar för att fastställa en persons identitet eller för att få ut resehandlingar för personen. Mot den bakgrunden infördes det i 21 § första stycket utlänningsdatalagen en bestämmelse som innebär att det, trots hänvisningen till 33 § personuppgiftslagen, är tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1 utlänningsdatalagen, dvs. handläggning av ärenden eller biträde i sådana ärenden, kontroll av utlänning samt återsökning av rättslig information. En förutsättning är dock att det inte hindras av sekretess enligt offentlighets- och sekretesslagen (2009:400). I 15 § utlänningsdataförordningen föreskrivs att personuppgifter som behandlas för återsökning av rättslig information får föras över till tredjeland endast om uppgifterna inte direkt pekar ut den registrerade. Bestämmelsen i 21 § utlänningsdatalagen bedömdes vara förenlig med 1995 års dataskyddsdirektivs bestämmelse om undantag från överföringsförbudet för ett viktigt allmänt intresse (prop. 2015/16:65 s. 98) . Dataskyddsförordningens bestämmelser om överföring av personuppgifter till tredjeland Bestämmelser om under vilka förutsättningar personuppgifter får föras över till tredjeland finns i kapitel V i dataskyddsförordningen. Personuppgifter får föras över till ett tredjeland om kommissionen har beslutat att landet säkerställer en adekvat skyddsnivå för uppgifterna (artikel 45.1). Om ett sådant beslut saknas, får personuppgifter endast föras över till tredjeland efter att lämpliga skyddsåtgärder har vidtagits och under förutsättning att lagstadgade rättigheter och effektiva rättsmedel finns tillgängliga för de registrerade (artikel 46.1). Om det varken finns något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder får personuppgifter endast föras över till ett tredjeland om vissa närmare angivna villkor i artikel 49 är uppfyllda. Det undantag som främst är aktuellt inom utlänningsdatalagens tillämpningsområde framgår av artikel 49.1 d. Enligt bestämmelsen får personuppgifter föras över till tredjeland om det är nödvändigt av viktiga skäl som rör allmänintresset. Detta allmänintresse ska enligt artikel 49.4 vara erkänt i unionsrätten eller i den nationella rätten. Enligt artikel 49.5 får det vidare i medlemsstaternas nationella rätt uttryckligen fastställas gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland om det saknas beslut om adekvat skyddsnivå. Bestämmelsen i utlänningsdatalagen om överföring av personuppgifter till tredjeland kan behållas Bestämmelsen om tredjelandsöverföringar i 21 § utlänningsdatalagen har införts med stöd av undantaget för viktiga allmänna intressen i 1995 års dataskyddsdirektiv, som motsvarar artikel 49.1 d i dataskyddsförordningen. Den bedömning som gjordes då är enligt regeringens mening fortfarande relevant. De ändamål som omfattas av 21 § är också erkända i svensk rätt. Undantaget i artikel 49.1 d i dataskyddsförordningen är, liksom övriga undantag i samma artikel, direkt tillämpligt. Bestämmelsen i 21 § utlänningsdatalagen fyller en funktion genom att den klargör i vilka situationer överföring kan ske med stöd av det undantaget. Regeringen bedömer att en sådan klargörande bestämmelse är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen och att den bör behållas. Överföring till tredjeland kan därmed ske under de förutsättningar som anges i 21 § utlänningsdatalagen även om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45.3 eller lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen. Det finns inget behov av att införa en sådan upplysningsbestämmelse som promemorian föreslår. Däremot bör ledet om den registrerades samtycke i 21 § första stycket utlänningsdatalagen tas bort, eftersom undantaget för samtycke enligt artikel 49.1 a i dataskyddsförordningen inte gäller för åtgärder som vidtas av offentliga myndigheter som ett led i myndighetsutövning (artikel 49.3). Även hänvisningen till personuppgiftslagen bör tas bort (se avsnitt 6.3.1). Med anledning av de synpunkter som Sveriges advokatsamfund och Uppsala universitet framför bör det framhållas att den föreslagna ändringen inte innebär att möjligheten att föra över personuppgifter till tredjeland blir mer omfattande än vad som gäller i dag. En sådan överföring av personuppgifter till tredjeland som avses i 21 § utlänningsdatalagen ska också alltid föregås av en bedömning av om den aktuella överföringen är förenlig med offentlighets- och sekretesslagen. I den lagen finns särskilda sekretessregler gällande utlänningar. Enligt regeringens bedömning är skyddet för den registrerade vid överföring av personuppgifter till tredjeland tillfredsställande. 6.11 Dataskyddsombud Regeringens förslag: Bestämmelsen i utlänningsdatalagen om personuppgiftsombud ska upphävas. Regeringens bedömning: Dataskyddsförordningens bestämmelser om dataskyddsombud kräver inga ändringar i utlänningsdatalagen. Promemorians förslag och bedömning överensstämmer med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig i denna del. Enligt Förvaltningsrätten i Malmö är det oklart om offentlighets- och sekretesslagens (2009:400) bestämmelser uppfyller dataskyddsförordningens krav på tystnadsplikt för dataskyddsombud i det allmännas verksamhet och anser att frågan bör analyseras ytterligare. Skälen för regeringens förslag och bedömning: Enligt 10 § första stycket utlänningsdatalagen ska Migrationsverket och Polismyndigheten var och en utse ett eller flera personuppgiftsombud. Enligt andra stycket samma paragraf ska den personuppgiftsansvarige anmäla till tillsynsmyndigheten när ett personuppgiftsombud utses eller entledigas. För utlandsmyndigheterna är det frivilligt att utse ett personuppgiftsombud. Utlänningsdatalagen hänvisar också till 38-40 §§ personuppgiftslagen, som innehåller bestämmelser om personuppgiftsombudets uppgifter. Enligt artikel 37.1 a i dataskyddsförordningen ska myndigheter som utför personuppgiftsbehandling under alla omständigheter utse ett dataskyddsombud. Termen dataskyddsombud definieras inte i förordningen men i artikel 38-39 regleras dess ställning och uppgifter. I många delar motsvarar dataskyddsombudet det som i 1995 års dataskyddsdirektiv benämns uppgiftsskyddsombud och som i personuppgiftslagen kallas personuppgiftsombud. Dataskyddsförordningens reglering är dock mer utförlig än regleringen i 1995 års dataskyddsdirektivs och personuppgiftslagen vad gäller dataskyddsombudets kvalifikationer, arbetsuppgifter och ställning i förhållande till den personuppgiftsansvarige. Skyldigheten för myndigheter att utse ett dataskyddsombud framgår direkt av förordningen. I likhet med promemorian anser regeringen att det inte finns skäl att införa några hänvisningar till bestämmelserna i dataskyddsförordningen i denna del. Bestämmelserna om personuppgiftsombud i 10 § utlänningsdatalagen bör således upphävas, liksom hänvisningen till 38-40 §§ personuppgiftslagen (se även avsnitt 6.3.1). Regleringen innebär att det inte längre kommer att vara valfritt för utlandsmyndigheterna att utse ett dataskyddsombud. Förvaltningsrätten i Malmö anser att frågan om tystnadsplikt för dataskyddsombudet bör analyseras ytterligare. Domstolen anser bl.a. att dataskyddsombudets uppgifter knappast kan anses vara en del av den personalsociala eller personaladministrativa verksamheten och att ombudet därmed inte skulle kunna omfattas av tystnadsplikt enligt 39 kap. offentlighets- och sekretesslagen. Enligt artikel 38.5 i dataskyddsförordningen ska dataskyddsombudet, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt. I prop. 2017/18:105 resonerar regeringen kring dataskyddsombudets tystnadsplikt (avsnitt 15.2). Regeringen framhåller där att skyddet av personuppgifter utgör en integrerad del av all verksamhet där behandling av personuppgifter förekommer och att dataskyddsombudets befattning med personuppgifter därmed är direkt kopplad till den personuppgiftsansvariges verksamhet. Ett dataskyddsombud måste därmed anses delta i myndighetens verksamhet på det sätt som avses i 2 kap. 1 § offentlighets- och sekretesslagen. Dataskyddsombudet omfattas därför av offentlighets- och sekretesslagens förbud att röja eller utnyttja de sekretessbelagda uppgifter som ombudet får kännedom om. Detta gäller oavsett om uppgiften förekommer i ett ärende, i personaladministrativ verksamhet eller i någon annan del av myndighetens verksamhet där sekretess gäller för uppgiften. Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller offentligt organ får enligt artikel 37.3 i dataskyddsförordningen ett enda dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och storlek. Det kan alltså bli aktuellt för mindre myndigheter att utse ett gemensamt dataskyddsombud. Det är upp till myndigheterna själva att bedöma om detta är lämpligt. 6.12 Personnummer och samordningsnummer Regeringens bedömning: Bestämmelsen i dataskyddslagen om behandling av personnummer och samordningsnummer bör gälla även inom utlänningsdatalagens tillämpningsområde. Promemorians förslag överensstämmer i sak med regeringens bedömning. I promemorian föreslås att utlänningsdatatalagen ska innehålla en hänvisning till dataskyddslagens bestämmelse om personnummer och samordningsnummer. Remissinstanserna: Migrationsverket framför att det sannolikt kommer att uppstå ett behov av nya typer av identifikationsnummer, bl.a. för att göra det möjligt att utbyta information med andra myndigheter innan och oavsett om individer blivit tilldelade personnummer eller samordningsnummer. För att undvika att behöva skriva om lagtexten vore det därför lämpligt att införa ett mer generiskt uttryck. I övrigt yttrar sig ingen remissinstans särskilt över förslaget. Skälen för regeringens bedömning: Utlänningsdatalagen innehåller i dag en hänvisning till 22 § personuppgiftslagen, som anger att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl. Artikel 87 dataskyddsförordningen avser behandling av nationella identifikationsnummer. Enligt denna artikel får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt förordningen. Detta utgör en skillnad mot 1995 års dataskyddsdirektiv, som anger att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas (artikel 8.7). Enligt direktivet finns alltså en skyldighet att föreskriva villkor, medan förordningen endast möjliggör sådana föreskrifter. Däremot innehåller förordningen krav som ska vara uppfyllda, om sådana föreskrifter införs. Det framgår inte av förordningen vilka slag av skyddsåtgärder det ska eller kan vara fråga om. Regeringen föreslår i prop. 2017/18:105 att det i dataskyddslagen ska införas en bestämmelse om att uppgifter om personnummer eller samordningsnummer ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (3 kap. 10 § dataskyddslagen). Den nya bestämmelsen motsvarar alltså till sin lydelse helt den hittillsvarande bestämmelsen i personuppgiftslagen. Enligt regeringen ligger bestämmelsen väl i linje med förordningens intentioner och är flexibel och väl avpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer (s. 102). I likhet med promemorian bedömer regeringen att det saknas skäl att frångå vad som tidigare gällt beträffande person- och samordningsnummer i utlänningsdatalagen. Dataskyddslagen föreslås att gälla inom utlänningsdatalagens tillämpningsområde, under förutsättning att annat inte följer av utlänningsdatalagen eller föreskrifter som har meddelats i anslutning till lagen. Det krävs därför inte någon särskild lagstiftningsåtgärd för att bestämmelsen om person- och samordningsnummer i dataskyddslagen ska bli tillämplig även inom utlänningsdatalagens område. Regeringen anser inte att det, såsom Migrationsverket framför, finns skäl att frångå de i svensk rätt förekommande begreppen personnummer och samordningsnummer. 6.13 Tillsynsmyndighetens handläggning och beslut samt sanktionsavgifter Regeringens bedömning: Bestämmelserna i dataskyddslagen om tillsynsmyndighetens handläggning och beslut samt sanktionsavgifter bör gälla även inom utlänningsdatalagens tillämpningsområde. Promemorians förslag överensstämmer i sak med regeringens bedömning. I promemorian föreslås att utlänningsdatatalagen ska innehålla en hänvisning till dataskyddslagens bestämmelser om tillsynsmyndighetens handläggning och beslut samt sanktionsavgifter. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig i denna del. Polismyndigheten och Förvaltningsrätten i Malmö invänder mot förslaget att det ska införas möjlighet för tillsynsmyndigheten att ta ut administrativa sanktionsavgifter från myndigheterna. Skälen för regeringens bedömning: I utlänningsdatalagen finns i dag hänvisningar till 43 och 44 §§, 45 § första stycket och 47 § personuppgiftslagen. I dessa bestämmelser regleras tillsynsmyndighetens befogenheter att vidta åtgärder mot de personuppgiftsansvariga. Tillsynsmyndighetens behörighet, uppgifter och befogenheter regleras utförligt i artikel 55-59 i dataskyddsförordningen. Enligt dessa bestämmelser har tillsynsmyndigheten bl.a. befogenhet att behandla klagomål från registrerade, utfärda varningar och reprimander mot personuppgiftsansvariga, rikta förelägganden mot personuppgiftsansvariga samt besluta om begränsning av eller förbud mot viss behandling. Enligt artikel 83 i dataskyddsförordningen har tillsynsmyndigheten i vissa fall möjlighet att påföra de personuppgiftsansvariga administrativa sanktionsavgifter vid överträdelser av förordningens bestämmelser. Varje medlemsstat får fastställa regler för om och i vilken utsträckning sådana sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten. Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningens reglering i dessa delar. I 6 kap. 1 § föreskrivs att de befogenheter som tillsynsmyndigheten har enligt dataskyddsförordningen även ska gälla vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Vad gäller sanktionsavgifter så anges det i 6 kap. 2 § dataskyddslagen att sanktionsavgifter ska få tas ut av myndigheter vid vissa överträdelser av dataskyddsförordningen. Bestämmelsen reglerar även avgiftens storlek. I samma kapitel finns även vissa kompletterande bestämmelser avseende sanktionsavgifter. I prop. 2017/18:105 utvecklar regeringen skälen för att tillsynsmyndigheten ska ha möjlighet att ta ut administrativa sanktionsavgifter från myndigheter (avsnitt 16.2). I likhet med promemorian anser regeringen att det saknas skäl att inom ramen för utlänningsdatalagens tillämpningsområde ha ett annat förfarande för tillsyn och sanktioner än det som kommer att gälla för andra myndigheter enligt dataskyddslagen. Eftersom dataskyddslagen kommer att gälla inom utlänningsdatalagens område, under förutsättning att annat inte följer av utlänningsdatalagen eller föreskrifter som har meddelats i anslutning till lagen, krävs det inte någon särskild lagstiftningsåtgärd för att bestämmelserna i dessa delar ska bli tillämpliga. Det bör därför inte införas några regler om tillsynsmyndighetens handläggning och beslut eller om sanktionsavgifter i utlänningsdatalagen. 6.14 Skadestånd Regeringens bedömning: Rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller vid överträdelser av bestämmelser i utlänningsdatalagen eller av föreskrifter som har meddelats i anslutning till den lagen. Promemorians förslag överensstämmer i sak med regeringens bedömning. I promemorian föreslås att utlänningsdatalagen ska hänvisa till dataskyddslagens bestämmelse om skadestånd. Remissinstanserna: Justitiekanslern och Förvaltningsrätten i Malmö ifrågasätter om den föreslagna hänvisningen till dataskyddslagen är nödvändig. I övrigt yttrar sig ingen remissinstans särskilt över förslaget. Skälen för regeringens bedömning: Artikel 82 i dataskyddsförordningen föreskriver att en person ska ha rätt till ersättning för skada som denne har lidit till följd av en överträdelse av förordningen. Av skäl 146 i dataskyddsförordningen följer att med behandling som strider mot förordningen avses även behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. I 7 kap. 1 § dataskyddslagen tydliggörs att rätten till ersättning enligt förordningen även gäller vid överträdelse av dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Att bestämmelsen i dataskyddslagen blir tillämplig följer av regeringens förslag att dataskyddslagen ska gälla vid behandling av personuppgifter enligt utlänningsdatalagen, om inte annat följer av utlänningsdatalagen eller anslutande föreskrifter (avsnitt 6.3.1). Regeringen anser därför att det inte behövs några regler om skadestånd i utlänningsdatalagen. Den lagtekniska lösning som föreslås ligger i linje med Justitiekanslerns och Förvaltningsrättens i Malmö synpunkter. Rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller alltså vid överträdelser av bestämmelser i utlänningsdatalagen eller föreskrifter som har meddelats i anslutning till den lagen. 6.15 Gallring av personuppgifter Regeringens förslag: Bestämmelsen i utlänningsdatalagen som reglerar förhållandet mellan reglerna om gallring och reglerna om behandling av personuppgifter för arkivändamål ska tas bort. Regeringens bedömning: Utlänningsdatalagens övriga bestämmelser om gallring är förenliga med dataskyddsförordningen och kan behållas. Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås att bestämmelsen som reglerar förhållandet mellan gallringsreglerna och rätten att behandla uppgifter för arkivändamål ska finnas kvar men ändras redaktionellt. Remissinstanserna: Remissinstanserna yttrar sig inte särskilt över bedömningen och förslaget. Skälen för regeringens förslag och bedömning: Av 10 § arkivlagen (1990:782) framgår att allmänna handlingar får gallras, men att det vid gallring alltid ska beaktas bl.a. att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose syftet med arkivbildningen. Detta syfte framgår av 3 § tredje stycket arkivlagen och utgörs av rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Av 10 § tredje stycket arkivlagen framgår att avvikande bestämmelser om gallring i annan lag eller i förordning gäller i stället för arkivlagens bestämmelser. Många registerförfattningar, däribland utlänningsdatalagen, innehåller bestämmelser om gallring. Enligt 15 § andra stycket 2 utlänningsdatalagen har regeringen rätt att meddela föreskrifter om gallring av känsliga personuppgifter. Några sådana föreskrifter finns dock inte i utlänningsdataförordningen. Regeringen har även, enligt 14 § tredje stycket 2 utlänningsdatalagen, rätt att meddela föreskrifter om gallring vad gäller Migrationsverkets register över fingeravtryck och fotografier. Denna rätt har regeringen utnyttjat genom att i 3 § utlänningsdataförordningen föreskriva att en uppgift i detta register ska gallras när den registrerade blir svensk medborgare och i andra fall senast tio år efter det att uppgiften registrerades. De gallringsbestämmelser som finns i utlänningsdatalagen eller i föreskrifter som har meddelats i anslutning till den lagen, har företräde framför den rätt att arkivera och bevara handlingar som framgår av 8 § andra stycket personuppgiftslagen (8 § andra stycket utlänningsdatalagen). Av förarbetena till utlänningsdatalagen framgår att avsikten med de befintliga gallringsbestämmelserna har varit att skydda de registrerades personliga integritet (prop. 2015/16:65 s. 102 f). Eftersom gallringreglerna utgör ett skydd för de registrerades integritet föranleder dataskyddsförordningen inte några ändringar av bestämmelserna. Det krävs dock ändringar i 8 § andra stycket utlänningsdatalagen eftersom personuppgiftslagen ska upphävas. Bestämmelsen infördes för att klargöra att arkivreglerna inte är tillämpliga när personuppgifter ska gallras enligt utlänningsdatalagen. I promemorian föreslås att en motsvarande bestämmelse ska placeras i anslutning till den bestämmelse om rätten att behandla personuppgifter för arkivändamål som också föreslås (jfr avsnitt 6.4). Som anförs i promemorian kan det dock ifrågasättas om bestämmelsen i 8 § andra stycket utlänningsdatalagen egentligen fyller någon funktion. Att gallringsbestämmelser i annan lag eller förordning har företräde före arkivlagens bestämmelser följer redan av 10 § tredje stycket arkivlagen. Mot den bakgrunden bedömer regeringen att bestämmelsen i 8 § andra stycket utlänningsdatalagen kan tas bort. 6.16 Automatiserade beslut Regeringens bedömning: Bestämmelserna i dataskyddsförordningen om automatiserat beslutsfattande kräver inga ändringar i utlänningsdatalagen. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Datainspektionen ifrågasätter promemorians slutsats att artikel 22 i dataskyddsförordningen endast avser automatiserade beslut som innefattar profilering. Det framgår enligt inspektionen tydligt av både bestämmelsens ordalydelse och av skäl 71 i dataskyddsförordningen att artikel 22 är generellt tillämplig på automatiserade beslut. Migrationsverket efterfrågar ett vidare resonemang gällande utrymmet att fatta automatiserade beslut och anför att eftersom tolkningen av artikel 22 är oklar kan konsekvensen bli att verkets digitalisering inte kan genomföras enligt målsättning. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen. Skälen för regeringens bedömning: Enligt artikel 15.1 i 1995 års dataskyddsdirektiv har varje person rätt att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. I svensk rätt har artikeln genomförts genom 29 § personuppgiftslagen. Enligt den bestämmelsen gäller att om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, ska den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person. Det finns inte någon hänvisning i utlänningsdatalagen som gör personuppgiftslagens bestämmelser om automatiserade beslut tillämpliga. Skälet för det torde vara att det inte fattas några sådana beslut inom de aktuella myndigheternas verksamhet. Av artikel 22 i dataskyddsförordningen framgår att den registrerade ska ha rätt att inte bli föremål för beslut som grundas enbart på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne. I artikeln föreskrivs vidare undantagssituationer och villkor för sådant förfarande. Enligt artikel 22.2 b ska punkt 1 inte tillämpas bl.a. om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Beslut får enligt artikel 22.4 inte grunda sig på känsliga personuppgifter såvida inte artikel 9.2 a (samtycke) eller g (viktigt allmänt intresse) gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Artikel 22 är direkt tillämplig i medlemsstaterna. Med stöd av artikel 23 är det dock möjligt att i nationell rätt begränsa tillämpningsområdet för artikeln. Regleringen om automatiserade beslut i artikel 22 i dataskyddsförordningen har en annan utformning än motsvarande bestämmelser i personuppgiftslagen och 1995 års dataskyddsdirektiv. Medan artikel 15.1 i direktivet och 29 § personuppgiftslagen tar sikte på s.k. profilering gäller dataskyddsförordningen enligt sin lydelse beslut som enbart grundas på automatiserad behandling, inbegripet profilering. Frågan är om detta innebär att förordningens reglering har ett bredare tillämpningsområde än den nuvarande regleringen. Det kan konstateras att artikel 22 till sin ordalydelse kan tolkas på olika sätt. Bestämmelsen kan, i enlighet med Datainspektionens uppfattning, läsas så att den är generellt tillämplig på automatiserade beslut. Formuleringen inbegripet profilering skulle då endast vara en upplysning om att bestämmelsen även omfattar profilering. Artikel 22 kan dock även läsas så att den automatiserade behandlingen måste omfatta profilering enligt definitionen i artikel 4.4 för att bestämmelsen ska bli tillämplig. Frågan om automatiskt beslutsfattande utvecklas i skäl 71 till förordningen. I det skälet behandlas endast profilering. Det kan vidare konstateras att skäl 73, vid uppräkningen av rättigheter som kan begränsas enligt artikel 23, endast omnämner profileringsbaserade beslut. Detta får anses tala mot att artikel 22 är tillämplig även när profilering inte inbegrips i behandlingen av personuppgifter. Sammantaget talar det anförda för att artikel 22 i dataskyddsförordningen endast är avsedd att omfatta automatiserade beslut som innefattar profilering. Någon säker slutsats kan dock i avsaknad av praxis inte dras i denna fråga. Med anledning av Migrationsverkets efterfrågan om ett vidare resonemang gällande utrymmet att fatta automatiserade beslut vill regeringen framhålla följande. Även om artikel 22.1 i dataskyddsförordningen skulle anses omfatta automatiserat beslutsfattande som inte är profilering, kan det konstateras att sådant beslutsfattande generellt är tillåtet för svenska myndigheter. Detta kommer bl.a. till uttryck i 28 § förvaltningslagen (2017:900), som träder i kraft den 1 juli 2018. I paragrafens första stycke tydliggörs att ett beslut kan fattas automatiserat och i propositionen uttalar regeringen att detta är ett klargörande av att det inte behövs en reglering i en specialförfattning för att en myndighet ska kunna använda denna beslutsform (prop. 2016/17:180, s. 179-180). Sådana automatiserade beslut som fattas inom den svenska förvaltningen är föremål för de rättssäkerhetsgarantier som uppställs i förvaltningslagen. Utöver de allmänna kraven på legalitet, objektivitet och proportionalitet säkerställs rätten till insyn, krav på kommunikation liksom möjligheten till ändring och rättelse av beslut samt rätten att överklaga beslut som kan antas påverka någons situation på ett inte obetydligt sätt. Genom den förvaltningsrättsliga regleringen är beslutsfattandet omgärdat av sådana skyddsåtgärder som anges i artikel 22.2 b. Skulle artikel 22 bedömas vara tillämplig också på annat automatiskt beslutsfattande än profilering, och skulle sådant beslutsfattande förekomma inom de verksamheter som omfattas av utlänningslagens tillämpningsområde, kommer det alltså att finnas författningsstöd för detta beslutsfattande. För det fall det skulle förekomma beslut som grundar sig på känsliga personuppgifter måste det anses utgöra ett sådant viktigt allmänt intresse som omnämns i artikel 22.4, att aktuella myndigheter kan bedriva sin verksamhet på ett korrekt, rättssäkert och effektivt sätt (prop. 2017/18:105 s. 83). Artikel 22.4 uppställer även krav på att lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Detta är ett krav som får anses rikta sig direkt till den personuppgiftsansvarige och således inte i sig förutsätter några nationella lagstiftningsåtgärder. Sammanfattningsvis innebär det anförda att det inte finns skäl att ändra utlänningsdatalagen med anledning av artikel 22 i dataskyddsförordningen. 7 Ikraftträdande- och övergångsbestämmelser Regeringens förslag: Lagändringarna ska träda i kraft den 1 december 2018. Äldre föreskrifter ska gälla för överklagande av beslut som har meddelats före ikraftträdandet. Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås ett tidigare datum för ikraftträdande. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig över förslaget. Förvaltningsrätten i Malmö anser att uttrycket äldre föreskrifter i övergångsbestämmelsen inte ger tillräcklig vägledning. Skälen för regeringens förslag Ikraftträdande Dataskyddsförordningen börjar tillämpas den 25 maj 2018. Samma dag ska enligt förslaget dataskyddslagen träda i kraft. I denna proposition föreslås ändringar som anpassar utlänningsdatalagen till dataskyddsförordningen och dataskyddslagen. Lagändringarna bör därför träda i kraft så snart som möjligt. De bör träda i kraft den 1 december 2018. Övergångsbestämmelser Det följer av allmänna grundsatser att ny lagstiftning ska gälla för skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan (prop. 1972:5 s. 593). Det behövs därför inte någon övergångsbestämmelse i denna del. När det gäller överklagande av tillsynsmyndighetens och de personuppgiftsansvariga myndigheternas beslut föreslår promemorian en övergångsbestämmelse om att äldre föreskrifter ska fortsätta att gälla för överklagande av beslut som har meddelats med stöd av de föreskrifterna. Enligt allmänna förvaltningsrättsliga principer gäller att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker som huvudregel ska tillämpas. Detta gäller i fråga om både förfarandet och prövningen i sak och även om ett överklagat beslut har fattats före ikraftträdandet. Principen är dock inte undantagslös och det kan följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd (jfr RÅ 1996 ref. 57). Enligt punkt 6 i ikraftträdande- och övergångsbestämmelserna till dataskyddslagen gäller personuppgiftslagen fortfarande för överklagande av beslut som har meddelats med stöd av den lagen. Regeringen delar promemorians uppfattning att samma ordning bör gälla på utlänningsdatalagens område. Det bör klargöras genom en särskild övergångsbestämmelse som anger att äldre föreskrifter fortfarande gäller för överklagande av beslut som har meddelats före ikraftträdandet. Regeringen delar inte Förvaltningsrättens i Malmö uppfattning att uttrycket äldre föreskrifter är otydligt. Förslaget innebär bl.a. att beslut som fattats av en personuppgiftsansvarig myndighet, t.ex. om rättelse enligt 28 § personuppgiftslagen, överklagas enligt de regler som gällde när beslutet fattades. 8 Konsekvenser av förslagen Regeringens bedömning: Förslagen innebär en viss förstärkning av enskildas skydd för den personliga integriteten. Förslagen föranleder inte några kostnader för enskilda eller det allmänna. Förslagen har inte någon påverkan på jämställdheten mellan män och kvinnor. De medför inte några sociala eller miljömässiga konsekvenser. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har någon invändning mot promemorians bedömning. Skälen för regeringens bedömning: Inledningsvis kan det konstateras att konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser inte analyseras inom ramen för denna proposition. När det gäller konsekvenserna av de förslag som läggs fram i propositionen ska det först framhållas att det huvudsakliga syftet är att föreslå de anpassningar som är nödvändiga med anledning av den nya dataskyddsregleringen. Det innebär att merparten av bestämmelserna i utlänningsdatalagen kvarstår oförändrade och att flera bestämmelser anpassas till dataskyddsförordningen utan att det sakliga innehållet förändras på ett avgörande sätt. När det gäller de registrerades rättigheter hänvisar utlänningsdatalagen i dag till bestämmelser i personuppgiftslagen. När dataskyddsförordningen ska börja tillämpas kommer i stället en omfattande reglering av enskildas rättigheter i kapitel III i dataskyddsförordningen att bli tillämplig. Detta medför en viss förstärkning av enskildas rättigheter i förhållande till vad som hittills gällt. Enligt artikel 23.1 i förordningen finns det en generell möjlighet att i nationell rätt begränsa tillämpningsområdet för rättigheterna. Regeringen föreslår dock endast en begränsning av rätten att invända mot sådan behandling som är tillåten enligt lagen. Regeringen bedömer sammantaget att förslagen innebär en viss förstärkning av skyddet för enskildas personliga integritet. I övrigt bedöms inte förslagen ha några ekonomiska konsekvenser vare sig för det allmänna eller för enskilda. De bedöms inte heller ha någon påverkan på jämställdheten mellan kvinnor och män eller få några sociala eller miljömässiga konsekvenser. 9 Författningskommentar 3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige. Paragrafen anger i vilken verksamhet hos Polismyndigheten som lagen ska tillämpas. Övervägandena finns i avsnitt 6.3.2. Ändringen innebär att avgränsningen av tillämpningsområdet avseende Polismyndighetens brottsbekämpande verksamhet tas bort. Tillämpningsområdet avseende Polismyndighetens verksamhet avgränsas i stället mot brottsdatalagen i 4 c §, se författningskommentaren till den paragrafen. 4 a § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. I paragrafen, som är ny, anges lagens förhållande till EU:s dataskyddsförordning. Övervägandena finns i avsnitt 6.3.1. I paragrafen anges att lagen kompletterar dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Denna lag innehåller de kompletterande bestämmelser som gäller i den verksamhet som anges i 2 och 3 §§. Hänvisningarna i lagen till dataskyddsförordningen är dynamiska, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen. 4 b § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen, som är ny, upplyser om hur lagen förhåller sig till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 6.3.1. Paragrafen klargör att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag. Detta gäller dock endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen. 4 c § Denna lag gäller inte vid behandling av personuppgifter som omfattas av tillämpningsområdet för brottsdatalagen (2018:000). Paragrafen, som är ny, upplyser om hur lagen förhåller sig till brottsdatalagen. Övervägandena finns i avsnitt 6.3.2. Paragrafen klargör att lagen inte gäller vid behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde. Bestämmelsen ersätter den hittillsvarande avgränsningen mot Polismyndighetens brottsbekämpande verksamhet i 3 §. Enligt 1 kap. 2 § brottsdatalagen gäller den lagen för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder samt upprätthålla allmän ordning och säkerhet. Om Polismyndighetens verksamhet enligt 3 § utlänningsdatalagen sker i något av de syften som anges i 1 kap. 2 § brottsdatalagen blir alltså brottsdatalagen tillämplig. Det blir därför nödvändigt för myndigheten att göra en bedömning av syftet med behandlingen av personuppgifter för att avgöra vilket regelverk som ska tillämpas. Polismyndighetens uppgifter i samband med gränskontroll och utlänningskontroll faller under brottsdatalagens tillämpningsområde om den sker för något av de syften som anges i 1 kap. 2 § brottsdatalagen. Det kan gälla t.ex. om det i samband med sådan kontroll uppstår anledning att anta att ett brott har begåtts eller om en utlänning nekas inresa i landet på grund av att det finns risk att personen kan komma att begå brott här. Polismyndighetens personuppgiftsbehandling i samband med att en utlänning hålls i förvar i en kriminalvårdsanstalt eller ett häkte faller ofta utanför brottsdatalagens tillämpningsområde. Förvarsplaceringen kan i vissa fall bero på att exempelvis Migrationsverket bedömt att personen utgör en fara för säkerheten i deras lokaler. Frihetsberövanden av sådana skäl innebär inte att brottsdatalagen blir tillämplig. Frihetsberövanden i syfte att hindra att en dömd person undandrar sig verkställighet av utvisning på grund av brott faller däremot inom brottsdatalagens tillämpningsområde. För den personuppgiftsbehandling som sker i samband med Polismyndighetens handräckning och transporter av utlänningar med stöd av utlänningslagen är brottsdatalagen i många fall inte tillämplig, t.ex. vid transporter till Migrationsverkets förvar och inrikes- och utrikestransporter i samband med verkställighet av utvisnings- och avvisningsbeslut. Polismyndighetens handräckning i samband med att en utlänning utvisas på grund av brott faller däremot inom brottsdatalagens tillämpningsområde. 5 § Denna lag gäller inte när personuppgifter behandlas med stöd av 1. lagen (2000:344) om Schengens informationssystem, 2. lagen (2006:444) om passagerarregister, 3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller 4. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). Paragrafen föreskriver vissa undantag från lagens tillämpningsområde. Övervägandena finns i avsnitt 6.3.3. I paragrafen införs en ny andra punkt som innebär att lagen inte gäller när personuppgifter behandlas med stöd av lagen om passagerarregister. Tredje punkten motsvarar hittills gällande andra punkten. Fjärde punkten motsvarar hittills gällande tredje punkten. 6 § När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) ska bestämmelserna om rätten till ersättning i artikel 82 i EU:s dataskyddsförordning tillämpas om inte något annat följer av VIS-förordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. I paragrafen regleras vad som ska gälla för skadestånd när VIS-förordningen tillämpas. Paragrafen innehåller också ett undantag från lagens tillämpningsområde. Övervägandena finns i avsnitt 6.3.3. Ändringen innebär att hänvisningen till personuppgiftslagens bestämmelser om rättelse tas bort. Dataskyddsförordningens bestämmelser om rättelse (artikel 16) och radering (artikel 17) kommer i stället att vara direkt tillämpliga vid behandling av personuppgifter som sker med stöd av VIS-förordningen. Ändringen innebär också att hänvisningen till personuppgiftslagens bestämmelser om skadestånd ersätts med en hänvisning till dataskyddsförordningens bestämmelser om rätt till ersättning (artikel 82), som alltså blir tillämpliga för den behandling av personuppgifter som sker med stöd av VIS-förordningen. VIS-förordningens krets av skadeståndsberättigade är mer omfattande än dataskyddsförordningens. Om krav på ersättning framställs av någon som faller utanför bestämmelserna i dataskyddsförordningen kan en tillämpning av skadeståndslagen (1972:207) aktualiseras. Ordningen motsvarar vad som hittills gällt i förhållande till personuppgiftslagen. 13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas när det är nödvändigt för att tillhandahålla information till 1. riksdagen eller regeringen, 2. en annan myndighet eller en enskild, om uppgifterna lämnas med stöd av lag eller förordning, eller 3. en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. Personuppgifter som behandlas enligt 11 och 12 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Paragrafen innehåller bestämmelser om de sekundära ändamål som personuppgifter får behandlas för. Övervägandena finns i avsnitt 6.4. Ändringarna i andra stycket innebär att personuppgifter som behandlas enligt 11 och 12 §§ även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Det innebär bl.a. att behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen. Liksom tidigare innebär bestämmelsen också att myndigheterna får behandla personuppgifter för att tillhandahålla information för något annat ändamål än de som anges i första stycket, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. 14 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas 1. för de ändamål som anges i 11 § 1-4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller 2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §. Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela 1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och 2. föreskrifter om gallring. Paragrafen, som tidigare hade beteckningen 15 §, reglerar behandling av känsliga personuppgifter. Övervägandena finns i avsnitt 6.5. I första stycket ersätts hänvisningen till 13 § personuppgiftslagen med en hänvisning till artikel 9.1 i dataskyddsförordningen. De kategorier av personuppgifter som avses i artikeln är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i en fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Ändringen innebär att bestämmelsen utvidgas till att omfatta genetiska och biometriska uppgifter. Dataskyddsförordningens definition av biometriska uppgifter innefattar ansiktsbilder där en fysisk person entydigt kan identifieras, se artikel 4.14 i dataskyddsförordningen. Det gäller dock endast sådana ansiktsbilder som behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person, exempelvis ansiktsigenkänningsprogram. Genom hänvisningen till dataskyddsförordningen förtydligas även att uppgifter om en persons sexuella läggning ska anses utgöra känsliga personuppgifter. I andra stycket, som är nytt, anges att begränsningarna i första stycket inte hindrar att känsliga personuppgifter behandlas med stöd av 15 §. Det innebär att känsliga personuppgifter i form av fingeravtryck och fotografier som förekommer i Migrationsverkets register får behandlas enligt de förutsättningar som anges i den paragrafen. Någon ändring avseende myndighetens möjligheter att behandla personuppgifter enligt den bestämmelsen är alltså inte avsedd. Tredje stycket motsvarar hittillsvarande andra stycket. 17 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Detsamma gäller för uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Förbudet omfattar inte uppgifter om beslut om förvar enligt utlänningslagen (2005:716). Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §. Paragrafen innehåller förbud mot integritetskänsliga sökningar. Övervägandena finns i avsnitt 6.7. Genom ändringarna i första stycket klargörs att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på integritetskänsliga uppgifter. Uppräkningen av otillåtna sökbegrepp ersätts med uttrycket känsliga personuppgifter. Med känsliga personuppgifter avses sådana uppgifter som anges i artikel 9.1 i dataskyddsförordningen, se kommentaren till 14 §. Ändringen innebär att sökbegränsningen utvidgas till att omfatta genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare tydliggörs att uppgifter om en persons sexuella läggning omfattas av sökbegränsningen. I paragrafen anges även att sökbegränsningen omfattar uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Bestämmelsen, som motsvarar hittillsvarande 18 § andra stycket första meningen, ändras genom att hänvisningen till 21 § personuppgiftslagen ersätts med en uppräkning av de otillåtna personuppgiftskategorierna. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös åskådning eller sexuell läggning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för registervård. I andra stycket anges att förbudet inte omfattar uppgifter om beslut om förvar enligt utlänningslagen (2005:716). Bestämmelsen motsvarar hittillsvarande 18 § andra stycket andra meningen. Av tredje stycket följer att sökbegränsningen inte hindrar att känsliga personuppgifter behandlas med stöd av 15 §. Det innebär att sökbegränsningen inte hindrar nödvändiga sökningar i Migrationsverkets register över fingeravtryck och fotografier. 18 § Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp. Paragrafen reglerar begränsningar beträffande sökbegrepp som direkt pekar ut en person. Övervägandena finns i avsnitt 6.7. Paragrafen ändras endast redaktionellt genom att det andra stycket flyttas till 17 § med vissa ändringar. 18 a § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. I paragrafen, som är ny, finns en bestämmelse om den personuppgiftsansvariges skyldighet att informera om personuppgiftsincidenter. Övervägandena finns i avsnitt 6.8. I paragrafen anges att den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i dataskyddsförordningen inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget har stöd i artikel 23 i dataskyddsförordningen. Ytterligare undantag från skyldigheten att informera den registrerade om en personuppgiftsincident finns i artikel 34.3 i dataskyddsförordningen. Paragrafen innebär att sekretess eller tystnadsplikt gentemot den registrerade som har stöd i författning har företräde framför skyldigheten att informera den registrerade om en personuppgiftsincident. 18 b § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen, som är ny, föreskriver en begränsning av en registrerads rätt att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Övervägandena finns i avsnitt 6.9. Paragrafen innebär ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget har stöd i artikel 23 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller alltså inte rätten att göra invändningar enligt artikel 21.1. 20 § Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 15 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §. Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 15 § andra stycket 1, 2 eller 5. Om det finns skäl för det ska Migrationsverket på eget initiativ lämna uppgifter som avses i andra stycket andra meningen till Polismyndigheten. Paragrafen reglerar Migrationsverkets uppgiftsskyldighet gentemot andra myndigheter. Paragrafen ändras endast redaktionellt med anledning av att 14 § betecknas 15 §. Övervägandena finns i avsnitt 6.5. 21 § Personuppgifter får föras över till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400). Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland. Paragrafen behandlar rätten att föra över personuppgifter till tredjeland. Övervägandena finns i avsnitt 6.10. I första stycket anges under vilka förutsättningar personuppgifter får föras över till tredjeland i enlighet med artikel 49.1 d i dataskyddsförordningen, dvs. även om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45.3 eller lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen. Ändringen innebär att hänvisningen till personuppgiftslagen och vad som anges om den registrerades samtycke tas bort. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 1 december 2018. 2. Äldre föreskrifter gäller för överklagande av beslut som har meddelats före ikraftträdandet. Övervägandena om ikraftträdande- och övergångsbestämmelser finns i avsnitt 7. Enligt punkt 1 träder lagändringarna i kraft den 1 december 2018. Av punkt 2 framgår att äldre föreskrifter fortfarande gäller för överklagande av beslut som har meddelats före ikraftträdandet. Europaparlamentets och rådets förordning (EU) 2016/679 Sammanfattning departementspromemorian En omarbetad utlänningsdatalag (Ds 2017:45) Anpassningar till EU:s dataskyddsförordning EU:s dataskyddsreform innebär att en ny dataskyddsförordning kommer att utgöra grunden för generell personuppgiftsbehandling inom EU från och med den 25 maj 2018. Reformen omfattar även ett nytt direktiv med särregler för den personuppgiftsbehandling som utförs av behöriga myndigheter för bl.a. brottsbekämpning, lagföring och straffverkställig-het. Denna promemoria innehåller förslag till de författningsändringar som behövs i utlänningsdatalagen (2016:27) och utlänningsdataförord-ningen (2016:30) med anledning av dataskyddsförordningen. Tillämpningsområdet Utlänningsdatalagen reglerar den personuppgiftsbehandling som utförs av Migrationsverket, Polismyndigheten och utlandsmyndigheterna i vissa utpekade verksamheter inom utlännings- och medborgarskapslagstift-ningen. Tillämpningsområdet omfattar för närvarande dock inte den personuppgiftsbehandling som utförs i Polismyndighetens brotts-bekämpande verksamhet. För att anpassa lagen till det nya regelverket för personuppgiftsbehandling föreslår vi att lagen inte ska gälla vid sådan behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde. Vi föreslår också att det i utlänningsdatalagen ska klargöras att den lagen inte gäller när personuppgifter behandlas med stöd av lagen (2006:444) om passagerarregister. I övrigt ska lagens tillämpningsområde enligt vårt förslag kvarstå oförändrat. Dataskyddsförordningen ska tillämpas i Sverige som om den vore nationell rätt, men hindrar inte förekomsten av nationella registerförfattningar. Dessa kommer framöver dock endast att utgöra en komplettering till dataskyddsförordningen, vilket enligt vårt förslag ska klargöras i utlänningsdatalagen. Grundläggande bestämmelser Den rättsliga grunden för den personuppgiftsbehandling som utförs inom utlänningsdatalagens tillämpningsområde utgörs enligt vår bedömning av att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Till allra största delen föranleder dataskyddsförordningen inte någon förändring av utlänningsdatalagens ändamålsbestämmelser. Vi föreslår dock att den hänvisning till finalitetsprincipen som finns i lagens sekundära ändamålsbestämmelser ska knyta an till dataskyddsförord-ningens bestämmelser i denna del. Vi föreslår också att det i utlänningsdatalagen klargörs att personuppgifter som behandlas eller har behandlats för lagens primära ändamål ska få behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, förutsatt att de säkerhetsåtgärder som framgår av artikel 89.1 i dataskyddsförordningen vidtas. Övriga materiella bestämmelser Som vi nämnt ovan kommer utlänningsdatalagen framöver att utgöra en komplettering till dataskyddsförordningen. Det är således i förordningen som de grundläggande bestämmelserna om personuppgiftsbehandling kommer att finnas. Till stora delar föranleder dataskyddsförordningen dock inga eller endast redaktionella ändringar av utlänningsdatalagen. Exempelvis kommer bestämmelserna om personuppgiftsansvar, direktåtkomst, avskiljande och gallring att kunna kvarstå oförändrade i materiellt hänseende. Vi föreslår dock att bestämmelserna om behandling av känsliga personuppgifter anpassas till dataskyddsförordningen på så sätt att definitionen av vilka kategorier av personuppgifter som ska anses vara känsliga överensstämmer med dataskyddsförordningens begrepp. Detta innebär att även uppgifter om sexuell läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person tillkommer. Förändringen ska emellertid inte innebära några hinder mot att - på samma sätt som för närvarande - behandla personuppgifter som finns i Migrationsverkets register över fingeravtryck och fotografier. Utlänningsdatalagens nuvarande bestämmelse om personuppgiftsombud kommer att ersättas med dataskyddsförordningens bestämmelser om skyldighet att utse dataskyddsombud. Förordningen är tydligare vad gäller ombudets ställning och uppgifter. När dataskyddsförordningen börjar tillämpas ska personuppgiftslagen (1998:204) upphävas. I enlighet med vad som tidigare gällt i förhållande till personuppgiftslagen föreslår vi att utlänningsdatalagen ska gälla i stället för den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (förkortad dataskyddslagen), som föreslås komplettera EU:s dataskyddsförordning på ett generellt plan i svensk rätt (se Dataskyddsutredningens betänkande [SOU 2017:39]). Det ska i utlänningsdatalagen särskilt anges vilka bestämmelser i dataskyddslagen som ska gälla inom tillämpningsområdet. Genom hänvisningar till dataskyddslagens bestämmelser kommer stora delar av den tidigare regleringen för personuppgiftsbehandling att behållas. Det gäller bl.a. de aktuella myndigheternas rätt att behandla uppgifter om personnummer och samordningsnummer, begränsningen av den registrerades rätt till ett s.k. registerutdrag för uppgifter i löpande text eller minnesanteckningar samt rätten för myndigheterna att återanvända personuppgifter i arkiverade handlingar. Även de undantag som för närvarande finns från den registrerades rätt till information vid insamling av personuppgifter samt från rätten till ett registerutdrag kommer på detta sätt att upprätthållas. Dataskyddsförordningen innehåller bestämmelser som i vissa fall ger den registrerade rätt till information om en inträffad personuppgiftsincident. För att säkerställa att den registrerade inte genom sådan information får del av uppgifter som det råder sekretess för gentemot honom eller henne, föreslår vi att det införs ett undantag från denna rättighet. Undantaget ska gälla om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade. De undantag från dataskyddsförordningens bestämmelser om den registrerades rättigheter som vi föreslagit får - tillsammans med de undantag som finns i dataskyddsförordningen - till följd att de aktuella myndigheternas verksamhet kan fortgå även om den registrerade utnyttjar sina rättigheter enligt dataskyddsförordningen. Handläggning av enskilda ärenden behöver inte avstanna, bevarande av handlingar kommer att vara möjlig, personuppgifter i avslutade och arkiverade ärenden kan fortsätta behandlas och allmänhetens tillgång till allmänna handlingar inskränks inte. Tillsyn och överklagande Dataskyddsförordningen och förslaget till dataskyddslag kommer att förändra systemet för sanktioner vid otillåten personuppgiftsbehandling. Vi föreslår att dataskyddslagens bestämmelser om administrativa sanktionsavgifter mot myndigheter i tillämpliga delar ska gälla även på utlänningsdatalagens tillämpningsområde. Detsamma gäller för dataskyddslagens bestämmelser om tillsynsmyndighetens handläggning och beslut. Genom en hänvisning till dataskyddslagen ska det även klargöras att den rätt till skadestånd för registrerade som framgår av dataskyddsförordningen även gäller vid överträdelser av dataskyddslagens (i tillämpliga delar) och utlänningsdatalagens bestämmelser. Även dataskyddslagens överklagandebestämmelser kommer att gälla på utlänningsdatalagens tillämpningsområde. Promemorians lagförslag Förslag till lag om ändring i utlänningsdatalagen (2016:27) Härigenom föreskrivs i fråga om utlänningsdatalagen (2016:27) dels att 10 § ska upphävas, dels att rubriken närmast före 7 § ska utgå, dels att nuvarande 14 § ska betecknas 15 a §, dels att 3, 5-8, 13, 15, 17, 18, 20 och 21 §§ ska ha följande lydelse, dels att rubriken närmast före nuvarande 14 § ska sättas närmast före 15 a §, dels att det ska införas fyra nya paragrafer, 3 a, 6 a, 13 a och 18 a §§, och närmast före 6, 6 a och 18 a §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse 3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige om verksamheten inte utgör brottsbekämpande verksamhet. Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige. 3 a § Denna lag gäller inte vid sådan behandling av personuppgifter som omfattas av brottsdatalagens (2018:xx) tillämpningsområde. 5 § Denna lag gäller inte när personuppgifter behandlas med stöd av 1. lagen (2000:344) om Schengens informationssystem, 2. lagen (2006:444) om passagerarregister, 2. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller 3. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). 3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller 4. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). Personuppgiftsbehandling enligt VIS-förordningen 6 § När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för visering-ar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), gäller bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd om inte något annat följer av VIS-förordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för visering-ar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) gäller, om inte något annat följer av VIS-förordningen, följande. 1. Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med VIS-förordningen. Den personuppgifts-ansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbets-insats. 2. Den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med VIS-förordningen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. Förhållandet till annan lagstiftning 6 a § Denna lag innehåller kompletterande bestämmelser till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 7 § Om inte något annat anges i 8 §, gäller denna lag i stället för personuppgiftslagen (1998:204). Om inte något annat anges i 8 §, gäller denna lag i stället för lagen (2018:xx) med kompletterande bestämmelser till EU:s data-skyddsförordning. 8 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204): 1. 3 § om definitioner, 2. 8 § om förhållandet till offentlighetsprincipen, 3. 9 § om grundläggande krav på behandling av personuppgifter, 4. 22 § om behandling av personnummer, 5. 23 och 25-27 §§ om information till den registrerade, 6. 28 § om rättelse, 7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling, 8. 33-35 §§ om överföring av personuppgifter till tredjeland, 9. 38-41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter, 12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande. När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning: 1. 1 kap. 4 § första stycket om förhållandet till tryck- och yttrandefriheten, 2. 3 kap. 6 § första stycket om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse, 3. 3 kap. 13 § om behandling av personnummer och samordningsnummer, 4. 4 kap. 1 § om användningsbegränsningar för arkiverade personuppgifter, 5. 5 kap. 1 § första stycket och 5 kap. 2 § om begränsningar av vissa rättigheter och skyldigheter, 6. 6 kap. 1-5 §§ om tillsynsmyndighetens handläggning och beslut, 7. 7 kap. 1, 3 och 4 §§ om administrativa sanktionsavgifter, 8. 8 kap. 1 § om skadestånd, och 9. 8 kap. 2-4 och 6 §§ om överklagande. Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen. Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite. 13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas när det är nödvändigt för att tillhandahålla information till 1. riksdagen eller regeringen, 2. en annan myndighet eller en enskild, om uppgifterna lämnas med stöd av lag eller förordning, eller 3. en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att behandlingen är tillåten enligt artiklarna 5.1 b och 6.4 i Europaparlamentets och rådets förordning (EU) 2016/679. 13 a § Personuppgifter som behandlas eller har behandlats enligt 11-12 §§ får även behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679. Första stycket gäller inte om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen. 15 § Sådana känsliga personuppgifter som anges i 13 § personuppgifts-lagen (1998:204) får endast behandlas Sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) får endast behandlas 1. för de ändamål som anges i 11 § 1-4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller 2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §. Vad som sägs i första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 a §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela 1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och 2. föreskrifter om gallring. 17 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar 1. ras eller etniskt ursprung, 2. politiska åsikter, 3. religiös eller filosofisk övertygelse, 4. medlemskap i fackförening, 5. hälsa, eller 6. sexualliv. Vid sökning i personuppgifter är det förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter enligt 15 §. Vad som sägs i första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 a §. 18 § Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp. Vid sökning i personuppgifter får sådana uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen (1998:204) inte användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen (2005:716) får dock användas som sökbegrepp. Vid sökning i personuppgifter får uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberö-vanden inte användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen (2005:716) får dock användas som sökbegrepp. Begränsningar av vissa rättig-heter och skyldigheter 18 a§ Bestämmelserna om den registrerades rätt att få information om en personuppgiftsincident enligt artikel 34 i Europaparlamentets och rådets förordning (EU) 2016/679, gäller inte om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade. 20 § Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 14 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndighet-erna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §. Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 15 a § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndighet-erna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §. Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlands-myndighet lämna ut personupp-gifter som verket behandlar enligt 11 § 1 eller 2. Migrations-verket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 14 § andra stycket 1, 2 eller 5. Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlands-myndighet lämna ut personupp-gifter som verket behandlar enligt 11 § 1 eller 2. Migrations-verket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 15 a § andra stycket 1, 2 eller 5. 21 § Trots hänvisningen till 33 § personuppgiftslagen (1998:204) i 8 § första stycket 8 är det tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400). Personuppgifter får föras över till tredjeland även utan den registrerades samtycke om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400). Sådan överföring får ske även om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45.3 eller lämpliga skyddsåtgärder enligt artikel 46 i Europaparlamentets och rådets förord-ning (EU) 2016/679. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland. 1. Denna lag träder i kraft den 1 maj 2018 i fråga om 3 och 3 a §§ och i övrigt den 25 maj 2018. 2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av de föreskrifterna. Förteckning över remissinstanser Riksdagens ombudsmän, Hovrätten för Västra Sverige, Södertörns tingsrätt, Kammarrätten i Stockholm, Förvaltningsrätten i Malmö, Förvaltningsrätten i Stockholm, Justitiekanslern, Domstolsverket, Polismyndigheten, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Kustbevakningen, Migrationsverket, Datainspektionen, Ambassaden New Delhi, Ambassaden Peking, Försäkringskassan, Inspektionen för socialförsäkringen, Pensionsmyndigheten, Tullverket, Skatteverket, Kronofogdemyndigheten, Arbetsgivarverket, Uppsala universitet (Juridiska fakulteten), Riksarkivet, Sveriges Kommuner och Landsting, Sveriges advokatsamfund, Svenskt Näringsliv, Tjänstemännens Centralorganisation (TCO), Sveriges akademikers Centralorganisation (SACO), Landsorganisationen i Sverige (LO), Amnesty International - Svenska sektionen, Rådgivningsbyrån för asylsökande och flyktingar. Ett yttrande har även inkommit från dataskydd.net. Lagrådsremissens lagförslag Förslag till lag om ändring i utlänningsdatalagen (2016:27) Härigenom föreskrivs i fråga om utlänningsdatalagen (2016:27) dels att 7, 8 och 10 §§ ska upphöra att gälla, dels att rubriken närmast före 7 § ska utgå, dels att nuvarande 14 § ska betecknas 15 § och nuvarande 15 § ska betecknas 14 §, dels att 3, 5, 6, 13, den nya 14, 17, 18, 20 och 21 §§ ska ha följande lydelse, dels att rubriken närmast före nuvarande 14 § ska sättas närmast före den nya 15 § och att rubriken närmast före nuvarande 15 § ska sättas närmast före den nya 14 §, dels att det ska införas fem nya paragrafer, 4 a-4 c, 18 a och 18 b §§, och närmast före 4 a, 18 a och 18 b §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse 3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige om verksamheten inte utgör brottsbekämpande verksamhet. Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige. Förhållandet till annan reglering 4 a § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 4 b § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 4 c § Denna lag gäller inte vid behandling av personuppgifter som omfattas av brottsdatalagens (2018:000) tillämpningsområde. 5 § Denna lag gäller inte när personuppgifter behandlas med stöd av 1. lagen (24) om Schengens informationssystem, 2. lagen (2006:444) om passagerarregister, 2. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller 3. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). 3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller 4. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning). 6 § När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för visering-ar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), gäller bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd om inte något annat följer av VIS-förordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för visering-ar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) gäller bestämmelserna om rätten till ersättning i artikel 82 i EU:s dataskyddsförordning om inte något annat följer av VIS-förordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen. 13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas när det är nödvändigt för att tillhandahålla information till 1. riksdagen eller regeringen, 2. en annan myndighet eller en enskild, om uppgifterna lämnas med stöd av lag eller förordning, eller 3. en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. Personuppgifter som behandlas enligt 11 och 12 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. 14 § Sådana känsliga personuppgifter som anges i 13 § personuppgifts-lagen (1998:204) får endast behandlas Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får endast behandlas 1. för de ändamål som anges i 11 § 1-4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller 2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §. Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela 1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och 2. föreskrifter om gallring. 17 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar 1. ras eller etniskt ursprung, 2. politiska åsikter, 3. religiös eller filosofisk övertygelse, 4. medlemskap i fackförening, 5. hälsa, eller 6. sexualliv. Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Detsamma gäller för uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Uppgifter om beslut om förvar enligt utlänningslagen (2005:716) omfattas inte av förbudet. Första stycket hindrar inte att känsliga personuppgifter behandlas med stöd av 15 §. 18 § Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp. Vid sökning i personuppgifter får sådana uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen (1998:204) inte användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen (2005:716) får dock användas som sökbegrepp. Information om personuppgiftsincidenter 18 a § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Rätten att göra invändningar 18 b § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 20 § Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 14 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §. Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 15 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §. Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 14 § andra stycket 1, 2 eller 5. Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 15 § andra stycket 1, 2 eller 5. Om det finns skäl för det ska Migrationsverket på eget initiativ lämna uppgifter som avses i andra stycket andra meningen till Polismyndigheten. 21 § Trots hänvisningen till 33 § personuppgiftslagen (1998:204) i 8 § första stycket 8 är det tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400). Personuppgifter får föras över till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400). Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland. 1. Denna lag träder i kraft den 1 december 2018. 2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-03-23 Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning Enligt en lagrådsremiss den 21 mars 2018 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i utlänningsdatalagen (2016:27). Förslaget har inför Lagrådet föredragits av rättssakkunniga Anna Westling. Lagrådet lämnar förslaget utan erinran. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 26 april 2018 Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Y Johansson, Hallengren, Bucht, Hultqvist, Andersson, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Ekström, Fritzon, Eneroth Föredragande: statsrådet Fritzon Regeringen beslutar proposition Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning