Post 1934 av 7189 träffar
Utlänningsdatalag
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 65
Regeringens proposition
2015/16:65
Utlänningsdatalag
Prop.
2015/16:65
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 3 december 2015
Stefan Löfven
Peter Hultqvist
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
Regeringen föreslår en ny lag om behandling av personuppgifter i den verksamhet som Migrationsverket, Polismyndigheten och utlandsmyndigheterna bedriver enligt utlännings- och medborgarskapslagstiftningen.
Syftet med lagen är att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt och effektivt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En utgångspunkt är att skapa en teknikneutral lag som medger en flexibel tillämpning och som innehåller de bestämmelser som är av central betydelse för integritetsskyddet. I lagen finns bestämmelser om bl.a. ändamålen med behandlingen, myndigheters direktåtkomst till Migrationsverkets uppgifter och de begränsningar som ska gälla för behandlingen av vissa uppgifter.
Bland annat med hänsyn till den nuvarande flyktinginströmningen till Sverige är det vidare betydelsefullt att myndigheterna snabbt får de verktyg som behövs för att de ska kunna fullgöra sina uppgifter. Regeringen föreslår därför att riksdagen beslutar att motionstiden förkortas till nio dagar.
Den nya lagen föreslås träda i kraft dagen efter den dag då lagen enligt uppgift på den kommit ut från trycket i Svensk författningssamling, vilket med hänsyn till riksdagsbehandlingen beräknas ske i början av februari 2016.
Innehållsförteckning
1 Förslag till riksdagsbeslut 4
2 Lagtext 5
2.1 Förslag till utlänningsdatalag 5
2.2 Förslag till lag om ändring i socialförsäkringsbalken 11
2.3 Förslag till lag om ändring i polisdatalagen (2010:361) 12
3 Ärendet och dess beredning 14
4 Det grundläggande skyddet för personuppgifter 15
4.1 Regeringsformen 15
4.2 Internationella konventioner 15
4.3 EU-rättslig reglering 17
4.4 Personuppgiftslagen 19
4.5 Särskilda registerförfattningar 21
4.6 Förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen 22
5 Behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen 25
5.1 Myndigheter som bedriver verksamhet enligt utlänningslagstiftningen 25
5.2 Handläggande myndigheter enligt medborgarskapslagen 28
5.3 Behandling av personuppgifter inom verksamhetsområdet 29
5.3.1 Migrationsverket 29
5.3.2 Polismyndigheten och Säkerhetspolisen 33
5.3.3 Utlandsmyndigheterna 35
6 En lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen 35
6.1 Det finns behov av lagstiftning 35
6.2 Lagens syfte 38
6.3 Lagens tillämpningsområde 38
6.4 Undantag från utlänningsdatalagens tillämpningsområde 43
6.5 Den registrerades inställning 45
6.6 Utlänningsdatalagen och personuppgiftslagen 46
6.6.1 Förhållandet till personuppgiftslagen 46
6.6.2 Tillämpliga bestämmelser i personuppgiftslagen 47
6.7 Personuppgiftsansvar 55
6.8 Allmänt om ändamål för personuppgiftsbehandling 57
6.9 För vilka ändamål ska personuppgifter få behandlas? 60
6.9.1 Handläggning av ärenden 60
6.9.2 Kontroll av utlänningar 61
6.9.3 Utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar 62
6.9.4 Tillsyn m.m. 63
6.9.5 Registrering och annan dokumentationsskyldighet 65
6.9.6 Återsökning av avgöranden, rättsutredningar, annan rättslig information m.m. 65
6.9.7 Behandling av uppgifter för att tillhandahålla information till andra 67
6.10 Migrationsverkets register över fingeravtryck och fotografier 70
6.11 Personuppgifter som får behandlas 77
6.11.1 Ingen specificering av vilka typer av uppgifter som får behandlas 77
6.11.2 Särskilt om känsliga personuppgifter 78
6.12 Tillgången till personuppgifter 83
6.13 Sökbegränsningar 84
6.14 Annat elektroniskt utlämnande än direktåtkomst 86
6.15 Direktåtkomst 88
6.16 Särskilt om överföring av personuppgifter till tredjeland 95
6.17 Bevarande och gallring m.m. 99
7 Ikraftträdande- och övergångsbestämmelser 104
8 Konsekvenser av förslagen 105
9 Författningskommentar 106
9.1 Förslaget till utlänningsdatalag 106
9.2 Förslaget till lag om ändring i socialförsäkringsbalken 126
9.3 Förslaget till lag om ändring i polisdatalagen (2010:361) 127
Bilaga 1 Sammanfattning av betänkandet Personuppgiftsbehandling på utlännings- och medborgarskapsområdet (SOU 2015:73) 129
Bilaga 2 Betänkandets lagförslag 137
Bilaga 3 Förteckning över remissinstanser 149
Bilaga 4 Lagrådsremissens lagförslag 150
1 Lagtext 150
1.1 Förslag till utlänningsdatalag 150
1.2 Förslag till lag om ändring i socialförsäkringsbalken 156
1.3 Förslag till lag om ändring i polisdatalagen (2010:361) 157
Bilaga 5 Lagrådets yttrande 159
Utdrag ur protokoll vid regeringssammanträde den 3 december 2015 160
1 Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. utlänningsdatalag,
2. lag om ändring i socialförsäkringsbalken,
3. lag om ändring i polisdatalagen (2010:361).
Regeringen föreslår vidare att riksdagen beslutar om att förkorta motionstiden till nio dagar.
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till utlänningsdatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Migrationsverket, Polismyndigheten och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör
1. utlänningars inresa i Sverige, i en stat som ingår i Europeiska unionen, i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet eller i Schweiz,
2. utlänningars vistelse eller arbete i Sverige och utresa eller avlägsnande från Sverige,
3. statusförklaring,
4. mottagande av asylsökande och andra utlänningar,
5. bistånd och stöd till utlänningar,
6. svenskt medborgarskap,
7. statlig ersättning för kostnader för utlänningar,
8. bosättning av utlänningar, eller
9. utfärdande av resehandlingar.
3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige om verksamheten inte utgör brottsbekämpande verksamhet.
4 § Lagen gäller endast om behandlingen av personuppgifter enligt 2 eller 3 § är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
5 § Denna lag gäller inte när personuppgifter behandlas med stöd av
1. lagen (2000:344) om Schengens informationssystem,
2. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller
3. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).
6 § När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), gäller bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd om inte något annat följer av VIS-förordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen.
Förhållandet till personuppgiftslagen
7 § Om inte något annat anges i 8 §, gäller denna lag i stället för personuppgiftslagen (1998:204).
8 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen,
3. 9 § om grundläggande krav på behandling av personuppgifter,
4. 22 § om behandling av personnummer,
5. 23 och 25-27 §§ om information till den registrerade,
6. 28 § om rättelse,
7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,
8. 33-35 §§ om överföring av personuppgifter till tredjeland,
9. 38-41 §§ om personuppgiftsombud m.m.,
10. 42 § om upplysningar till allmänheten om vissa behandlingar,
11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,
12. 48 § om skadestånd, och
13. 51 § första stycket, 52 § första stycket och 53 § om överklagande.
Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.
Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.
Personuppgiftsansvar
9 § Migrationsverket, Polismyndigheten och en utlandsmyndighet är var och en personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Migrationsverket är dock personuppgifts-ansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter.
10 § Migrationsverket och Polismyndigheten ska var och en utse ett eller flera personuppgiftsombud.
Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.
Ändamål
11 § Migrationsverket, Polismyndigheten och utlandsmyndigheterna får behandla personuppgifter om det behövs för
1. handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§,
2. kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,
3. utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,
4. framställning av statistik,
5. utförande av testverksamhet, eller
6. fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.
12 § Migrationsverket får också behandla personuppgifter om det behövs för återsökning av
1. avgöranden, rättsutredningar och annan rättslig information, eller
2. information som rör förhållanden i andra länder.
13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas när det är nödvändigt för att tillhandahålla information till
1. riksdagen eller regeringen,
2. en annan myndighet eller en enskild, om uppgifterna lämnas med stöd av lag eller förordning, eller
3. en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.
Migrationsverkets register över fingeravtryck
och fotografier
14 § Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716).
Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast
1. vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1-2 a §§ utlänningslagen åberopas,
2. i ärenden om avvisning och utvisning,
3. i testverksamhet,
4. om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller
5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 § polisdatalagen (2010:361).
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1. ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och
2. föreskrifter om gallring.
Behandling av känsliga personuppgifter
15 § Sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får endast behandlas
1. för de ändamål som anges i 11 § 1-4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller
2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och
2. föreskrifter om gallring.
Tillgången till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Sökbegränsningar
17 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar
1. ras eller etniskt ursprung,
2. politiska åsikter,
3. religiös eller filosofisk övertygelse,
4. medlemskap i fackförening,
5. hälsa, eller
6. sexualliv.
18 § Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.
Vid sökning i personuppgifter får sådana uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen (1998:204) inte användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen (2005:716) får dock användas som sökbegrepp.
Direktåtkomst
19 § Direktåtkomst till personuppgifter hos Migrationsverket får endast medges
1. Polismyndigheten,
2. Säkerhetspolisen,
3. utlandsmyndigheterna,
4. Försäkringskassan,
5. Pensionsmyndigheten,
6. Skatteverket, eller
7. en part eller en parts ombud eller biträde.
Direktåtkomst enligt första stycket 7 får endast avse personuppgifter i partens ärende.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela
1. ytterligare föreskrifter om begränsningar av direktåtkomst enligt första stycket, och
2. föreskrifter om behörighet och säkerhet vid sådan åtkomst.
Uppgiftsskyldighet
20 § Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 14 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §.
Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 14 § andra stycket 1, 2 eller 5.
Om det finns skäl för det ska Migrationsverket på eget initiativ lämna uppgifter som avses i andra stycket andra meningen till Polismyndigheten.
Överföring av personuppgifter till tredjeland
21 § Trots hänvisningen till 33 § personuppgiftslagen (1998:204) i 8 § första stycket 8 är det tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400).
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland.
Avskiljande
22 § Personuppgifter som har behandlats för ändamål som anges i 11 § 1-4 och 13 § ska avskiljas så att tillgången till dem begränsas om de inte längre behövs i myndighetens löpande verksamhet.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter.
Säkerhetsåtgärder
23 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter.
Denna lag träder i kraft dagen efter den dag då lagen enligt uppgift på den kommit ut från trycket i Svensk författningssamling.
2.2 Förslag till lag om ändring i socialförsäkringsbalken
Härigenom föreskrivs att 114 kap. 17 § socialförsäkringsbalken ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
114 kap.
17 §
Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.
Behörighet för åtkomst till socialförsäkringsdatabasen ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter.
Behörighet för åtkomst till socialförsäkringsdatabasen och till personuppgifter hos Migrations-verket ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter.
Denna lag träder i kraft dagen efter den dag då lagen enligt uppgift på den kommit ut från trycket i Svensk författningssamling.
2.3 Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att 2 kap. 8 och 18 §§ polisdatalagen (2010:361) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
8 §
Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i
1. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,
2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,
3. sådan verksamhet hos Polismyndigheten som avser handräckningsuppdrag,
4. annan verksamhet som Polismyndigheten ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,
5. verksamhet hos Kriminal-vården för att förebygga brott och upprätthålla säkerheten, eller
6. en myndighets verksamhet
a) om det enligt lag eller förordning åligger Polis-myndigheten att bistå myndig-heten med viss uppgift, eller
b) om informationen tillhanda-hålls inom ramen för myndighets-överskridande samverkan mot brott.
5. verksamhet hos Kriminal-vården för att förebygga brott och upprätthålla säkerheten,
6. verksamhet hos Migrations-verket för att verket ska kunna kontrollera fingeravtryck som verket tagit enligt 9 kap. 8 § utlänningslagen (2005:716) mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 §, eller
7. en myndighets verksamhet
a) om det enligt lag eller förordning åligger Polismyndig-heten att bistå myndigheten med viss uppgift, eller
b) om informationen tillhanda-hålls inom ramen för myndighets-överskridande samverkan mot brott.
Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.
Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.
I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första-tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
18 §
Säkerhetspolisen, Ekobrotts-myndigheten, Tullverket, Kust-bevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11-17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.
Säkerhetspolisen, Ekobrotts-myndigheten, Tullverket, Kust-bevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11-17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregistret, om verket behöver uppgifterna för kontroll av fingeravtryck som verket tagit.
Denna lag träder i kraft dagen efter den dag då lagen enligt uppgift på den kommit ut från trycket i Svensk författningssamling.
3 Ärendet och dess beredning
Regeringen beslutade den 28 maj 2014 att ge en särskild utredare i uppdrag att utarbeta ett förslag till en lag om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och anpassa författningsregleringen på området till nationella bestämmelser och internationella åtaganden. I uppdraget ingick också vissa frågor om Migrationsverkets möjlighet att registrera uppgifter om vissa offentliga biträden, ett effektivare informationsutbyte mellan Migrationsverket och andra myndigheter samt
skadeståndsskyldighet med anledning av kontroll av Schengenviseringar.
Utredningen, som tog namnet 2014 års utlänningsdatautredning, har även behandlat en framställning från dåvarande Rikspolisstyrelsen och Migrationsverket angående rätt för Migrationsverket att ta del av Polismyndighetens fingeravtrycksregister (Ju2014/06091/L4) och en framställning från Migrationsverket beträffande automatiserade fotojämförelser (Ju20143918/L7).
Den 31 juli 2015 överlämnade utredningen betänkandet Personuppgiftsbehandling på utlännings- och medborgarskapsområdet (SOU 2015:73). En sammanfattning av betänkandet finns i bilaga 1. Utredningens lagförslag finns i bilaga 2.
Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En sammanställning av remissyttrandena finns tillgänglig i Justitiedepartementet (dnr Ju2015/05766/L7).
I propositionen behandlas utredningens förslag till utlänningsdatalag samt vissa följdändringar. Frågorna om registrering av kvalitetsomdömen, ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd samt skadeståndsskyldighet efter kontroller av Schengenviseringar bereds vidare i Regeringskansliet.
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Enligt 2 kap. 20 § första stycket 2 samma lag får det skyddet begränsas genom lag. Det är angeläget att risken för att myndigheterna behandlar personuppgifter på ett sätt som kan stå i strid med regeringsformen begränsas. Med hänsyn till den nuvarande flyktinginströmningen till Sverige är det vidare betydelsefullt att Migrationsverket och de andra myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen har de verktyg som behövs för att fullgöra sina uppgifter. Det är därför viktigt att de lagändringar som föreslås kan börja tillämpas så snart som möjligt. Det föreslås därför att lagarna ska träda i kraft dagen efter den dag då de kommit ut från trycket i Svensk författningssamling. Av dessa skäl finns det också anledning för riksdagen att besluta om förkortad motionstid för följdmotioner till propositionen.
Lagrådet
Regeringen beslutade den 19 november 2015 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet lämnade förslaget utan erinran.
Vissa språkliga ändringar har gjorts i förhållande till lagrådsremissens lagförslag.
4 Det grundläggande skyddet för personuppgifter
4.1 Regeringsformen
Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I målsättningsstadgandet i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Av 2 kap. 6 § andra stycket följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får dock under vissa förutsättningar göras i lag (2 kap. 20 och 21 §§).
4.2 Internationella konventioner
Europakonventionen
Enligt artikel 8 i den europiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
När det gäller laglighetskriteriet krävs bl.a. att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar och de ska vara allmänt tillgängliga. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.
I artikel 13 i Europakonventionen föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha tillgång till en nationell instans för att kunna få saken prövad och få rättelse. Prövningen kan göras av domstol, men även prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräcklig.
Europakonventionen gäller som lag i Sverige. Av regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 19 §).
Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd mot godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).
Dataskyddskonventionen
Reglering om automatiserad behandling av personuppgifter finns i bl.a. Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (Dataskyddskonventionen) och dess tilläggsprotokoll. Konventionen trädde i kraft den 1 oktober 1985 och Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till den. Ett arbete med att se över konventionen har inletts.
Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter. Konventionens innehåll kan ses som en precisering av skyddet för den personliga integriteten som följer av artikel 8 i Europakonventionen.
Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatiserad behandling ska samlas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare måste uppgifterna vara relevanta för ändamålen med behandlingen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen.
Vissa kategorier av personuppgifter får, enligt konventionen, behandlas endast om den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv och uppgifter om brott.
För att skydda personuppgifter mot bl.a. oavsiktlig eller otillåten förstörelse föreskriver konventionen att lämpliga skyddsåtgärder ska vidtas. Vidare föreskrivs att den registrerade bl.a. ska ha möjlighet till in-syn i register och till att få uppgifter rättade. Under vissa förutsättningar får undantag göras från bestämmelserna i konventionen bl.a. i fråga om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar förutsätter stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. statens ekonomiska intressen och brottsbekämpning, och för att skydda enskildas fri- och rättigheter.
4.3 EU-rättslig reglering
Stadgan om de grundläggande rättigheterna
Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna är rättsligt bindande. En referens till stadgan har införts i artikel 6.1 i det ändrade EU-fördraget. I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europa-konventionen, unionens och Europarådets sociala stadgor och rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.
I stadgans artikel 7 föreskrivs att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. Vidare före-skrivs i artikel 8 att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs. Av artikel 51 i stadgan framgår att den riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten. Stadgan är följaktligen inte tillämplig på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens.
När det gäller de garanterade rättigheternas räckvidd följer av artikel 52 i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Av artikel 53 följer att stadgans artiklar inte får tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.
Dataskyddsdirektivet
Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör således inte skyddet för juridiska personer. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Direktivet omfattar inte behandling av personuppgifter för privat bruk.
Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och, om nödvändigt, aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.
Personuppgifter får enligt direktivet behandlas bara i vissa fall. Här kan nämnas att uppgifter får behandlas i första hand efter att den registrerade otvetydigt har lämnat sitt samtycke, men också om det är nödvändigt för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.
Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening och uppgifter som rör hälsa och sexualliv. I direktivet görs undantag från detta förbud i vissa särskilt angivna situationer, bl.a. om det finns ett uttryckligt samtycke av den registrerade. Medlemsstaterna får vidare under förutsättning att lämpliga skyddsåtgärder införs och av hänsyn till ett viktigt allmänt intresse besluta om undantag från förbudet.
Dataskyddsdirektivet innehåller vidare regler om bl.a. information till den registrerade och om rätt för denne att få sådana personuppgifter som har behandlats på ett sätt som inte är i enlighet med direktivet rättade, utplånade eller blockerade. Direktivet innehåller även regler om säkerhet vid behandlingen och överföring av personuppgifter till tredjeland.
EU-kommissionen presenterade den 25 januari 2012 ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslaget innebär bl.a. att dataskyddsdirektivet ska ersättas av en ny allmän dataskyddsförordning (KOM(2012) 11). Det huvudsakliga syftet med förslaget är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Förordningsförslaget är dock till stor del baserat på den reglering som redan gäller enligt dataskyddsdirektivet. Förhandlingarna om dataskyddsförordningen pågår.
Dataskyddsrambeslutet
Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) reglerar dataskyddet inom angivna områden. Rambeslutet är föranlett av ett antal EU-instrument rörande utvidgat polisiärt och rättsligt samarbete avseende gränsöverskridande informationsutbyte.
Dataskyddsrambeslutet förpliktar medlemsstaterna att behandla uppgifter som utbyts mellan staterna inom ramen för det polisiära och rättsliga samarbetet på ett sådant sätt att skyddet för enskildas integritet värnas. Det innehåller bestämmelser som avser att förstärka skyddet vid behandling av personuppgifter som överförs. Rambeslutet innehåller bl.a. bestämmelser om allmänna utgångspunkter för behandlingen av person-uppgifter och känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Till stora delar motsvarar innehållet dataskyddsdirektivet. Vidare finns bl.a. särskilda bestämmelser som begränsar möjligheterna att behandla personuppgifter som mottagits från en annan stat.
Rambeslutet uppfylls redan till stora delar av befintliga dataskydds-regler i svensk rätt. De återstående delarna av rambeslutet har genomförts i svensk rätt genom lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Lagen trädde i kraft den 1 juli 2013.
Som en del av det förslag till genomgripande reform av EU:s regler om skydd för personuppgifter som EU-kommissionen presenterade den 25 januari 2012 har kommissionen föreslagit att rambeslutet ska ersättas av ett särskilt dataskyddsdirektiv för de brottsbekämpande myndigheterna (KOM(2012) 10). Förhandlingarna om direktivet pågår.
4.4 Personuppgiftslagen
Personuppgiftslagen (1998:204) har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av person-uppgifter. Genom lagen, som trädde i kraft den 24 oktober 1998, genomfördes dataskyddsdirektivet i svensk rätt. Personuppgiftslagen kompletteras av personuppgiftsförordningen (1998:1191).
Personuppgiftslagen syftar till att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §). Lagen är teknikneutral och tillämpas på helt eller delvis automatiserad behandling av personuppgifter och på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).
Personuppgifter i personuppgiftslagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis att samla in, bearbeta, lagra, sammanställa och förstöra (3 §).
I personuppgiftslagen anges vissa grundläggande krav för all behandling av personuppgifter. Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och de får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (den s.k. finalitetsprincipen). De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen, och fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Vidare ska de personuppgifter som behandlas vara riktiga och, om nödvändigt, aktuella och alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får som regel inte heller bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 §).
I lagen finns en uppräkning av under vilka förutsättningar behandling av personuppgifter är tillåten. Personuppgifter får alltid behandlas om den registrerade har gett sitt samtycke. I vissa fall får personuppgifter behandlas även utan samtycke. En förutsättning i dessa fall är att behandlingen är nödvändig för ändamålen.
Personuppgiftslagen innehåller ett förbud att behandla känsliga personuppgifter. Med känsliga uppgifter avses ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening eller uppgifter som rör hälsa eller sexualliv (13 §). Förbudet är dock inte undantagslöst. Om den registrerade har gett sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort de känsliga uppgifterna får de behandlas. Vidare görs undantag för behandling som är nödvändig bl.a. för att den registrerades eller annans vitala intressen ska kunna skyddas eller rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Undantag görs också för behandlingen av känsliga personuppgifter för t.ex. hälso- och sjukvårdsändamål samt forskning och statistik. Regeringen, eller den myndighet som regeringen bestämmer, får också föreskriva ytterligare undantag från förbudet, om det behövs med hänsyn till ett viktigt allmänt intresse (14-20 §§).
Personuppgiftslagen ställer också upp begränsningar i möjligheterna att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden och personnummer eller samordningsnummer (21 och 22 §§).
Personuppgiftslagen innehåller flera bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om behandling av personuppgifter om honom eller henne pågår (23-27 §§). Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen, ska på begäran av den registrerade rättas, blockeras eller utplånas av den personuppgifts-ansvarige (28 §). Lagen innehåller vidare bestämmelser om säkerheten vid behandling av personuppgifter (30-32 §§).
Enligt personuppgiftslagen är det förbjudet att till tredjeland föra över personuppgifter om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller inte stater som anslutit sig till dataskyddskonventionen. I vissa fall får dock överföring av person-uppgifter till tredjeland ske även om det aktuella landet inte har en sådan adekvat skyddsnivå som avses i personuppgiftslagen, t.ex. om den registrerade har lämnat sitt samtycke eller för att rättsliga anspråk ska kunna fastställas (33-35 §§).
Personuppgiftslagen innehåller också bestämmelser om bl.a. tillsyn, skadestånd, straff och överklagande (43-49 och 51-53 §§). Datainspektionen är tillsynsmyndighet.
Personuppgiftslagen innehåller sedan januari 2007 en särskild regel om behandling av personuppgifter i ostrukturerat material som gör undantag från ett flertal av lagens bestämmelser (5 a §). Sådan behandling får dock inte innebära att den registrerades personliga integritet kränks.
Personuppgiftslagen innehåller generella regler och är tillämplig endast om det inte i någon annan lag eller i en förordning har meddelats avvikande bestämmelser (2 §). Sedan ett antal år tillbaka har det införts en stor mängd s.k. registerförfattningar med bestämmelser om behandling av personuppgifter. Syftet med registerförfattningarna är att anpassa regleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för den enskildes personliga integritet.
4.5 Särskilda registerförfattningar
Personuppgiftslagen är generellt tillämplig, men om det i en annan lag eller förordning har meddelats avvikande bestämmelser har de företräde, se 2 §. Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbetats en stor mängd specialförfattningar med bestämmelser som rör behandling av personuppgifter, s.k. särskilda registerförfattningar. När det gäller verksamhet enligt utlännings- och medborgarskapslagstiftningen gäller i dag förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Exempel på andra registerförfattningar är patientdatalagen (2008:355), polisdatalagen (2010:361), kustbevakningsdatalagen (2012:145) och den nya åklagardatalagen (2015:433), som träder i kraft den 1 januari 2016.
Syftet med de särskilda registerförfattningarna är att anpassa lagstiftningen efter de särskilda behov som finns inom olika verksamhetsområden i den offentliga sektorn. Ibland kan det finnas behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen ger. Det kan till exempel röra sig om en typ av behandling som inte är tillåten enligt personuppgiftslagen eller att det finns ett behov av att precisera den reglering som finns i personuppgiftslagen. I sådana fall kan en registerförfattning ge ett anpassat integritetsskydd vid en myndighets hantering av personuppgifter. Det bör i sammanhanget noteras att det länge har varit ett uttalat mål från riksdagen att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag (se bland annat prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och 1997/98:44 s. 41).
4.6 Förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen
Förordningens tillämpningsområde m.m.
Personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapsområdet regleras i förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Enligt 1 § gäller förordningen utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen. Med sådan verksamhet avses enligt förordningen följande.
1. Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet,
2. verksamhet som gäller utlänningars rätt att arbeta i landet,
3. mottagande av asylsökande och vissa andra utlänningar,
4. verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket,
5. verksamhet som avser förvärv, förlust eller bibehållande av svenskt medborgarskap och
6. verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Migrationsverket.
En registrerad har inte rätt att motsätta sig behandling av personuppgifter som sker i enlighet med förordningen.
I 1 § finns också en upplysning om att det i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) finns bestämmelser om behandling av personuppgifter i VIS för viseringsmyndigheter, myndigheter som ansvarar för kontroll av personers gränspassage, myndigheter som ansvarar för kontroll av utlänningars rätt att uppehålla sig i medlemsstaten samt för den centrala utlänningsmyndigheten, dvs. Migrationsverket.
Personuppgiftsansvar
Migrationsverket, Polismyndigheten och Säkerhetspolisen är enligt 2 § personuppgiftsansvariga för den personuppgiftsbehandling som respektive myndighet utför. Migrationsverket är även personuppgiftsansvarigt för den behandling som en utlandsmyndighet utför.
Verksamhetsregister
Enligt 3 § får automatiserade register föras i ärenden som handläggs av respektive myndighet (s.k. verksamhetsregister). I ett verksamhetsregister får personuppgifter behandlas för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller annan författning eller fullgörande av underrättelseskyldighet som följer av lag eller annan författning. Personuppgifter får också behandlas för tillsyn, kontroll, uppföljning och planering av verksamheten, framställning av statistik samt testverksamhet.
Personuppgifter får enligt 4 § endast behandlas om det är nödvändigt för det ändamål för vilket behandlingen utförs. De uppgifter som får behandlas i verksamhetsregistret delas in i sex kategorier. Till identitetsuppgifter hör bl.a. namn, person- eller samordningsnummer, födelsetid, kön, vårdnadshavare och civilstånd. Med uppgifter som behövs för handläggningen av ärenden avses t.ex. uppgifter som rör utlänningens resa och ankomst till Sverige och uppgifter om språk, religion, politisk åskådning, etnisk tillhörighet och hälsotillstånd om uppgifterna är oundgängligen nödvändiga för de ändamål som anges i 3 §. Till kategorin uppgifter som behövs för mottagandet av asylsökande m.fl. hör uppgifter om inskrivning vid boendeenhet och om utbildning, yrke och anställning. Under uppgifter som behövs för förvar och andra tvångsåtgärder enligt utlänningslagen (2005:716) anges uppgifter om inskrivning vid förvarsenhet och uppgifter om hälsotillstånd och andra personliga förhållanden om uppgifterna är oundgängligen nödvändiga för förvarstagandet. Även uppgifter som behövs för verkställighet enligt 12 kap. utlänningslagen får behandlas. Dit hör uppgifter om utresan och uppgifter om hälsotillstånd och andra personliga förhållanden om uppgifterna är oundgängligen nödvändiga för verkställigheten. Slutligen får också uppgifter om beslut registreras, exempelvis beslut i frågor om uppehålls- och arbetstillstånd, återreseförbud eller visering.
Känsliga personuppgifter får enligt 5 § behandlas endast om uppgifterna är oundgängligen nödvändiga för myndighetens handläggning av ärenden i enlighet med vad som föreskrivs i lag eller annan författning och fullgörande av underrättelseskyldighet som följer av lag eller annan författning.
Vid sökning i myndigheternas datasamlingar får enligt 7 § känsliga personuppgifter inte användas som sökbegrepp.
Direktåtkomst
Enligt 6 § får Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ha direktåtkomst till Migrationsverkets verksamhetsregister. Myndigheternas direktåtkomst ska begränsas till att endast avse personuppgifter som är nödvändiga för att en tjänsteman ska fullgöra sina arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
I 6 a § anges att även Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister. Direktåtkomsten ska begränsas till uppgifter som behövs inom respektive myndighets verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om motsvarande stöd. Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst först sedan Migrationsverket har försäkrat sig om att handläggare hos de mottagande myndigheterna bara kan ta del av uppgifter om personer som är aktuella i ärenden eller verksamhet som avser registrering av enskilda. I bestämmelsen anges också vilka kategorier av uppgifter Försäkringskassan och Pensionsmyndigheten får ges tillgång till.
Slutligen får, enligt 6 b §, även Skatteverket ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister. Direktåtkomsten ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identitetskort. Direktåtkomsten får endast avse uppgift om namn och personnummer, längd, fotografi, underskrift, typ av resehandling, resehandlingens nummer och giltighetstid samt bevis om uppehållstillstånd.
Rättsfallsregister
Migrationsverket får enligt 8 § föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information, s.k. rättsfallsregister. Ett rättsfallsregister får inte innehålla personuppgifter som direkt pekar ut den registrerade.
De personuppgifter som finns i ett rättsfallsregister får föras över till en stat som inte ingår i EU och heller inte är ansluten till EES.
Fingeravtrycksregister
I 9 § anges att Migrationsverket får föra ett register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Enligt bestämmelsen i utlänningslagen får Migrationsverket eller Polismyndigheten fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige, utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar.
Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl åberopats samt i ärenden om avvisning och utvisning samt i testverksamhet. Registret får endast innehålla fingeravtryck och fotografi samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift.
En uppgift i registret ska gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades.
Landinformationsregister
Migrationsverket får enligt 12 § föra ett s.k. landinformationsregister för återsökning av information som lämnats rörande förhållanden i andra länder. Känsliga personuppgifter får endast behandlas i löpande text och under förutsättning att uppgifterna är oundgängligen nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet enligt utlännings- och medborgarskapslagstiftningen. Personuppgifter som direkt pekar ut den registrerade får inte användas som sökbegrepp. Viss information i landinformationsregistret är allmänt tillgänglig, medan annan information omfattas av sekretess.
Rättelse och skadestånd
Bestämmelserna i 28 och 48 §§ PUL om rättelse och om skadestånd tillämpas enligt 15 § vid behandling av personuppgifter enligt förordningen. Bestämmelserna gäller också vid behandling av personuppgifter enligt VIS-förordningen i den mån inte något annat följer av den förordningen.
Överklagande
Migrationsverkets, Rikspolisstyrelsens eller en polismyndighets beslut om att inte meddela rättelse eller om att inte lämna information som ska lämnas efter ansökan får överklagas hos allmän förvaltningsdomstol.
5 Behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen
5.1 Myndigheter som bedriver verksamhet
enligt utlänningslagstiftningen
Migrationsverket
Enligt 1 § förordningen (2007:996) med instruktion för Migrationsverket är Migrationsverket förvaltningsmyndighet för frågor som rör uppehållstillstånd, arbetstillstånd, visering, mottagande av asylsökande, återvändande, medborgarskap och återvandring. Migrationsverket ska fullgöra de uppgifter som myndigheten har enligt utlännings- och medborgarskapslagstiftningen, lagstiftningen om mottagande av asylsökande m.fl. samt andra författningar.
Migrationsverket är också enligt 3 § kontaktmyndighet eller ansvarig myndighet inom EU-samarbetet. Migrationsverket är t.ex. kontaktmyndighet i frågor som rör databasen för identifiering av fingeravtryck, Eurodac, samt kontaktmyndighet i frågor som rör massflyktssituationer enligt 21 kap. utlänningslagen. Vidare är Migrationsverket registeransvarigt och har centralt ansvar för Sveriges behandling av personuppgifter i VIS. I ansvaret ingår att föra register över all behandling av personuppgifter i VIS och över de personer som är behöriga att föra in eller använda uppgifter i VIS samt vara den myndighet som ger övriga behöriga svenska myndigheter åtkomst till VIS.
Polismyndigheten
Polismyndigheten genomför personkontroller vid yttre gräns i samband med inresa och utresa samt inre utlänningskontroll. Polismyndigheten får i vissa fall besluta om avvisning och verkställer egna beslut om avvisning. Myndigheten verkställer även allmän domstols beslut om utvisning på grund av brott och Migrationsverkets beslut om utvisning och avvisning. Polismyndigheten får också besluta om förvar eller uppsikt av utlänningar. Polismyndigheten verkställer vidare utlämningar och överlämnanden med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.
Polismyndigheten ansvarar för kontroll av personer enligt kodexen om Schengengränserna, se 9 kap. 1 § utlänningslagen. Av samma paragraf följer att Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyndigheten vid en sådan kontroll och att Migrationsverket efter överenskommelse med Polismyndigheten får hjälpa till vid sådan kontroll. Kustbevakningen ska dessutom medverka i Polismyndighetens kontrollverksamhet genom att utöva kontroll av sjötrafiken.
Säkerhetspolisen
Säkerhetspolisen verkställer Migrationsverkets beslut om avvisning eller utvisning i säkerhetsärenden. Myndigheten kan föreslå att en ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet. Migrationsverkets beslut i ett sådant säkerhetsärende får överklagas av Säkerhetspolisen. Säkerhetspolisen får vidare enligt 2 § lagen (1991:572) om särskild utlänningskontroll ta upp frågan om utvisning hos Migrationsverket och är utlänningens motpart om ärendet hamnar hos regeringen efter överklagande. Säkerhetspolisen får även i vissa fall besluta om förvar eller uppsikt samt ansvarar för att verkställa beslut om förvar, avvisning eller utvisning i säkerhetsärenden enligt lagen om särskild utlänningskontroll.
Utlandsmyndigheterna
Med utlandsmyndigheter avses beskickningar, delegationer vid internationella organisationer och karriärkonsulat, se 1 kap. 2 § förordningen (2014:115) med instruktion för utrikesrepresentationen. Utlandsmyndigheterna bildar tillsammans med Utrikesdepartementet utrikesförvaltningen. Utlandsmyndigheterna är i administrativt hänseende direkt underställda Regeringskansliet (Utrikesdepartementet).
Utlandsmyndigheterna ska ta emot ansökan om främlingspass, om utlänningen inte befinner sig i Sverige, se 2 kap. 15 § utlänningsförordningen. Av 4 kap. 20 § utlänningsförordningen följer att en ansökan om uppehållstillstånd av en utlänning som inte befinner sig i Sverige ges in till och utreds av en svensk beskickning eller ett svenskt konsulat. Motsvarande regler gäller för ansökan om arbetstillstånd, se 5 kap. 8 § utlänningsförordningen.
Enligt artikel 4.1 i viseringskodexen gäller som huvudregel att viseringsansökningar handläggs av konsulaten. Prövning av och beslut om viseringsansökningar regleras i artiklarna 18-23 viseringskodexen.
Migrationsverket får ge en svensk beskickning eller ett svenskt konsulat rätt att besluta om nationella viseringar, se 3 kap. 12 § utlänningsförordningen. Vidare får Regeringskansliet (Utrikesdepartementet) ge en svensk beskickning eller ett svenskt konsulat rätt att bevilja nationella viseringar inom departementets ansvarsområde.
När det gäller utlandsmyndigheterna följer det av 3 kap. 9 § förordningen (2014:115) med instruktion för utrikesrepresentationen att beskickningar och konsulat ska handlägga migrationsärenden enligt EU:s förordningar och utlänningslagstiftningen samt biträda Migrationsverket, Polismyndigheten och Säkerhetspolisen i ärenden enligt utlänningslagstiftningen. Utlandsmyndigheternas främsta uppgift är att utfärda Schengenviseringar. Biträdet till andra myndigheter enligt ovan nämnda förordning kan till exempel innebära att hjälpa Migrationsverket att kontrollera att de uppgifter en asylsökande har lämnat i sin ansökan är korrekta eller om en handling som en utlänning åberopar är äkta. Utlandsmyndigheterna tar också emot ansökningar om uppehållstillstånd och medborgarskap och genomför utredningar i de fall sökanden inte är folkbokförd i Sverige. Även i andra medborgarskapsärenden ska utlandsmyndigheterna medverka i enskilda ärenden på begäran av Migrationsverket.
Regeringskansliet
Enligt 3 kap. 5 § utlänningslagen får Regeringskansliet besluta om nationell visering. I 5 § Regeringskansliets föreskrifter om handläggning av ärenden om visering och uppehållstillstånd för diplomater (UF 2012:1) anges för vilka kategorier av personer Regeringskansliet kan besluta om visering. Det gäller bland annat främmande staters beskickningsmedlemmar, konsuler och deras familjemedlemmar.
Av 5 kap. 20 § tredje stycket utlänningslagen framgår att Regeringskansliet i vissa fall får besluta om uppehållstillstånd. Av ovan angivna föreskrifter framgår att Regeringskansliet får besluta om uppehållstillstånd för bland annat beskickningsmedlemmar, konsuler och deras familjemedlemmar. Nationell visering eller uppehållstillstånd som har beviljats av Regeringskansliet får endast återkallas av Regeringskansliet, se 7 kap. 8 § utlänningslagen.
Domstolarna
Migrationsdomstolarna blir berörda när någon överklagar Migrationsverkets eller någon annan myndighets beslut som kan överklagas dit. I 14 kap. utlänningslagen finns bestämmelser om överklagande av en förvaltningsmyndighets beslut. De allra flesta beslut som fattas med stöd av utlänningslagens bestämmelser kan överklagas till migrations-domstol. Exempelvis får Migrationsverkets beslut överklagas till en migrationsdomstol om beslutet innebär avvisning eller utvisning, avslag på en ansökan om upphävande av allmän domstols beslut om utvisning på grund av brott, avslag på en ansökan om uppehållstillstånd, arbetstillstånd eller ställning som varaktigt bosatt i Sverige eller återkallelse av ett uppehållstillstånd, arbetstillstånd eller ställning som varaktigt bosatt i Sverige. Även Migrationsverkets beslut i säkerhetsärenden enligt utlänningslagen överklagas till migrationsdomstol. I kapitlet finns också bestämmelser om överklagande av beslut avseende bland annat avslag på ansökan om Schengenvisering eller om upphävande eller återkallelse av Schengenvisering, avslag på ansökan om nationell visering eller återkallelse av nationell visering, förvar och uppsikt. Även dessa beslut överklagas till migrationsdomstol.
Förvaltningsrätterna i Stockholm, Göteborg, Malmö och Luleå är migrationsdomstolar, se 6 § förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m.
En migrationsdomstols beslut kan överklagas till Migrations-överdomstolen, dvs. Kammarrätten i Stockholm, se 16 kap. 1 och 9 §§ utlänningslagen. För prövning i Migrationsöverdomstolen krävs normalt prövningstillstånd.
Beslut om utvisning på grund av brott enligt 8 a kap. utlänningslagen fattas av allmän domstol.
5.2 Handläggande myndigheter
enligt medborgarskapslagen
Ärenden enligt lagen (2001:82) om svenskt medborgarskap prövas som huvudregel av Migrationsverket. Verket beslutar i ärenden om anmälan enligt 5-9 §§ medborgarskapslagen, ansökan om naturalisation enligt 11-13 §§ medborgarskapslagen, ansökan om bibehållande av svenskt medborgarskap enligt 14 § andra stycket medborgarskapslagen, ansökan om befrielse från svenskt medborgarskap enligt 15 § medborgarskapslagen samt ansökan om förklaring om svenskt medborgarskap enligt 21 § medborgarskapslagen. Undantag gäller för vissa anmälningar som gäller en medborgare i Danmark, Finland, Island eller Norge. Sådana anmälningar prövas av länsstyrelsen.
Ansökningar om svenskt medborgarskap ska som huvudregel ges in till Migrationsverket. Om sökanden inte är folkbokförd i Sverige ska ansökan emellertid ges in till en svensk beskickning eller ett svenskt karriärkonsulat inom vars verksamhetsområde sökanden är bosatt, se 5 § medborgarskapsförordningen. En ansökan om naturalisation som gäller en utlänning som är under 15 år och adopterad av en svensk medborgare ska dock alltid ges in till Migrationsverket.
I de fall anmälan eller ansökan görs till en beskickning eller konsulat utomlands görs den utredning som behövs för ärendets prövning där. Handlingarna i ärendet ska därefter sändas till Migrationsverket för beslut, se 7 och 8 §§ medborgarskapsförordningen. I övrigt utreder Migrationsverket de ärenden som verket ska pröva.
När någon har förvärvat svenskt medborgarskap eller en ansökan om bibehållande av svenskt medborgarskap, ansökan om befrielse från svenskt medborgarskap eller ansökan om förklaring om att någon är svensk medborgare har bifallits ska den beslutande myndigheten eller domstolen skyndsamt underrätta Skatteverket om beslutet, se 9 § medborgarskapsförordningen (2001:218). Även den svenska beskickning eller det svenska karriärkonsulat som har tagit emot anmälan eller ansökan ska underrättas. I underrättelsen ska även de barn som har förvärvat svenskt medborgarskap genom beslutet anges.
När någon har förvärvat svenskt medborgarskap genom anmälan eller naturalisation ska Migrationsverket eller länsstyrelsen utfärda bevis om svenskt medborgarskap, se 10 § medborgarskapsförordningen.
Migrationsverkets och länsstyrelsernas beslut enligt medborgarskapslagen överklagas till migrationsdomstol. I säkerhetsärenden överklagas dock Migrationsverkets beslut till regeringen, se 27 § medborgarskapslagen. Ett säkerhetsärende är ett ärende där Säkerhetspolisen hos Migrationsverket har föreslagit att ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet. Migrationsverkets beslut i säkerhetsärenden får överklagas även av Säkerhetspolisen.
5.3 Behandling av personuppgifter
inom verksamhetsområdet
5.3.1 Migrationsverket
Centrala utlänningsdatabasen
Centrala utlänningsdatabasen (CUD) är den centrala databasen inom Migrationsverket. CUD utgör en databas till vilket ett antal applikationer med olika funktioner, till exempel Wilma och Skapa, se nedan, är kopplat. CUD innehåller samtliga Migrationsverkets enheters ärendehantering av bland annat tillståndsärenden, medborgarskapsärenden, diarieföring, asylprövningar, flyktingmottagning, bidragshantering och kommunplaceringar.
Personuppgifterna i CUD behandlas med stöd av personuppgiftslagen (1998:204) och förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Behörighet till de olika applikationerna administreras centralt inom Migrationsverket. Innan behörighet medges görs en prövning om och i så fall vilka delsystem varje anställd ska ha åtkomst till. De handläggare, beslutsfattare och assistenter som har behörighet får bara tillgång till de delar av systemet, s.k. applikationer, som de behöver för att kunna fullgöra sina arbetsuppgifter. För att komma in i verkets datasystem krävs ett särskilt kort och en kod. De anställdas slagningar m.m. loggas och loggarna arkiveras.
När en person för första gången blir aktuell i ett ärende hos Migrationsverket läggs en dossier upp. I denna dossier samlas sedan alla uppgifter i ärendet och, om det är aktuellt, senare ärenden som rör personen. Alla uppgifter i CUD är således knutna till en viss individ. Migrationsverket använder i dag både manuella personakter och elektroniska personakter. Verkets mål är att övergå till endast elektroniska akter.
I november 2014 innehöll CUD information om 3 877 189 personer. CUD innehåller en mängd personuppgifter, även känsliga sådana. Det rör sig inte bara om uppgifter avseende de utlänningar som har sökt eller söker svenskt medborgarskap eller tillstånd att besöka, bo, arbeta eller studera i Sverige, utan även de som ansökt om till exempel uppehålls- eller arbetstillstånd men som fått avslag på sina ansökningar. Även utlänningar som avvisats vid gränsen, tagits i förvar eller dömts till utvisning från Sverige är registrerade.
De personuppgifter i CUD som bedöms vara inaktuella överfördes tidigare till en särskild databas, Avställda-databasen. Sedan januari 2015 överförs sådana uppgifter i stället till ett e-arkiv.
Stamm
Stamm (System för tillstånd, asyl, mottagning och medborgarskap) var tidigare Migrationsverkets centrala databas. De flesta funktioner har nu flyttats över till andra system. Systemet används i dag främst för Migrationsverkets administration av bidrag till asylsökande. Detta system är dock under avveckling.
Wilma och W2
Migrationsverket är processansvarigt för det webbaserade ärende-hanteringssystemet Wilma (Web-based Information system Linking Migration Authorities). Genom Wilma har handläggare på Migrationsverket åtkomst till uppgifter i CUD för handläggning av ärenden om uppehållstillstånd, visering och bosättning.
Polismyndigheten och Säkerhetspolisen har åtkomst till viss information i CUD via Wilma. Informationen används vid Polis-myndighetens verksamhet som avser in- och utresekontroll, utlännings vistelse i och avlägsnande från Sverige samt Schengenviseringar. Polismyndighetens och Säkerhetspolisens åtkomst regleras i den s.k. Wilmaöverenskommelsen (jämte bilagorna Wilma I-III).
Genom ett system som kallas W2 har utlandsmyndigheterna åtkomst till uppgifter i CUD. Utlandmyndigheterna har på detta sätt tillgång till uppgifter som behövs för prövning av ansökan om visum, uppehållstillstånd eller arbetstillstånd.
Vision
En Schengenstat kan begära att bli konsulerat i ärenden om visering och upphållstillstånd avseende vissa grupper av utlänningar. För detta ändamål har ett automatiserat meddelandehanteringssystem, Vision, byggts upp inom Schengensamarbetet. Systemet förmedlar rådfrågningar mellan Schengenstaterna och har en egen databas, som innehåller information om bland annat individer, passinformation och resans ändamål. Migrationsverket har ansvar för den svenska delen av Vision. Vision används främst av anställda på Migrationsverkets tillståndsenhet i Norrköping och på utlandsmyndigheterna.
SKAPA
Skapa är ett it-stöd som används inom verksamhetsområdena mot-tagning och asylprövning. Programmet gör det möjligt att lägga upp en individuell plan för den asylsökande och på så sätt åskådligöra och styra asylprocessen.
KUB
Systemet för kortutbetalning av bistånd (KUB) används för att administrera kort och konton för utbetalningar av bidrag och ersättningar till asylsökande. Genom systemet kan anställda på Migrationsverkets mottagningsenheter och Migrationsverkets handläggare bland annat beställa och lämna ut bankkort, spärra konton och begära inspektioner av korttransaktioner som kortinnehavaren har gjort.
LMA-kortsystemet
Utlänningar som har rätt till bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl. ska få en personhandling försedd med fotografi. Personhandlingen kallas tillfälligt LMA-kort för utlänning i Sverige. LMA-korten finns för att en asylsökande ska kunna visa att han eller hon har rätt att vistas i landet i väntan på att deras ärende avgörs. Ett giltigt LMA-kort ger innehavaren rätt till ett reducerat pris när det gäller sjukvård och medicin.
LMA-kortsystemet används främst av Migrationsverkets receptionspersonal samt till viss del mottagningshandläggare ute på mottagningsenheterna för att bland annat skapa LMA-kortsunderlag, skriva ut foton samt beställa de asylsökandes kort.
Elis och Eskil
Elis är Migrationsverkets system för statistik. Systemet hämtar uppgifter från CUD för framställning av statistiskt underlag. I Elis förekommer inte uppgifter på individnivå.
Eskil används inom Migrationsverket för arbetsplanering. Genom Eskil är det möjligt att göra sökningar i CUD på enhetsnivå och få fram information till exempel om öppna ärenden, vilket informationsspråk de sökande har (som hjälp vid tolkbeställning), vilka sökanden som är klara för att flytta m.m. För att få tillgång till Eskil krävs särskild behörighet. Sökning kan bara ske på ärenden på den egna enheten inom Migrationsverket.
Lifos
För att Migrationsverkets beslut ska bli korrekta är det viktigt att myndighetens handläggare och beslutsfattare har tillgång till god information om nationell, internationell- och EU-rättslig praxis på utlänningsrättens område samt aktuell information om de olika länder som är aktuella i myndighetens ärenden.
Enligt 8 § förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen får Migrationsverket föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och rättslig information, (dvs. rättsfallsregister). Av 12 § samma förordning följer att Migrationsverket får föra ett register för återsökning av information som lämnats rörande förhållanden i andra länder (landinformationsregister).
Lifos innehåller Migrationsverkets rättsfallssamling och land-informationsregister. Lifos är en egen databas och saknar koppling till CUD. Lifos rättsfallssamling innehåller Migrationsverkets egna beslut, domar från migrationsdomstolarna och Migrationsöverdomstolen, domar från EU-domstolen och internationella domar. Avgörandena indexeras med relevanta ämnesord för att underlätta sökningen. Rättsfallsregistret får inte innehålla personuppgifter som direkt pekar ut den registrerade.
Lifos landinformationsregister är i första hand ett arbetsredskap för Migrationsverkets personal. Större delen av informationen i Lifos är emellertid också tillgänglig för allmänheten via verkets webbplats. Viss information finns dock bara tillgänglig internt på grund av sekretess, upphovsrättsliga regler eller personuppgiftsskyddsbestämmelser. För att öka insynen finns bland annat ändå sådana dokuments titlar tillgängliga på verkets hemsida jämte en motivering till varför dokumenten inte är tillgängliga.
I Lifos finns allmän bakgrundsinformation som myndighetens handläggare kan använda vid handläggning och beslutsfattande. För de länder varifrån ett större antal asylsökande kommer finns landöversikter med allmän övergripande information om den politiska situationen och vanliga asylskäl som åberopas av asylsökande från dessa länder. Dessutom finns landdokumentation, dvs. mer specifik information av intresse för ärendehanteringen. Informationen i Lifos inhämtas vid resor som verkets egna anställda företar men också från till exempel Utrikesdepartementet, utlandsmyndigheter samt rapporter från UNHCR eller frivilligorganisationer. En särskild enhet på Migrationsverket ansvarar för insamling av uppgifter till Lifos och för att uppgifterna är uppdaterade och korrekta.
I Lifos finns personuppgifter, däribland känsliga sådana. I den mån identiteten saknar betydelse för informationens värde avidentifieras dock alla personuppgifter innan de görs tillgängliga i Lifos. Eftersom Lifos innehåller bland annat integritetskänslig information krävs särskild behörighet för Migrationsverkets anställda för åtkomst till Lifos olika delar.
VIS
Migrationsverket är registeransvarig och har centralt ansvar för Sveriges behandling av personuppgifter i informationssystemet för viseringar (VIS) enligt artikel 41.4 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), se 3 § 12 förordningen (2007:996) med instruktion för Migrationsverket. Myndigheten ska föra register över all behandling av personuppgifter i VIS och de personer som är behöriga att föra in eller använda uppgifter i VIS. Migrationsverket är vidare den myndighet som ger övriga behöriga svenska myndigheter åtkomst till VIS.
Register över fingeravtryck och fotografier
Migrationsverket för med stöd av 9 § förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen ett register över fingeravtryck och fotografier. Avsikten med detta register är att underlätta identifikationen av den som söker asyl i Sverige.
Avställdadatabasen och e-arkivet
Mellan år 2002 och år 2007 överfördes inaktuell information i CUD till en särskild databas, Avställdadatabasen. Under 2014 avvecklades Avställdadatabasen och ersattes med ett elektroniskt arkiv, e-arkivet. Information om de 1,6 miljoner individer som fanns i Avställdadatabasen har förts över till e-arkivet.
Uppgifter om en person i CUD ska överföras till e-arkivet 1) tre år efter att en person fått svenskt medborgarskap, 2) tre år efter att en person avlidit, 3) åtta år efter att gällande tillstånd löpt ut eller 4) sex år efter att gällande visum löpt ut. Härrör uppgifterna från ett ärende som inte gäller tillstånd, visering eller medborgarskap överförs uppgifterna tre år efter personens senaste kontakt med Migrationsverket.
När informationen lagrats i e-arkivet tas all information om individen bort från CUD.
5.3.2 Polismyndigheten och Säkerhetspolisen
Allmänt
Hos Polismyndigheten och Säkerhetspolisen bedrivs viss verksamhet som särskilt rör utlänningar. Här nedan redovisas översiktligt personuppgiftsbehandlingen på detta verksamhetsområde.
Behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens brottsbekämpande verksamhet regleras av bestämmelserna i polisdatalagen (2010:361).
Polisens ärendehanteringssystem
År 2013 infördes hos polismyndigheterna ett nytt ärendehante-ringssystem för allmänna ärenden, PÄr (Polisens ärendehanteringssystem).
Personefterlysnings- och U-boksregistret
Personefterlysnings- och U-boksregistret utgör det s.k. EPU-systemet (efterlysta personer och U-boken). Systemet är centralt och förs av den Nationella operativa avdelningen vid Polismyndigheten.
Personefterlysningsregistret innehåller uppgifter om personer som av någon anledning eftersöks av en myndighet.
U-boken innehåller uppgifter om i Sverige meddelade lagakraftvunna avvisnings- och utvisningsbeslut som har förenats med ett förbud att utan särskilt tillstånd återresa till Sverige.
Om en utlänning inte är tillgänglig när beslutet om avvisning eller utvisning ska verkställas kan Polismyndigheten fatta ett beslut om att efterlysa honom eller henne.
Schengens informationssystem och SIRENE
Schengens informationssystem (SIS) är ett för Schengenstaterna gemensamt informationssystem. SIS består av ett nationellt register för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Alla uppgifter som registreras lagras i den centrala databasen. Den centrala databasen kopieras till alla Schengenländers nationella SIS, som därmed är en kopia av det centrala systemet.
I SIS-registret kan varje Schengenstat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersökta med en begäran om att en viss åtgärd ska vidtas när en efterlyst person eller ett efterlyst föremål påträffas.
SIS innehåller bland annat:
uppgifter om personer som är efterlysta och begärda utlämnade,
en "spärrlista" över utlänningar som ska nekas tillträde till Schengenområdet på grund av utvisningsbeslut eller avvisningsbeslut med förbud att återresa,
uppgifter om försvunna personer,
spaningsåtgärder kring personer eller fordon där uppgifter önskas om gränspassage m.m., och
uppgifter om efterlyst gods som fordon, skjutvapen, blankodokument, legitimationshandlingar och sedlar.
Bestämmelser om behandling av personuppgifter i den svenska delen av SIS finns i lagen (2000:344) om Schengens informationssystem och förordningen (2000:836) om Schengens informationssystem.
Enligt 1 § lagen om Schengens informationssystem ska Polis-myndigheten med hjälp av automatiserad behandling föra ett register som ska vara den svenska nationella enheten i SIS. Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.
Lagen innehåller bestämmelser om vilka framställningar som får föras in i registret. Där specificeras också vilka uppgifter som får registreras i SIS, till exempel namn, kön, särskilda bestående fysiska kännetecken, fotografier, fingeravtryck, syftet med framställningen samt begärd åtgärd. Känsliga personuppgifter får inte registreras i SIS. Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna i enlighet med respektive stats nationella lagstiftning. Uppgifter registreras av Polismyndigheten endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen, polisdatalagen eller annan svensk författning.
I lagen och dess förordning anges vilka myndigheter som har rätt att få uppgifter ur registret och på vilket sätt. Uppgifter som finns i registret ska lämnas ut om det begärs av Åklagarmyndigheten eller Ekobrottsmyndigheten, Polismyndigheten, Tullverket eller Kustbevakningen när dessa myndigheter utför undersökningar och andra kontroller än gränskontroller i sin verksamhet för att förebygga och utreda brott eller av Polismyndigheten i dess verksamhet för att upprätthålla allmän ordning och säkerhet.
Regeringskansliet, Migrationsverket, migrationsdomstolarna, Migrationsöverdomstolen och svenska utlandsmyndigheter ska ha tillgång till uppgifter i spärrlistan för prövning av ansökningar om visering och uppehållstillstånd.
Polismyndigheten, Tullverket och Kustbevakningen får ha direktåtkomst till SIS. Migrationsverket och svenska utlandsmyndigheter får ha direktåtkomst till uppgifter i spärrlistan och Migrationsverket får ha direktåtkomst till hela SIS när verket bistår Polismyndigheten i gränskontrollverksamhet.
Schengensamarbetet och SIS förutsätter att det i varje medlemsstat finns en central funktion som fungerar som en länk för informationsutbytet mellan länderna. Denna funktion benämns SIRENE (Supplementary Information Requested at the National Entries). Varje medlemstat har ett Sirenekontor som är operativt ansvarigt för den nationella delen av SIS och fungerar som nationell kontaktpunkt för samarbetet för såväl svenska som utländska myndigheter. I Sverige är Sirenekontoret integrerat i den Internationella sektionen vid den Internationella enheten vid den Nationella operativa avdelningen.
Fingeravtrycks- och signalementsregister
Enligt 4 kap. 11 § polisdatalagen (2010:361) får Polismyndigheten föra fingeravtrycks- eller signalementsregister i enlighet med vissa bestämmelser i lagen.
I fingeravtrycks- och signalementsregister får Polismyndigheten behandla uppgifter om en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken eller har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgiften kommit fram i en utredning om brott. Uppgifter om fingeravtryck får även behandlas om det behövs för att fullgöra internationella åtaganden.
Enligt 4 kap. 17 § polisdatalagen får Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister.
5.3.3 Utlandsmyndigheterna
Utlandsmyndigheterna har via W2 tillgång till CUD för de uppgifter som behövs för handläggning av viseringsärenden. Utlandsmyndigheterna kan också göra förfrågningar i Vision via W2. Myndigheterna har vidare genom Wilma tillgång till de uppgifter som behövs vid handläggning av olika tillståndsärenden.
6 En lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen
6.1 Det finns behov av lagstiftning
Regeringens förslag: De grundläggande principerna för behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska regleras i en ny, flexibel och teknikneutral lag. Lagen ska benämnas utlänningsdatalag.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanser, däribland Justitiekanslern och Migrationsverket ställer sig antingen bakom förslaget eller lämnar det utan invändning. Kammarrätten i Stockholm och Uppsala universitet (Juridiska fakultetsnämnden) ifrågasätter om lagen bör benämnas utlänningsdatalag, med hänsyn till att den föreslås också omfatta behandling av personuppgifter enligt bl.a. medborgarskapslagstiftningen, som innefattar även svenska medborgare. Dataskydd.net Sverige avstyrker utredningens förslag.
Skälen för regeringens förslag: I avsnitt 5 finns en beskrivning av vilka myndigheter som i större eller mindre mån bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen samt hur personuppgifter behandlas i verksamheten. En förutsättning för att denna verksamhet ska kunna bedrivas på ett ändamålsenligt, rättssäkert och effektivt sätt är att myndigheternas personal har tillgång till ett rationellt it-stöd för behandling av personuppgifter. Detta har betydelse inte bara för myndigheternas interna hantering av uppgifterna i samband med exempelvis ärendehandläggning, utan underlättar också ett effektivt informationsutbyte med andra myndigheter. Migrationsverket, Polismyndigheten, och utlandsmyndigheterna behandlar en stor mängd personuppgifter avseende utlänningar i sina datasystem. Även hos Säkerhetspolisen hanteras sådana uppgifter. I stor utsträckning sker denna behandling utan den enskildes samtycke. Många av de uppgifter som behandlas är av känsligt slag, det kan bl.a. handla om ras, etnicitet, religion eller sexuell läggning. Denna behandling är nödvändig för att myndigheterna ska kunna utföra sina arbetsuppgifter effektivt, men den skulle, om den används felaktigt, kunna utgöra ett hot mot enskildas personliga integritet.
Personuppgiftslagen (1998:204) är en central författning som skyddar människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen är subsidiär till annan författning vilket innebär att bestämmelser i annan lag eller förordning som avviker från personuppgiftslagen gäller framför bestämmelserna i personuppgiftslagen. Den personuppgiftsbehandling som förekommer i verksamhet enligt utlännings- och medborgarskapslagstiftningen regleras i dag, förutom av bestämmelserna i personuppgiftslagen, huvudsakligen av förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Både riksdagen och regeringen har uttalat att myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll bör regleras särskilt i lag, även om det tidigare inte har krävts lagform enligt regeringsformen (jfr bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48 samt prop. 1990/91:60 s. 58 och prop. 1997/98:44 s. 41).
Den 1 januari 2011 trädde en ny lydelse av 2 kap. 6 § regeringsformen i kraft. Bestämmelsen innebär att enskilda är skyddade mot åtgärder från det allmänna som innefattar betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Sammantaget med bestämmelsen i 2 kap. 20 § regeringsformen innebär den nya lydelsen av 2 kap. 6 § att åtgärder som innebär betydande intrång i den personliga integriteten måste regleras i lag.
Som nämnts tidigare sker stora delar av den personuppgiftsbehandling som är nödvändig för att myndigheterna ska kunna sköta de uppgifter som de har enligt utlännings- och medborgarskapslagstiftningen utan att den enskildes samtycke inhämtas. Det handlar om en omfattande mängd uppgifter om ett stort antal personer som kan anses innebära övervakning eller kartläggning av den enskildes personliga förhållanden, även som syftet med behandlingen i första hand är att kunna handlägga ärenden och i övrigt uppfylla de krav som utlännings- och medborgarskapslagstiftningen ställer på myndigheterna. Det innebär att personuppgiftsbehandlingen - åtminstone delvis - numera kan falla inom det grundlagsskyddade området. För att behandlingen ska vara tillåten krävs i så fall att den regleras i lag.
Mot bakgrund av det anförda bör behandlingen av personuppgifter i myndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen regleras särskilt i lag.
Den behandling som behöver utföras sker på ett flertal myndigheter med olika uppdrag och varierande behov. Regleringen bör därför, som utredningen föreslår, vara flexibel så att den passar de olika myndigheternas verksamhet och möjliggör utveckling och effektivisering av myndigheternas verksamhet och it-stöd. Med hänsyn till den snabba tekniska utvecklingen är det också angeläget att lagregleringen i så stor utsträckning som möjligt är teknikneutral.
Utredningen föreslår att dessa utgångspunkter bäst tillgodoses genom en ramlag där de grundläggande bestämmelserna som har till syfte att skydda den registrerades identitet slås fast i lag medan regler som närmare reglerar formerna för behandlingen kan regleras i förordning eller, efter bemyndigande, genom myndighetsföreskrifter. Till de regler som enligt utredningen bör ges lagform hör till exempel regler om ändamål med behandlingen, behandling av känsliga personuppgifter, sökbegränsningar, direktåtkomst och intern tillgång till personuppgifter. Regeringen instämmer, liksom remissinstanserna, i dessa utgångspunkter.
Utredningen föreslår att den nya lagen ska benämnas utlänningsdatalag. Som Kammarrätten i Stockholm och Uppsala universitet lyfter fram kan den föreslagna lagen, främst vid handläggning av ärenden enligt lagen (2001:82) om svenskt medborgarskap, någon gång komma att tillämpas vid personuppgiftsbehandling avseende personer som inte är utlänningar. Det handlar dock även i dessa fall om ärenden med internationell anknytning. Det föreslagna benämningen kan mot den bakgrunden varken anses som missvisande eller föranleda tveksamhet om i vilka fall lagen är tillämplig. Regeringen anser, i likhet med utredningen, att lagen bör benämnas utlänningsdatalag. Regeringen återkommer i avsnitt 6.3 till vilka myndigheter som bör omfattas av utlänningsdatalagen.
6.2 Lagens syfte
Regeringens förslag: Syftet med utlänningsdatalagen ska vara att ge de myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras integritet kränks vid sådan behandling.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Remissinstanserna ställer sig antingen bakom förslaget eller lämnar det utan invändningar.
Skälen för regeringens förslag: I avsnitt 6.1 framhåller regeringen att myndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen medför ett behov av omfattande hantering av i många fall känsliga personuppgifter. Samtidigt kan en sådan hantering innebära en risk för intrång i den personliga integriteten. Skyddet för den enskildes integritet måste därför värnas genom bestämmelserna i utlänningsdatalagen. Vid utformningen av lagen måste en godtagbar balans uppnås mellan samhällets rättmätiga krav på att verksamheten enligt utlännings- och medborgarskapslagstiftningen kan bedrivas på ett effektivt och välordnat sätt och skyddet för den personliga integriteten.
Bestämmelserna i utlänningsdatalagen har till syfte att balansera dessa båda intressen. Syftet med lagen är därför dubbelt. Regeringen anser att detta dubbla syfte bör komma till tydligt uttryck i lagen.
6.3 Lagens tillämpningsområde
Regeringens förslag: Utlänningsdatalagen ska gälla vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Med verksamhet enligt utlännings- och medborgarskaps-lagstiftningen avses i denna lag verksamhet som rör:
1. utlänningars inresa i Sverige, i en EU- eller EES-stat, eller i Schweiz,
2. utlänningars vistelse eller arbete i Sverige och utresa eller avlägsnande från Sverige,
3. statusförklaring,
4. mottagande av asylsökande och andra utlänningar,
5. bistånd och stöd till utlänningar,
6. svenskt medborgarskap,
7. statlig ersättning för kostnader för utlänningar,
8. bosättning av utlänningar, eller
9. utfärdande av resehandlingar.
Utlänningsdatalagen ska gälla också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige och som inte utgör brottsbekämpande verksamhet.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att även Säkerhetspolisen ska omfattas av lagens tillämpningsområde. Utredningen föreslår inte heller att utfärdande av resehandlingar tas med i uppräkningen av vad som i lagen avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredningen föreslår slutligen också att bestämmelserna ges en delvis annorlunda redaktionell utformning.
Remissinstanserna: De flesta remissinstanser antingen godtar förslaget eller lämnar det utan invändningar. Säkerhetspolisen avstyrker förslaget att myndigheten ska omfattas av lagen. Kammarrätten i Stockholm anser att behandling av personuppgifter i Migrationsverkets verksamhet som rör förvar och uppsikt, med hänsyn till dessa frågors integritetskänsliga karaktär, lämpligen bör omnämnas särskilt. Domstolen anmärker vidare att det även i ärenden enligt utlänningslagen rörande främlingspass kan förekomma behandling av personuppgifter. Polismyndigheten anser att gränsdragningen mellan utlänningsdatalagen och polisdatalagen kan behöva förtydligas.
Skälen för regeringens förslag
Lagen bör ha samma tillämpningsområde som personuppgiftslagen
Utlänningsdatalagen bör, som utredningen föreslår, omfatta sådan personuppgiftsbehandling som omfattas av personuppgiftslagen (1998:204). Den bör alltså omfatta helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Vilka myndigheter bör lagen vara tillämplig på?
Regeringen delar inledningsvis utredningens bedömning att det av utlänningsdatalagen uttömmande ska framgå vilka myndigheter som ska tillämpa den. När det gäller urvalet av myndigheter instämmer regeringen i utredningens bedömning att utlänningsdatalagen bör tillämpas av Migrationsverket, Polismyndigheten och utlandsmyndigheterna när de bedriver verksamhet enligt utlännings- och medborgarlagstiftningen.
Utredningen föreslår att även Säkerhetspolisen ska omfattas av utlänningsdatalagen när den bedriver de särskilda uppgifter som åligger myndigheten enligt utlännings- och medborgarskapslagstiftningen. Säkerhetpolisen avstyrker förslaget i denna del.
När det gäller frågan om utlänningsdatalagen bör omfatta även Säkerhetspolisen gör regeringen följande bedömning. Säkerhetspolisens huvudsakliga uppgifter och ansvar framgår av 3 § polislagen (1984:387). Enligt den bestämmelsen har Säkerhetspolisen bl.a. i uppgift att förebygga och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott samt att utreda och beivra sådana brott.
Som utredningen lyfter fram bedriver Säkerhetspolisen emellertid viss verksamhet enligt utlänningslagen när det gäller säkerhetsärenden. Av 1 kap. 7 § utlänningslagen framgår att säkerhetsärenden enligt lagen är ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar bl.a. att en utlänning ska avvisas eller utvisas eller att en utlännings ansökan om uppehållstillstånd ska avslås. Säkerhetspolisen har rätt att överklaga Migrationsverkets beslut i fråga om avvisning eller utvisning m.m. i sådana ärenden. Säkerhetspolisen är också verkställande myndighet i säkerhetsärenden, vilket ger myndigheten rätt att fatta beslut i frågor om förvar och uppsikt. Säkerhetspolisen utför även uppgifter enligt lagen (1991:572) om särskild utlänningskontroll. Med stöd av den lagen kan myndigheten ansöka om att en utlänning ska utvisas ur landet. Säkerhetspolisen svarar vidare för att ett beslut om utvisning enligt lagen verkställs. Enligt lagen om svenskt medborgarskap kan Säkerhetspolisen förorda att en ansökan om medborgarskap ska avslås av skäl som rör rikets säkerhet eller allmän säkerhet. Myndigheten har även rätt att överklaga sådana beslut.
Trots att Säkerhetspolisen såsom framgår ovan har vissa uppgifter enligt utlännings- och medborgarskapslagstiftningen har det ansetts att all verksamhet hos Säkerhetspolisen i någon mening utgör brottsbekämpande verksamhet (prop. 2013/14:110 s. 480 f.). Mot den bakgrunden och då de uppgifter som Säkerhetspolisen utför på utlännings- och medborgarskapsområdet får anses som förhållandevis begränsade framstår det enligt regeringens mening inte som ändamålsenligt att Säkerhetspolisen omfattas av utlänningsdatalagens reglering. Konsekvensen av att Säkerhetspolisen inte föreslås omfattas av utlänningsdatalagen blir att Säkerhetspolisen, liksom domstolar eller andra myndigheter som handlägger uppgifter som utgör eller har samband med verksamhet enligt utlännings- och medborgarskapslagstiftningen i stället har att tillämpa de särskilda personuppgiftshanteringsregler som gäller för dem eller personuppgiftslagen.
Samtidigt måste emellertid säkerställas att Säkerhetspolisen på ett effektivt sätt kan fullgöra de uppgifter som myndigheten har ålagts enligt bl.a. utlänningslagen. Bland annat måste säkerställas att myndigheten kan få tillgång till de uppgifter som den behöver från exempelvis Migrationsverket för att kunna utföra sitt uppdrag. Regeringen återkommer till den frågan i avsnitt 6.15.
Vilken verksamhet ska lagen tillämpas på?
Utredningen anser att det av tydlighetsskäl uttömmande bör anges i lagen vilken verksamhet som inryms i begreppet verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredningen använder vid utformningen av beskrivningen som utgångspunkt den avgränsning som i dag finns i 1 § andra stycket förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Regeringen instämmer i att det finns skäl att i utlänningsdatalagen uttömmande beskriva vilken verksamhet som enligt lagen ska avses med begreppet verksamhet enligt utlännings- och medborgarskapslagstiftningen och att denna beskrivning bör ta sin utgångspunkt i vad som i dag gäller enligt förordningen. Det finns också skäl att, som utredningen föreslår, reglera den verksamhet som bedrivs av Migrationsverket och utlandsmyndigheterna i en bestämmelse och vad som gäller för Polismyndigheten i en annan. I det följande behandlas vilka verksamhetsområden som bör omfattas av utlänningsdatalagen för Migrationsverkets och utlandsmyndigheternas del. Vilken verksamhet hos Polismyndigheten som lagen bör tillämpas på behandlas under en särskild rubrik.
Inresa och vistelse m.m.
Utredningen föreslår att utlänningsdatalagens regler ska tillämpas vid Migrationsverkets och utlandsmyndigheternas behandling av personuppgifter i verksamhet som rör utlänningars inresa i Sverige eller i en EU- eller EES-stat, deras vistelse eller arbete här samt deras utresa från Sverige. Formuleringen avser enligt utredningen att täcka Migrationsverkets verksamhet enligt utlänningslagen och utlänningsförordningen (2006:97), dvs. verksamhet som rör visering, uppehållstillstånd, arbetstillstånd, avvisning eller utvisning, kontroll och verkställighet av beslut. Även utlandsmyndigheternas biträde med utredning i Migrationsverkets utlännings- och medborgarskapsärenden med stöd av förordningen (2014:115) med instruktion för utrikesrepresentationen avses, liksom Migrationsverkets behandling av personuppgifter i ärenden enligt lagen (1991:572) om särskild utlänningskontroll. Regeringen kan i allt väsentligt ansluta sig till förslaget. Dock bör även inresa i Schweiz ingå i uppräkningen. Med utresa från Sverige avser utredningen såväl frivillig utresa som utresa som sker efter tvångsverkställighet. Regeringen anser att detta bör anges tydligare i lagen och föreslår mot den bakgrunden att avlägsnande särskilt ska omnämnas i uppräkningen. Redan utan detta förtydligande är det naturligt att anse att frågor om förvar och uppsikt ingår i beskrivningen. Regeringens förslag till komplettering gör dock kopplingen till dessa frågor än mer tydlig. Något särskilt omnämnande av frågor om förvar och uppsikt, som Kammarrätten i Stockholm efterfrågar, bör därför inte vara nödvändigt.
Statusförklaring
Regeringen instämmer i utredningens förslag att verksamhet som rör statusförklaring bör omfattas av utlänningsdatalagen. Med detta avses Migrationsverkets behandling av personuppgifter i anledning av beslut om eller återkallelse av statusförklaring enligt 4 kap. 3-3 c §§ och 5 b och 5 c §§ utlänningslagen.
Mottagande av asylsökande m.fl.
Som utredningen föreslår bör verksamhet som rör mottagande av asylsökande och vissa andra utlänningar omfattas av utlänningsdatalagen. I detta ingår Migrationsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl. och anslutande förordning, med undantag för sådan verksamhet som avser ekonomiskt bistånd eller stöd. Migrationsverkets verksamhet i samband med mottagande av kvotflyktingar faller också in under denna del av bestämmelsen.
Bistånd och stöd till utlänningar
Verksamhet som avser bistånd och stöd till utlänningar bör, som utredningen föreslår, omfattas av utlänningsdatalagen. Det handlar om Migrationsverkets verksamhet som gäller ekonomiskt bistånd enligt lagen om mottagande av asylsökande m.fl. och anslutande förordning. Även Migrationsverkets verksamhet som följer av förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land, förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige, förordningen (2008:778) om återetableringsstöd för vissa utlänningar och förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare avses. Migrationsverkets personuppgiftsbehandling som föranleds av bidragsbrottslagen (2007:612) och lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen omfattas också.
Svenskt medborgarskap
Som utredningen föreslår bör Migrationsverkets och utlandsmyndigheternas verksamhet enligt lagen om svenskt medborgarskap och medborgarskapsförordningen (2001:218) omfattas av utlänningsdatalagen.
Statlig ersättning för kostnader för utlänningar
I likhet med utredningen föreslår regeringen att verksamhet som rör statlig ersättning för kostnader för utlänningar ska falla under utlänningsdatalagens tillämpningsområde. Under delmomentet faller bl.a. Migrationsverkets personuppgiftsbehandling i samband med handläggning enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m., förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande och förordningen (2002:1118) om statlig ersättning för asylsökande m.fl.
Bosättning av utlänningar
Regeringen delar utredningens bedömning att verksamhet som avser bosättning av utlänningar ska träffas av utlänningsdatalagen. I detta ingår Migrationsverkets ansvar för bosättning av vissa utlänningar enligt lagen om mottagande av asylsökande m.fl. Även Migrationsverkets verksamhet enligt förordningen (2010:408) om mottagande av vissa nyanlända invandrare avses.
Bör annan verksamhet omfattas?
Som Kammarrätten i Stockholm lyfter fram ingår inte verksamhet som rör ärenden om främlingspass och andra resehandlingar i den uppräkning som utredningen föreslår. Enligt regeringens mening är det lämpligt att uppräkningen kompletteras med denna verksamhet.
Polismyndigheten
Polismyndighetens uppgifter enligt utlänningslagstiftningen beskrivs i avsnitt 5. Liksom utredningen anser regeringen att utlänningsdatalagen bör vara tillämplig vid behandling av personuppgifter i Polismyndighetens verksamhet som rör kontroll av utlänningar i samband med inresa och vistelse i Sverige samt utresa eller avlägsnande från Sverige som inte kan anses som brottsbekämpande verksamhet. Den senare förutsättningen bör uttryckligen framgå av bestämmelsen. Som anförts ovan ingår även frågor om förvar och uppsikt i den beskrivningen. Avgränsningen innebär att särskilda personuppgiftshanteringsregler gäller för Polismyndigheten i samma utsträckning som gäller i dag enligt förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Uttrycket brottsbekämpande myndighet används även i polisdatalagen (2010:361) och är avsett att ha samma betydelse i utlänningsdatalagen. Något ytterligare förtydligande av begreppets innebörd bör inte vara nödvändigt i detta lagstiftningsärende (se även avsnitt 6.4).
6.4 Undantag från utlänningsdatalagens tillämpningsområde
Regeringens förslag: Utlänningsdatalagen ska inte tillämpas när personuppgifter behandlas med stöd av
1. lagen om Schengens informationssystem,
2. VIS-förordningen,
3. viseringskodexen, eller
4. Eurodac-förordningen.
Vid behandling av personuppgifter enligt VIS-förordningen ska bestämmelserna i 28 och 48 §§ personuppgiftslagen om rättelse och skadestånd gälla om inte något annat följer av den förordningen.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock att det i lagtexten ska anges att utlänningsdatalagen inte ska tillämpas när polisdatalagen är tillämplig. Utredningen föreslår också en annan redaktionell utformning av bestämmelsen.
Remissinstanserna: Remissinstanserna antingen godtar utredningens förslag eller lämnar det utan invändningar.
Skälen för regeringens förslag
Allmänt
För viss personuppgiftsbehandling som Migrationsverket, Polismyndigheten, eller utlandsmyndigheterna utför på utlännings- och medborgarskapsområdet, och som därmed träffas av det föreslagna tillämpningsområdet för utlänningsdatalagen, finns redan regler i annan lagstiftning och i direkt tillämpliga EU-förordningar. Som utredningen föreslår bör det därför i utlänningsdatalagen införas vissa undantag från lagens tillämpningsområde. Härigenom säkerställs att frågor inte blir dubbelreglerade samt att det inte införs regler som står i strid med direkt tillämpliga EU-förordningar. I det följande redovisar regeringen vilka undantag som bör göras.
Lagen om Schengens informationssystem
De länder som deltar i Schengensamarbetet har ett gemensamt informationssystem, Schengens informationssystem (SIS). I systemet kan ländernas myndigheter lägga in och söka fram uppgifter om personer som är efterlysta eller på annat sätt eftersökta eller som ska nekas inresa i Schengenområdet. SIS II är en ny version av det ursprungliga SIS och togs i bruk 2013. SIS II består av en nationell enhet i varje medlemsstat samt en central databas med en teknisk stödfunktion som ser till att de olika nationella enheterna har ett identiskt innehåll. Den svenska enheten av Schengens informationssystem regleras i lagen (2000:344) om Schengens informationssystem. Enligt lagen ska Polismyndigheten med hjälp av automatiserad behandling föra ett register som ska vara den svenska delen av SIS. I lagen regleras bland annat för vilka ändamål uppgifter i registret får behandlas, vilka uppgifter som får registreras och förbud mot registrering av känsliga personuppgifter. Syftet med SIS II är att främja samarbete som avser polisiära och rättsliga frågor, men också att vara ett hjälpmedel för att avgöra om en person ska nekas tillträde till eller uppehållstillstånd i Schengenstaterna. Som utredningen bedömer omfattas den personuppgiftsbehandling som Polismyndigheten utför med stöd av lagen om Schengens informationssystem åtminstone delvis av det föreslagna tillämpningsområdet för utlänningsdatalagen. I likhet med utredningen bedömer regeringen därför att det bör införas en reglering som anger att personuppgiftsbehandlingsreglerna i lagen om Schengens informationssystem har företräde.
Vissa EU-förordningar
Inom EU har utarbetats förordningar som innehåller personuppgiftshanteringsregler på det område som kan täckas av det föreslagna tillämpningsområdet för utlänningsdatalagen. Dessa är den s.k. VIS-förordningen som reglerar EU:s gemensamma informationssystem för viseringar, den s.k. viseringskodexen som reglerar handläggningen av viseringsansökningar och den s.k. Eurodac-förordningen som behandlar regler om jämförande av fingeravtryck från bl.a. asylsökande.
När en EU-förordning träder i kraft blir den automatiskt en del av medlemsstatens nationella rättssystem. Medlemsstaterna får i princip inte vidta några implementeringsåtgärder, utan förordningen ska tillämpas som lag. Personuppgiftsbehandling med stöd av förordningarna bör därför inte ske med tillämpning av reglerna i utlänningsdatalagen. Även om detta enligt principen om EU-rättens företräde framför nationell rätt gäller utan att någon bestämmelse härom införs, bör det som utredningen föreslår av tydlighetsskäl anges i lagen att personuppgiftsbehandling enligt förordningarna inte omfattas av utlänningsdatalagens tillämpningsområde.
Som utredningen redogör för finns det i artiklarna 33 och 38.2 i VIS-förordningen bestämmelser om skadestånd samt korrigering och radering av uppgifter som ska regleras genom bestämmelser i nationell rätt. I dag regleras detta genom en hänvisning till 28 och 48 §§ personuppgiftslagen (1998:204) i förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Som utredningen föreslår bör motsvarande hänvisning nu i stället göras i utlänningsdatalagen. När det gäller skadestånd avser personuppgiftslagens bestämmelser endast skadestånd till den registrerade, medan VIS-förordningens krets av skadeståndsberättigade är vidare och omfattar samtliga personer och även medlemsstater. Om ett krav på ersättning framställs av en person som faller utanför personuppgiftslagens bestämmelse finns generella regler om skadestånd som under vissa förutsättningar kan tillämpas i skadeståndslagen (1972:207). Liksom utredningen bedömer regeringen att det inte behövs någon hänvisning i utlänningsdatalagen till att även skadeståndslagen i vissa fall kan tillämpas.
Polisdatalagen
Utredningen föreslår att det särskilt ska anges att utlänningsdatalagen inte ska tillämpas när polisdatalagen (2010:361) är tillämplig. I avsnitt 6.3 föreslås att det i den bestämmelse som reglerar utlänningsdatalagens tillämpningsområde för Polismyndighetens del särskilt ska anges att lagen ska tillämpas av Polismyndigheten endast i den mån den verksamhet som bedrivs inte kan anses som brottsbekämpande verksamhet. Frågan om vilken reglering som blir tillämplig på personuppgiftsbehandlingen vid Polismyndigheten avgörs av det ändamål som personuppgifterna behandlas för. Behandlas personuppgifterna för syftet att utreda och beivra brott tillämpas polisdatalagen. Behandlas personuppgifterna inom verksamhet enligt utlännings- och medborgarskapslagstiftningen tillämpas i stället utlänningsdatalagen. Det kan alltså inte inträffa att båda lagarna blir tillämpliga samtidigt. Mot den bakgrunden finns det inte skäl att även i den bestämmelse som reglerar undantag från utlänningsdatalagens tillämpningsområde särskilt ange att polisdatalagen har företräde framför utlänningsdatalagen.
6.5 Den registrerades inställning
Regeringens bedömning: Det behövs inte någon särskild bestämmelse som anger att behandling av personuppgifter som är tillåten enligt utlänningsdatalagen får utföras även om den enskilde motsätter sig det.
Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att det ska införas en särskild bestämmelse som anger att tillåten behandling av personuppgifter får ske även om den enskilde motsätter sig det.
Remissinstanserna: Remissinstanserna antingen godtar förslaget eller lämnar det utan invändningar.
Skälen för regeringens bedömning: Enligt 1 § tredje stycket förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen har en registrerad inte rätt att motsätta sig att personuppgifter behandlas enligt förordningen. Utredningen föreslår att denna bestämmelse ska föras över till utlänningsdatalagen.
Det finns ett behov av att behandla personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen även om den enskilde motsätter sig det. Att sådan behandling får ske måste emellertid anses följa direkt av de förslag till ändamålsbestämmelser som regeringen lämnar i avsnitt 6.9. Någon särskild bestämmelse om att personuppgiftsbehandling får ske även om den enskilde motsätter sig den är därför inte nödvändig i utlänningsdatalagen. Någon sådan bestämmelse finns inte heller i polisdatalagen (2010:361) eller åklagardatalagen (2015:433).
6.6 Utlänningsdatalagen och personuppgiftslagen
6.6.1 Förhållandet till personuppgiftslagen
Regeringens förslag: Utlänningsdatalagen ska gälla i stället för personuppgiftslagen. I lagen ska det anges vilka bestämmelser i personuppgiftslagen som ändå ska tillämpas.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser antingen tillstyrker förslaget eller lämnar det utan invändning.
Skälen för regeringens förslag: Personuppgiftslagen (1998:204) är subsidiär i förhållande till annan lag eller förordning. Lagen ska således inte tillämpas i den utsträckning det i sådan annan författning finns bestämmelser som avviker från personuppgiftslagen (2 §). I 1 § förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen anges i dag att förordningen gäller utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det sättet att beskriva förhållandet till personuppgiftslagen innebär att i den utsträckning som en fråga inte är reglerad i förordningen gäller alltså personuppgiftslagens bestämmelser. Det innebär emellertid också att det först efter en jämförelse med bestämmelserna i personuppgiftslagen blir klart vilka bestämmelser i förordningen som är tillämpliga i ett enskilt fall.
I den nya utlänningsdatalagen bör en tydligare reglering införas. Som utredningen föreslår bör utlänningsdatalagen helt ersätta personuppgiftslagen inom sitt tillämpningsområde. I de fall en viss fråga bör regleras på samma sätt i utlänningsdatalagen som i personuppgiftslagen bör det i utlänningsdatalagen tas in en hänvisning till den aktuella bestämmelsen i personuppgiftslagen. Denna lagtekniska lösning innebär att regleringen blir tydlig och att förutsättningarna för enenhetlig rättstillämpning blir goda och är i linje med vad som gäller enligt andra lagar som utarbetats på senare tid, t.ex. polisdatalagen (2010:361).
6.6.2 Tillämpliga bestämmelser i personuppgiftslagen
Regeringens förslag: Följande bestämmelser i personuppgiftslagen ska vara tillämpliga vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen:
- definitioner (3 §),
- förhållandet till offentlighetsprincipen (8 §),
- grundläggande krav på behandlingen av personuppgifter (9 §),
- behandling av uppgifter om personnummer (22 §),
- information till den registrerade (23 och 25-27 §§),
- rättelse (28 §),
- säkerheten vid behandling (30 och 31 §§ samt 32 § första stycket),
- överföring av personuppgifter till tredjeland (33-35 §§),
- personuppgiftsombudets uppgifter m.m. (38-41 §§),
- upplysningar till allmänheten om vissa behandlingar (42 §),
- tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första stycket och 47 §),
- skadestånd (48 §), och
- överklagande (51 § första stycket, 52 § första stycket och 53 §).
Bestämmelserna i 8 § andra stycket personuppgiftslagen ska dock inte tillämpas om personuppgifter ska gallras enligt bestämmelser i utlänningsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen.
Datainspektionen ska inte kunna förena ett förbud att utföra viss behandling med vite.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår dock en hänvisning även till 51 § andra stycket personuppgiftslagen (1998:204) som innebär att tillsynsmyndigheten får bestämma att dess beslut ska gälla även om det överklagas.
Remissinstanserna: Remissinstanserna antingen tillstyrker förslaget eller lämnar det utan invändning.
Skälen för regeringens förslag
Få ändringar i sak men en tydligare reglering
Redan i dag tillämpar de myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen många av personuppgiftslagens bestämmelser. Det beror på att förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen utan att vara heltäckande gäller utöver personuppgiftslagen. Förslagen om vilka bestämmelser i personuppgiftslagen som bör tillämpas innebär därför få förändringar i förhållande till vad som gäller i dag. I stället innebär förslagen en tydligare och mer överskådlig reglering. I det följande redovisas i vilken utsträckning personuppgiftslagens bestämmelser bör vara tillämpliga vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Definitioner
I 3 § personuppgiftslagen definieras vissa begrepp som är centrala vid behandling av personuppgifter. Där definieras t.ex. vad personuppgifter är ("All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.") och vad som utgör behandling av personuppgifter ("Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring."). Definitionerna i 3 § personuppgiftslagen gäller vid personuppgiftsbehandling i verksamhet på utlännings- och medborgarskapsområdet i dag. Något skäl att förändra den ordningen finns inte. För att undvika missförstånd är det dessutom viktigt att terminologin i utlänningsdatalagen överensstämmer med personuppgiftslagen och att de begrepp som används i de båda författningarna har samma innebörd. En hänvisning till 3 § personuppgiftslagen bör därför tas in i utlänningsdatalagen.
Förhållandet till offentlighetsprincipen och arkivering
Av 8 § första stycket personuppgiftslagen följer att lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. I paragrafens andra stycke anges att bestämmelserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
I klargörande syfte och i överensstämmelse med bl.a. polisdatalagen (2010:361) bör, som utredningen föreslår, en hänvisning till bestämmelserna i 8 § personuppgiftslagen tas in i utlänningsdatalagen. Det bör dock samtidigt klargöras att bestämmelserna i 8 § andra stycket personuppgiftslagen inte är tillämpliga när uppgifter ska gallras enligt särskilda bestämmelser i utlänningsdatalagen eller föreskrifter som har meddelats i anslutning till den. Som framgår i avsnitt 6.17 föreslås inte några särskilda gallringsregler i utlänningsdatalagen. Regeringen kan dock med stöd av 8 kap. 7 § regeringsformen komma att utfärda föreskrifter om gallring i vissa avseenden. I den mån sådana föreskrifter ges gäller de i stället för 8 § andra stycket personuppgiftslagen.
Grundläggande krav på behandlingen av personuppgifter
I 9 § första stycket personuppgiftslagen ställs i punkterna a-i vissa grundläggande krav på den personuppgiftsansvarige. Den personuppgiftsansvarige ska se till att personuppgifter bara behandlas om det är lagligt samt att det sker på ett korrekt sätt och i enlighet med god sed (a och b). Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (c). Punkten innebär att ändamålen med en behandling måste bestämmas redan när uppgifterna samlas in. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (d). I denna punkt kommer den s.k. finalitetsprincipen till uttryck. Personuppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen (e). Den personuppgiftsansvarige ska vidare också ansvara för att behandlingen inte omfattar fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att uppgifterna är riktiga och aktuella (f och g). Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen (h). Slutligen får personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (i).
Personuppgiftslagen innehåller två undantag från bestämmelsen. För det första hindrar, som nämnts ovan, personuppgiftslagens bestämmelser aldrig att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket). För det andra får personuppgifter bevaras under en längre tid än vad som följer av (i) om bevarandet sker för historiska, statistiska eller vetenskapliga ändamål (9 § tredje stycket). Detta undantag gäller för alla personuppgifter, oavsett om det rör sig om uppgifter i allmän handling eller inte.
I 9 § andra stycket finns en utveckling av finalitetsprincipen. Här anges att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses oförenlig med de ändamål för vilka uppgifterna samlades in. I 9 § fjärde stycket finns slutligen en bestämmelse som föreskriver att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Det är naturligt att de krav som gäller enligt 9 § personuppgiftslagen gäller även vid behandling av personuppgifter hos de myndigheter som enligt förslaget i avsnitt 6.3 ska tillämpa bestämmelserna i utlänningsdatalagen. Utlänningsdatalagen bör därför, som utredningen föreslår, hänvisa till 9 § personuppgiftslagen i dess helhet.
Behandling av personnummer
I 22 § personuppgiftslagen föreskrivs att uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifikation eller något annat beaktansvärt skäl. Bestämmelsen ger uttryck för att behandlingen av personnummer och samordningsnummer bör vara restriktiv och föregås av en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär.
Den nu gällande förordningen om personuppgiftsbehandling i verksamhet utlännings- och medborgarskapslagstiftningen saknar särskilda bestämmelser som rör personnummer eller samordningsnummer. Bestämmelsen i personuppgiftslagen är således i dag tillämplig vid personuppgiftsbehandling i verksamheten. Vikten av en säker identifiering medför att personnummer och samordningsnummer ofta måste behandlas i denna verksamhet. Det bör därför inte införas några regler i utlänningsdatalagen som ytterligare inskränker möjligheten att behandla personnummer eller samordningsnummer. Utlänningsdatalagen bör i stället, som utredningen föreslår, hänvisa till 22 § personuppgiftslagen.
Information till den registrerade
Personuppgiftslagens bestämmelser i 23 och 25-27 §§ om sådan information som ska lämnas självmant till den registrerade och om information som ska lämnas efter ansökan av den registrerade är redan i dag tillämpliga vid personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det har inte framkommit något behov av att ändra rättsläget i denna del. Utlänningsdatalagen bör därför innehålla en hänvisning till dessa bestämmelser.
Enligt 24 § personuppgiftslagen ska den personuppgiftsansvarige självmant lämna information till den registrerade i samband med registrering om uppgifterna har samlats in från någon annan källa än den registrerade själv. Enligt bestämmelsens andra stycke behöver dock sådan information inte lämnas om det finns bestämmelser om registrerandet eller utlämnande av uppgifterna i en lag eller någon annan författning. Eftersom sådana bestämmelser som avses i andra stycket föreslås i utlänningsdatalagen, instämmer regeringen i utredningens bedömning att det inte är nödvändigt att införa en hänvisning till 24 § i utlänningsdatalagen.
Rättelse
Den personuppgiftsansvarige är enligt 28 § personuppgiftslagen skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med lagen eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige ska vidare underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade därigenom kan undvikas. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
I förarbetena till personuppgiftslagen konstateras att redan bestämmelserna i 9 § första punkten e och g medför en skyldighet för den personansvariga myndigheten att vara aktiv för att se till att de behandlade uppgifterna är korrekta (se prop. 1997/98:44 s. 87). Bestämmelsen i 28 § ger dock den registrerade rätt att påkalla den personuppgiftsanvariges aktivitet för att korrigera uppgifter, som gäller utöver de grundläggande kraven i 9 §.
Bestämmelsen i 28 § gäller redan i dag vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det är viktigt att det även i fortsättningen finns en möjlighet för enskilda att se till att personuppgifter som behandlas felaktigt rättas, blockeras eller utplånas. En hänvisning till 28 § bör därför göras i utlänningsdatalagen.
Säkerheten vid behandlingen
I 30-32 §§ personuppgiftslagen finns bestämmelser om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Av 30 § följer bland annat att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, ska de bestämmelserna dock ha företräde (30 § tredje stycket). Här avses särskilt bestämmelser om tystnadsplikt och sekretess (se prop. 1997/98:44 s. 136). Enligt 30 § andra stycket ska det i fråga om personuppgiftsbiträden finnas ett skriftligt avtal om biträdets behandling för den personuppgiftsansvariges räkning. Det ska i avtalet särskilt föreskrivas att biträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket. Av 31 § följer bland annat att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda behandlade personuppgifter. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Enligt 32 § första stycket får Datainspektionen i enskilda fall besluta om vilka åtgärder som den personuppgiftsansvarige ska vidta enligt 31 §.
Säkerhetsbestämmelserna är redan i dag tillämpliga vid personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapslagstiftningen och bör gälla även fortsättningsvis. En hänvisning till bestämmelserna bör alltså föras in i utlänningsdatalagen. Undantag bör dock göras för 32 § andra stycket i vilket hänvisas till tillsynsmyndighetens möjlighet att förena ett förbud med vite. Regler om vite bör normalt enligt allmänna rättsgrundsatser inte tillämpas i förhållandet mellan statliga myndigheter (se prop. 2004/05:164 s. 54, prop. 2006/07:46 s. 105 och 2009/10:85 s. 90).
Överföring av personuppgifter till tredjeland
Överföring av personuppgifter till tredjeland regleras i 33-35 §§ personuppgiftslagen. I 33 § finns ett förbud mot överföring av personuppgifter till tredjeland för personuppgifter som är under behandling om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Med tredjeland avses en stat som inte ingår i EU eller är ansluten till EES.
Från förbudet finns vissa undantag i 34 §. Av den bestämmelsen följer att det trots förbudet är tillåtet att föra över personuppgifter till tredjeland om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade ska kunna skyddas. Av bestämmelsen följer vidare att det även är tillåtet att föra över personuppgifter för användning i ett land som har anslutit sig till dataskyddskonventionen.
Enligt 35 § har regeringen möjlighet att föreskriva ytterligare undantag från förbudet, bland annat om det behövs med hänsyn till ett viktigt allmänt intresse.
I 8 § andra stycket förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen finns i dag en särskild bestämmelse om överföring av uppgifter till tredjeland. Enligt den bestämmelsen får de personuppgifter som finns i Migrationsverkets rättsfallsregister föras över till en stat som inte ingår i EU eller är ansluten till EES. I övrigt gäller de ovan nämnda bestämmelserna i personuppgiftslagen.
Behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen är i dag till betydande del av internationell karaktär och överföring av uppgifter till andra EU-länder eller till tredjeland är vanligt förekommande inom ramen för olika former av samarbete och uppfyllande av myndighetsuppdrag.
Förbudet mot överföring till tredjeland som inte har tillfredsställande skyddsnivåer, och de undantag från förbudet som föreskrivs, bör i princip vara tillämpliga även vid behandling som sker med stöd av utlänningsdatalagen. Regeringen bör även ha möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse. Regeringen instämmer således i utredningens uppfattning att en hänvisning bör göras till 33-35 §§ personuppgiftslagen. Regeringen återkommer till frågan om överföring av personuppgifter till tredjeland i avsnitt 6.16.
Anmälningsskyldighet och personuppgiftsombud
I 36 § första stycket personuppgiftslagen föreskrivs att behandling som är helt eller delvis automatiserad ska anmälas till tillsynsmyndigheten, dvs. Datainspektionen. Regeringen har med stöd av ett bemyndigande i 36 § andra stycket personuppgiftslagen föreskrivit att en sådan anmälan inte behöver göras för behandlingar som regleras genom särskilda föreskrifter i lag eller förordning (3 § personuppgiftsförordningen [1998:1191]). Den nu föreslagna utlänningsdatalagen innehåller sådana särskilda föreskrifter. I likhet med utredningen gör regeringen bedömningen att någon hänvisning till 36 § första stycket personuppgiftslagen inte bör göras i utlänningsdatalagen.
Den personuppgiftsansvarige kan enligt 36 § andra stycket personuppgiftslagen utse ett personuppgiftsombud. Om ett ombud utses eller entledigas ska den personuppgiftsansvarige anmäla detta till Datainspektionen. Om ett ombud utses, ska bestämmelserna i 38-40 §§ personuppgiftslagen tillämpas. I personuppgiftsombudets skyldigheter ingår bl.a. att se till att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa registrerade att få rättelse.
I avsnitt 6.7 föreslås en särskild bestämmelse med skyldighet för Migrationsverket och Polismyndigheten att utse personuppgiftsombud och att anmäla till Datainspektionen när ett sådant ombud utses och entledigas. Någon hänvisning till 36 § andra stycket personuppgiftslagen behövs därför inte. Utlänningsdatalagen bör dock, som utredningen föreslår, hänvisa till 38-40 §§ om personuppgiftsombudets uppgifter.
I 41 § personuppgiftslagen anges att regeringen har möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Denna ordning bör gälla även fortsättningsvis vid personuppgiftsbehandling i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utlänningsdatalagen bör därför innehålla en hänvisning till 41 § personuppgiftslagen.
Upplysningar till allmänheten
Den personuppgiftsansvarige ska enligt 42 § personuppgiftslagen till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna ska omfatta det som en anmälan enligt 36 § första stycket skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits.
Den enskilde bör på ett snabbt och enkelt sätt kunna få besked om vilka behandlingar som utförs även i de fall den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. En hänvisning till 42 § bör därför, som utredningen föreslår, tas in i utlänningsdatalagen.
Tillsynsmyndighetens befogenheter
Enligt 43 § personuppgiftslagen har tillsynsmyndigheten, dvs. Datainspektionen, möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Om Datainspektionen inte efter en begäran enligt 43 § kan få tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. Av 45 § första stycket framgår att Datainspektionen, om den konstaterar att personuppgifter behandlas felaktigt, ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden. Om det inte går att få till stånd rättelse eller om saken är brådskande, får Datainspektionen förbjuda behandlingen. Enligt 47 § har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Av förarbetena till personuppgiftslagen framgår att det vid bedömningen kan beaktas om utplånandet skulle innebära stora praktiska svårigheter för den personuppgiftsansvarige eller ett svårt ekonomiskt avbräck (se prop.1997/98:44 s. 142). När det gäller personuppgifter hos myndigheter är det i praktiken inte möjligt att utplåna uppgifter som behövs för handläggningen av ärenden eller som på grund av grundlagsbestämmelser eller lag ska bevaras.
De nu beskrivna bestämmelserna i personuppgiftslagen gäller redan i dag vid personuppgiftsbehandling i verksamhet som rör utlännings- eller medborgarskapslagstiftningen. Regeringen delar utredningens bedömning att de i princip bör vara tillämpliga även på behandling som sker med stöd av utlänningsdatalagen. Som framgår ovan anser regeringen att det inte bör vara möjligt för Datainspektionen att förena ett förbud enligt 44 § med vite.
Skadestånd och straff
I 48 § personuppgiftslagen anges att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Bestämmelsen gäller i dag vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och bör gälla även fortsättningsvis. En hänvisning till 48 § bör därför tas in i utlänningsdatalagen.
I 49 § personuppgiftslagen föreskrivs straffansvar för överträdelser av olika bestämmelser i personuppgiftslagen. Behandlingen av personuppgifter enligt den nya lagen kommer att utföras av personer som är anställda vid statliga myndigheter. De omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Eftersom det är myndigheter som kommer att utföra personuppgiftsbehandlingen, torde det inte bli aktuellt att tillämpa straffbestämmelsen (se prop. 1997/98:97 s. 109). Någon hänvisning till bestämmelsen om straffansvar bör därför inte göras i utlänningsdatalagen.
Överklagande
I 51 § första stycket personuppgiftslagen föreskrivs att tillsynsmyndighetens, dvs. Datainspektionens, beslut enligt lagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Som anges ovan föreslås Datainspektionen kunna meddela förbud enligt 44 § eller 45 § första stycket personuppgiftslagen. Därmed bör även en hänvisning till 51 § första stycket göras.
Utredningen föreslår att utlänningsdatalagen ska hänvisa även till 51 § andra stycket som anger att Datainspektionen får bestämma att dess beslut ska gälla även om det överklagas. Det finns skäl som talar både för och mot en sådan hänvisning. Systematiska skäl talar för att regleringen bör utformas på samma sätt, oavsett vem beslutet gäller. Verksamhetsskäl talar dock mot införandet av en sådan möjlighet. Vid införandet av polisdatalagen gjordes bedömningen att Datainspektionen inte borde ges möjlighet att meddela interimistiska beslut i dessa fall (prop. 2009/10:85 s. 91). Det finns inte skäl att göra någon annan bedömning när det gäller de myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen. Någon hänvisning till 51 § andra stycket bör därför inte göras.
En myndighets beslut om information, rättelse och underrättelse till tredje man om rättelseåtgärder, information om automatiserade beslut och allmänna upplysningar om pågående behandlingar får enligt 52 § första stycket personuppgiftslagen överklagas hos allmän förvaltningsdomstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser anges att det efter införandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar, som hänvisar till personuppgiftslagen (se prop. 2005/06:173 s. 53). Utlänningsdatalagen bör således inte innehålla någon särskild bestämmelse om överklagande, utan endast en hänvisning till personuppgiftslagens bestämmelser om överklagande.
6.7 Personuppgiftsansvar
Regeringens förslag: Den myndighet som utför en behandling av personuppgifter ska vara personuppgiftsansvarig för behandlingen. Migrationsverket ska dock även vara personuppgiftsansvarigt för utlandsmyndigheternas automatiserade personuppgiftsbehandling.
Migrationsverket och Polismyndigheten ska vara skyldiga att utse ett eller flera personuppgiftsombud.
Den personuppgiftsansvarige ska anmäla till Datainspektionen när ett personuppgiftsombud utses eller entledigas.
Utredningens förslag överensstämmer med regeringens. Utredningen föreslår dock en annorlunda språklig utformning av bestämmelsen.
Remissinstanserna: De flesta remissinstanser antingen tillstyrker förslaget eller lämnar det utan invändningar. Datainspektionen anser att utlandsmyndigheterna själva ska vara personuppgiftsansvariga för sin personuppgiftsbehandling och att de i konsekvens med det ska vara skyldiga att anmäla ett personuppgiftsombud. Inspektionen anser vidare att det bör klargöras hur en anmälan till inspektionen ska ske. Även Uppsala universitet (Juridiska fakultetsnämnden) anser att det inte är lämpligt att Migrationsverket är personuppgiftsansvarigt för utlandsmyndigheternas personuppgiftsbehandling.
Skälen för regeringens förslag
Vem ska vara personuppgiftsansvarig?
Enligt 3 § personuppgiftslagen (1998:204) är personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålet och medlen för behandlingen av personuppgifter.
I 2 § förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen anges att Migrationsverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket utför. Verket är även personuppgiftsansvarigt för den behandling som en utlandsmyndighet utför. Polismyndigheten är personuppgiftsansvarig för den behandling som myndigheten utför.
Som utredningen föreslår bör som huvudregel gälla i utlänningsdatalagen att den som utför själva behandlingen också ska ha personuppgiftsansvaret. Således bör Migrationsverket och Polismyndigheten även fortsättningsvis vara personuppgiftsansvariga för den behandling som respektive myndighet utför. Frågan är då vad som ska gälla för den personuppgiftsbehandling som sker vid utlandsmyndigheterna och som Migrationsverket enligt gällande ordning är personuppgiftsansvarigt för.
Som utredningen anser finns det skäl som talar både för och mot att behålla nuvarande ordning. Avgörande bör enligt utredningens bedömning bli vilken möjlighet Migrationsverket har att utöva kontroll och inflytande över utlandsmyndigheternas personuppgiftsbehandling, till exempel när det gäller säkerheten vid personuppgiftsbehandlingen. Som skäl som talar mot nuvarande ordning pekar utredningen på att det är Utrikesdepartementet som äger och är ansvarigt för utlandsmyndigheternas lokaler och har ansvar för deras externa avtal. Migrationsverket och utlandsmyndigheterna ingår inte i någon gemensam myndighetsorganisation och Migrationsverket har inte en överordnad roll i förhållande till utlandsmyndigheterna. Eftersom utlandsmyndigheterna är underställda Utrikesdepartementet torde departementet ha bättre möjligheter än Migrationsverket till faktisk kontroll och inflytande över verksamheten. Även Datainspektionen och Uppsala universitet anser att dessa omständigheter talar mot att låta personuppgiftsansvaret för utlandsmyndigheternas automatiserade behandling stanna hos Migrationsverket.
Vad som enligt utredningen talar för att nuvarande ordning bör bestå är att det är Migrationsverket som är tekniskt ansvarigt för de datasystem som utlandsmyndigheterna använder vid handläggning av sina viseringsärenden och olika tillståndsärenden. Utredningen pekar vidare på att behörigheten till datasystemen Wilma och W2 styrs av Migrationsverket och att uppgifterna hämtas från CUD. Enligt utredningen har inget annat framkommit än att nuvarande ordning har fungerat relativt väl. Vidare underlättar det för den enskilde om personuppgiftsansvaret är samlat hos en myndighet.
Vid en sammanvägd bedömning stannar utredningen för att Migrationsverket även i fortsättningen bör ansvara för utlandsmyndigheternas behandling av personuppgiftsbehandling enligt utlännings- och medborgarskapslagstiftningen, men att ansvaret bör begränsas till utlandsmyndigheternas automatiserade behandling, eftersom det är sådan behandling som Migrationsverket har möjlighet att utöva kontroll över. Personuppgiftsansvaret för manuell behandling av personuppgifter i register bör i stället ligga på utlandsmyndigheterna. Regeringen kan i och för sig instämma i Datainspektionens uppfattning att det förhållandet att Migrationsverket är tekniskt ansvarig för systemen inte bör vara avgörande för frågan om placeringen av personuppgiftsansvaret. I stället väger det tyngre att Migrationsverket redan i dag, enligt 2 § första stycket förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, är ansvarigt för utlandsmyndigheternas personuppgiftsbehandling. Regeringen tar vidare fasta på utredningens bedömning att den nuvarande ordningen har fungerat tillfredsställande. Mot den bakgrunden finns det inte tillräckliga skäl att nu förändra placeringen av personuppgiftsansvaret i denna del. Regeringen föreslår alltså, liksom utredningen, att Migrationsverket alltjämt ska vara ansvarigt även för utlandsmyndigheternas automatiserade behandling av personuppgifter.
Ska ett personuppgiftsombud utses?
Med hänsyn till omfattningen av personuppgiftsbehandlingen och typen av uppgifter som behandlas inom verksamhet inom utlännings- och medborgarskapslagstiftningen anser regeringen, liksom utredningen, att det är lämpligt att de personuppgiftsansvariga myndigheterna är skyldiga att var för sig utse personuppgiftsombud. Att en myndighet utser ett personuppgiftsombud innebär att det finns en person som har ansvar för granskning och kontroll av den egna myndighetens verksamhet och för att behandlingen är laglig och korrekt. Det underlättar vidare för de enskilda som vill kontakta myndigheten i frågor som rör personuppgiftsbehandling att ha en särskild person att vända sig till. Migrationsverket och Polismyndigheten bör därför vara skyldiga att utse ett eller flera personuppgiftsombud och anmäla dessa till Datainspektionen. Eftersom utlänningsdatalagen föreslås innehålla en särbestämmelse om skyldigheten att utse personuppgiftsombud och anmäla dessa till Datainspektionen föreslås ingen hänvisning i lagen till 36 § andra stycket personuppgiftslagen, som behandlar anmälan m.m. av personuppgiftsombud. Av detta följer att Datainspektionens föreskrifter på området inte är direkt tillämpliga för de myndigheter som omfattas av utlänningsdatalagen. Det är en ordning som gäller även i polisdatalagen (2010:361) och i den nya åklagardatalagen (2015:433). Det framstår dock trots det som naturligt att myndigheterna utformar sina anmälningar på ett sätt som följer Datainspektionens anvisningar.
När det gäller utlandsmyndigheterna instämmer regeringen i utredningens bedömning att det bör vara frivilligt för dessa myndigheter att avgöra om de vill ha ett personuppgiftsombud.
6.8 Allmänt om ändamål
för personuppgiftsbehandling
Regeringens förslag: I utlänningsdatalagen ska det anges för vilka ändamål behandling av personuppgifter får förekomma. Ändamålen ska delas in i primära och sekundära. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns hos de myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen. Dessa ändamål ska vara uttömmande angivna i lagen. De sekundära ändamålen ska avse behandling för olika typer av utlämnande av personuppgifter. I fråga om behandling av personuppgifter för andra sekundära ändamål än de som anges i lagen ska den s.k. finalitetsprincipen tillämpas. En generell förutsättning ska vara att personuppgiftsbehandling endast får ske om det behövs för att uppnå de primära ändamålen och om det är nödvändigt för de sekundära ändamålen.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår både för de primära och sekundära ändamålen att personuppgiftsbehandling endast ska få ske om det är nödvändigt för ändamålen.
Remissinstanserna: De flesta remissinstanser antingen tillstyrker förslaget eller lämnar det utan invändningar. Pensionsmyndigheten förordar att det, i enlighet med vad som föreslås i Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39), inte ska finnas någon begränsning i lagen av för vilka ändamål personuppgifter får behandlas. I stället bör det vara den personuppgiftsansvariga myndigheten som inom ramen för sitt uppdrag närmare ska få specificera för vilket eller vilka ändamål personuppgifter behandlas i verksamheten.
Datainspektionen ifrågasätter om utredningens förslag till ändamålsbestämmelser uppfyller kraven på att personuppgifter endast får samlas in för specifika och legitima ändamål och att de inte får användas på ett sätt som är oförenligt med dessa ändamål. Sveriges advokatsamfund invänder generellt att de ändamål som föreslås i utlänningsdatalagen är alltför oprecisa och vida.
Kammarrätten i Stockholm förordar att nödvändighetskravet i ändamålsbestämmelserna ersätts med ett behovskrav.
Skälen för regeringens förslag
Ändamålsbestämmelsernas utformning
Personuppgiftslagens (1998:204) regelverk har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I 9 § personuppgiftslagen anges vissa grundläggande krav som den personuppgiftsansvarige måste leva upp till vid behandling av personuppgifter. Enligt första stycket c får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. I första stycket d anges den s.k. finalitetsprincipen enligt vilken personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Bestämmelserna innebär bland annat att den personuppgiftsansvariga redan vid insamlingen av uppgifterna måste bestämma för vilket eller vilka ändamål insamlingen sker. De innebär också att vidarelämning av uppgifter måste föregås av en prövning av om mottagarens ändamål är oförenligt med de ursprungliga ändamålen eller inte.
I avsnitt 6.6.2 föreslår regeringen att utlänningsdatalagen ska innehålla en hänvisning till 9 § personuppgiftslagen. En generell ram för hur personuppgifter får samlas in och vidarebehandlas kommer därför att gälla för de myndigheter som ska tillämpa utlänningsdatalagen.
I likhet med t.ex. polisdatalagen (2010:361) bör utlänningsdatalagen dessutom innehålla en mer verksamhetsanpassad ram i form av specifika verksamhetsbestämmelser som slår fast för vilka ändamål personuppgifter ska kunna behandlas i den verksamhet som lagen omfattar. Sådana ändamålsbestämmelser är av central betydelse för skyddet för den personliga integriteten. Ändamålsbestämmelserna definierar vilka uppgifter som får behandlas och hur uppgifterna får behandlas. Ändamålsbestämmelserna ska också garantera att en personuppgift endast behandlas om det är motiverat och nödvändigt. Bestämda ändamål begränsar den personuppgiftsansvariges handlingsfrihet, vilket ger ett skydd för den enskildes personliga integritet.
Det är vanligt att man i författningar som reglerar myndigheters personuppgiftsbehandling delar upp ändamålen med behandlingen av personuppgifter i primära och sekundära. De primära ändamålen avser att tillgodose de behov som finns att behandla personuppgifter i de berörda myndigheternas egen verksamhet. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter, som myndigheten samlat in för ett primärt ändamål, får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att tillgodose deras behov.
Det finns olika sätt att utforma ändamålsregleringen i en registerförfattning. Ett sätt är att uttömmande ange de ändamål för vilken behandling får ske, både primära och sekundära. Ett annat sätt är att de i lagen angivna ändamålen kompletteras med en möjlighet att behandla uppgifter även för ändamål som inte är oförenliga med för vilka uppgifterna samlades in, i enlighet med finalitetsprincipen.
I exempelvis polisdatalagen har den senare typen av reglering valts. Lagen innehåller en uttömmande uppräkning av de primära ändamålen, medan uppräkningen av de sekundära ändamålen inte är uttömmande utan i stället begränsas av finalitetsprincipen. Utredningen föreslår att även utlänningsdatalagen ska utformas på detta sätt. Regeringen ansluter sig till den bedömningen. Som Pensionsmyndigheten anför föreslås i Informationshanteringsutredningens slutbetänkande Myndighetsdatalag att någon begränsning av för vilka ändamål myndigheterna får behandla personuppgifter inte ska införas i den föreslagna generella myndighetsdatalagen (SOU 2015:39 s. 277 f.). Betänkandet bereds nu i Regeringskansliet. Regeringen anser att det för närvarande inte är lämpligt att föregripa den beredningen genom att redan nu avvika från en lösning som har sin förebild i flera moderna registerförfattningar, såsom polisdatalagen och den av riksdagen nyligen beslutade åklagardatalagen (2015:433).
I avsnitt 6.9 behandlas vilka de primära respektive sekundära ändamålen bör vara vid myndigheternas behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Som utredningen föreslår bör de primära och sekundära ändamålen redovisas i skilda paragrafer i utlänningsdatalagen. Datainspektionen och Sveriges advokatsamfund invänder generellt att de föreslagna ändamålen är alltför vida och anser att det kan ifrågasättas om de föreslagna ändamålsbestämmelserna uppfyller kraven på att personuppgifter endast får samlas in för specifika och legitima ändamål och att de inte får användas på ett sätt som är oförenligt med dessa ändamål.
För regeringens del är det avgörande att verksamheten inom utlännings- och medborgarskapslagstiftningen består av många sinsemellan olika uppgifter för myndigheterna. Det innebär att det är en utmaning att hitta en optimal balans mellan verksamhetsintressen och integritetsskyddsintressen. I och med att i stort sett all informationshantering inom verksamheten sker med stöd av datorer och att informationen i stor utsträckning innehåller personuppgifter skulle en alltför detaljerad och begränsande reglering kunna försämra myndigheternas förutsättningar att uppfylla de krav som lagstiftningen ställer på dem. Utredningens förslag till ändamålsbestämmelser bygger i allt väsentligt på vad som hittills gällt enligt förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Enligt regeringens mening innebär förslaget en tillräckligt vid, men samtidigt också tillräckligt precis reglering för att intresset av att myndigheternas verksamhet ska kunna bedrivas på ett ändamålsenligt sätt ska vara balanserat mot behovet av att värna de enskildas integritet.
Kammarrätten i Stockholm förordar att utlänningsdatalagens ändamålsregler ska innehålla ett behovskrav i stället för det av utredningen föreslagna nödvändighetskravet. När det gäller de primära ändamålen skulle en sådan lösning innebära att terminologin i utlänningsdatalagen överensstämmer med vad som gäller enligt polisdatalagen. Regeringen anser att en sådan lösning är ändamålsenlig. För de primära ändamålen föreslår regeringen därför att personuppgiftsbehandling ska få ske om det behövs för de i utlänningsdatalagen föreslagna ändamålen. När det gäller de sekundära ändamålen bör dock utredningens förslag till formulering väljas. Som framgår av avsnitt 6.3 föreslås att utlänningsdatalagens regler ska tillämpas av Polismyndigheten när myndigheten bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det är under sådana omständigheter naturligt att välja samma uttryckssätt som gäller enligt polisdatalagen för de sekundära ändamålen.
Det bör dock betonas att syftet med de olika sätten att uttrycka begränsningen i allt väsentligt är detsamma. Avsikten är att betona att behandling av uppgifter inte får ske slentrianmässigt och att en bedömning av behovet eller nödvändigheten måste göras innan en behandling påbörjas.
6.9 För vilka ändamål ska personuppgifter
få behandlas?
6.9.1 Handläggning av ärenden
Regeringens förslag: Personuppgifter ska få behandlas i Migrationsverkets, Polismyndighetens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen om det behövs för handläggningen av ärenden eller en myndighets biträde i sådana ärenden.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår ett nödvändighetskrav i stället för ett behovskrav.
Remissinstanserna: Remissinstanserna antingen tillstyrker förslaget eller lämnar det utan invändningar. Kammarrätten i Stockholm förordar dock att nödvändighetskravet i ändamålsbestämmelserna ersätts med ett behovskrav.
Skälen för regeringens förslag: En stor del av den personuppgiftsbehandling som sker i dag utförs vid myndigheternas handläggning av ärenden enligt utlännings- och medborgarskapslagstiftningen. Som utredningen lyfter fram måste myndigheterna kunna inhämta, ta emot, lagra och på andra sätt behandla personuppgifter i samband med att de fullgör de uppgifter som de ska sköta enligt olika författningsbestämmelser. Ett primärt ändamål för vilket personuppgifter ska få behandlas bör därför, som utredningen föreslår, vara om det behövs för handläggning av ärenden eller en myndighets biträde i sådana ärenden.
Begreppet handläggning bör ges en vid tolkning och innefatta alla moment som kan bli aktuella vid handläggningen av ett ärende. Till exempel bör ändamålet omfatta Migrationsverkets behandling av personuppgifter i samband med mottagande, registrering och beredning av ärenden, förordnande av offentligt biträde, kommunikation med parter, kommunikation med andra tjänstemän inom samma myndighet med anledning av ärendet samt upprättande och meddelande av beslut.
Ändamålet bör även omfatta Polismyndighetens personuppgiftsbehandling i kontroll- och verkställighetsärenden. Till sådan verksamhet hör till exempel att Polismyndigheten på elektronisk väg får tips om var personer som ska utvisas befinner sig eller att myndigheten själv använder sig av automatiserad behandling i syfte att identifiera och hitta personer vars beslut om avlägsnande Polismyndigheten ska verkställa. Även den personuppgiftsbehandling som utförs i samband med Polismyndighetens verkställande av Migrationsverkets beslut om förvar bör falla under detta ändamål. Ändamålet bör slutligen ge stöd för utlandsmyndigheternas personuppgiftsbehandling i den medverkan med utredning i Migrationsverkets, Polismyndighetens och Säkerhetspolisens handläggning av utlännings- och medborgarskapsärenden som sker med stöd av 3 kap. 9 § förordningen (2014:115) med instruktion för utrikesrepresentationen.
Ändamålet bör tolkas så att det ger stöd åt att personuppgifter som samlats in för ett visst ärende behandlas i ett senare ärende som rör samma person eller i ett ärende som rör en annan person men där den registrerade förekommer som till exempel anhörig.
Som konstateras i avsnitt 6.8 bör de primära ändamålsbestämmelserna innehålla ett behovskrav i stället för ett nödvändighetskrav.
6.9.2 Kontroll av utlänningar
Regeringens förslag: Personuppgifter ska få behandlas i Migrationsverkets, Polismyndighetens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen om det behövs för kontroll av utlänningar i samband med inresa och utresa samt kontroll under vistelsen i Sverige.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår ett nödvändighetskrav i stället för ett behovskrav.
Remissinstanserna: Remissinstanserna antingen tillstyrker förslaget eller lämnar det utan invändningar. Kammarrätten i Stockholm förordar att nödvändighetskravet i ändamålsbestämmelserna ersätts med ett behovskrav.
Skälen för regeringens förslag: Polismyndigheten har behov av att utföra personuppgiftsbehandling i samband med yttre gränskontroll och inre utlänningskontroll. Migrationsverket kan också medverka vid sådan kontrollverksamhet. Den yttre gränskontroll och inre utlänningskontroll som Polismyndigheten bedriver kan ha brottsbekämpande syfte, till exempel att upptäcka gränsöverskridande brottslighet. I sådana fall regleras personuppgiftsbehandlingen i stället av polisdatalagen (2010:361). I andra fall är ändamålet att kontrollera den inresandes identitet och att kontrollera att han eller hon uppfyller de formella och materiella kraven enligt utlänningslagen för rätt till inresa och vistelse i Sverige. I sådana fall bör personuppgiftsbehandlingen regleras av utlänningsdatalagen. Det bör således finnas en bestämmelse av vilken det framgår att behandling av personuppgifter är tillåten vid yttre gränskontroll och inre utlänningskontroll, dvs. kontroll av utlänning i samband med inresa, utresa och kontroll under vistelsen i Sverige. Även detta ändamål bör vara primärt.
Som konstateras i avsnitt 6.8 bör de primära ändamålsbestämmelserna innehålla ett behovskrav i stället för ett nödvändighetskrav.
6.9.3 Utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande
och andra utlänningar
Regeringens förslag: Personuppgifter ska få behandlas i Migrationsverkets, Polismyndighetens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen om det behövs för att utföra arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår ett nödvändighetskrav i stället för ett behovskrav.
Remissinstanserna: Remissinstanserna antingen tillstyrker förslaget eller lämnar det utan invändningar. Kammarrätten i Stockholm förordar att nödvändighetskravet i ändamålsbestämmelserna ersätts med ett behovskrav.
Skälen för regeringens förslag: Migrationsverket har ett omfattande ansvar när det gäller mottagande och bosättning av asylsökande och andra utlänningar. Särskilda bestämmelser om detta finns bl.a. i lagen (1994:137) om mottagande av asylsökande m.fl. En särskild bestämmelse som tar sikte på behandling av uppgifter för mottagande och bosättning av asylsökande och andra utlänningar bör därför införas. Ändamålet möjliggör personuppgiftsbehandling hos Migrationsverket som avser ombesörjandet av boende och sysselsättning för asylsökande och andra utlänningar, men som inte direkt utförs inom ramen för ett enskilt ärende. Som exempel kan nämnas myndighetens kontakter med arbetsgivare och andra myndigheter för att ordna praktikplats åt en asylsökande. Inom ramen för det nu föreslagna ändamålet faller också myndighetens arbete med att ta emot kvotflyktingar. Kvotflyktingar är de flyktingar som FN:s flyktingorgan UNHCR beviljat flyktingstatus och som kommer till Sverige från något av FN:s flyktingläger. Migrationsverket har ansvar för att avgöra vilka personer som ska tas ut. Denna verksamhet innefattar praktiskt arbete med mottagande och bosättning i vilken en stor mängd personuppgifter behandlas.
Det torde som utredningen framhåller mycket sällan bli aktuellt för Polismyndigheten eller utlandsmyndigheterna att behandla personuppgifter för det nu föreslagna ändamålet. Skulle ett sådant behov uppkomma bör dock lagstiftningen utformas så att den inte lägga hinder i vägen för nödvändig personuppgiftsbehandling. Även Polismyndigheten och utlandsmyndigheterna bör därför omfattas av bestämmelsen.
Som konstateras i avsnitt 6.8 bör de primära ändamålsbestämmelserna innehålla ett behovskrav i stället för ett nödvändighetskrav.
6.9.4 Tillsyn m.m.
Regeringens förslag: Personuppgifter ska få behandlas i Migrationsverkets, Polismyndighetens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen om det behövs för att myndigheterna ska kunna framställa statistik och bedriva testverksamhet.
Regeringens bedömning: Det behövs inte något särskilt ändamål som reglerar myndigheternas möjlighet att behandla personuppgifter för att kunna utföra tillsyn, kontroll, uppföljning eller planering av verksamheten.
Utredningens förslag överensstämmer delvis med regeringens förslag och bedömning. Utredningen föreslår att även möjligheten att behandla personuppgifter för att kunna utföra tillsyn, kontroll, uppföljning eller planering av verksamheten ska regleras av en särskild ändamålsbestämmelse. Utredningen föreslår vidare ett nödvändighetskrav i stället för ett behovskrav.
Remissinstanserna: Remissinstanserna antingen tillstyrker förslaget eller lämnar det utan invändningar. Kammarrätten i Stockholm förordar att nödvändighetskravet i ändamålsbestämmelserna ersätts med ett behovskrav. Polismyndigheten anser att utredningens förslag om en särskild ändamålsbestämmelse för tillsyn m.m. väcker frågor om när behov av behandling för motsvarande ändamål finns inom polisdatalagens tillämpningsområde.
Skälen för regeringens förslag och bedömning: Liksom andra myndigheter, har de myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen ett behov av att behandla uppgifter inom verksamheten för att utöva tillsyn, kontroll, uppföljning och planering av verksamheten och för att kunna framställa statistik. Myndigheterna kan t.ex. behöva behandla personuppgifter för tillsyn av handläggningen av enskilda ärenden eller kontroll av delar av eller hela verksamheten. Behov finns också av personuppgiftsbehandling för utvärdering och planering av verksamheten på olika nivåer. Det kan till exempel röra sig om utvärdering av en viss del av verksamheten genom framställning av statistik med hjälp av uppgifter från ärendehanteringssystemet. Enligt förordningen (2007:996) med instruktion för Migrationsverket, ska verket föra register och statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Migrationsverket framställer även statistik till externa mottagare såsom riksdagen, Regeringskansliet, fackförbund, Eurostat och UNHCR. Myndigheterna har också ofta behov av att kunna använda personuppgifter i testverksamhet, t.ex. för att kontrollera att it-systemen fungerar på ett effektivt och rättssäkert sätt eller vid introducerandet av ny teknisk utrustning eller datasystem. Många gånger krävs sådana tester för att t.ex. Migrationsverket ska kunna delta i det europeiska samarbetet.
Utredningen föreslår att myndigheternas behov av att behandla personuppgifter för tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik och i testverksamhet ska regleras i en särskild ändamålsbestämmelse som uttryckligen tar sikte på dessa aktiviteter. I denna del gör regeringen följande överväganden. När det först gäller tillsyn, kontroll och uppföljning och planering av verksamheten uttalade Lagrådet i lagstiftningsärendet om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet att en ändamålsbestämmelse som tar sikte på planering, uppföljning och utvärdering av verksamheten var obehövlig (prop. 2004/05:164 s. 179). Lagrådet ansåg att sådan verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt. Någon motsvarande bestämmelse har av det skälet inte införts i polisdatalagen (2010:361) (se prop. 2009/10:85 s. 116) eller i den nya åklagardatalagen (2015:433) (se prop. 2014/15:63 s. 141), som träder i kraft den 1 januari 2016. Regeringen instämmer i utredningens ståndpunkt att det är angeläget att utlänningsdatalagens ändamålsbestämmelser är så tydliga som möjligt. Samtidigt finns det intresse av att myndigheternas personuppgiftshanteringsregler utformas på ett enhetligt sätt. Mot denna bakgrund anser regeringen att det inte finns tillräckliga skäl att göra en annan bedömning av hur det grundläggande regelverket bör utformas när det gäller verksamhet enligt utlännings- och medborgarskapslagstiftningen. Regeringen föreslår därför inte heller i utlänningsdatalagen något särskilt ändamål som avser tillsyn, kontroll, uppföljning eller planering av verksamheten.
När det sedan gäller behandling av personuppgifter för att framställa statistik och bedriva testverksamhet kan det visserligen hävdas att även sådan verksamhet många gånger måste anses ha ett sådant samband med verksamheten i övrigt att den inte skulle behöva regleras i en särskild ändamålsbestämmelse. Beträffande just testverksamhet inom ramen för utlännings- och medborgarskapslagstiftningen har dock regeringen nyligen gjort bedömningen att det bör införas en särskild ändamålsbestämmelse som reglerar den sortens verksamhet i förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (se ändringar i 3 och 9 §§ som infördes genom SFS 2015:310). När det gäller framställning av statistik delar regeringen utredningens bedömning att det av tydlighetsskäl är lämpligt att framställning av statistik särskilt omnämns i ändamålsbestämmelsen. Härigenom klargörs att personuppgifter får behandlas för statistikändamål oavsett om det handlar om att tillgodose den egna myndighetens behov eller om att framställa statistik för att kunna lämna över den till andra myndigheter. Mot denna bakgrund bör det alltså i utlänningsdatalagen införas särskilda ändamålsbestämmelser som avser framställning av statistik och testverksamhet.
Som konstateras i avsnitt 6.8 bör de primära ändamålsbestämmelserna innehålla ett behovskrav i stället för ett nödvändighetskrav.
6.9.5 Registrering och annan dokumentationsskyldighet
Regeringens förslag: Personuppgifter ska få behandlas i Migrationsverkets, Polismyndighetens och utlandsmyndigheternas verksamhet enligt utlännings- och medborgarskapslagstiftningen om det behövs för registrering och annan dokumentationsskyldighet.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår ett nödvändighetskrav i stället för ett behovskrav.
Remissinstanserna: Remissinstanserna antingen tillstyrker förslaget eller lämnar det utan invändningar. Kammarrätten i Stockholm förordar att nödvändighetskravet i ändamålsbestämmelserna ersätts med ett behovskrav.
Skälen för regeringens förslag: Viss personuppgiftsbehandling är nödvändig utan att den kan sägas direkt röra den konkreta kärnverksamheten enligt utlännings- och medborgarskapslagstiftningen. Till myndigheterna lämnas av olika anledningar uppgifter, däribland personuppgifter, som inte har betydelse för myndighetens handläggning eller bedömning av ett visst ärende. Det finns bestämmelser som medför skyldighet för den mottagande myndigheten att behandla inkommande personuppgifter, oavsett om de är nödvändiga för myndighetens verksamhet eller inte. De inlämnande uppgifterna kan till exempel utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400) gäller som huvudregel att allmänna handlingar som kommit in till en myndighet ska registreras, dvs. diarieföras, så snart som möjligt. I 5 kap. 2 § samma lag uppställs vissa minimikrav beträffande uppgifterna i ett sådant register. Av registret ska bland annat framgå uppgifter om handlingens avsändare eller mottagare och i korthet vad handlingen rör. I förvaltningslagen (1986:223) finns vissa regler om anteckningsskyldighet, parts rätt att ta del av det som tillförts ärendet och kommunikationsplikt. Vidare är en myndighet enligt 5 § andra stycket förvaltningslagen skyldig att se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bl.a. e-post och att svar kan lämnas på samma sätt. Dessa bestämmelser kan innebära att personuppgifter måste behandlas.
Eftersom de primära ändamålen bör regleras uttömmande behövs det, som utredningen föreslår, en ändamålsbestämmelse som tar sikte på myndigheternas skyldighet att registrera och på annat sätt dokumentera personuppgifter som kommer in till myndigheterna.
Som konstateras i avsnitt 6.8 bör de primära ändamålsbestämmelserna innehålla ett behovskrav i stället för ett nödvändighetskrav.
6.9.6 Återsökning av avgöranden, rättsutredningar, annan rättslig information m.m.
Regeringens förslag: Personuppgifter ska få behandlas hos Migrationsverket i verksamhet enligt utlännings- och medborgarskapslagstiftningen om det behövs för återsökning av avgöranden, rättsutredningar och annan rättslig information eller information som rör förhållanden i andra länder.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår ett nödvändighetskrav i stället för ett behovskrav.
Remissinstanserna: De flesta remissinstanser antingen godtar förslaget eller lämnar det utan invändningar. Kammarrätten i Stockholm förordar att nödvändighetskravet i ändamålsbestämmelserna ersätts med ett behovskrav. Datainspektionen anser inte att det bör vara tillåtet behandla personuppgifter som direkt pekar ut den enskilde.
Skälen för regeringens förslag: Enligt 8 § i den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen får Migrationsverket föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Verket får enligt 12 § vidare föra ett register för återsökning av information som lämnats rörande förhållanden i andra länder.
För Migrationsverket är tillgången till aktuell rättspraxis och uppdaterad information om länder nödvändig för att myndigheten ska kunna fatta korrekta beslut i enlighet med gällande praxis och i övrigt bedriva verksamheten så effektivt och rättssäkert som möjligt. Tjänstemän och beslutsfattare på Migrationsverket bör därför, som utredningen föreslår, även i fortsättningen ha möjlighet att behandla personuppgifter för ändamålet att söka avgöranden, rättsutredningar, annan rättslig information samt information som rör förhållanden i andra länder.
I dag är möjligheten att behandla personuppgifter för detta ändamål begränsad på så sätt att informationssamlingen inte får innehålla uppgifter som direkt pekar ut den enskilde. Utredningen föreslår att den begränsningen inte ska föras över till utlänningsdatalagen. Enligt utredningen innebär i stället det generella kravet på att behandlingen ska vara nödvändig samt den föreslagna hänvisningen till bestämmelserna i 9 § första stycket e och f personuppgiftslagen (1998:204) en tillräcklig begränsning. Enligt dessa bestämmelser har den personuppgiftsansvarige ett ansvar att se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än vad som är nödvändigt. Datainspektionen motsätter sig förslaget, bl.a. eftersom det innebär att Migrationsverket, till skillnad från i dag, självt kommer att kunna bedöma behovet av att ha kvar direkt utpekande personuppgifter.
Som utredningen lyfter fram måste det generella kravet på att personuppgiftsbehandling bara ska få ske om det behövs med hänsyn till ändamålet och de föreslagna hänvisningarna till 9 § första stycket e och f personuppgiftslagen i de flesta fall anses innebära att personuppgifter måste avidentifieras eller i vart fall att uppgifter som direkt utpekar en individ utelämnas. Som Datainspektionen framför blir konsekvensen av utredningens förslag att Migrationsverket får en möjlighet som inte finns i dag att bedöma om uppgifter som direkt pekar ut den enskilde ska få behandlas. Enligt regeringen kan dock en sådan utvidgning framstå som rimlig. I rättsfallssamlingar är identiteten på en person oftast oväsentlig för informationsvärdet. Däremot kan det vara nödvändigt att behandla titlar på domar från exempelvis EU-domstolen och Europadomstolen även om de innehåller ett namn på en person. Ett förbud att hantera personuppgifter som direkt pekar ut den enskilde kan onödigtvis försvåra hanteringen av sådana avgöranden. Det får förutsättas att Migrationsverket hanterar möjligheten att behandla personuppgifter som direkt pekar ut den registrerade med återhållsamhet. I detta sammanhang kan framhållas att regeringen i avsnitt 6.6.2 föreslår att utlänningsdatalagen ska hänvisa till vissa bestämmelser i personuppgiftslagen som rör tillsynsmyndighetens befogenheter. Enligt dessa bestämmelser kan Datainspektionen ingripa mot och förbjuda personuppgiftsbehandling som utförs av bl.a. Migrationsverket. Sammanfattningsvis delar regeringen utredningens bedömning att förbudet mot att behandla direkt utpekande uppgifter inte bör överföras till utlänningsdatalagen.
Som konstateras i avsnitt 6.8 bör de primära ändamålsbestämmelserna innehålla ett behovskrav i stället för ett nödvändighetskrav.
6.9.7 Behandling av uppgifter för att tillhandahålla information till andra
Regeringens förslag: Personuppgifter som får behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska även få behandlas när det är nödvändigt för att tillhandahålla information till
- riksdagen eller regeringen,
- en annan myndighet eller en enskild,
- en utländsk myndighet,
- ett EU-organ, eller
- en mellanfolklig organisation.
En förutsättning ska vara att utlämnandet följer av lag eller förordning, av Sveriges medlemskap i EU, av en internationell konvention som Sverige tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
För att tillhandahålla information till andra för andra ändamål än de ovan uppräknade ska uppgifter få behandlas endast om det nya ändamålet i det enskilda fallet inte kan anses oförenligt med det ändamål som uppgifterna samlades in för.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår dock inte att tillhandahållande av information till riksdagen eller regeringen särskilt ska anges i lagtexten.
Remissinstanserna: De flesta remissinstanser antingen godtar förslaget eller lämnar det utan invändningar. Kammarrätten i Stockholm förordar att nödvändighetskravet i ändamålsbestämmelserna ersätts med ett behovskrav. Polismyndigheten efterfrågar ytterligare ett sekundärt ändamål som tillåter myndigheten att tillhandahålla uppgifter som behandlas med stöd av de primära ändamålsbestämmelserna till den brottsbekämpande verksamheten inom Polismyndigheten.
Skälen för regeringens förslag
Allmänt
I avsnitten 6.9.1-6.9.6 redovisas vilka de primära ändamålen bör vara. I detta avsnitt diskuteras vilka sekundära ändamål som bör anges i utlänningsdatalagen, dvs. i vilken mån personuppgiftsbehandling ska få ske för att möta andras behov av uppgifter från de myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen. I och med att regleringen av de sekundära ändamålen inte föreslås vara uttömmande finns det även ett visst utrymme för att tillhandahålla uppgifter för andra ändamål än de i lagen angivna, under förutsättning att det nya ändamålet inte kan anses oförenligt med insamlingsändamålet (finalitetsprincipen).
Det bör betonas att uppgiftsutlämnande många gånger kan ske inom ramen för något av de primära ändamålen, exempelvis när uppgiftslämnande är en del av myndigheternas handläggning av ärenden.
Som konstateras i avsnitt 6.8 bör de sekundära ändamålsbestämmelserna innehålla ett nödvändighetskrav.
Tillhandahållande av information med stöd av lag eller förordning
Migrationsverket, Polismyndigheten och utlandsmyndigheterna behandlar inte enbart uppgifter för egen del utan även genom utlämnande till andra. Uppgiftslämnande kan ske av olika anledningar.
Det finns en rad olika författningar som föreskriver en uppgiftsskyldighet för myndigheterna, dvs. att myndigheterna ska lämna ut uppgifter i vissa angivna situationer. För det första är myndigheterna i vissa fall skyldiga att lämna ut uppgifter till vissa utpekade myndigheter. Till exempel har Försäkringskassan och Pensionsmyndigheten enligt 17 kap. 3 § utlänningslagen rätt att ta del av uppgifter om enskilda hos Migrationsverket. Ett annat exempel är att Migrationsverket ska lämna vissa uppgifter om utlänningar till Centrala studiestödsnämnden enligt 30 § förordningen (1990:1361) för prövning av lån till hemutrustning för flyktingar och vissa andra utlänningar. Av 10 kap. 28 § offentlighets- och sekretesslagen framgår att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiftsskyldighet följer av lag eller förordning.
Myndigheter är vidare i vissa fall enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. En myndighet är till exempel enligt reglerna i 2 kap. tryckfrihetsförordningen skyldig att lämna ut personuppgifter som är allmänna handlingar, om inte sekretess gäller för uppgifterna. En skyldighet att lämna uppgifter kan även följa av bestämmelser i offentlighets- och sekretesslagen. Enligt 6 kap. 5 § samma lag ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.
Vidare finns det ett antal författningar med bestämmelser som medför att uppgifter får lämnas ut. Bestämmelserna innebär således inte, som de ovan beskrivna, en uppgiftsskyldighet, utan enbart att utlämnande är tillåtet. Ett exempel på en sådan bestämmelse är 10 kap. 15 § offentlighets- och sekretesslagen. I bestämmelsen anges att sekretess inte hindrar att uppgift lämnas till regeringen eller riksdagen. Vidare finns i 10 kap. 27 § samma lag en generalklausul som innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda.
Myndigheterna lämnar inte enbart ut uppgifter för att tillgodose andras behov. En myndighet kan även lämna ut uppgifter på eget initiativ, till exempel för att kunna utföra en uppgift i den egna verksamheten. Det kan till exempel ske med stöd av 10 kap. 2 § offentlighets- och sekretesslagen, som anger att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Ett annat exempel är 10 kap. 18 § samma lag, som anger att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiften behövas där för förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat rättsligt förfarande vid myndighet mot någon rörande hans eller hennes deltagande i verksamheten vid den myndighet där uppgiften förekommer.
När bestämmelser om uppgiftslämnande har införts i lagstiftningen får det förutsättas att det gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Som utredningen föreslår, bör det därför i utlänningsdatalagen införas en bestämmelse som medger att uppgifter som får behandlas för något av de primära ändamålen får lämnas ut till andra myndigheter eller enskilda om uppgiften ska eller får lämnas ut med stöd av lag eller förordning. Bestämmelsen bör även kompletteras på så sätt att det anges att uppgifter får behandlas för att tillhandahålla information till riksdagen eller regeringen.
Tillhandahållande av personuppgifter till utländska myndigheter och organ
Samarbetet inom EU och det internationella samarbetet i övrigt på utlänningslagstiftningens område blir alltmer omfattande. Samverkan över gränserna innebär att svenska myndigheter i allt högre utsträckning behandlar uppgifter genom utlämnande till myndigheter i andra länder. När det gäller EU-samarbetet är mycket av den personuppgiftshantering som sker reglerad i särskilda förordningar som gäller som svensk lag. För att nödvändigt uppgiftslämnande ska kunna ske i det fall sådana särskilda bestämmelser saknas, bör det som utredningen föreslår införas en särskild ändamålsbestämmelse som tillåter att uppgifter behandlas genom att lämnas ut enligt bestämmelser som följer av Sveriges medlemskap i EU. Som utredningen föreslår bör en motsvarande ändamålsbestämmelse införas som medger uppgiftlämnande som sker med stöd av förpliktelser i konventioner eller av riksdagen godkända avtal med främmande stat eller mellanfolkliga organisationer.
Om sekretess gäller för uppgiften får, enligt 8 kap. 3 § offentlighets- och sekretesslagen (2009:400), uppgiften inte röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnande sker i enlighet med särskild föreskrift i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.
Ytterligare sekundära ändamål?
Polismyndigheten efterfrågar ytterligare ett sekundärt ändamål som medger Polismyndigheten att tillhandahålla uppgifter som behandlas enligt den primära ändamålsbestämmelsen till den brottsbekämpande verksamheten inom Polismyndigheten. Enligt regeringens mening kan det finnas skäl att överväga en sådan komplettering för att Polismyndighetens arbete ska kunna bedrivas effektivt. De närmare förutsättningarna för sådan vidarebehandling måste emellertid övervägas ytterligare. Det finns inte utrymme för att göra sådana överväganden inom ramen för detta lagstiftningsärende, men regeringen avser att återkomma till frågan i ett annat sammanhang.
6.10 Migrationsverkets register över fingeravtryck och fotografier
Regeringens förslag: Utlänningsdatalagen ska innehålla särskilda bestämmelser som uttömmande reglerar för vilka ändamål fingeravtryck och fotografier som tagits med stöd av utlänningslagen får behandlas.
Enligt de särskilda bestämmelserna ska Migrationsverket få föra separata register över fingeravtryck och fotografier som tagits med stöd av utlänningslagen.
Uppgifter ur registren ska få användas vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1-2 a §§ utlänningslagen (skyddsskäl) åberopas, i ärenden om avvisning och utvisning samt i testverksamhet.
Uppgifter om fingeravtryck ska även få behandlas om det behövs för att Migrationsverket ska kunna kontrollera fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt polisdatalagen.
Migrationsverkets fotografiregister ska också få användas om det behövs för att kontrollera en persons identitet på ett fotografi som kommit in till verket.
En upplysningsbestämmelse om att regeringen kan meddela ytterligare bestämmelser om vilka uppgifter som får behandlas i registren och bestämmelser om gallring ska införas.
Migrationsverket ska kunna överföra uppgifter om fingeravtryck till Polismyndigheten och Polismyndigheten ska kunna överföra uppgifter om fingeravtryckjämförelse till Migrationsverket. Särskilda uppgiftsskyldigheter som ger stöd för sådan överföring ska införas.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår ett nödvändighetskrav i stället för ett behovskrav när det gäller Migrationsverkets kontroll mot Polismyndighetens fingeravtrycks- och signalementsregister.
Remissinstanserna: De flesta remissinstanser antingen godtar förslaget eller lämnar det utan invändningar. Kammarrätten i Stockholm förordar att nödvändighetskravet i bestämmelsen om Migrationsverkets möjlighet till kontroll i Polismyndighetens fingeravtrycks- och signalementsregister ersätts med ett behovskrav. Domstolen ifrågasätter också om Migrationsverket bör vara personuppgiftsansvarigt för verkets fingeravtrycksregister, eftersom verket varken har tillgång till eller kontroll över registret. Vidare anser domstolen att det rättsliga förhållandet mellan Migrationsverket och Polismyndigheten när det gäller ansvaret för Migrationsverkets fingeravtrycksregister bör övervägas närmare i det fortsatta lagstiftningsarbetet.
Datainspektionen avstyrker utredningens förslag att införa en möjlighet för Migrationsverket att jämföra uppgifter i fotografiregistret med till verket inkomna fotografier. Inspektionen efterlyser vidare en djupare analys av de integritetsrisker Migrationsverkets åtkomst till Polismyndighetens fingeravtrycksregister kan medföra. Inspektionen anser också att reglerna om gallring i registret i stället ska ges lagform.
Sveriges advokatsamfund avstyrker förslaget att Migrationsverket ska tillåtas kontrollera fingeravtryck som verket tagit mot Polismyndighetens register och förslaget till ändring i polisdatalagen. Enligt samfundet saknas det underlag för att sådana slagningar skulle underlätta Migrationsverkets arbete med att fastställa asylsökandes identitet. Det är, enligt samfundet, osannolikt att personer skulle ha registrerats i polisens fingeravtrycksregister utan att även registreras i Migrationsverkets register vid in- eller utresa från Sverige.
Säkerhets- och integritetsskyddsnämnden anser att det bör förtydligas i vilken utsträckning Polismyndigheten och Migrationsverket kommer att behandla uppgifter gemensamt i något system, och att frågan om personuppgiftsansvarets fördelning i sådana system bör utvecklas ytterligare.
Skälen för regeringens förslag
Migrationsverkets behandling av fingeravtryck och fotografier bör särregleras
I nu gällande förordning (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen är Migrationsverkets behandling av fingeravtryck och fotografier reglerad i en särskild bestämmelse. Av 9 § följer att Migrationsverket får föra ett register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen. Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skyddsskäl åberopats, i ärenden om avvisning och utvisning samt i testverksamhet.
Migrationsverket registrerar och lagrar fotografier i den centrala ut-länningsdatabasen (CUD) som ägs av och finns hos Migrationsverket. När det gäller fingeravtryck för Migrationsverket ett särskilt register. Både Migrationsverkets fingeravtrycksregister och Polismyndighetens fingeravtrycksregister är lokaliserat hos Polismyndigheten och lagras i ett automatiserat identifieringssystem för fingeravtryck (AFIS). Registren är tekniskt separerade från varandra och Migrationsverkets fingeravtryck lagras i vad som benämns B-filen medan Polismyndighetens fingeravtryck lagras i den s.k. A-filen. Utöver fingeravtryck finns även viss annan information om namn, födelsetid, nationalitet m.m. registrerad i registren. Det är endast Polismyndigheten (i praktiken ett fåtal personer) som har tillgång till Migrationsverkets fingeravtryck i B-filen. För åtkomst till B-filen krävs det en särskild behörighet och tillgång till särskilt anpassade arbetsstationer och programvaror. I praktiken är det alltså Polismyndigheten som handhar, förvaltar och underhåller B-filen genom en överenskommelse mellan Migrationsverket och Polismyndigheten. Verket har således ingen möjlighet att registrera, radera eller komma åt uppgifter i sitt eget fingeravtrycksregister utan hjälp av Polismyndigheten. Polismyndigheten är alltså personuppgiftsbiträde för den behandling av personuppgifter som utförs i B-filen. Ett skriftligt personuppgiftsbiträdes- och säkerhetsavtal har ingåtts mellan Polismyndigheten och Migrationsverket om denna behandling.
Mot bakgrund av den praktiska hanteringen av fingeravtryck kan, som Kammarrätten i Stockholm och Säkerhets- och integritetsskyddsnämnden anser, diskuteras vilken myndighet som ska anses vara personuppgiftsansvarig för Migrationsverkets fingeravtrycksregister. Frågan om vem som är personuppgiftsansvarig ska bedömas utifrån de faktiska omständigheterna i det enskilda fallet. En personuppgiftsansvarig myndighet får anses utföra en behandling även om den faktiska hanteringen av personuppgifter har överlämnats till ett personuppgiftsbiträde. Det har heller inte framkommit att den modell för samarbete som tillämpas mellan Migrationsverket och Polismyndigheten har lett till några praktiska problem. Mot den bakgrunden bör, som också utredningen anser, Migrationsverket anses som personuppgiftsansvarig för sitt fingeravtrycksregister även om Migrationsverket till följd av det tekniska upplägget endast kan få åtkomst till registret genom Polismyndighetens medverkan.
Av avsnitt 6.1 framgår att utgångspunkten bör vara att utlänningsdatalagen ska vara teknikneutral och att lagen ska reglera all helt eller delvis automatiserad behandling av personuppgifter och uppgifter i manuella register. Av det följer att målsättningen är att undvika särreglering av vissa personuppgiftssamlingar eller viss typ av personuppgiftsbehandling. Utredningen föreslår dock att det trots den utgångspunkten, liksom gäller i dag, bör införas en särreglering av Migrationsverkets behandling av fingeravtryck och fotografier. Avgörande för utredningens bedömning är de speciella rutiner som gäller för Migrationsverkets register över fingeravtryck och den konstruktion som valts för registerföringen. Som framgår ovan är uppgifterna i Migrationsverkets register över fingeravtryck avskilda från Migrationsverkets ärendehanteringssystem och andra datasystem hos verket. Fingeravtryck är också personuppgifter av ett speciellt slag, eftersom de kräver användning av speciell teknik för att kunna behandlas.
Regeringen delar utredningens uppfattning att dessa omständigheter talar för att även i utlänningsdatalagen särreglera personuppgiftsbehandlingen avseende fingeravtryck. Som utredningen föreslår är det vidare lämpligt att införa särregler även för Migrationsverkets hantering av fotografier, även om dessa är skilda från fingeravtrycken och hanteras av Migrationsverket i den centrala utlänningsdatabasen (CUD). Migrationsverkets personuppgiftsbehandling av fingeravtryck och fotografier som tagits med stöd av 9 kap. 8 § utlänningslagen bör regleras uttömmande i den särregleringen. Den bör därför alltså inte därutöver få ske med stöd av de primära och sekundära ändamålsbestämmelser som föreslås i avsnitt 6.9 och som gäller för övriga personuppgifter. Regeringen återkommer i det följande till för vilka ändamål fingeravtryck och fotografier ska få behandlas.
De tillåtna ändamålen för behandling av fingeravtryck och fotografier bör i princip vara desamma som i dag
Utredningen föreslår att de ändamål för hanteringen av fingeravtryck och fotografier som i dag gäller enligt förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska föras över till utlänningsdatalagen. Regeringen ansluter sig till det förslaget. Liksom tidigare bör alltså behandling av fingeravtryck och fotografier få ske vid prövning av ansökningar om uppehållstillstånd där sådana skyddsskäl som avses i 4 kap. 1-2 a §§ utlänningslagen åberopas, i ärenden om avvisning och utvisning samt i testverksamhet. Utredningen föreslår emellertid också en utvidgning av ändamålen i förhållande till vad som gäller i dag. I det följande behandlar regeringen utredningens förslag till utvidgning.
Jämförelser av fotografier
Migrationsverket får in ett stort antal underrättelser, tips och identitetshandlingar från myndigheter och privatpersoner rörande olika personer. Sådan information kan exempelvis lämnas av Polismyndigheten med stöd av bestämmelser om underrättelseskyldighet i 6 kap. 14 § och 7 kap. 2 och 3 §§ utlänningsförordningen. I dessa handlingar finns ibland kopior på identitetshandlingar med fotografier.
I 5 kap. 1-4 §§ offentlighets- och sekretesslagen finns de grundläggande bestämmelserna om myndigheternas skyldighet att registrera allmänna handlingar. Av bestämmelserna följer bland annat att allmänna handlingar som huvudregel ska registreras så snart de har kommit in till eller upprättats hos en myndighet. Bl.a. ska det datum då handlingen kom in eller upprättades antecknas och det diarienummer eller annan beteckning handlingen fått vid registreringen anges. I förekommande fall ska uppgifter framgå om handlingens avsändare eller mottagare och i korthet vad handlingen rör. Myndigheternas skyldighet att registrera allmänna handlingar ska fylla den funktionen att allmänheten kan få vetskap om vilka handlingar som finns hos en myndighet.
I många fall kan Migrationsverket endast efter mycket arbete eller i vissa fall inte alls koppla inkomna underrättelser, fotografier och tips till någon fysisk person som finns registrerad hos verket med hjälp av enbart skriftliga uppgifter. Det kan bland annat bero på att personerna har använt sig av falska identiteter vid asylansökan. Vidare kan namnet, födelsedata, medborgarskap m.m. vara felaktigt angivet. I de fall någon koppling inte kan göras till ett ärende läggs handlingarna i det allmänna diariet.
För att öka effektiviteten vid registreringen har Migrationsverket i testmiljö tagit fram ett fotojämförelseprogram, som är tänkt att användas som ett komplement till de sedvanliga sökningarna. Det har vid genomförda tester framkommit att träffrekvensen vid de automatiserade fotojämförelserna är förhållandevis hög. Genom jämförelseprogrammet generas en lista med 20-50 kandidater att välja manuellt ifrån. Vid en eventuell träff görs sedan en fotojämförelse med sakkunnigutlåtande där två identiteter kan kopplas samman. Med hjälp av fotojämförelseprogrammet kan alltså ytterligare handlingar, till exempel fotografier, kopplas till fysiska personer som förekommer i ärenden hos verket.
I dag finns det inget stöd i förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen för den personuppgiftsbehandling som fotojämförelsen innebär. Mot denna bakgrund har Migrationsverket i en framställning till Justitiedepartementet (dnr Ju 2014/3918/L7), efterfrågat ett rättsligt stöd i förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen för att få göra automatiserade jämförelser av foton för att kunna uppfylla skyldigheten att kunna diarieföra en inkommen handling under rätt ärende. Migrationsverket anser att användande av fotojämförelser medför att Migrationsverket skulle kunna utföra skyldigheten att diarieföra en inkommen allmän handling på ett bättre sätt än vad verket gör i dag och att identitetsarbetet skulle bli effektivare. Detta medför enligt Migrationsverket även att handläggningstiderna i asylprocessen skulle kunna förkortas, eftersom fler uppenbart ogrundade asylansökningar skulle kunna upptäckas, identiteten på fler personer skulle kunna fastställas och arbetet med återresor skulle kunna effektiviseras. Vidare skulle enligt verket färre alias- och dubbeldossierer behöva skapas och fler personer skulle även kunna registreras som konstaterat utresta.
Regeringen delar Migrationsverkets uppfattning om att det är viktigt att inkomna fotografier på ett så enkelt och smidigt sätt som möjligt kan registreras och hänföras till ett ärende som eventuellt redan finns beträffande den person som fotografiet avser. En ordning som tillåter fotojämförelser i Migrationsverkets fotografiregister skulle kunna effektivisera myndighetens arbete och därmed i förlängningen förkorta asylprocessen i vissa fall. Goda skäl talar därför för att Migrationsverket bör få kunna jämföra ingivna fotografier med verkets register över fotografier om osäkerhet råder om identiteten på den person som finns på fotografiet. Regeringen delar vidare utredningens uppfattning att sådana jämförelser knappast kan innebära några integritetsrisker för den enskilde. I stället bör en säkrare identitetsanalys av inkomna fotografier snarast gynna enskildas integritet, genom att risken för oklarheter och missförstånd om enskildas identitet minskar. Det kan givetvis, som Datainspektionen lyfter fram, inträffa att jämförelsen mellan ett till verket inkommet fotografi och uppgiften i fotografiregistret leder till att fotografier som i själva verket föreställer två olika personer bedöms avse samma person. Sådana felaktigheter kan dock antas snabbt upptäckas i den fortsatta handläggningen och borde inte medföra några större olägenheter för den enskilde. Som utredningen föreslår bör därför fotografiregistret om det behövs få användas av Migrationsverket för att kontrollera identiteten av en person på ett till verket inkommet fotografi.
Kontroll mot Polismyndighetens fingeravtrycksregister
Enligt 9 kap. 8 § utlänningslagen får Migrationsverket eller Polismyndigheten fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige, om utlänningen ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller om det finns grund för att besluta om förvar.
De fingeravtryck som Migrationsverket tar med stöd av 9 kap. 8 § utlänningslagen kontrolleras i dag mot Eurodac samt mot Migrationsverkets eget och Polismyndighetens fingeravtrycks- och signalementsregister. Syftet med kontrollerna är dels att fastställa ansvarig medlemsstat enligt exempelvis Dublinförordningen, dels att fastställa utlänningens identitet.
Polismyndigheten och Migrationsverket har ansett att det redan i dag finns stöd för Migrationsverkets kontroll i Polismyndighetens fingeravtrycksregister i 2 kap. 8 § första stycket 6 b polisdatalagen (2010:361). Myndigheterna framhåller dock samtidigt att de anser att denna reglering är otydlig, varför de efterfrågar en uttrycklig reglering av möjligheten till kontroll. Polismyndigheten har därför tillsammans med Migrationsverket i en framställning till Justitiedepartementet (dnr Ju2014/06091/L4) föreslagit att lagstiftningen kompletteras med en uttrycklig rätt för Migrationsverket att ta del av Polismyndighetens fingeravtrycks- och signalementsregister för jämförelse.
Som också utredningen anser har Migrationsverket ett berättigat intresse av att kontrollera sina fingeravtryck mot Polismyndighetens fingeravtrycksregister. En sådan sökning visar om personen är känd av polisen sedan tidigare som (i Sverige) dömd eller misstänkt gärningsman. En sådan sökning kan även i vissa fall visa om en person är internationellt efterlyst av Interpol. Liksom för sökningen mot Migrationsverkets eget register bedömer regeringen att sökningen mot Polismyndighetens register kan utgöra en viktig del i arbetet att klarlägga identiteten, genom att det där finns uppgifter om namn, nationalitet m.m. Sökningen kan därmed på samma sätt som en sökning i Migrationsverkets eget register bidra till att verifiera tidigare känd identitet eller, om annan identitet påträffas, aktualisera ytterligare utredning. Informationen kan också vara av vikt inför utredningssamtal på så sätt att man kan vidta eventuella åtgärder exempelvis i fall då en sökande varit dömd för våldsbrott. I vissa fall kan även en träff mot fingeravtryck insända från Interpol hjälpa den sökande att styrka asylskäl om exempelvis efterlysningen är utfärdat av en stat där dödsstraff utmäts.
Vid bedömningen om Migrationsverket även fortsättningsvis bör få ta del av uppgifter från Polismyndighetens fingeravtrycksregister måste bl.a. även övervägas vilka integritetsrisker som en sådan personuppgiftsbehandling kan medföra.
Uppgifterna i Polismyndighetens fingeravtrycks- och signalementsregister har samlats in av en annan myndighet för andra ändamål än de som Migrationsverket avser att behandla dem för. Fingeravtrycken i Polismyndighetens register har bl.a. samlats in för brottsbekämpande ändamål från personer som är misstänkta eller dömda för brott eller i utredningar om brott där fingeravtryck inte kan hänföras till en identifierbar person. Ändamålet med Migrationsverkets behandling av uppgifterna är däremot främst att försöka fastställa utlänningens identitet. Att Migrationsverket får ta del av personuppgifter som samlats in av Polismyndigheten kan därför i sig innebära ett intrång i den personliga integriteten. En annan aspekt är att redan den omständigheten att en enskild är registrerad i Polismyndighetens fingeravtrycks- och signalementsregister och att Migrationsverket får kännedom om detta kan vara känslig för den enskilde.
Integritetsriskerna måste dock bedömas mot bakgrund av att kontroller mot Polismyndighetens fingeravtrycks- och signalementsregister görs redan i dag. Utredningen har inte identifierat några omständigheter som tyder på att förfarandet innebär några egentliga risker för obehöriga intrång i de enskildas personliga integritet så länge de grundläggande kraven på behandling av personuppgifter iakttas. De integritetsrisker som behandlingen kan innebära för de enskilda personerna bör enligt utredningens bedömning även framöver kunna hanteras på ett tillfredsställande sätt av Migrationsverket. Regeringen gör därför liksom utredningen bedömningen att det i utlänningsdatalagen bör införas ett uttryckligt stöd för Migrationsverket att behandla uppgifter om fingeravtryck i syfte att jämföra dem med uppgifter i Polismyndighetens fingeravtrycks- och signalementsregister. I avsnitt 6.8 gör regeringen bedömningen att nödvändighetskravet i de primära ändamålsbestämmelserna bör bytas mot ett behovskrav. Motsvarande bedömning görs beträffande Migrationsverkets möjlighet att kontrollera fingeravtryck mot Polismyndighetens fingeravtrycks- och signalementregister.
Sekretess
Uppgifter om fingeravtryck kan som utredningen framhåller vara sekretessbelagda hos verket med stöd av 37 kap. 1 § offentlighets- och sekretesslagen. Som utredningen föreslår bör det därför införas uppgiftsskyldigheter med sekretessbrytande verkan som tar sikte på den överföring av uppgifter om fingeravtryck från Migrationsverket till Polismyndigheten som sker för registrering och för jämförelse med Polismyndighetens fingeravtrycksregister. Som utredningen också föreslår bör bestämmelsen utformas som en rätt för Polismyndigheten att ta del av uppgifter hos Migrationsverket. Det innebär i sin tur en skyldighet för Migrationsverket att lämna uppgifterna till Polismyndigheten. Utredningen föreslår att uppgiftsskyldigheten ska placeras i 17 kap. utlänningslagen (2005:716). Enligt regeringens mening är det dock mer lämpligt att den införs i utlänningsdatalagen. Regeringen återkommer till denna uppgiftsskyldighet i avsnitt 6.15.
Migrationsverket har ett behov av att ta del av resultatet av en fingeravtrycksjämförelse i Polismyndighetens fingeravtrycksregister. För att regler om sekretess inte ska hindra en sådan informationsöverföring bör vidare, som utredningen föreslår, en uppgiftsskyldighet införas i polisdatalagen.
En upplysningsbestämmelse
Utredningen föreslår att det i anslutning till reglerna om Migrationsverkets register över fingeravtryck och fotografier ska införas en upplysningsbestämmelse om att regeringen kan meddela närmare föreskrifter om vilka uppgifter som får behandlas i registret och om gallring. I avsnitt 6.11.1 nedan föreslår regeringen att utlänningsdatalagen inte ska specificera vilka kategorier av personuppgifter som ska få behandlas. Detta bör i stället övervägas i förordning. Motsvarande bedömning görs för Migrationsverkets register över fingeravtryck och fotografier. När det gäller gallring av uppgifter bedömer regeringen i avsnitt 6.17 att det inte ska finnas särskilda gallringsregler i utlänningsdatalagen. I stället bör som huvudregel bestämmelserna i arkivlagen tillämpas. Regeringen instämmer dock i utredningens bedömning att det kan finnas behov av att införa vissa gallringsregler som tar sikte på fingeravtryck och fotografier. Sådana gallringsbestämmelser behöver kunna utformas på ett sätt som är anpassat till den tekniska utvecklingen och Migrationsverkets över tid varierande behov. Regeringen instämmer även i utredningens bedömning att det är mest ändamålsenligt att sådana gallringsregler får ges på förordningsnivå. Sammanfattningsvis föreslår därför regeringen en upplysningsbestämmelse i huvudsak i enlighet med utredningens förslag.
6.11 Personuppgifter som får behandlas
6.11.1 Ingen specificering av vilka typer av uppgifter som får behandlas
Regeringens bedömning: Utlänningsdatalagen bör inte ange vilka kategorier av personuppgifter som får behandlas.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanser antingen delar utredningens bedömning eller lämnar den utan invändningar. Datainspektionen anser att förslaget att ta bort den tidigare uppräkningen av kategorier av personuppgifter som får behandlas innebär ett försämrat integritetsskydd där möjligheterna att behandla personuppgifter sannolikt ökar.
Skälen för regeringens bedömning: Vissa författningar med bestämmelser om personuppgiftshantering innehåller en specifikation av vilka kategorier av personuppgifter som får behandlas. Sådana bestämmelser finns t.ex. i dag i 4 och 10 §§ förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. I andra författningar specificeras emellertid inte vilka personuppgifter som får eller inte får behandlas i en viss verksamhet. I stället avgörs detta utifrån ändamålsbestämmelserna. Ett exempel på där denna lagstiftningsteknik delvis används är polisdatalagen (2010:361).
Som utredningen redogör för kan det ur ett integritetsskyddsperspektiv finnas fördelar med en reglering som tydligt specificerar de personuppgifter som får behandlas. Det gäller särskilt när det rör sig om personuppgiftsbehandling i ett register i traditionell mening, dvs. att uppgifter förs in i en uppgiftssamling på ett systematiskt sätt enligt särskilda kriterier och att de är sökbara med särskilda sökord, koder eller liknande. Sådan reglering finns t.ex. när det gäller Polismyndighetens fingeravtrycks- och signalementregister (4 kap. 13 § polisdatalagen).
Som utredningen anför är emellertid den ärendehantering som sker hos Migrationsverket inte anpassad till traditionella register. Verket tillämpar ett ärendehanteringssystem där all information om en person samlas i en dossier. Den behandling som sker i verksamhet enligt utlännings- och medborgarskapslagstiftningen är även omfattande och mångsidig. Att under sådana omständigheter specificera vilka kategorier av uppgifter som ska få behandlas kan vara både svårt och opraktiskt, eftersom uppräkningen ofta kan komma att behöva ändras om behovet hos den personuppgiftsbehandlande myndigheten förändras. Vid en sammantagen bedömning anser regeringen därför liksom utredningen att utlänningsdatalagen inte bör innehålla bestämmelser som specificerar vilka kategorier av personuppgifter som får behandlas. I stället bör de ändamålsbestämmelser som föreslås i avsnitt 6 och de grundläggande bestämmelserna i 9 § personuppgiftslagen (1998:204), som utlänningsdatalagen föreslås hänvisa till, vara avgörande för vilka uppgifter som får behandlas. Regeringen kommer dock att överväga begränsningar i förordning av vilka kategorier av uppgifter som ska få behandlas.
6.11.2 Särskilt om känsliga personuppgifter
Regeringens förslag: Känsliga personuppgifter som anges i 13 § personuppgiftslagen ska få behandlas endast om det är absolut nödvändigt för de ändamål som anges i utlänningsdatalagen.
Känsliga personuppgifter ska aldrig få behandlas för testverksamhet eller återsökande av avgöranden, rättsutredningar och annan rättslig information. Vid återsökning av information som rör förhållanden i andra länder får känsliga personuppgifter behandlas bara i löpande text.
Det införs en upplysningsbestämmelse om att regeringen kan meddela ytterligare föreskrifter som begränsar användningen av känsliga personuppgifter.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att känsliga personuppgifter ska få behandlas också om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen och om den registrerade på ett tydligt sätt själv offentliggjort uppgifterna. Utredningen föreslår även att känsliga personuppgifter ska få behandlas för att utföra testverksamhet.
Remissinstanserna: De flesta remissinstanser antingen godtar förslaget eller lämnar det utan invändningar. Kammarrätten i Stockholm anser att det inte är lämpligt att använda begreppet absolut nödvändigt i lagtext. I stället bör begreppen behövligt och nödvändigt användas. Även Sveriges advokatsamfund anser att begreppet absolut nödvändigt är olämpligt eftersom det lämnar ett brett tolkningsutrymme för de tillämpande myndigheterna. Samfundet förordar i stället att hänvisningen till 15 § personuppgiftslagen tas bort och ersätts med en precisering av vilka personuppgifter som över huvud taget får behandlas. Datainspektionen anser att utredningens analys av integritetsriskerna med behandling av känsliga personuppgifter är bristfällig och att det saknas underlag för att bedöma Migrationsverkets behov av att kunna behandla känsliga personuppgifter i testverksamhet.
Säkerhets- och integritetsskyddsnämnden vill betona vikten av att en restriktiv tillämpning av möjligheten till behandling av känsliga personuppgifter upprätthålls trots att det handlar om en verksamhet där känsliga personuppgifter är vanligt förekommande.
Skälen för regeringens förslag
Allmänt om känsliga personuppgifter
Det är enligt 13 § personuppgiftslagen (1998:204) som huvudregel förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.
Det finns dock ett antal undantag från förbudet i 14-20 §§ personuppgiftslagen. Det följer vidare av artikel 8.4 i dataskyddsdirektivet att medlemsstaterna, under förutsättning att lämpliga skyddsåtgärder vidtas, av hänsyn till ett viktigt allmänt intresse kan besluta om andra undantag, antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten. I svensk rätt har en sådan möjlighet införts i 20 § personuppgiftslagen. Enligt den bestämmelsen får regeringen, eller den myndighet som regeringen bestämmer, meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. I 8 § personuppgiftsförordningen har regeringen även föreskrivit att känsliga personuppgifter, utöver de undantag som anges i personuppgiftslagen, får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
I verksamhet enligt utlännings- och medborgarskapslagstiftningen förekommer känsliga personuppgifter i stor utsträckning och omfattar alla de kategorier av uppgifter som anges i 13 § personuppgiftslagen. De undantag som finns i personuppgiftslagen eller dess förordning är, som också utredningen bedömer, inte tillräckliga för att täcka all nödvändig behandling av känsliga personuppgifter som i dag utförs av de myndigheter som föreslås omfattas av utlänningsdatalagens regler. En reglering av behandlingen av känsliga personuppgifter bör därför finnas i utlänningsdatalagen.
Dagens reglering av känsliga personuppgifter
I förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen finns i dag vissa bestämmelser om behandling av känsliga personuppgifter. I 5 § finns en generell bestämmelse som rör behandling av känsliga personuppgifter i den mening som avses i 13 § personuppgiftslagen. Enligt bestämmelsen får sådana uppgifter behandlas endast om uppgifterna är oundgängligen nödvändiga för myndigheternas handläggning av ärenden och fullgörande av underrättelseskyldighet som följer av lag eller annan författning. Enligt 4 § 7 får uppgifter om språk, religion, politisk åskådning, etnisk tillhörighet, hälsotillstånd och sexuell läggning behandlas i verksamhetsregistret, endast om uppgifterna är oundgängligen nödvändiga för myndighetens handläggning av ärenden eller fullgörande av underrättelseskyldighet. Vidare får enligt 4 § 18 och 20 uppgifter om hälsotillstånd och andra personliga förhållanden behandlas endast om uppgifterna är oundgängligen nödvändiga för beslut om förvar eller verkställighet. Av 7 § följer vidare att känsliga personuppgifter inte får användas som sökbegrepp i myndigheternas verksamhetsregister. I Migrationsverkets landinformationsregister får enligt 12 § känsliga personuppgifter endast behandlas i löpande text och under förutsättning att uppgifterna är oundgängligen nödvändiga för att fullgöra uppgifter i verksamhet inom utlännings- och medborgarskapslagstiftningen.
Hur ska frågan om behandling av känsliga personuppgifter regleras i utlänningsdatalagen?
Som tidigare nämnts medför verksamheten enligt utlännings- och medborgarskapslagstiftningen ett behov av behandling av känsliga personuppgifter och behovet omfattar alla de kategorier av uppgifter som anges i 13 § personuppgiftslagen. Till exempel kräver handläggningen av asylärenden hos Migrationsverket behandling av känsliga personuppgifter, eftersom den asylsökandes hälsotillstånd, etnicitet eller sexuella läggning är uppgifter som kan ha betydelse för en mängd beslut som fattas i asylprocessen. Uppgifterna härrör i sådana fall ofta från vad den sökande själv har uppgett till myndigheten. Ett annat exempel på ärenden som kräver behandling av känsliga personuppgifter är verkställighetsärenden, där bl.a. behandling av uppgifter om den enskildes hälsa kan vara nödvändig för Migrationsverket eller Polismyndigheten. Inte sällan ligger det i den registrerades eget intresse att sådana uppgifter om honom eller henne kan behandlas och beaktas. Myndigheterna måste således kunna behandla känsliga personuppgifter med hjälp av modern informationsteknik.
Annat har inte framkommit än att myndigheternas behov av behandling av känsliga personuppgifter i huvudsak tillgodoses genom de undantag från det generella förbudet att behandla känsliga personuppgifter som följer av förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. En reglering som bygger på dessa undantag bör därför som utredningen föreslår föras in i utlänningsdatalagen.
Känsliga personuppgifter bör alltså för det första få behandlas för handläggning av ärenden eller en myndighets biträde i sådana ärenden, kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige, utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar samt uppgiftslämnande i vissa fall, om uppgifterna verkligen är nödvändiga för ändamålet med behandlingen. Känsliga personuppgifter bör även i vissa fall få behandlas av Migrationsverket i löpande text för återsökning av information som rör förhållanden i andra länder, om uppgifterna är nödvändiga för att fullgöra arbetsuppgifter i Migrationsverkets verksamhet.
Som utredningen föreslår behövs det av integritetsskyddsskäl en mer begränsad möjlighet att behandla känsliga personuppgifter jämfört med andra personuppgifter. Frågan är då hur denna begränsning ska formuleras.
Utredningen föreslår att känsliga personuppgifter ska få behandlas endast i de fall det är absolut nödvändigt för de i lagen tillåtna ändamålen, vilket enligt utredningen motsvarar det som gäller i dag enligt förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Kammarrätten i Stockholm och Sveriges advokatsamfund anser att det är olämpligt att använda begreppet absolut nödvändigt i lagtext. Kammarrätten förordar i stället att lagen ska skilja mellan behandling som är nödvändig och behandling som endast är behövlig. Regeringen har viss förståelse för domstolens synpunkt. Intresset av att så långt möjligt använda likartad terminologi i de olika lagar som reglerar myndigheternas personuppgiftsanvändning väger å andra sidan tungt. Både i 2 kap. 10 § polisdatalagen och i 2 kap. 8 § i åklagardatalagen (se prop. 2014/15:63) används begreppet absolut nödvändigt för att avgränsa i vilken mån behandling av känsliga personuppgifter ska vara tillåten. En sådan begränsning överensstämmer dessutom med vad som i dag, om än något annorlunda uttryckt, gäller enligt förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Regeringen bedömer därför att lagen på den aktuella punkten bör utformas som utredningen föreslår, dvs. att känsliga personuppgifter ska få behandlas om det är absolut nödvändigt för de tillåtna ändamålen med behandlingen.
Syftet med begränsningen att behandlingen ska vara absolut nödvändig är att markera att behandlingen av känsliga personuppgifter bör ske med försiktighet och aldrig slentrianmässigt. Rekvisitet innebär emellertid inte att känsliga personuppgifter endast får behandlas i undantagsfall. Som lyfts fram tidigare kräver verksamheten på utlännings- och medborgarskapsområdet ofta att känsliga personuppgifter behandlas. Genom rekvisitet markeras dock att behandling ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det enskilda ärendet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter.
Utredningen föreslår härutöver att känsliga personuppgifter alltid ska få behandlas om den registrerade lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Enligt regeringens mening är det inte lämpligt att nu utöka möjligheten för myndigheterna att behandla känsliga personuppgifter på detta sätt. Något sådant förslag lämnas därför inte.
En utvidgning av möjligheten att behandla känsliga personuppgifter jämfört med i dag
I avsnitt 6.9.5 föreslås ett särskilt ändamål för personuppgiftsbehandling i syfte att fullgöra en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift. Ändamålet är nytt i förhållande till dagens förordning om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Eftersom det handlar om en verksamhet som myndigheterna är skyldiga att utföra är det naturligt att även känsliga personuppgifter får behandlas för detta ändamål under samma begränsningar som i övrigt gäller för sådan behandling.
Känsliga personuppgifter får i dag enligt 5 § förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen inte behandlas för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Migrationsverket har dock uppgett att det föreligger ett behov av att kunna behandla känsliga personuppgifter även för dessa ändamål.
Det är viktigt att bl.a. Migrationsverket fortlöpande kan bevaka effektiviteten och kvaliteten i verksamheten. Detta åtagande förutsätter uppföljning och kontroll av olika slag och då kan känsliga personuppgifter många gånger vara relevanta. Migrationsverket har vidare krav på sig att föra statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Vidare kan utländska organ, exempelvis UNCHR, begära viss statistik som bygger på känsliga personuppgifter (exempelvis rörande verkets handläggning av asylärenden som rör hbtq-personer, dvs. homosexuella, bisexuella, trans- och queerpersoner). Det finns därför ett stort behov för Migrationsverket att kunna behandla känsliga personuppgifter. Samma behov kan antas finnas hos övriga myndigheter som föreslås omfattas av utlänningsdatalagen.
Mot den bakgrunden gör regeringen för det första bedömningen att känsliga personuppgifter om det är absolut nödvändigt ska kunna behandlas för att framställa statistik. Regeringen gör vidare i avsnitt 6.9.4 bedömningen att det inte behövs någon särskild ändamålsbestämmelse för att personuppgifter ska få behandlas för tillsyn, kontroll, uppföljning eller planering av verksamheten. I stället bedöms sådan verksamhet täckas av de övriga ändamålsbestämmelserna. Av det skälet bedömer regeringen att personuppgiftsbehandling för sådan verksamhet ska täckas av den generella bestämmelsen som tillåter personuppgiftsbehandling av känsliga personuppgifter när det är absolut nödvändigt för de ändamål som anges i utlänningsdatalagen. Av avgörande betydelse för bedömningen är att regeringen delar utredningens uppfattning att myndigheternas rutiner för dataskydd och säkerhet vid behandlingen utgör en tillräcklig garanti för att hanteringen av känsliga personuppgifter blir lika god vid sådan ärendehantering som består av tillsyn, kontroll, uppföljning, planering av verksamheten eller framställning av statistik som för övrig ärendehantering.
När det slutligen gäller testverksamhet instämmer regeringen i Datainspektionens uppfattning att det inte finns tillräckliga skäl att tillåta behandling av känsliga personuppgifter för det ändamålet.
En upplysningsbestämmelse
Som utredningen föreslår bör bestämmelsen som anger förutsättningarna för att behandla känsliga personuppgifter kompletteras med en upplysningsbestämmelse om att regeringen kan meddela föreskrifter. Det bör dock tydliggöras att det bara kan komma i fråga att ge ytterligare föreskrifter som begränsar möjligheten att behandla känsliga personuppgifter.
6.12 Tillgången till personuppgifter
Regeringens förslag: Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att fullgöra sina arbetsuppgifter. Regeringen eller den myndighet regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanser antingen godtar förslaget eller lämnar det utan invändningar. Sveriges advokatsamfund anser att bestämmelsen om intern begränsning är överflödig och kan ge upphov till tolkningsproblem. Samfundet motsätter sig vidare att regeringen ska få delegera föreskriftsrätt till de tillämpande myndigheterna. Uppsala universitet (Juridiska fakultetsnämnden) anser att en fortsatt analys bör göras i fråga om hantering av uppgifter som flera har tillgång till.
Skälen för regeringens förslag: I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas en stor mängd personuppgifter. Många av dessa är känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) eller i övrigt av integritetskänslig karaktär. Det är viktigt att så långt som möjligt motverka att uppgifterna sprids till någon som inte är behörig att ta del av dem. Som utredningen föreslår, bör det därför införas en bestämmelse i utlänningsdatalagen som anger att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Den föreslagna bestämmelsen har tidigare förebilder och förekommer i flera moderna författningar som reglerar myndigheters personuppgiftsbehandling, t.ex. polisdatalagen (2010:361). Regeringen kan därför inte se att den ska innebära några tolkningsproblem. I första hand åligger det myndigheterna att med utgångspunkt i den egna myndighetens organisation och behov se till att tillgången till personuppgifter begränsas i enlighet med den föreslagna bestämmelsen. Regeringen eller den myndighet som regeringen bestämmer bör därutöver ha möjlighet att meddela närmare föreskrifter om tillgången till personuppgifter. Även denna upplysningsbestämmelse bör utformas på samma sätt som motsvarande bestämmelser i t.ex. polisdatalagen.
När det gäller behovet av att införa särskilda regler om uppgifter som flera har tillgång till, dvs. det som i t.ex. polisdatalagen benämns som gemensamt tillgängliga uppgifter (3 kap. 1 §), instämmer regeringen i utredningens bedömning att verksamheten enligt utlännings- och medborgarskapslagstiftningen i väsentlig mån skiljer sig från den verksamhet som regleras i polisdatalagen och att det skulle innebära betydande svårigheter att skilja ut vilka katgegorier av uppgifter som ska hänföras till kategorin gemensamt tillgängliga uppgifter. Liksom utredningen bedömer regeringen vidare att det genom den föreslagna hänvisningen till 9 § personuppgiftslagen och genom de övriga skyddsregler som föreslås tillskapas ett tillräckligt integritetsskydd även i de fall många handläggare hos myndigheterna är i behov av att hantera uppgifterna.
6.13 Sökbegränsningar
Regeringens förslag: Vid sökning i personuppgifter ska det vara förbjudet att som sökbegrepp använda uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
Personuppgifter som direkt pekar ut den registrerade ska inte få användas som sökbegrepp vid behandling av personuppgifter för återsökning av information om förhållanden i andra länder.
Uppgifter om lagöverträdelser m.m. ska inte få användas som sökbegrepp. Uppgifter om beslut om förvar ska dock få användas som sökbegrepp.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dock vissa undantag från förbudet att använda känsliga personuppgifter som sökbegrepp. Utredningen föreslår också en annan redaktionell utformning av regleringen.
Remissinstanserna: De flesta remissinstanser antingen godtar utredningens förslag eller lämnar det utan invändningar. Kammarrätten i Stockholm förordar att bestämmelsen som anger att personuppgifter som direkt pekar ut den registrerade inte får användas som sökbegrepp görs snävare genom att ordet direkt utgår. Datainspektionen avstyrker utredningens förslag om undantag från förbudet att använda känsliga personuppgifter som sökbegrepp. Polismyndigheten anser att det principiella förbudet att använda uppgifter om lagöverträdelser som sökbegrepp inte bör omfatta Polismyndigheten.
Skälen för regeringens förslag
Begränsningar för integritetskänsliga sökbegrepp
Sökbegrepp som tar sikte på känsliga personuppgifter är typiskt sett förknippade med särskilda risker i integritetshänseende. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr 13 § personuppgiftslagen). I många registerlagar är det därför förbjudet att använda sådana integritetskänsliga sökbegrepp. Skälet till detta är att det inte kan uteslutas att sammanställningar över känsliga personuppgifter kan komma att missbrukas med risk för allvarliga intrång i enskildas personliga integritet.
Ett annat skäl till att vissa sökbegrepp ofta är förbjudna att använda har samband med den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. Den innebär att en sammanställning som innehåller personuppgifter inte anses förvarad hos en myndighet om myndigheten saknar rättslig befogenhet att göra sammanställningen. Den utgör då följaktligen inte heller en allmän handling. Syftet med begränsningsregeln är att hindra allmänheten från att göra anspråk på att få del av sammanställningar av uppgifter ur upptagningar hos myndigheten som myndigheten själv, av integritetsskäl, är rättsligen förhindrad att ta fram i sin egen verksamhet. Integritetsskyddet ska alltså upprätthållas även om 2 kap. tryckfrihetsförordningen åberopas (se SOU 2010:4 s. 143 och SOU 2012:90 s. 115).
Utredningen föreslår mot den bakgrund som redovisas ovan att sökbegrepp som tar sikte på känsliga personuppgifter i princip inte ska vara tillåten. Regeringen instämmer i den utgångspunkten.
Utredningen föreslår dock att användningen av sådana sökbegrepp ska vara tillåten vid personuppgiftsbehandling som utförs för ändamålen tillsyn, kontroll, uppföljning av verksamheten, framställning av statistik eller testverksamhet samt vid återsökning av information som rör andra länder. Enligt utredningen har Migrationsverket behov av att använda integritetskänsliga sökbegrepp i olika sammanhang, t.ex. för att kunna redogöra för UNHCR om verkets handläggning av asylärenden som rör hbtq-personer. Utredningen anser också att det kan vara rimligt att verket har möjlighet att använda integritetskänsliga sökbegrepp för att kunna följa upp och planera för flyktingströmmar från en viss etnisk konflikt eller för att kunna bereda verksamheten på att ta emot stora strömmar av asylsökande som är hiv-bärare eller drabbade av svåra miljökatastrofer.
I avsnitt 6.11.2 gör regeringen bedömningen att känsliga personuppgifter inte ska få behandlas vid bedrivande av testverksamhet. Det innebär att sådana uppgifter inte heller får användas som sökbegrepp under bedrivande av testverksamhet.
När det sedan gäller personuppgiftsbehandling som utförs för att bedriva tillsyn, kontroll, uppföljning, planering av verksamheten och framställning av statistik samt för återsökning av information som rör andra länder delar regeringen utredningens bedömning att det kan finnas ett behov för Migrationsverket att kunna använda sökbegrepp som tar sikte på känsliga personuppgifter vid sådan verksamhet. Regeringen bedömer att även Polismyndigheten och utlandsmyndigheterna, bortsett från ändamålet återsökning av information som rör förhållanden i andra länder, kan ha ett sådant behov. I dag finns ett generellt förbud mot att använda känsliga personuppgifter som sökbegrepp i 7 § förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Enligt regeringen måste det finnas mycket starka skäl för att i utlänningsdatalagen frångå det ställningstagande som gjorts i förordningen. Endast om behovet av att kunna använda känsliga personuppgifter som sökbegrepp är så starkt att det klart överväger de integritetsrisker sådan sökning kan medföra för den enskilde bör en förändring övervägas. På det underlag som har presenterats av utredningen anser regeringen inte att det finns tillräckliga skäl att göra undantag från förbudet att använda känsliga personuppgifter som sökbegrepp. Regeringen anser därför, till skillnad från utredningen, att det inte ska införas något sådant undantag.
När det gäller användningen av uttrycket ras kan särskilt nämnas att uttrycket används i annan lagstiftning om personuppgiftsbehandling och att det dessutom fortfarande förekommer i olika internationella instrument. Mot denna bakgrund bör uttrycket ras användas i utlänningsdatalagen, trots att det finns befogade invändningar mot uttrycket (jfr prop. 2009/10:85 s. 123). Det bör framhållas att användningen av uttrycket ras för närvarande är föremål för överväganden av Utredningen om transpersoners straffrättsliga skydd m.m. (dir. 2014:115).
Andra sökbegränsningar
I dag får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp vid behandling av personuppgifter för återsökning av information som rör förhållanden i andra länder. Den sökbegränsningen bör gälla även för utlänningsdatalagen. Regeringen bedömer inte att det behövs någon ytterligare begränsning av möjligheten att återsöka information som rör förhållanden i andra länder på det sätt som Kammarrätten i Stockholm föreslår. Regeringen instämmer också i utredningens bedömning att det bör finnas en sökbegränsning när det gäller uppgifter om lagöverträdelser. Det är däremot, som också utredningen anser, naturligt att uppgifter om beslut om förvar får sökas och sammanställas av de myndigheter som beslutar om eller annars ansvarar för sådan verksamhet. Polismyndigheten anser att det principiella förbudet att använda uppgifter om lagöverträdelser som sökbegrepp inte bör omfatta Polismyndigheten. Enligt regeringens mening är det dock rimligt att denna sökbegränsning gäller även för Polismyndigheten när den bedriver verksamhet som täcks av utlänningsdatalagens tillämpningsområde.
6.14 Annat elektroniskt utlämnande
än direktåtkomst
Regeringens bedömning: Utlänningsdatalagen bör inte innehålla några särskilda regler om annat elektroniskt utlämnande av personuppgifter än genom direktåtkomst.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanser antingen godtar bedömningen eller lämnar den utan invändningar. Polismyndigheten delar utredningens bedömning men efterlyser en analys av hur bedömningen förhåller sig till polisdatalagens reglering av elektroniskt utlämnande.
Skälen för regeringens bedömning: Nu gällande förordning om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen innehåller inte några generella regler om annat elektroniskt utlämnande av uppgifter än direktåtkomst. När det gäller Migrationsverkets fingeravtrycksregister finns dock en bestämmelse i 10 § andra stycket som anger att uppgifter ur registret får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning.
I praktiken sker elektroniskt utlämnande på annat sätt än genom direktåtkomst i många olika situationer inom verksamhet för utlännings- och medborgarskapslagstiftningen. Uppgifter lämnas ut av exempelvis Migrationsverket på begäran av andra myndigheter för att användas i den mottagande myndighetens verksamhet eller för att verket ska kunna fullgöra sina uppgifter inom utlännings- och medborgarskapsverksamheten. Exempelvis lämnar Migrationsverket personuppgifter till Skatteverket via cd-rom. Utlämnande av uppgifter sker också elektroniskt till privata bolag. Migrationsverket skickar till exempel filer som innehåller personuppgifter till passleverantören Gemalto AB och till Strålfors svenska AB som skriver ut kallelser och beslut m.m. för myndighetens räkning. Myndigheternas kommunikation med exempelvis parter och ombud via e-post kan också innebära utlämnande av personuppgifter.
Som utredningen lyfter fram är det från ett effektivitetsperspektiv viktigt att myndigheterna har möjlighet att utnyttja automatiserade förfaranden i sin verksamhet. Om elektroniskt utlämnande inte får ske, måste den utlämnande myndigheten göra utskrifter på papper och skicka till mottagaren. Mottagaren måste därefter eventuellt vidta åtgärder för att överföra uppgifterna till elektronisk form igen. Denna ordning framstår som onödigt ineffektiv och tidskrävande, särskilt som exempelvis myndigheter i allt större utsträckning övergår till helt elektronisk informationshantering.
Utlämnande av personuppgifter elektroniskt kan dock innebära risker för den personliga integriteten. Sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den med information som hämtas från andra källor. Samtidigt ska dock inte skillnaden mellan uppgifter på papper och elektroniska uppgifter överdrivas. Med modern teknik kan text på papper förhållandevis enkelt omvandlas till elektroniska uppgifter.
Som utredningen anför kan dock skyddet för den personliga integriteten upprätthållas på andra sätt än genom begränsning av formen för utlämnande. Myndigheterna får enligt förslaget till utlänningsdatalag endast behandla personuppgifter för utlämnande för vissa i lagen angivna ändamål eller för ändamål som inte är oförenliga med dessa ändamål. Om mottagaren av personuppgifterna är en myndighet styrs dennas personuppgiftsbehandling vanligtvis av särskilda författningar med ändamålsbestämmelser som reglerar för vilka ändamål behandling får ske. Vidare är den personuppgiftsansvariga myndigheten skyldig att vidta lämpliga tekniska åtgärder för att skydda de uppgifter som behandlas genom den föreslagna hänvisningen i utlänningsdatalagen till 31 § personuppgiftslagen. Myndigheten ansvarar således för att överföringen sker på ett säkert sätt, till exempel att uppgifterna krypteras innan de överförs till mottagaren. Utlämnande av uppgifter ska också föregås av en sekretessprövning.
Sammanfattningsvis bedömer regeringen att det inte bör införas någon särskild regel om utlämnande av personuppgifter i annan elektronisk form än genom direktåtkomst i utlänningsdatalagen. Inte heller finns det skäl att införa någon motsvarighet till bestämmelsen i nuvarande förordning om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen att uppgifter ur registren över fingeravtryck och fotografier får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning.
Som Polismyndigheten lyfter fram finns exempelvis i polisdatalagen (2010:361) regler även om annat elektroniskt utlämnande än direktåtkomst. Bestämmelserna i polisdatalagen har tagits fram för att möta de speciella behov av behandling av personuppgifter som finns i bl.a. Polismyndighetens brottsbekämpande verksamhet och det behov av reglering som finns där avseende annat elektroniskt utlämnande än direktåtkomst. Det bör inte hindra att en annan bedömning av behovet av en sådan reglering görs i utlänningsdatalagen.
6.15 Direktåtkomst
Regeringens förslag: Andra myndigheter och enskilda ska kunna ha direktåtkomst till Migrationsverkets personuppgifter endast i den utsträckning som anges i utlänningsdatalagen.
Direktåtkomst får endast medges
- Polismyndigheten,
- Säkerhetspolisen,
- utlandsmyndigheterna,
- Försäkringskassan,
- Pensionsmyndigheten
- Skatteverket, eller
- en part eller partens ombud eller biträde.
Direktåtkomst till en part eller en parts ombud eller biträde ska endast få avse personuppgifter i partens ärende.
Tillgången till personuppgifter ska begränsas internt till det som varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.
En upplysningsbestämmelse ska införas som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar av direktåtkomst och om behörighet och säkerhet vid sådan åtkomst.
Det ska införas uppgiftsskyldigheter i utlänningsdatalagen som ger Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna rätt att ta del av vissa uppgifter hos Migrationsverket som verket behandlar enligt lagen.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att de ändamål som direktåtkomsten ska få medges för specificeras i lagen. Utredningen föreslår inte heller någon bestämmelse om direktåtkomst för parter. Utredningen föreslår slutligen en annan placering och utformning av den sekretessbrytande bestämmelsen.
Remissinstanserna: De flesta remissinstanser antingen godtar förslaget eller lämnar det utan invändningar. Försäkringskassan anser att det behövs ytterligare analys av hur förslaget att begränsa den interna åtkomsten av personuppgifter som hämtas från Migrationsverket förhåller sig till bestämmelser som medger kassan direktåtkomst till andra myndigheter och där denna begränsning saknas. Migrationsverket och Ambassaden Peking anser att en enskild person bör kunna medges direktåtkomst till uppgifter i sitt eget ärende. Datainspektionen delar utredningens bedömning att det för närvarande inte bör införas en bestämmelse som medger direktåkomst för enskilda. Inspektionen anser vidare att frånvaron av bestämmelser om vilka kategorier av uppgifter som får behandlas i ändamålsbestämmelserna medför att Migrationsverket sannolikt kommer att behandla fler uppgifter i sitt verksamhetsregister och efterfrågar en analys av vad det innebär för andra myndigheters direktåtkomst.
Migrationsverket föreslår att enskilda ska kunna ges direktåtkomst till personuppgifter som hänför sig till deras ärenden.
Säkerhetspolisen framhåller att myndigheten har behov av direktåtkomst till Migrationsverkets uppgifter för att uppfylla sina skyldigheter enligt utlännings- och medborgarskapslagstiftningen trots uppfattningen att myndigheten inte ska omfattas av lagen.
Sveriges advokatsamfund avstyrker att andra myndigheter ska ha direktåtkomst till Migrationsverkets personuppgifter.
Skälen för regeringens förslag
Allmänt om direktåtkomst
Någon legaldefinition av begreppet direktåtkomst finns inte men den grundläggande innebörden är att någon utomstående har direkt tillgång till uppgifter som behandlas hos en myndighet. I begreppet direktåtkomst ligger att den utomstående på egen hand kan ta fram uppgifter och på så sätt få uppgifter utlämnade till sig. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Prövningen av om ett utlämnande är förenligt med offentlighets- och sekretesslagen (2009:400) måste därför ske redan då uppgifterna görs tillgängliga genom direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem. Den direktåtkomst som en myndighet medger någon utomstående är vanligtvis avgränsad så att mottagaren endast har tillgång till vissa bestämda uppgifter, såsom uppgifter i en viss databas eller i vissa dokument.
Högsta förvaltningsdomstolen har nyligen i ett avgörande ansett att gränsdragningen mellan vad som enligt bestämmelsen i 114 kap 22 § socialförsäkringsbalken är direktåtkomst och annat utlämnande på medium för automatiserad behandling beror på om den aktuella upptagningen kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § tryckfrihetsförordningen, dvs. om den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (Högsta förvaltningsdomstolens dom den 29 oktober 2015 i mål nr 1356-14).
Generellt kan sägas att möjligheten till direktåtkomst ökar riskerna för intrång i den personliga integriteten, eftersom det typiskt sett innebär att uppgifter blir tillgängliga för fler personer och att den utlämnande myndighetens möjligheter att kontrollera användningen av uppgifterna minskar.
Direktåtkomst enligt dagens reglering
Enligt 6 § förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen får Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna ha direktåtkomst till Migrationsverkets verksamhetsregister. Myndigheternas direktåtkomst ska begränsas till att endast avse personuppgifter som är nödvändiga för att en tjänsteman ska kunna fullgöra sina arbetsuppgifter i verksamhet enligt 1 §, dvs. verksamhet enligt utlännings- och medborgarskaps-lagstiftningen som den utvecklas i samma bestämmelses andra stycke.
Enligt 6 a § förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen får Försäkringskassan och Pensionsmyndigheten ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister. Direktåtkomsten ska begränsas till uppgifter som behövs inom respektive myndighets verksamhet som underlag för att bedöma eller fastställa förmån, ersättning eller annat stöd åt en enskild eller som behövs i ett ärende om motsvarande stöd. Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst först sedan Migrationsverket har försäkrat sig om att handläggare hos de mottagande myndigheterna bara kan ta del av uppgifter om personer som är aktuella i ärenden eller verksamhet som avser registrering av enskilda hos Försäkringskassan eller Pensionsmyndigheten. Vidare får direktåtkomsten endast avse vissa i bestämmelsen särskilt angivna uppgifter.
Slutligen får enligt 6 b § förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen Skatteverket ha direktåtkomst till uppgifter i Migrationsverkets verksamhetsregister. Direktåtkomsten ska begränsas till uppgifter som behövs för Skatteverkets handläggning av ansökan om identitetskort. Även beträffande Skatteverket får direktåtkomsten enbart avse vissa uppräknade uppgifter.
Hur bör frågan om direktåtkomst regleras i utlänningsdatalagen?
Modern teknik har medfört att information på ett enkelt sätt kan sökas, sammanställas och överföras mellan myndigheter. Direktåtkomst kan innebära effektivitetsvinster för den mottagande myndigheten, eftersom handläggande tjänstemän inte behöver begära ut de uppgifter som behövs för bedömningen av ett enskilt fall från den utlämnande myndigheten, utan själv kan söka den information som krävs i den utlämnande myndighetens personuppgiftssamling. Direktåtkomst kan också innebära fördelar för den utlämnande myndigheten, eftersom den inte behöver avsätta resurser för att hantera de förfrågningar om utlämnande som kommer in från andra myndigheter. Det kan även innebära fördelar från informationssäkerhetssynpunkt, då överföring av information vid direktåtkomst kan ske på ett säkrare sätt än till exempel genom e-post.
Liksom utredningen anser regeringen att de myndigheter som i dag har direktåtkomst till Migrationsverkets uppgifter fortfarande bör kunna medges sådan direktåtkomst. Med tanke på de speciella integritetsrisker som är förknippade med direktåtkomst anser även regeringen att regleringen av vilka som ska kunna få direktåtkomst till Migrationsverkets personuppgifter bör vara uttömmande. Liksom tidigare bör alltså Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket kunna medges direktåtkomst till Migrationsverkets personuppgifter. Att Säkerhetspolisen, till skillnad från i utredningens förslag, inte föreslås omfattas av utlänningsdatalagen förändrar inte bedömningen att myndigheten har behov av att få tillgång till uppgifter som den behöver när den utför uppgifter som åligger myndigheten enligt exempelvis utlänningslagen eller lagen om särskild utlänningskontroll.
Frågan är då om det, som utredningen föreslår, i utlänningsdatalagen bör anges för vilka ändamål sådan direktåtkomst ska kunna medges, dvs för vilka typer av handläggningsåtgärder m.m. direkåtkomst ska kunna komma i fråga.
Enligt regeringens mening är det av stor vikt, inte minst av integritetsskyddsskäl, att den närmare omfattningen av direktåtkomsten regleras så precist som möjligt. Behoven för de olika myndigheterna är olika och kan dessutom variera över tid med hänsyn till vilka uppgifter som myndigheterna har enligt det regelverk som bestämmer deras uppgifter. Den närmare regleringen om för vilket syfte direktåtkomsten ska medges bör därför meddelas av regeringen i förordning i stället för i utlänningsdatalagen.
Enskildas direktåtkomst till egna ärenden
En viktig processrättslig princip är att en part ska ha insyn i sitt ärende. Migrationsverket arbetar för närvarande med att ta fram en s.k. visningstjänst, som innebär att enskilda genom direktåtkomst till Migrationsverket skulle kunna få tillgång till vissa uppgifter om sina egna ärenden. Migrationsverkets arbete är dock inte färdigt och det behövs ytterligare analys av de rättsliga frågor som direktåtkomst till enskilda medför. Dessutom måste säkerställas att sådan åtkomst är säker genom en behovs- och riskanalys, informationsklassning, gallringsregler, autentiseringslösningar och andra säkerhetsåtgärder. Utredningen har mot den bakgrunden inte ansett sig kunna föreslå en bestämmelse som möjliggör direktåtkomst till enskilda. Migrationsverkets expert i utredningen har dock i ett särskilt yttrande uttryckt en annan uppfattning i frågan. Migrationsverket lyfter vidare fram frågan om behovet av enskildas direktåtkomst i sitt remissvar.
Med hänsyn till att myndigheternas ärendehandläggning i allt större utsträckning bygger på elektronisk akthantering och elektronisk kommunikation mellan myndigheterna anser regeringen att utlänningsdatalagen inte bör utesluta möjligheten att ge parterna och deras ombud eller biträden möjlighet att på elektronisk väg följa vad som händer med deras ärenden. Regeringen föreslår därför att det ska vara möjligt för Migrationsverket att lämna ut uppgifter genom direktåtkomst till en part eller partens ombud eller biträde. Möjligheten till direktåtkomst i dessa fall bör dock begränsas till personuppgifter i det egna ärendet.
Det bör emellertid säkerställas att det inte blir tillåtet att lämna ut personuppgifter genom direktåtkomst till parter eller deras ombud eller biträden förrän det står klart att de tekniska systemen och Migrationsverkets rutiner är tillräckligt utvecklade. Det bör till exempel finnas system och rutiner för att garantera att personuppgifter genom direktåtkomsten inte blir åtkomliga för andra än rätt mottagare, att sekretesskyddade uppgifter inte lämnas ut och att inloggningsfunktionerna är pålitliga. Denna närmare reglering bör föreskrivas av regeringen i förordning.
Skyddsregler vid direktåtkomst
Eftersom direktåtkomst typiskt sett anses innebära att risken för kränkningar av den enskildes integritet blir större behövs regler som säkerställer skyddet för personuppgifterna vid direktåtkomst. Det finns några aspekter som är särskilt viktiga.
En första fråga är hur uppgifterna sprids och används hos den mottagande myndigheten. Om kretsen av personer som har tillgång till uppgifterna kan begränsas, är risken för integritetsintrång generellt sett mindre. Den mottagande myndigheten måste därför begränsa åtkomstmöjligheterna så mycket som möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Anställda inom en myndighet bör endast ha elektronisk tillgång till de personuppgifter som de behöver i sitt arbete. När det gäller frågan om anställdas tillgång till personuppgifter föreslår regeringen i avsnitt 6.12 att det i utlänningsdatalagen införs en särskild bestämmelse enligt vilken den personuppgiftsansvariga myndigheten har ansvar för att begränsa tillgången till personuppgifter till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Denna bestämmelse får anses uppfylla kravet på att uppgifterna inte sprids hos mottagarmyndigheterna på ett oacceptabelt sätt. Den bestämmelsen är dock inte tillämplig hos Säkerhetspolisen, Försäkringskassan, Pensionsmyndigheten eller Skatteverket, eftersom utlänningsdatalagen inte föreslås tillämpas av dessa myndigheter. En motsvarande begränsningsregel bör därför finnas för dessa myndigheter. Sådana begränsningsregler bör, som utredningen föreslår, införas i de författningar som närmare reglerar myndigheternas verksamhet. När det gäller Säkerhetspolisen bedöms den begränsningsregel som finns i 2 kap. 11 § polisdatalagen (2010:361) vara tillräcklig. Den begränsningsregel beträffande den interna tillgången som föreslås för Försäkringskassan och Pensionsmyndigheten bör utformas så att den endast tar sikte på uppgifter från Migrationsverket och inte påverkar hur myndigheterna ska bestämma den interna tillgången vid direktåtkomst till andra myndigheters uppgifter.
Ytterligare en aspekt att beakta vid direktåtkomst är att den mottagande myndigheten endast har direktåtkomst till sådana uppgifter som myndigheten verkligen kan antas ha behov av. Införandet av direktåtkomst bör därför föregås av en analys av vilka uppgifter som är nödvändiga med hänsyn till ändamålen med behandlingen. Från ett integritetsperspektiv är det också en fördel om det framgår av författningstexten vilka uppgifter som får inhämtas genom direktåtkomst.
Innan Migrationsverket medger direktåtkomst till personuppgifter bör verket göra en risk- och sårbarhetsanalys. Migrationsverket ska då kontrollera att mottagande myndigheter har ett tillräckligt skydd för mottagna personuppgifter. Regeringen kan i förordning införa bestämmelser om vilka uppgifter som får omfattas av direktåtkomsten och att Migrationsverket inte får medge någon av de i lagen uppräknade myndigheterna direktåtkomst innan verket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet.
Sekretessbrytande regler
Enligt 21 kap. 5 § första stycket offentlighets- och sekretesslagen gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Sekretessen gäller alltså med s.k. rakt skaderekvisit, dvs. presumtionen är att uppgifterna är offentliga. Enligt 37 kap. 1 § första stycket samma lag gäller sekretess i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller i detta fall med ett omvänt skaderekvisit och presumtionen är att uppgifterna inte är offentliga. Uppgift i ärende om arbetstillstånd för utlänning omfattas av sekretess även enligt 28 kap. 15 § första stycket offentlighets- och sekretesslagen. Slutligen gäller sekretess enligt 26 kap. 1 § i ärenden om bistånd åt asylsökanden och andra utlänningar.
Bestämmelser om direktåtkomst anses inte ha någon sekretessbrytande verkan (se t.ex. prop. 2004/05:164 s. 83). Regler om direktåtkomst brukar därför ofta kompletteras med sekretessbrytande bestämmelser som är utformade som regler om uppgiftsskyldighet. Dessa formuleras ofta som en rätt för mottagande myndighet att ta del av uppgifter.
När det gäller Försäkringskassan och Pensionsmyndigheten finns en sekretessbrytande bestämmelse i 17 kap. 3 § utlänningslagen. Enligt bestämmelsen har Försäkringskassan och Pensionsmyndigheten rätt att ta del av uppgifter om enskilda hos Migrationsverket. Om det finns skäl för det, ska Migrationsverket på eget initiativ lämna sådana uppgifter till Försäkringskassan och Pensionsmyndigheten. I 7 kap. 15 a § utlänningsförordningen specificeras vilka uppgifter som Försäkringskassan och Pensionsmyndigheten har rätt att ta del av genom direktåtkomst.
Enligt 16 a § förordningen om identitetskort för folkbokförda i Sverige ska Migrationsverket på begäran av Skatteverket lämna de uppgifter som anges i 6 b § i nu gällande förordning om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen och som behövs för handläggning av ansökan om identitetskort. I 7 kap. 15 b § utlänningsförordningen finns också en bestämmelse som föreskriver att Migrationsverket på begäran av Skatteverket ska lämna ut vissa uppgifter, om de behövs för Skatteverkets handläggning av ett ärende om folkbokföring.
När det gäller Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas direktåtkomst enligt 6 § i nu gällande förordning om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen saknas en korresponderande bestämmelse om uppgiftsskyldighet för Migrationsverket till nämnda myndigheter. Utlämnandet genom direktåtkomst av sekretessbelagda personuppgifter sker i stället med stöd av den sekretessbrytande generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen. Generalklausulen föreskriver sekretessgenombrott om det vid en bedömning framstår som uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda. Som utredningen anför är det ofta inte lämpligt att omfattande utlämnande av sekretessbelagda uppgifter sker enbart med stöd av den sekretessbrytande generalklausulen. Som utredningen föreslår bör därför en sådan sekretessbrytande föreskrift om uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen införas. Till skillnad från utredningen anser regeringen att det är mest ändamålsenligt att placera den sekretessbrytande regeln i anslutning till bestämmelsen om direktåtkomst i utlänningsdatalagen.
Utformningen av den sekretessbrytande regeln
För att åstadkomma ett så starkt integritetsskydd som möjligt bör två former av sekretessbrytande bestämmelser införas beroende på formen för utlämnande av uppgifter. En sekretessbrytande bestämmelse bör ta sikte på uppgiftslämnande i enskilda fall och användas vid utlämnande av uppgifter t.ex. via telefon eller e-post. En vidare sekretessbrytande bestämmelse bör gälla vid direktåtkomst (jfr prop. 2012/13:120 s. 44-45).
Den sekretessbrytande regeln för uppgiftslämnande i enskilda fall bör omfatta en rätt för Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet att på begäran ta del av sådana uppgifter om enskilda som Migrationsverket behandlar för de primära ändamålen handläggning av ärenden eller en myndighets biträde i sådana ärenden, kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige. Vidare bör Polismyndigheten på begäran kunna få del av uppgifter ur Migrationsverkets register över fingeravtryck och fotografier som Migrationsverket behandlar för att pröva ansökningar om uppehållstillstånd av skyddsskäl, i ärenden om avvisning eller utvisning eller för kontroll av fingeravtryck. Migrationsverket bör även ha en möjlighet att självmant lämna uppgifter om fingeravtryck till Polismyndigheten.
Den vidare sekretessbrytande bestämmelsen vid direktåtkomst bör formuleras som en generell rätt för Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna att ta del av de personuppgifter om enskilda som Migrationsverket behandlar med stöd av samtliga primära ändamål utom återsökning av avgöranden, rättsutredningar och annan rättslig information eller information som rör förhållanden i andra länder. Polismyndigheten bör därutöver få ha tillgång till uppgifter som Migrationsverket får behandla i sina register över fingeravtryck och fotografier. Något krav på att varje enskild uppgift ska ha betydelse i ett enskilt ärende bör inte ställas upp.
Påverkar Högsta förvaltningsdomstolens avgörande utformningen av reglerna om direktåkomst?
Det avgörande från Högsta förvaltningsdomstolen som redogjorts för ovan (Högsta förvaltningsdomstolens dom den 29 oktober 2015 i mål nr 1356-14) kan tolkas så att den tekniska utformningen av en myndighets system för utlämnande av uppgifter kan bli avgörande för om utlämnandet ska anses som direktåtkomst eller som annat utlämnande på medium för automatiserad behandling. I det aktuella fallet handlade det om att socialnämnderna inte på egen hand kunde söka information i socialförsäkringsdatabasen, utan ett utlämnande förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan fick därigenom anses förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Domstolen ansåg därför att socialnämnderna inte kunde anses ha någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen. Detta innebar att förfarandet inte var att betrakta som direktåtkomst.
Syftet med utlänningsdatalagen är att tillskapa en teknikneutral och flexibel lag som så långt möjligt inte ska behöva förändras i takt med den tekniska utvecklingen eller till följd av förändringar av myndigheternas behov att behandla personuppgifter. Trots att Högsta förvaltningsdomstolens avgörande begränsar vilka tekniska lösningar som fortsättningsvis kommer att bedömas som direktåtkomst, finns det mot den bakgrunden ett behov av regler i utlänningsdatalagen om direktåtkomst till Migrationsverkets uppgifter. Regeringen bedömer att det i nuläget inte finns något behov av att anpassa eller annars överväga förändringar i reglerna om direktåtkomst eller de anknytande reglerna om uppgiftssskyldighet. Regeringen kommer dock att noga följa utvecklingen och kan komma att återkomma till frågan om regleringen rörande direktåtkomst i ett senare sammanhang.
6.16 Särskilt om överföring av personuppgifter
till tredjeland
Regeringens förslag: Utöver det som följer av 33 § personuppgiftslagen ska överföring av personuppgifter till tredjeland få ske om det är absolut nödvändigt för handläggning av ärenden eller biträde i sådana ärenden, kontroll av utlänning och återsökning av rättslig information, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400).
En upplysningsbestämmelse ska införas som anger att regeringen eller den myndighet som regeringens bestämmer kan meddela ytterligare föreskrifter som begränsar i vilken utsträckning personuppgifter får överföras till tredjeland.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår en delvis annorlunda utformning av bestämmelsen.
Remissinstanserna: De flesta remissinstanser antingen godtar förslaget eller lämnar det utan invändningar. Kammarrätten i Stockholm anser att det inte är lämpligt att använda begreppet absolut nödvändigt i lagtext. I stället bör begreppen behövligt och nödvändigt användas. Domstolen vill också understryka att det är angeläget att överföring av personuppgifter till tredjeland sker med stor försiktighet. Datainspektionen efterfrågar en analys av om myndigheternas behov av effektivitet i verksamheten överväger de negativa konsekvenser som en överföring av personuppgifter till tredjeland kan ge upphov till. Sveriges advokatsamfund anser att det krävs en vidare analys och ett förtydligande av hur den föreslagna bestämmelsen förhåller sig till eventuella sekretesshinder i offentlighets- och sekretesslagen samt artikel 30 a i det omarbetade asylprocedurdirektivet. Det måste enligt samfundet tydligt framgå att överföring av personuppgifter till tredjeland aldrig får ske om det finns risk att uppgifter om enskilda ansökningar om internationellt skydd röjs till de påstådda aktörer som bedriver förföljelse. Även Rådgivningsbyrån för asylsökande och flyktingar efterfrågar en utförligare risk- och konsekvensanalys av utlämnande av personuppgifter till tredjeland.
Polismyndigheten anser att hänvisningen i lagen till 33 och 34 §§ personuppgiftslagen, som delvis innehåller samma undantag som den särskilda bestämmelsen om överföring av uppgifter till tredjeland, gör det svårt att förstå regleringen av överföring av uppgifter.
Skälen för regeringens förslag: I avsnitt 6.6.2 föreslår regeringen att utlänningsdatalagen ska hänvisa till 33-35 §§ personuppgiftslagen (1998:204) när det gäller överföring av uppgifter till tredjeland. Som utredningen för fram kan det ifrågasättas om de undantag från det principiella förbudet att överföra personuppgifter till tredjeland som medges i 34 § personuppgiftslagen är tillräckligt vida för att medge nödvändig överföring av uppgifter till tredjeland eller om de behöver kompletteras ytterligare. I denna fråga gör regeringen följande bedömning.
Regeringen delar inledningsvis utredningens uppfattning att informationsutbyten genom direktåtkomst till Migrationsverkets datasystem eller som sker på annat sätt med svenska utlandsmyndigheter belägna i tredjeland inte innebär att personuppgifter förs över till tredjeland. Däremot är det, som också utredningen anser, fråga om överföring av uppgifter till ett annat land då utlandsmyndigheten i sin tur lämnar ut personuppgifter till mottagare i tredjeland. Exempel på sådan överföring är när utlandsmyndigheten begär biträde av lokala s.k. förtroendeadvokater eller andra utomstående. Sådant biträde kan till exempel begäras för att kontrollera äktheten av vissa handlingar. Ytterligare ett exempel på överföring av uppgifter till tredjeland är när Migrationsverket i ärenden om återvändande behöver ordna resehandlingar och mottagande i mottagarlandet. Ett annat vanligt fall när personuppgifter överförs till tredjeland är när polisen ska verkställa beslut om avvisningar eller utvisningar. Polisen kan då behöva kontakta utländska beskickningar för att kunna fastställa en persons identitet och för att få ut resehandlingar för personen. Olika uppgifter, exempelvis om familjeförhållanden och adresser i utlandet, skickas då över till den utländska beskickningen för att möjliggöra utredningen av identiteten, se bl.a. 7 kap. 20 § utlänningsförordningen (2006:97). Överföring av personuppgifter till tredjeland sker i sistnämnda fall normalt utan den enskildes samtycke. Vidare kan polisen behöva få uppgifter verifierade hos myndigheter i det land där en utlandsmyndighet finns.
Det är som utgångspunkt av allmänt intresse att personuppgifter som behandlas enligt utlänningslagstiftningen kan föras över till tredjeland när det krävs för att de svenska myndigheterna ska kunna utföra sina uppgifter på ett effektivt sätt. Det allmänna intresset av en sådan överföring måste emellertid, som flera remissinstanser påpekar, vägas mot de negativa konsekvenser informationsöverföring till tredjeland kan medföra för utlänningen och hans eller hennes familjemedlemmar eller släktingar som är kvar i ursprungslandet.
Som tidigare redovisats får personuppgifter enligt gällande rätt överföras till tredjeland, om den registrerade samtycker till det. Om en registrerad i tredjeland exempelvis ansöker om visum vid en utlandsmyndighet, får han eller hon anses ha samtyckt till den överföring som sker då han eller hon får del av beslutet. Likaså får en registrerad i tredjeland som inleder en elektronisk kommunikation med en myndighet i Sverige, exempelvis via e-post eller via ett särskilt inrättat elektroniskt ansökningsförfarande, anses ha samtyckt till att den fortsatta kommunikationen kan inbegripa överföring av personuppgifter till tredjeland.
Ibland finns det även, som ovan nämnts, behov för aktuella myndigheter att överföra personuppgifter till tredjeland oavsett om samtycke till detta föreligger. Så kan exempelvis vara fallet vid utlämnande av personuppgifter till förtroendeadvokater eller andra personer när utlandsmyndigheter i tredjeland biträder svenska myndigheter med utredning i enskilda ärenden, men även vid återvändandeärenden och verkställighetsärenden avseende avvisningar eller utvisningar. Personuppgifter överförs ibland även till andra EU-länder vid s.k. Joint Return Operations, dvs. gemensamma återvändaroperationer koordinerade och finansierade genom EU:s gränskontrollbyrå Frontex. Anledningen till överföringen av uppgifter är att en medlemsstat som organiserar en insats behöver information om de som ska återvända för att kunna organisera och möjliggöra ett återvändande hos destinationslandet.
Regeringen instämmer mot denna bakgrund i utredningens slutsats att de undantag från förbudet mot överföring av personuppgifter till tredjeland som finns i 34 § personuppgiftslagen och i förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen inte är tillräckliga för att tillgodose all sådan överföring av personuppgifter som är befogad. Ytterligare undantag, vid sidan av dem som redan gäller enligt 34 § personuppgiftslagen, behövs alltså i utlänningsdatalagen.
När det gäller utformningen av dessa undantag instämmer regeringen i utredningens bedömning. Förutom med den registrerades samtycke bör överföring av personuppgifter till tredjeland alltså få ske om det är absolut nödvändigt för den överförande myndighetens handläggning av ärenden eller biträde i sådana ärenden, kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige och sådan behandling som sker för ändamålet återsökning av avgöranden, rättsutredningar och annan rättslig information. De kompletterande undantagen får anses vara förenliga med vad dataskyddsdirektivet anger om att undantag från överföringsförbudet får göras för ett viktigt allmänt intresse (artikel 26 i dataskyddsdirektivet). I avsnitt 6.11.2 gör regeringen bedömningen att begreppet absolut nödvändigt på ett godtagbart sätt ger uttryck för hur användningen av personuppgifter kan begränsas. Regeringen anser också att begreppet är lämpligt för att inskränka förutsättningarna för att överföra uppgifter till tredjeland.
Även om en överföring av personuppgifter till tredjeland bedöms som absolut nödvändig för de tillåtna ändamålen måste myndigheterna alltid bedöma om offentlighets- och sekretesslagen hindrar att uppgifterna lämnas ut. Enligt offentlighets- och sekretesslagen gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar (21 kap. 5 §).
Härutöver gäller sekretess i verksamhet för kontroll över utlänningar för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Denna sekretess gäller också hos myndighet som lämnar biträde i sådant ärende eller i sådan verksamhet. (37 kap. 1 § första och fjärde styckena).
En uppgift som är sekretessbelagd får inte röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnande sker i enlighet med särskild föreskrift i lag eller förordning eller uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens bedömning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen (8 kap. 3 §). Sekretess hindrar vidare inte att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet (10 kap. 2 §). Är det fråga om en utländsk myndighet måste emellertid också förutsättningarna i 8 kap. 3 § samtidigt vara uppfyllda. Det måste alltså vara förenligt med svenska intressen att uppgiften lämnas ut. Vid bedömningen av om det är befogat att lämna ut uppgifter med stöd av dessa bestämmelser gäller generellt att myndigheterna måste iaktta stor försiktighet och i varje enskilt fall noga överväga vilka risker den enskilde eller dennes närstående kan komma att utsättas för genom myndighetens handlande.
Av hänsyn till integritetsintresset måste det vidare många gånger finnas anledning att i vissa fall begränsa vilka uppgiftskategorier som får föras över, eller till vilka mottagare som överföringen får ske. Som utredningen föreslår bör därför en upplysningsbestämmelse tas in i utlänningsdatalagen som anger att regeringen eller den myndighet regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar i förhållande till vad lagen medger. Det är naturligt att det vid utformandet av sådana föreskrifter görs en avvägning mellan myndigheternas intresse av att kunna överföra informationen och de negativa konsekvenser en sådan överföring kan innebära för den enskilde.
6.17 Bevarande och gallring m.m.
Regeringens förslag: Personuppgifter ska avskiljas när de inte längre behövs i verksamheten.
Upplysningsbestämmelser ska införas som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om avskiljande av personuppgifter samt föreskrifter om säkerhetsåtgärder till skydd för personuppgifter och om gallring av känsliga personuppgifter.
Regeringens bedömning: Det bör inte införas några särskilda bestämmelser om gallring i utlänningsdatalagen. Personuppgifter får på samma sätt som i personuppgiftslagen, bevaras elektroniskt för att tillgodose arkivändamål. Personuppgifter som inte är allmänna handlingar får, också på samma sätt som i personuppgiftslagen, bevaras elektroniskt endast så länge det är nödvändigt med hänsyn till ändamålen med behandlingen eller under längre tid om bevarandet sker för historiska, statistiska eller vetenskapliga ändamål.
Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår dock en annan språklig och redaktionell utformning av bestämmelsen om avskiljande. Utredningen förslår också att åtkomst till avskilda personuppgifter ska begränsas ytterligare. Utredningens förslag till upplysningsbestämmelser när det gäller avskiljande och säkerhetsåtgärder är vidare begränsat till uppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Remissinstanserna: De flesta remissinstanser antingen godtar utredningens förslag eller bedömning eller lämnar dem utan erinran. Kammarrätten i Stockholm anser att det inte är lämpligt att använda begreppet absolut behov när det gäller tillgång till avskilda uppgifter. Domstolen förordar i stället att ordet nödvändigt används.
Migrationsverket anser att det är angeläget att även avskilda personuppgifter kan lämnas ut genom direktåtkomst då sådana uppgifter många gånger kan behövas vid andra myndigheters ärendehandläggning.
Datainspektionen anser att bestämmelser om gallring bör införas i utlänningsdatalagen och att det inte bör överlåtas till myndigheterna att ge föreskrifter om avskiljande.
Säkerhets- och integritetsskyddsnämnden anser att frågan om återförande av avskilda uppgifter måste övervägas närmare i det fortsatta lagstiftningsarbetet.
Skälen för regeringens förslag och bedömning
Allmänt om gallring
Varje svensk medborgare har enligt 2 kap. 1 § tryckfrihetsförordningen en grundlagsfäst rätt att ta del av allmänna handlingar. En förutsättning för att denna handlingsoffentlighet ska kunna utnyttjas är att handlingar bevaras hos myndigheterna. Redan bestämmelserna i tryckfrihetsförordningen kan således sägas medföra en skyldighet för myndigheterna att bevara och ordna allmänna handlingar så att det går att hitta bland dem och att vårda dem så att de inte skingras och förstörs. Enligt 2 kap. 18 § tryckfrihetsförordningen ska bestämmelser om hur allmänna handlingar ska bevaras och om gallring av sådana handlingar meddelas i lag. Bestämmelser om myndigheternas skyldighet att bevara allmänna handlingar och på vilket sätt det ska ske finns i arkivlagen, arkivförordningen (1991:446) och Riksarkivets föreskrifter (RA-FS och RA-MS). I dessa bestämmelser anges bland annat hur en handling ska framställas, förvaras och skyddas. Där finns också bestämmelser om gallring och avhändande av allmänna handlingar.
Huvudprincipen enligt arkivlagstiftningen är att allmänna handlingar ska bevaras. Det kommer till uttryck i 3 § arkivlagen, enligt vilken myndigheternas arkiv som huvudregel ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Det följer dock av 10 § arkivlagen att allmänna handlingar under vissa förutsättningar får gallras. Med gallring avses att en handling förstörs på ett eller annat sätt. Vanliga pappershandlingar förstörs fysiskt. För elektroniska handlingar innebär gallring vanligtvis att viss information raderas från databäraren. Med gallring menas inte bara att rent faktiskt förstöra en allmän handling eller uppgifter i en sådan handling. Gallring innebär också att vidta åtgärder med en allmän handling som medför förlust av betydelsebärande data, förlust av möjliga sammanställningar, förlust av sökmöjligheter eller förlust av möjligheter att bedöma handlingens autenticitet (RA-FS 1997:4 ändrad genom RA-FS 2008:4). Det kan till exempel innebära gallring att skriva ut en elektronisk handling i pappersform och därefter förstöra den elektroniska handlingen. Även om informationen finns kvar på papper kan möjligheten att få fram informationen ha försämrats.
När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen).
Av 14 § arkivförordningen framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas.
Grundprincipen i arkivlagstiftningen är således att allmänna handlingar ska bevaras. Några särskilda hänsyn till vilken risk bevarandet kan medföra ur integritetshänseende ska inte tas. Bestämmelser om gallring föranleds i stället vanligtvis av kostnads- och utrymmesskäl.
I personuppgiftslagen (1998:204) är utgångspunkten en annan. Enligt 9 § första stycket i personuppgiftslagen får en personuppgift inte bevaras längre än nödvändigt med hänsyn till ändamålet för vilket personuppgifterna samlades in. Tryckfrihetsförordningens och arkivlagens bestämmelser har dock företräde framför personuppgiftslagens bestämmelser. Det följer av 8 § första stycket personuppgiftslagen att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. I paragrafens andra stycke anges att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Personuppgiftslagens bestämmelser medför således inte att personuppgifter som är allmänna handlingar ska utplånas eller gallras. För personuppgifter som inte är allmänna handlingar gäller emellertid regeln i 9 § första stycket i personuppgiftslagen, vilket innebär att personuppgiften inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Gallringsbestämmelser som gäller i dag i verksamheten
Det finns inte några särbestämmelser om gallring i utlänningslagen eller någon annan författning som reglerar den verksamhet som föreslås omfattas av utlänningsdatalagen. I 11 § förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen finns dock en bestämmelse om gallring. Enligt bestämmelsen ska en uppgift i Migrationsverkets fingeravtrycksregister gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades. I övrigt finns inga särskilda bestämmelser om gallring i förordningen. Som huvudregel gäller således arkivlagens bestämmelser om bevarande och gallring för verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utgångspunkten är därmed att allmänna handlingar inte ska gallras.
Personuppgifter som inte är allmänna handlingar
Som angetts ovan gäller för personuppgifter som inte är allmänna handlingar för närvarande bestämmelserna i 9 § första stycket i och tredje stycket personuppgiftslagen. Av de bestämmelserna följer att personuppgifter som huvudregel inte får bevaras längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Det medför bland annat att personuppgifter i minnesanteckningar eller utkast till beslut eller skrivelse som behandlas av en tjänsteman i ett ordbehandlingsprogram och som inte har tagits om hand för arkivering ska tas bort ut systemet eller avidentifieras när de inte längre behövs för sitt ändamål.
I avsnitt 6.6.2 föreslår regeringen att utlänningsdatalagen ska innehålla en hänvisning till bestämmelserna i 9 § personuppgiftslagen.
Manuellt behandlade personuppgifter i allmänna handlingar
För personuppgifter i allmänna handlingar som behandlas manuellt gäller i dag att de som huvudregel ska bevaras. Gallring får dock ske om det finns stöd för det i föreskrifter eller beslut av Riksarkivet. För Migrationsverket gäller till exempel Riksarkivets föreskrifter och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse (RA-FS 1991:6, ändrad 1997:6 och 2012:2) och Riksarkivets föreskrifter om återlämnande och gallring hos Migrationsverket (RA-MS 2013:45). Enligt regeringens mening finns det inte någon anledning att ändra på den ordningen.
Automatiserat behandlade personuppgifter i allmänna handlingar
Dagens teknik medför att en i princip obegränsad mängd personuppgifter kan bevaras elektroniskt hos myndigheterna. Ett elektroniskt bevarande ökar möjligheten att på ett enkelt sätt söka och sammanställa uppgifter, något som också kan öka risken för integritetsintrång. En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs i en myndighets verksamhet gallras ur myndighetens datasystem. För detta krävs särskilda bestämmelser om gallring av uppgifter i myndighetens verksamhet.
Som utredningen anför finns det vissa omständigheter som talar för att särskilda bestämmelser om gallring ska införas i utlänningsdatalagen. I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas en stor mängd personuppgifter som avser ett stort antal personer. Behandlingen sker i många fall utan den enskildes samtycke och personuppgifterna används vid myndighetsutövning gentemot enskilda personer. Många av de personuppgifter som behandlas utgör känsliga personuppgifter enligt 13 § personuppgiftslagen. Det finns också personuppgifter som inte hör till denna kategori, men ändå kan uppfattas som integritetskänsliga.
Det finns emellertid också omständigheter som talar mot särskilda gallringsbestämmelser. Som framgår ovan finns i dag endast en särskild bestämmelse om gallring i förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgar-skapslagstiftningen, avseende gallring i fingeravtrycksregistret. I övrigt gäller att automatiserat behandlade personuppgifter i allmänna handlingar som utgångspunkt ska bevaras.
En annan omständighet som talar för bevarande som huvudregel är att det vid handläggning av ärenden hos Migrationsverket ofta finns ett behov att ta fram uppgifter från tidigare ärenden. Ett exempel är s.k. anknytningsärenden, där personer som begär uppehållstillstånd på grund av anknytning åberopar uppgifter från släktingars ärenden som rör ansökan om uppehållstillstånd. En alltför omfattande gallring av myndighetens handlingar skulle minska möjligheterna att använda uppgifter från tidigare ärenden.
Vidare talar allmänhetens intresse av insyn i verksamheten för att bevarande bör vara utgångspunkten. Migrations- och utlänningsrätt är ofta omdebatterade områden, och möjligheten till granskning av verksamheten av till exempel forskare eller journalister skulle minska avsevärt om personuppgifter i elektroniska handlingar som utgångspunkt ska gallras.
Mot denna bakgrund gör regeringen liksom utredningen bedömningen att den nuvarande ordningen bör fortsätta att gälla. Någon generell gallringsbestämmelse bör således inte föras in i lagen. Det kan dock, som också utredningen anser, finnas behov av vissa specifika gallringsregler, särskilt när det gäller känsliga personuppgifter. Datainspektionen förordar att sådana gallringsbestämmelser ges lagform. I avsnitt 6.10 gör regeringen beträffande behandlingen av fingeravtryck och fotografier bedömningen att det är mest lämpligt att gallringsbestämmelser ges på förordningsnivå. Regeringen gör samma bedömning när det gäller gallring av känsliga personuppgifter. En upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om gallring av känsliga personuppgifter bör därför införas i utlänningsdatalagen.
Avskiljande av inaktuella personuppgifter
Regeringens förslag om att arkivlagens bestämmelser om bevarande och gallring ska gälla för personuppgifter som behandlas automatiserat innebär ett behov av att överväga särskilda regler som säkerställer att uppgifter som inte längre behövs i verksamheten bevaras i myndigheternas datasystem på ett sätt som gör att de inte finns tillgängliga för myndighetens samtliga handläggare. Uppgifter som behandlas för ändamålen att handlägga ärenden, bedriva utlänningskontroll och mottagningsverksamhet är ofta av integritetskänslig karaktär och är ofta tillgängliga för många anställda på myndigheterna. Regeringen anser därför liksom utredningen att de uppgifter som inte längre är nödvändiga för den löpande verksamheten, t.ex. för att handläggningen av ett ärende har avslutats, ska avskiljas och inte längre vara tillgängliga för all den personal som arbetar i sådan verksamhet. För att anknyta till ordalydelsen i ändamålsbestämmelserna bör dock i stället detta uttryckas som att uppgifterna ska avskiljas om de inte längre behövs för den löpande verksamheten.
Utredningen föreslår att endast anställda som är i absolut behov av av de avskilda uppgifterna ska få åtkomst till dem. Det kan enligt utredningen till exempel gälla verksarkivarier, men även handläggare och beslutsfattare kan ha behov av att vid handläggning av nya ärenden behandla redan avskilda uppgifter. Enligt regeringens mening kan det, som också Säkerhets- och integritetsskyddsnämnden är inne på, med hänsyn till de exempel som utredningen anger, ifrågasättas om inte utredningens förslag innebär en alltför snäv begränsning av åtkomsten till avskilda personuppgifter. Det torde inte vara ovanligt att det finns ett behov av åtkomst till uppgifter i avslutade ärenden i t.ex. nya ärenden om familjeåterförening. Regeringen anser därför att det är tillräckligt att det ska föreligga ett behov för den tjänstemannen att få åtkomst till uppgifterna. Vem som ska få behörighet till avskilda uppgifter måste dock alltid föregås av en individuell prövning. På så sätt kan säkerställas att integritetsskyddet för avskilda personuppgifter blir tillräckligt även utan det krav på absolut behov som utredningen föreslår. I avsnitt 6.12 föreslås en allmän bestämmelse om att det åligger den personuppgiftsansvariga myndigheten att begränsa den interna åtkomsten av personuppgifter till det som varje tjänsteman behöver för att fullgöra sina arbetsuppgifter. Utan särreglering blir den bestämmelsen tillämplig även på den interna åtkomsten till avskilda uppgifter. Eftersom regeringen menar att samma krav på behov bör gälla för att en tjänsteman ska få tillgång till avskilda uppgifter behövs inte någon särskild begränsningsbestämmelse av åtkomsten till uppgifter i bestämmelsen om avskiljande. Det är en annan sak att det sannolikt ofta är en betydligt snävare krets av tjänstemän som kommer att bedömas ha behov av att få tillgång till avskilda personuppgifter.
Regleringen rörande avskiljande bör, som utredningen föreslår, vara allmänt hållen. Hur avskiljandet ska ske bör den personuppgiftsansvarige själv få bestämma. Det får dock inte innebära informationsförlust av något slag. En metod är att uppgifterna avställs till en annan databas som till exempel Migrationsverkets e-arkiv. Att i lagen ge någon bestämd tidsfrist för när personuppgifterna ska avskiljas bör inte vara nödvändigt. Självfallet bör dock personuppgifter om en utlänning avskiljas när han eller hon har beviljats svenskt medborgarskap. En stor mängd personuppgifter om utlänningar som inte varit aktuella i något ärende på lång tid, kan inte heller anses behövas i den löpande verksamheten. Det bör överlämnas till den personuppgiftsansvariga myndigheten att bedöma hur avskiljandet ska utformas, tidsgränser för när detta ska ske och att utarbeta regler och rutiner för detta. Det torde, som nämnts ovan, inte vara ovanligt att uppgifter som inte längre är av betydelse för t.ex. Migrationsverkets handläggning och därmed ska avskiljas är av betydelse för andra myndigheters ärendehandläggning. Det bör därför inte, som utredningen anser, föreligga något hinder mot att avskilda uppgifter omfattas av direktåtkomst.
Ytterligare upplysningsbestämmelser
Som utredningen föreslår kan det finnas behov för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om avskiljande av personuppgifter och säkerhetsåtgärder till skydd för personuppgifter. Utredningen anser att föreskrifter i första hand behövs med hänsyn till att Migrationsverket, som framgår av avsnitt 6.7, är personuppgiftsansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter. Enligt regeringens mening bör emellertid upplysningbestämmelserna göras mer generella så att det framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter även i de fall då det inte handlar om personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
7 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Utlänningsdatalagen och övriga författningsändringar ska träda i kraft dagen efter den dag då lagen enligt uppgift på den kommit ut från trycket i Svensk författningssamling.
Regeringens bedömning: Några särskilda övergångsbestämmelser behövs inte.
Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen föreslår ett tidigare ikraftträdande.
Remissinstanserna: Ingen remissinstans yttrar sig i frågan om ikraftträdande- eller övergångsbestämmelser.
Skälen för regeringens förslag och bedömning: Som närmare beskrivs i avsnitt 3 är det angeläget att utlänningsdatalagen och övriga författningsändringar kan träda i kraft så snart som möjligt. Regeringen föreslår att utlänningsdatalagen och övriga författningsändringar ska träda i kraft dagen efter den dag då lagen enligt uppgift på den kommit ut från trycket i Svensk författningssamling, vilket med hänsyn till behandlingen i riksdagen beräknas bli i början av februari 2016.
Det behövs inga särskilda övergångsbestämmelser.
8 Konsekvenser av förslagen
Regeringens bedömning: Genom förslagen skapas ett förstärkt integritetsskydd som är anpassat till de risker som är förknippade med användningen av modern teknik. Förslagen innebär en flexibel reglering som ger myndigheterna möjlighet att fortlöpande utveckla och anpassa sina system för automatiserad behandling av personuppgifter utan att det kräver ändringar i lagstiftningen.
Förslagen medför inte några kostnader för myndigheterna som inte ryms inom befintliga anslag.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot utredningens bedömning.
Skälen för regeringens bedömning: Syftet med regeringens förslag till en ny utlänningsdatalag är att införa en modern, ändamålsenlig och teknikoberoende lag för Migrationsverkets, Polismyndighetens och utlandsmyndigheternas behandling av personuppgifter så att myndigheternas verksamhet enligt utlännings- och medborgarlag-stiftningen ska kunna bedrivas så effektivt som möjligt.
Regeringen gör bedömningen att författningsförslagen inte kommer att innebära några större merkostnader för Migrationsverket, Polismyndigheten eller utlandsmyndigheterna. De befintliga it-systemen kan enligt regeringens bedömning behållas. Eftersom förslagen är teknikoberoende kan även it-systemen utvecklas och ändras utan att lagstiftningen behöver ändras. De krav som regleringen ställer bör dock kunna uppfyllas genom en anpassning av de befintliga systemen och genom utbildning, information och instruktioner till personalen. Även förslaget om krav på avskiljande, som kan antas medföra vissa merkostnader för Migrationsverket, bör enligt regeringens bedömning inte vara mer omfattande än att det får anses utgöra en del av det ordinarie utvecklingsarbetet.
Mot denna bakgrund gör regeringen bedömningen att förslagen inte medför några förändringar i förutsättningarna för myndigheternas verksamhet som får sådana kostnadsmässiga konsekvenser att de inte ryms inom myndigheternas ordinarie budgetramar.
9 Författningskommentar
9.1 Förslaget till utlänningsdatalag
Lagens syfte
1 § Syftet med denna lag är att ge Migrationsverket, Polismyndigheten och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen anges det övergripande syftet med lagen. Övervägandena finns i avsnitt 6.2.
I paragrafen anges att syftet med lagen är att ge Migrationsverket, Polismyndigheten och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda den personliga integriteten vid sådan behandling. Bestämmelsen har sin förebild i bl.a. 1 kap. 1 § polisdatalagen (2010:361). Vad som i lagen avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen anges uttömmande i 2 och 3 §§.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör
1. utlänningars inresa i Sverige, i en stat som ingår i Europeiska unionen, i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet eller i Schweiz,
2. utlänningars vistelse eller arbete i Sverige och utresa eller avlägsnande från Sverige,
3. statusförklaring,
4. mottagande av asylsökande och andra utlänningar,
5. bistånd och stöd till utlänningar,
6. svenskt medborgarskap,
7. statlig ersättning för kostnader för utlänningar,
8. bosättning av utlänningar, eller
9. utfärdande av resehandlingar.
Paragrafen anger vilken verksamhet hos Migrationsverket och utlandsmyndigheterna som lagens personuppgiftshanteringsregler ska tillämpas på. Övervägandena finns i avsnitt 6.3.
I denna paragraf, tillsammans med 3 §, anges uttömmande vilka myndigheters behandling av personuppgifter som regleras av lagen. Personuppgiftsbehandling som utförs inom sådan verksamhet som omfattas av paragrafen, men som utförs av någon annan myndighet faller utanför lagens tillämpningsområde. Paragrafen har delvis sin förebild i 1 § förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Uttrycket behandling av personuppgifter har samma betydelse som i 3 § personuppgiftslagen (1998:204). Av det följer att behandling av personuppgifter som rör avlidna, ännu inte födda eller juridiska personer inte omfattas av lagens bestämmelser.
I punkterna 1-9 beskrivs vilken verksamhet som regleras av lagen för Migrationsverkets och utlandsmyndigheternas del. Fler än en av punkterna kan vara tillämpliga samtidigt.
Med punkterna 1 och 2 avses främst Migrationsverkets och utlandsmyndigheternas verksamhet enligt utlänningslagen (2005:716) och utlänningsförordningen (2006:97) som rör visering, uppehållstillstånd, arbetstillstånd, avvisning eller utvisning, kontroll och verkställighet av beslut inklusive frågor om förvar. Även utlandsmyndigheternas biträde med utredning av Migrationsverkets utlännings- och medborgarskapsärenden med stöd av förordningen (2014:115) med instruktion för utrikesrepresentationen avses. Vidare faller Migrationsverkets behandling av personuppgifter i ärenden om utvisning och förvar m.m. av utlänningar med stöd av lagen (1991:572) om särskild utlänningskontroll under dessa punkter.
Punkt 3 omfattar Migrationsverkets behandling av personuppgifter med anledning av beslut om eller återkallelse av statusförklaring enligt 4 kap. 3-3 c samt 5 b och 5 c §§ utlänningslagen.
I punkt 4 avses Migrationsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl. och förordningen (1994:361) om mottagande av asylsökande m.fl. Till punkten hör också Migrationsverkets verksamhet i samband med mottagande av kvotflyktingar.
Punkt 5 avser Migrationsverkets verksamhet som rör ekonomiskt bistånd enligt lagen och förordningen om mottagande av asylsökande m.fl. Även Migrationsverkets verksamhet enligt förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land, förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigs resor till Sverige, förordningen (2008:778) om återetableringsstöd för vissa utlänningar och förordningen (2010:1345) om särskild dagersättning till vissa nyanlända invandrare avses.
Med punkt 6 avses Migrationsverkets och utlandsmyndigheternas verksamhet enligt lagen (2001:82) om svenskt medborgarskap och medborgarskapsförordningen (2001:218).
Punkt 7 omfattar bl.a. Migrationsverkets verksamhet som gäller ersättning till kommuner, landsting, kommunalförbund och öppenvårdsapotek för vissa kostnader för utlänningar. Bestämmelser om sådan ersättning finns i förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m., förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar, förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande och förordningen (2002:1118) om statlig ersättning för asylsökande m.fl.
I punkt 8 innefattas Migrationsverkets verksamhet som rör bosättning av utlänningar. Bestämmelser om denna verksamhet finns i lagen om mottagande av asylsökande m.fl. och förordningen (2010:408) om mottagande för bosättning av vissa nyanlända invandrare.
Med punkt 9 avses Migrationsverkets och utlandsmyndigheternas verksamhet som rör utfärdande av resehandlingar. I uttrycket ingår främlingspass och olika former av resedokument.
Lagen är inte tillämplig på verksamhet som faller utanför uppräkningen av de olika verksamhetsområdena. Det innebär att lagen inte är tillämplig på Migrationsverkets och utlandsmyndigheternas interna administrativa ärendehantering som rör t.ex. ekonomi- eller personalfrågor. För behandling av personuppgifter i sådan verksamhet gäller bestämmelserna i personuppgiftslagen. Detsamma gäller den verksamhet som regleras i förordningen (2014:1538) om förvaltning av asyl-, migrations- och integrationsfonden.
3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige om verksamheten inte utgör brottsbekämpande verksamhet.
Paragrafen anger vilken verksamhet hos Polismyndigheten som lagens personuppgiftshanteringsregler ska tillämpas på. Övervägandena finns i avsnitt 6.3.
I denna paragraf, tillsammans med 2 §, anges uttömmande vilka myndigheters behandling av personuppgifter som regleras av lagen. Paragrafen har delvis sin förebild i 1 § förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Personuppgiftsbehandling som utförs inom sådan verksamhet som omfattas av paragrafen, men som utförs av någon annan myndighet faller utanför lagens tillämpningsområde.
Enligt paragrafen gäller lagen vid den personuppgiftsbehandling som Polismyndigheten utför med stöd av utlänningslagen (2005:716) och lagen (2001:82) om svenskt medborgarskap och anslutande förordningar. Även Polismyndighetens verksamhet enligt lagen (1991:572) om särskild utlänningskontroll omfattas. Det innebär att Polismyndighetens personuppgiftsbehandling när myndigheten utför personkontroll vid yttre gräns i samband med inresa och utresa samt inre utlänningskontroll omfattas av lagens bestämmelser så länge kontrollen inte har ett brottsbekämpande syfte. Åtgärder i sådant syfte regleras i stället av polisdatalagens (2010:361) bestämmelser. Inom tillämpningsområdet faller också Polismyndighetens personuppgiftsbehandling i samband med beslut om avvisning och verkställighet av sådana beslut samt verkställighet av allmän domstols beslut om utvisning på grund av brott och Migrationsverkets beslut om avvisning eller utvisning.
Paragrafen omfattar också personuppgiftsbehandling i samband med verkställighet av utlämning eller överlämnande med stöd av lagen (1957:668) om utlämning för brott, lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder samt lagen (1970:375) om utlämning till Danmark, Finland, Island eller Norge för verkställighet av beslut om vård eller behandling.
4 § Lagen gäller endast om behandlingen av personuppgifter enligt 2 eller 3 § är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
I paragrafen regleras vilken typ av personuppgiftsbehandling som regleras av lagen. Övervägandena finns i avsnitt 6.3.
Av paragrafen framgår att lagen är tillämplig endast om behandlingen av personuppgifter är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. Lagen har därmed samma tillämpningsområde som 5 § personuppgiftslagen (1998:204). Utanför lagens tillämpningsområde faller därmed helt manuell behandling av personuppgifter som inte ingår i någon sådan samling.
Med personuppgifter avses detsamma som i 3 § personuppgiftslagen, dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även uttrycket behandling har samma innebörd som i den bestämmelsen. Därmed avses alltså varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, till exempel insamling, registrering, organisering, lagring, bearbetning, användning, spridning eller annat tillhandahållande, sammanställning eller samkörning samt utplåning eller förstöring.
5 § Denna lag gäller inte när personuppgifter behandlas med stöd av
1. lagen (2000:344) om Schengens informationssystem,
2. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller
3. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).
I paragrafen föreskrivs vissa undantag från lagens tillämpningsområde. Eftersom det är fråga om en upplysningsbestämmelse anges endast EU-förordningarnas namn och inte vilken lydelse av dem som det hänvisas till (dynamisk hänvisning). Övervägandena finns i avsnitt 6.4.
I paragrafen anges i tre punkter en lag och två EU-förordningar som åtminstone delvis reglerar sådan verksamhet som enligt 2 och 3 §§ täcks av lagens tillämpningsområde, men som för att undvika överlappande reglering ska ha företräde framför lagen.
Enligt punkt 1 gäller att personuppgiftshanteringsreglerna i lagen (2000:344) om Schengens informationssystem ska ha företräde framför lagen.
I punkt 2 anges att lagen inte gäller på det område som regleras av viseringskodexen.
Punkt 3 betyder att lagen inte gäller på det område som regleras av Eurodac-förordningen.
6 § När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), gäller bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd om inte något annat följer av VIS-förordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen.
I paragrafen regleras vad som ska gälla för rättelse och skadestånd när VIS-förordningen tillämpas. Paragrafen innehåller också ett undantag från lagens tillämpningsområde. Eftersom det är fråga om en upplysningsbestämmelse anges endast EU-förordningens namn och inte vilken lydelse av den som det hänvisas till (dynamisk hänvisning). Övervägandena finns i avsnitt 6.4.
I första meningen anges att bestämmelserna om rättelse och skadestånd i 28 och 48 §§ personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter enligt VIS-förordningen om inte något annat följer av den förordningen.
Andra meningen innebär att lagens bestämmelser i övrigt inte ska tillämpas på det område som regleras av VIS-förordningen.
Förhållandet till personuppgiftslagen
7 § Om inte något annat anges i 8 §, gäller denna lag i stället för personuppgiftslagen (1998:204).
Paragrafen reglerar lagens förhållande till personuppgiftslagen (1998:204). Övervägandena finns i avsnitt 6.6.
Paragrafen innebär att lagen inom sitt tillämpningsområde enligt 2 och 3 §§ helt ersätter personuppgiftslagen, utom i de fall som uttryckligen anges i 8 §. Vid sådan personuppgiftsbehandling som omfattas av lagen ska alltså bestämmelser i personuppgiftslagen tillämpas endast om det finns en hänvisning till dem i 8 §. Paragrafen har sin förebild bl.a. i 2 kap. 1 § polisdatalagen (2010:361).
8 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen,
3. 9 § om grundläggande krav på behandling av personuppgifter,
4. 22 § om behandling av personnummer,
5. 23 och 25-27 §§ om information till den registrerade,
6. 28 § om rättelse,
7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,
8. 33-35 §§ om överföring av personuppgifter till tredjeland,
9. 38-41 §§ om personuppgiftsombud m.m.,
10. 42 § om upplysningar till allmänheten om vissa behandlingar,
11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,
12. 48 § om skadestånd, och
13. 51 § första stycket, 52 § första stycket och 53 § om överklagande.
Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.
Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.
Paragrafen, som till sin strukturella uppbyggnad har sin förebild bl.a. i 2 kap. 2 § polisdatalagen (2010:361), innehåller hänvisningar till tillämpliga bestämmelser i personuppgiftslagen (1998:204), PUL. Övervägandena finns i avsnitt 6.6.
I första stycket anges i 13 punkter vilka bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter enligt lagen. Enligt 7 § gäller utlänningsdatalagen i stället för personuppgiftslagen. Det innebär att bestämmelserna i personuppgiftslagen inte ska tillämpas vid sådan behandling av personuppgifter som omfattas av lagen. Vissa utpekade paragrafer i personuppgiftslagen ska dock tillämpas. Uppräkningen är uttömmande.
Enligt första stycket 1 ska de definitioner som anges i 3 § PUL tillämpas även vid behandling av personuppgifter som omfattas av lagen. Därigenom klargörs vad som menas med bl.a. uttrycken personuppgifter, behandling, personuppgiftsansvarig, personuppgiftsombud och personuppgiftsbiträde. I 9 § finns dock en särskild bestämmelse om personuppgiftsansvar för den behandling av personuppgifter som utförs av Migrationsverket, Polismyndigheten och utlandsmyndigheterna.
Första stycket 2 hänvisar till 8 § PUL, där det i första stycket anges att bestämmelserna i personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut handlingar. Genom hänvisningen till denna upplysningsbestämmelse klargörs att bestämmelserna i lagen - liksom de andra bestämmelser i personuppgiftslagen som lagen hänvisar till - inte ska tillämpas om det skulle inskränka den skyldigheten. Det innebär t.ex. att en myndighet inte kan vägra att lämna ut uppgifter i enlighet med tryckfrihetsförordningens bestämmelser enbart med hänvisning till att utlämnandet inte ryms inom de ändamål för behandling som är tillåtna enligt lagen. I sammanhanget bör dock understrykas att offentlighetsprincipen inte innebär någon skyldighet att lämna ut uppgifter i elektronisk form. Vid bedömningen av om en uppgift kan lämnas ut i elektronisk form måste alltså lagens regler beaktas.
Vidare följer av hänvisningen till 8 § andra stycket PUL att bestämmelserna i lagen inte hindrar att en myndighet arkiverar eller bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. För personuppgifter som inte finns i en allmän handling gäller att uppgifterna som huvudregel inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen. Se dock även andra stycket.
I första stycket 3 hänvisas till 9 § PUL. Hänvisningen innebär bl.a. att den personuppgiftsansvarige ska se till att uppgifterna behandlas enbart om det är lagligt och att de behandlas på ett korrekt sätt.
Den personuppgiftsansvarige ska också se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (se 9 § första stycket e och f PUL). Vidare ska den personuppgiftsansvarige se till att de behandlade personuppgifterna är riktiga och, om det är nödvändigt, aktuella, samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen (9 § första stycket g och h PUL).
Hänvisningen innebär vidare att den personuppgiftsansvarige ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (9 § första stycket c PUL).
Genom hänvisningen gäller dessutom att personuppgifter inte får behandlas för ett ändamål som är oförenligt med det ändamål för vilket de samlades in (9 § första stycket d PUL). Detta är ett uttryck för den s.k. finalitetsprincipen. Genom bestämmelsen uppställs en begränsning i fråga om hur uppgifter som redan finns i verksamheten får behandlas för nya ändamål. De primära ändamålen anges uttömmande i 11 och 12 §§ medan det framgår av 13 § att det, utöver vad som framgår av första stycket i den paragrafen, är möjligt att lämna ut uppgifter för ett ändamål som inte kan anses oförenligt med det ändamål för vilket uppgifterna samlades in. Den personuppgiftsansvarige ska alltså dels se till att personuppgifter inte behandlas för andra primära ändamål än de som anges i lagen, dels se till att vidarebehandling för andra sekundära ändamål än de i lagen angivna endast förekommer om det är förenligt med finalitetsprincipen. Hänvisningen till 9 § andra stycket PUL innebär att vidarebehandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses oförenliga med de ändamål för vilka uppgifterna samlades in.
Slutligen innebär hänvisningen att personuppgiftslagens bestämmelser om bevarande av uppgifter som inte finns i allmänna handlingar ska tillämpas. Således gäller som huvudregel att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket i PUL). Personuppgifter får dock bevaras längre om det behövs för historiska, statistiska eller vetenskapliga ändamål.
Vidare hänvisas i första stycket 4 till 22 § PUL. Bestämmelsen innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Genom hänvisningen i första stycket 5 till 23 och 25-27 §§ PUL säkerställs den registrerades rätt till information. Enligt 23 § PUL ska den personuppgiftsansvarige i samband med att personuppgifter samlas in självmant lämna den registrerade information om behandlingen av uppgifterna. Av 25 § första stycket PUL framgår att informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Enligt 25 § andra stycket PUL behöver dock information inte lämnas om sådant som den registrerade redan känner till.
Av 26 och 27 §§ PUL följer att den personuppgiftsansvarige är skyldig att en gång per år efter skriftlig ansökan lämna gratis information om huruvida personuppgifter som rör den sökande behandlas. Om sådan behandling sker, ska upplysning också lämnas om bl.a. ändamålet med behandlingen. Under vissa förutsättningar gäller undantag från informationsskyldigheten i fråga om personuppgifter i löpande text som inte fått sin slutliga utformning, minnesanteckningar och liknande. Informationsplikten gäller inte heller i den utsträckning det råder sekretess eller tystnadsplikt för informationen. Bestämmelserna innebär inga skyldigheter för myndigheterna att inrätta sök- eller andra sammanställningsfunktioner enbart i syfte att kunna lämna så fullständig information som möjligt till den registrerade. För att fullgöra sina skyldigheter enligt bestämmelserna är det tillräckligt att den person-uppgiftsansvarige utnyttjar de sök- och sammanställningsmöjligheter som han eller hon har tillgång till för att få fram information att lämna till den registrerade (se prop. 1997/98:44 s. 81 och 82).
I första stycket 6 görs en hänvisning till 28 § PUL, som innehåller bestämmelser om rättelse, blockering och utplåning av uppgifter. Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med lagen eller de bestämmelser i personuppgiftslagen som lagen hänvisar till.
Första stycket 7 hänvisar till 30 och 31 §§ samt 32 § första stycket PUL som rör säkerhet vid behandling av personuppgifter. Enligt 30 § första stycket PUL får ett personuppgiftsbiträde (dvs. den som behandlar personuppgifter för den personuppgiftsansvariges räkning) och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla personuppgifter enbart i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, gäller dock - enligt 30 § tredje stycket - dessa i stället. Den sistnämnda bestämmelsen syftar särskilt på bestämmelser om tystnadsplikt och sekretess (se prop. 1997/98:44 s. 136). Enligt 30 § andra stycket PUL ska det i fråga om personuppgiftsbiträden finnas ett skriftligt avtal om biträdets behandling för den personuppgiftsansvariges räkning. Det ska i avtalet särskilt föreskrivas att biträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket PUL. Av 31 § PUL följer bl.a. att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de behandlade person-uppgifterna. Enligt 32 § första stycket PUL får tillsynsmyndigheten i enskilda fall besluta om vilka åtgärder som den personuppgiftsansvarige ska vidta enligt 31 § samma lag. Med tillsynsmyndigheten avses här tillsynsmyndigheten enligt personuppgiftslagen, dvs. Datainspektionen, se 2 § personuppgiftsförordningen (1998:1191).
En hänvisning görs i första stycket 8 till 33-35 §§ PUL. Enligt 33 § PUL är det förbjudet att överföra personuppgifter till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifter. Med tredjeland avses enligt 3 § PUL en stat som inte ingår i EU eller är ansluten till EES. Frågan om en skyddsnivå är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska fästas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och reglerna för behandlingen i tredjeland.
Enligt 34 § PUL får uppgifter trots förbudet överföras dels om den registrerade har lämnat sitt samtycke till överföringen, dels om överföringen är nödvändig med hänsyn till vissa uppräknade syften. Det är också enligt den paragrafen tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. Av 35 § PUL framgår att regeringen, och för vissa fall även den myndighet som regeringen bestämmer, kan meddela föreskrifter om undantag från förbudet i 33 § PUL. Det framgår av 5 och 6 §§ att det i annan lagstiftning finns särskilda bestämmelser om överföring till bl.a. medlemsstater i EU som har företräde framför bestämmelserna i lagen. I 20 § finns vidare särskilda bestämmelser som medger överföring av uppgifter till tredjeland i större utsträckning än som medges med stöd av personuppgiftslagens undantagsbestämmelser.
I första stycket 9 finns en hänvisning till 38-40 §§ PUL, där det framgår vilka närmare uppgifter ett personuppgiftsombud har. I 9 och 10 §§ finns vissa särskilda bestämmelser om personuppgiftsansvar för Migrationsverket, Polismyndigheten och utlandsmyndigheterna. En hänvisning görs också till 41 § PUL. Enligt den paragrafen får regeringen meddela föreskrifter om att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll.
En hänvisning görs i första stycket 10 till 42 § PUL. Bestämmelsen avser upplysningar till allmänheten om vissa behandlingar som inte anmälts till Datainspektionen.
I första stycket 11 finns en hänvisning till 43 och 44 §§, 45 § första stycket och 47 § PUL. Genom hänvisningen görs det klart vilka befogenheter tillsynsmyndigheten, dvs. Datainspektionen, har utöver möjligheten att besluta om säkerhetsåtgärder med stöd av hänvisningen till 32 §. Enligt 43 § PUL har Datainspektionen möjlighet att på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen och säkerheten vid denna samt tillträde till den personuppgiftsansvariges lokaler. Om Datainspektionen efter en begäran enligt 43 § PUL inte kan få tillräckligt underlag för att konstatera att personuppgiftsbehandlingen är laglig, får myndigheten enligt 44 § PUL förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem. Av 45 § första stycket PUL följer vidare att Datainspektionen genom påpekanden eller liknande förfaranden ska försöka åstadkomma rättelse om inspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Om det inte går att få rättelse på något annat sätt eller om saken är brådskande, får inspektionen förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem. Datainspektionen har också möjlighet att hos förvaltningsrätten ansöka om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas. Beslut om utplåning får dock inte fattas om det är oskäligt. När det gäller personuppgifter hos myndigheter är det i praktiken inte möjligt att utplåna uppgifter som behövs för handläggningen av ärenden eller som på grund av grundlagsbestämmelser eller bestämmelser i annan lag ska bevaras.
I första stycket 12 regleras den registrerades rätt till skadestånd. Hänvisningen till 48 § PUL innebär att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med utlänningsdatalagen eller bestämmelser som lagen hänvisar till har orsakat. Ersättningsskyldigheten kan i de fall det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Slutligen hänvisas, i första stycket 13, till 51 § första stycket, 52 § första stycket och 53 § PUL. Av hänvisningen till 51 § första stycket PUL följer att Datainspektionens beslut med stöd av utlänningsdatalagen som rör annat än föreskrifter får överklagas till allmän förvaltningsdomstol. Av 52 § första stycket PUL följer att en myndighets beslut om information enligt 26 § PUL om rättelse och underrättelse till tredje man enligt 28 § PUL och om upplysningar enligt 42 § PUL får överklagas hos allmän förvaltningsdomstol. Andra beslut får enligt 53 § PUL inte överklagas.
I andra stycket anges att särskilda gallringsbestämmelser i lagen eller föreskrifter som har meddelats i anslutning till lagen har företräde framför bestämmelsen i 8 § andra stycket PUL, som anger att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkiveringsmyndighet. I avsaknad av särskilda gallringsregler i lagen är utgångspunkten att personuppgifter i allmänna handlingar som behandlas i verksamhet enligt 2 och 3 §§ ska bevaras i enlighet med arkivlagens bestämmelser. Regeringen kan dock i förordning komma att meddela särskilda föreskrifter om gallring. Bestämmelsen innebär att sådana gallringsbestämmelser kommer att ha företräde framför de regler om arkivering och bevarande som gäller till följd av hänvisningen till 8 § andra stycket PUL.
Förbud enligt 44 eller 45 § PUL får normalt förenas med vite. Av tredje stycket följer dock att förbud som meddelats i samband med tillsyn enligt lagen inte får förenas med vite.
Personuppgiftsansvar
9 § Migrationsverket, Polismyndigheten och en utlandsmyndighet är var och en personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Migrationsverket är dock personuppgiftsansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter.
I paragrafen, som till sitt innehåll i allt väsentligt överensstämmer med 2 § förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, regleras vilken myndighet som ska vara personuppgiftsansvarig. Övervägandena finns i avsnitt 6.7.
Av första meningen följer att Migrationsverket, Polismyndigheten eller en utlandsmyndighet är personuppgiftsansvarig för den behandling som respektive myndighet utför. Med detta menas att en myndighet ansvarar för den personuppgiftsbehandling som sker inom ramen för myndighetens verksamhet. Vem som ska ha personuppgiftsansvaret och hur det ska avgränsas får bedömas utifrån de faktiska omständigheterna i det enskilda fallet. Av detta följer exempelvis att det är Migrationsverket, och inte Polismyndigheten, som ansvarar för den personuppgiftsbehandling som Polismyndigheten utför när myndigheten registrerar och kontrollerar fingeravtryck åt Migrationsverket i och mot Migrationsverkets eget fingeravtrycksregister.
I andra meningen finns ett undantag från huvudregeln. Där anges att Migrationsverket är ansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter i den verksamhet som anges i 2 §. Detta personuppgiftsansvar ligger enbart på Migrationsverket. Det är alltså inte fråga om ett delat personuppgiftsansvar för utlandsmyndigheternas automatiserade behandling av personuppgifter. Utlandsmyndigheterna ansvarar ensamma för annan behandling som myndigheterna utför.
10 § Migrationsverket och Polismyndigheten ska var och en utse ett eller flera personuppgiftsombud.
Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.
I paragrafen regleras Migrationsverkets och Polismyndighetens skyldighet att utse personuppgiftsombud. Övervägandena finns i avsnitt 6.7. Bestämmelsen har sin förebild i bl.a. 2 kap. 4 § åklagardatalagen (2015:443).
Första stycket innebär att det är obligatoriskt för Migrationsverket och Polismyndigheten att utse ett eller flera personuppgiftsombud. Motsvarande skyldighet gäller dock inte för utlandsmyndigheterna enligt denna lag. För utlandsmyndigheterna är det i stället frivilligt att utse ett personuppgiftsombud.
Hänvisningen i 8 § första stycket 9 till 38-40 §§ personuppgiftslagen (1998:204) innebär att personuppgiftslagens bestämmelser om personuppgiftsombudets uppgifter blir tillämpliga vid Migrationsverket och Polismyndigheten, liksom i förekommande fall vid utlandsmyndigheterna. Den personuppgiftsansvarige ska enligt andra stycket anmäla till Datainspektionen när ett personuppgiftsombud utses eller entledigas.
Ändamål
11 § Migrationsverket, Polismyndigheten och utlandsmyndigheterna får behandla personuppgifter om det behövs för
1. handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§,
2. kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,
3. utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,
4. framställning av statistik,
5. utförande av testverksamhet, eller
6. fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.
Paragrafen reglerar, tillsammans med 12 §, de primära ändamål för vilka personuppgifter får behandlas av myndigheterna i deras verksamhet enligt 2 och 3 §§. Övervägandena finns i avsnitt 6.9.
En grundläggande förutsättning för att en personuppgift ska få behandlas med stöd av paragrafen är att det behövs för ett eller flera i bestämmelsen angivna ändamål.
I punkt 1 anges att personuppgiftsbehandling får ske om det behövs för handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§. Migrationsverket, Polismyndigheten och utlandsmyndigheterna får således inhämta och behandla uppgifter som behövs för att de ska kunna handlägga ärenden enligt de författningar som omfattas av lagens verksamhetsområde, som detta närmare preciseras i 2 och 3 §§. Med handläggning avses alla åtgärder som myndigheterna kan behöva vidta vid hantering av ett ärende eller vid biträde i en annan myndighets ärende. Bestämmelsen ger inte bara stöd för behandling av personuppgifter avseende den person som ärendet gäller utan även avseende andra personer om uppgifterna behövs för handläggningen av ärendet, såsom anhörig, referensperson eller ombud. Som en integrerad del av ärendehandläggningen anses också verksamhet hos myndigheterna som består i tillsyn, kontroll, uppföljning och planering av verksamheten. Punkten ger även stöd för behandling av fotografier som ges in vid ansökningar om exempelvis uppehållstillstånd eller viseringar. Behandling av fotografier som tas med stöd av 9 kap. 8 § utlänningslagen regleras däremot uttömmande i 14 §.
Enligt punkt 2 får behandling ske om det behövs för kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige. Detta ändamål innefattar den inre utlänningskontroll och yttre gränskontroll som utförs av Migrationsverket och Polismyndigheten med stöd av utlänningslagen. Inom ändamålet ryms exempelvis behandling av uppgifter för att planera nära förestående kontroller av utlänningar som förväntas resa in i landet. När det gäller Polismyndigheten omfattas inte sådan personuppgiftsbehandling som utförs i den brottsbekämpande verksamheten. Den regleras i stället av polisdatalagen (2010:361), se 3 och 5 §§ ovan.
Punkt 3 föreskriver att personuppgiftsbehandling är tillåten om den behövs för utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar. Med asylsökande och andra utlänningar avses utlänningar som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl.
I punkt 4 anges att personuppgiftsbehandling får ske om det behövs för att myndigheterna ska kunna framställa statistik. Det gäller både statistik som behövs för den egna verksamheten och statistik som tas fram för att tillgodse andras behov.
Enligt punkt 5 får personuppgiftsbehandling utföras om den behövs för att testverksamhet ska kunna bedrivas. Det kan t.ex. handla om att kontrollera att befintliga it-system fungerar och att göra prov av ny teknik i syfte att kunna delta i det internationella samarbetet.
Av punkt 6 följer att personuppgifter även får behandlas för fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift. Exempel på sådan behandling kan vara diarieföring.
12 § Migrationsverket får också behandla personuppgifter om det behövs för återsökning av
1. avgöranden, rättsutredningar och annan rättslig information, eller
2. information som rör förhållanden i andra länder.
Paragrafen reglerar, tillsammans med 11 §, de primära ändamål för vilka personuppgifter får behandlas av Migrationsverket i myndighetens verksamhet enligt 2 och 3 §§. Övervägandena finns i avsnitt 6.9.
Paragrafen ger stöd för sådan personuppgiftsbehandling som görs av Migrationsverket i verkets informationssystem för rättsfall och landinformation, Lifos. Migrationsverket får med stöd av paragrafen samla in och behandla personuppgifter för ändamålen återsökning av avgöranden, rättsutredningar och annan rättslig information samt återsökning av information som rör förhållanden i andra länder. Sådan behandling förekommer främst i samband med handläggning av enskilda ärenden på myndigheten, men också i utbildningssammanhang.
13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas när det är nödvändigt för att tillhandahålla information till
1. riksdagen eller regeringen,
2. en annan myndighet eller en enskild, om uppgifterna lämnas med stöd av lag eller förordning, eller
3. en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.
Paragrafen reglerar för vilka sekundära ändamål som personuppgifter får behandlas i de berörda myndigheternas verksamhet. Övervägandena finns i avsnitt 6.9.
Behandling enligt denna paragraf förutsätter att uppgifterna har samlats in för något primärt ändamål som följer av 11 eller 12 §. Det är alltså inte tillåtet att samla in personuppgifter enbart i syfte att behandla dem enligt förevarande paragraf.
Av första stycket 1 och 2 framgår att personuppgifter som behandlas med stöd av 11 och 12 §§ även får behandlas om det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen eller, om uppgifterna lämnas med stöd av lag eller förordning, till en annan myndighet eller en enskild. Med enskild avses även en juridisk person.
Uppgiftslämnandet kan ske av olika anledningar. I vissa fall sker utlämnandet på grund av en skyldighet att lämna ut uppgifter till vissa utpekade myndigheter enligt olika författningar. Till exempel har, enligt 17 kap. 3 § utlänningslagen (2005:716), Försäkringskassan och Pensionsmyndigheten rätt att ta del av uppgifter om enskilda hos Migrationsverket. I andra fall är myndigheterna enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. Genom lagens hänvisning till 8 § personuppgiftslagen (1998:204), se 8 § första stycket 2, tydliggörs att det alltid är tillåtet att utföra sådana behandlingar av personuppgifter som är nödvändiga för att fullgöra skyldigheten enligt 2 kap. tryckfrihetsförordningen att lämna ut allmänna handlingar.
Vidare finns det ett antal författningar med bestämmelser som medger att uppgifter får lämnas ut utan att det finns någon skyldighet att göra det. Ett exempel på en sådan bestämmelse är 10 kap. 15 § offentlighets- och sekretesslagen (2009:400). I bestämmelsen anges att sekretess inte hindrar att uppgift lämnas till riksdagen eller regeringen. Ett annat exempel är 10 kap. 27 § i samma lag som innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda.
Av första stycket 3 framgår att personuppgifter som behandlas med stöd av 11 och 12 §§ även får behandlas om det är nödvändigt för att tillhandahålla information till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. Bestämmelsen ger stöd för själva behandlingen av personuppgifterna, medan utrymmet för att lämna ut dem kan begränsas av bestämmelser om sekretess.
Är det fråga om en särskild föreskrift i lag eller förordning följer av 8 kap. 3 § offentlighets- och sekretesslagen att sekretess inte hindrar ett utlämnande till en utländsk myndighet eller en mellanfolklig organisation. Med lag eller förordning likställs en EU-förordning. I övrigt gäller enligt samma bestämmelse att sekretessbelagda uppgifter får lämnas ut till utländska myndigheter eller mellanfolkliga organisationer om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.
Utgångspunkten är att de angivna sekundära ändamålen i allt väsentligt ska täcka in det tillhandahållande av information som kan komma i fråga för de berörda myndigheterna. I andra stycket tydliggörs dock att de sekundära ändamålen inte är uttömmande. För att en uppgift ska få vidarebehandlas för något annat ändamål än de som anges i första stycket måste det emellertid i det enskilda fallet göras en bedömning att det nya ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. Det innebär att den nya behandlingen ska stå i överensstämmelse med finalitetsprincipen. Någon annan vidarebehandling än den som regleras i paragrafen är inte tillåten.
Migrationsverkets register över fingeravtryck och fotografier
14 § Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716).
Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast
1. vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1-2 a §§ utlänningslagen åberopas,
2. i ärenden om avvisning och utvisning,
3. i testverksamhet,
4. om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller
5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 § polisdatalagen (2010:361).
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1. ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och
2. föreskrifter om gallring.
I paragrafen finns särskilda bestämmelser om Migrationsverkets behandling av fingeravtryck och fotografier. Övervägandena finns i avsnitt 6.10.
Paragrafen reglerar uttömmande för vilka ändamål uppgifter om fingeravtryck och fotografier som har tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716) får behandlas. De primära och sekundära ändamålen i 11 och 13 §§ är alltså inte tillämpliga på sådana fingeravtryck eller fotografier. Fotografier som ges in i olika tillståndsärenden får däremot behandlas med stöd av 11 §, se kommentaren till den bestämmelsen.
Enligt första stycket får Migrationsverket föra separata register över fingeravtryck och fotografier. Registren får endast innehålla fingeravtryck och fotografier som har tagits med stöd av 9 kap. 8 § utlänningslagen. Enligt den bestämmelsen får Migrationsverket fotografera en utlänning och, om utlänningen fyllt 14 år, ta hans eller hennes fingeravtryck om utlänningen inte kan styrka sin identitet när han eller hon kommer till Sverige, ansöker om uppehållstillstånd som flykting eller som annan skyddsbehövande eller det finns grund för att besluta om förvar.
Av andra stycket 1-3 framgår att registren får användas vid prövning av ansökningar om uppehållstillstånd där utlänningen åberopar att han eller hon är flykting, alternativt skyddsbehövande eller övrig skyddsbehövande, i ärenden om avvisning och utvisning samt i testverksamhet. Enligt andra stycket 4 får Migrationsverkets fotografiregister om det behövs användas för att identiteten av en person på ett till verket inkommet fotografi ska kunna kontrolleras.
Andra stycket 5 innebär att uppgifter om fingeravtryck får behandlas om det behövs för att Migrationsverket ska kunna kontrollera fingeravtryck som verket tagit mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 § polisdatalagen (2010:361).
I tredje stycket finns en upplysning om att regeringen kan meddela ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier och föreskrifter om gallring.
Behandling av känsliga personuppgifter
15 § Sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får endast behandlas
1. för de ändamål som anges i 11 § 1-4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller
2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och
2. föreskrifter om gallring.
Paragrafen reglerar behandling av känsliga personuppgifter. Övervägandena finns i avsnitten 6.11.2 och 6.17. Regleringens utformning överensstämmer i huvudsak med den som hittills gällt enligt förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (5 § och 12 § andra stycket).
Enligt 13 § personuppgiftslagen (1998:204) avses med känsliga personuppgifter uppgifter om ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.
Av första stycket 1 följer att känsliga personuppgifter får behandlas för de ändamål som avses i 11 § 1-4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen. Behandling av känsliga personuppgifter är alltså tillåten för samtliga primära ändamål i 11 § utom för testverksamhet och för samtliga sekundära ändamål i 13 §. Syftet med begränsningen att behandlingen ska vara absolut nödvändig är att markera att behandlingen av känsliga personuppgifter bör ske med försiktighet och aldrig slentrianmässigt. Rekvisitet innebär emellertid inte att känsliga personuppgifter endast får behandlas i undantagsfall. Verksamheten på utlännings- och medborgarskapsområdet kräver inte sällan att känsliga personuppgifter kan behandlas. Genom kravet på absolut nödvändighet markeras dock att behandling ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det enskilda fallet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter.
I första stycket 2 anges att känsliga personuppgifter får användas i löpande text för det ändamål som anges i 12 § 2, dvs. för att eftersöka information som rör förhållanden i andra länder, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter inom verksamhet som rör utlännings- och medborgarskapslagstiftningen. Känsliga personuppgifter får inte användas för det ändamål som anges i 12 § 1, dvs. återsökning av avgöranden, rättsutredningar och annan rättslig information.
I andra stycket finns en upplysningsbestämmelse om att regeringen kan meddela ytterligare föreskrifter om inskränkningar av behandlingen av känsliga personuppgifter och föreskrifter om gallring.
Tillgången till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Paragrafen, som har sin förebild i bl.a. 2 kap. 11 § polisdatalagen (2010:361) reglerar den interna tillgången till personuppgifter för personal som arbetar inom Migrationsverket, Polismyndigheten och utlandsmyndigheterna. Övervägandena finns i avsnitt 6.12.
I första stycket slås fast att tillgången till personuppgifter hos myndigheterna ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Det är den personuppgiftsansvariga myndigheten som har ansvar för att avgöra vilka uppgifter respektive anställd behöver för att kunna fullgöra sina uppgifter. Myndigheten ansvarar också för att datasystemen utformas så att det är möjligt att på ett ändamålsenligt sätt begränsa tillgången till information på individnivå.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela verkställighetsföreskrifter om tillgången till personuppgifter.
Sökbegränsningar
17 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar
1. ras eller etniskt ursprung,
2. politiska åsikter,
3. religiös eller filosofisk övertygelse,
4. medlemskap i fackförening,
5. hälsa, eller
6. sexualliv.
Paragrafen innehåller ett förbud mot att använda integritetskänsliga sökbegrepp vid behandling av personuppgifter som omfattas av lagens tillämpningsområde. Övervägandena finns i avsnitt 6.13.
I paragrafen anges att vissa typer av uppgifter inte får användas som sökbegrepp. Förbudet gäller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv (jfr bestämmelsen om behandling av känsliga personuppgifter i 15 §). Uttrycken har samma innebörd som i 13 § personuppgiftslagen (1998:204).
18 § Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.
Vid sökning i personuppgifter får sådana uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen (1998:204) inte användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen (2005:716) får dock användas som sökbegrepp.
Paragrafen reglerar begränsningar i användningen av vissa sökbegrepp vid behandling av personuppgifter som omfattas av lagens tillämpningsområde. Övervägandena finns avsnitt 6.13.
När det gäller återsökning av information som rör förhållanden i andra länder får enligt första stycket personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp. Begränsningen överensstämmer med vad som hittills gällt enligt 8 § första stycket förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Känsliga personuppgifter får över huvud taget inte behandlas för återsökning av avgöranden, rättsutredningar och annan rättslig information och kan därför inte heller användas som sökbegrepp vid behandling för detta ändamål.
Enligt andra stycket får inte heller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden användas som sökbegrepp. Uppgifter om beslut om förvar får dock användas som sökbegrepp.
Direktåtkomst
19 § Direktåtkomst till personuppgifter hos Migrationsverket får endast medges
1. Polismyndigheten,
2. Säkerhetspolisen,
3. utlandsmyndigheterna,
4. Försäkringskassan,
5. Pensionsmyndigheten,
6. Skatteverket, eller
7. en part eller en parts ombud eller biträde.
Direktåtkomst enligt första stycket 7 får endast avse personuppgifter i partens ärende.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela
1. ytterligare föreskrifter om begränsningar av direktåtkomst enligt första stycket, och
2. föreskrifter om behörighet och säkerhet vid sådan åtkomst.
I paragrafen anges vilka myndigheter eller enskilda som får medges direktåtkomst till Migrationsverkets personuppgifter. Övervägandena finns i avsnitt 6.15.
Med direktåtkomst avses att någon har direkt tillgång till register, databaser eller andra samlingar av uppgifter som behandlas automatiserat eller på egen hand kan söka efter information, dock utan att kunna påverka innehållet i uppgiftssamlingen. I uttrycket direktåtkomst ligger också att den som är ansvarig för uppgiftssamlingen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle får del av.
Av första stycket följer inledningsvis att regleringen av vem som får medges direktåtkomst till Migrationsverkets personuppgifter är uttömmande. Det innebär att Migrationsverket inte kan medge ytterligare direktåtkomst utöver den som regleras i paragrafen, vare sig till andra myndigheter eller till enskilda.
I första stycket 1-7 anges vilka myndigheter eller enskilda som får medges direktåtkomst. De myndigheter som får medges direktåtkomst är Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket. Därtill kan direktåtkomst ges till en part eller en parts ombud eller biträde. Bestämmelsen ger Migrationsverket möjlighet att medge direktåtkomst, men innebär inte någon rätt för mottagarna att få sådan åtkomst. Möjligheten att ge direktåtkomst saknar sekretessbrytande verkan.
Av andra stycket följer att direktåtkomsten för en part eller en parts ombud eller biträde endast får avse personuppgifter i partens eget ärende.
I tredje stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela dels ytterligare föreskrifter som begränsar möjligheten att medge direktåtkomst till personuppgifter, dels föreskrifter om behörighets- och säkerhetsfrågor såvitt avser direktåtkomst.
Uppgiftsskyldighet
20 § Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 14 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §.
Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 14 § andra stycket 1, 2 eller 5.
Om det finns skäl för det ska Migrationsverket på eget initiativ lämna uppgifter som avses i andra stycket andra meningen till Polismyndigheten.
I paragrafen regleras viss uppgiftsskyldighet för Migrationsverket. Över-vägandena finns i avsnitt 6.15.
I första stycket första meningen anges att Polismyndigheten har rätt att ta del av av uppgifter om enskilda som Migrationsverket behandlar enligt 11 eller 14 § vid direktåkomst enligt 19 §. Det handlar alltså om samtliga primära ändamål utom ändamålet återsökning av avgöranden, rättsutredningar och annan rättslig information eller information som rör förhållanden i andra länder samt uppgifter som Migrationsverket behandlar i sina register över fingeravtryck och fotografier. Genom Polismyndighetens rätt att ta del av uppgifterna uppkommer en sådan uppgiftsskyldighet som enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen (2009:400) bryter den sekretess som kan gälla för uppgifterna hos Migrationsverket. Bestämmelsen innebär bl.a. att Migrationsverket kan lämna fingeravtryck som verket tagit enligt 9 kap. 8 § utlänningslagen (2005:716) till Polismyndigheten, som sköter registreringen i verkets fingeravtrycksregister. Fingeravtryck kan också lämnas till Polismyndigheten för kontroll mot Migrationsverkets eget fingeravtrycksregister och Polismyndighetens fingeravtrycks- och signalementregister enligt 14 § andra stycket 5.
Första stycket andra meningen ger Säkerhetspolisen och utlandsmyndigheterna en motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §.
Andra stycket innehåller uppgiftsskyldigheter som inte tar sikte på utlämnande genom direktåtkomst. Bestämmelsen innebär för det första att Migrationsverket på begäran ska lämna ut sådana uppgifter som verket behandlar enligt 11 § 1 eller 2 till Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet. Det handlar alltså om uppgifter som behandlas av verket för att handlägga ärenden eller lämna biträde i sådana ärenden eller för kontroll av utlänningar. Vidare ska Migrationsverket på begäran av Polismyndigheten lämna ut uppgifter som behandlas i Migrationsverkets register över fingeravtryck och fotografier enligt 14 § andra stycket 1, 2 eller 5, dvs. för att handlägga ansökningar om uppehållstillstånd av skyddsskäl, i ärenden om avvisning och utvisning eller för att kontrollera fingeravtryck.
Av tredje stycket följer att Migrationsverket om det finns skäl för det får lämna över uppgifter som behandlas i verkets register över fingeravtryck och fotografier enligt 14 § andra stycket 1, 2 eller 5 till Polismyndigheten utan föregående begäran.
Överföring av personuppgifter till tredjeland
21 § Trots hänvisningen till 33 § personuppgiftslagen (1998:204) i 8 § första stycket 8 är det tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400).
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland.
I paragrafen görs ytterligare undantag från personuppgiftslagens (1998:204) grundläggande förbud mot överföring av personuppgifter till tredjeland. Övervägandena finns i avsnitt 6.16.
Genom hänvisningen till 33 § personuppgiftslagen i 8 § gäller i princip ett förbud mot överföring av personuppgifter till tredjeland för personuppgifter som är under behandling om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifterna. Med tredjeland avses en stat som inte ingår i EU eller är ansluten till EES.
I första stycket anges att det trots hänvisningen till 33 § personuppgiftslagen är tillåtet att utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1. Det handlar alltså dels om handläggning av ärenden eller en myndighets biträde i sådana ärenden, kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige, dels om återsökning av avgöranden, rättsutredningar och annan rättslig information.
Även om en överföring av personuppgifter till tredjeland bedöms som absolut nödvändig för de tillåtna ändamålen måste en myndighet alltid bedöma om offentlighets- och sekretesslagen (2009:400) hindrar att uppgifterna lämnas ut.
I andra stycket finns en upplysningsbestämmelse om att regeringen kan meddela ytterligare föreskrifter om begränsningar av i vilken utsträckning personuppgifter får föras över till tredjeland. Det kan bl.a. handla om vilka kategorier av uppgifter som får överföras och till vilka mottagare överföring ska få ske.
Avskiljande
22 § Personuppgifter som har behandlats för de ändamål som anges i 11 § 1-4 och 13 § ska avskiljas så att tillgången till dem begränsas om de inte längre behövs i myndighetens löpande verksamhet.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter.
I paragrafen regleras avskiljande av personuppgifter som inte längre behövs för verksamheten. Övervägandena finns i avsnitt 6.17.
Enligt paragrafens första stycke ska den personuppgiftsansvariga myndigheten avskilja personuppgifter som behandlats för de ändamål som anges i 11 § 1?4 och 13 § när uppgifterna inte längre behövs för denna verksamhet. Med avskiljande menas att personuppgifterna tas bort från automatiserade uppgiftssamlingar som används i verksamheten enligt 2 och 3 §§. Det åligger den personuppgiftsansvariga myndigheten att införa rutiner för när avskiljande ska ske och på vilket sätt. Avskiljandet får inte innebära att uppgifter gallras i strid med arkivlagen (1990:782) eller föreskrifter som har meddelats med stöd av den lagen.
Det åligger den personuppgiftsansvariga myndigheten att begränsa den interna tillgången till avskilda personuppgifter till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter, se 16 §. I främst Migrationsverkets verksamhet finns ett behov av tillgång till uppgifter i redan avslutade ärenden. Det kan till exempel vara aktuellt när en person åberopar anknytning som skäl för uppehållstillstånd och en tjänsteman därför behöver tillgång till uppgifter som rör anknytningspersonen i ett avslutat ärende. Tillgång ska därför inte bara beviljas arkiveringspersonal, utan även handläggare som kan vara i behov av uppgifter som är avskilda i sitt dagliga arbete.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om avskiljande av personuppgifter.
Säkerhetsåtgärder
23 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter.
Paragrafen innehåller en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter. Övervägandena finns i avsnitt 6.17.
9.2 Förslaget till lag om ändring
i socialförsäkringsbalken
114 kap.
17 § Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.
Behörighet för åtkomst till socialförsäkringsdatabasen och till personuppgifter hos Migrationsverket ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter.
Paragrafen reglerar tilldelning av behörighet. Övervägandena finns i avsnitt 6.15.
Enligt 19 § utlänningsdatalagen får Försäkringskassan och Pensionsmyndigheten medges direktåtkomst till personuppgifter hos Migrationsverket. I andra stycket, som reglerar åtkomstbehörighet, införs ett tillägg till vad som gäller för den enskilde tjänstemannens åtkomst till personuppgifter. Tillägget innebär att även behörigheten för åtkomst till Migrationsverkets personuppgifter hos Försäkringskassan och Pensionsmyndigheten ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter. Härigenom gäller samma begränsning för åtkomst till Migrationsverkets personuppgifter som enligt 16 § första stycket utlänningsdatalagen gäller för Migrationsverkets egen personal.
9.3 Förslaget till lag om ändring i polisdatalagen (2010:361)
2 kap.
8 § Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i
1. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,
2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,
3. sådan verksamhet hos Polismyndigheten som avser handräckningsuppdrag,
4. annan verksamhet som Polismyndigheten ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,
5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten,
6. verksamhet hos Migrationsverket för att verket ska kunna kontrollera fingeravtryck som verket tagit enligt 9 kap. 8 § utlänningslagen (2005:716) mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 §, eller
7. en myndighets verksamhet
a) om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift, eller
b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.
Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.
I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första-tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
Paragrafen reglerar de sekundära ändamålen för behandling av personuppgifter i Polismyndighetens brottsbekämpande verksamhet. Övervägandena finns i avsnitt 6.10.
Första stycket 6 ändras på så sätt att det införs en ny bestämmelse som ger stöd för Polismyndigheten att behandla personuppgifter för att tillhandahålla Migrationsverket information, som Polismyndigheten fått fram då myndigheten jämfört fingeravtryck tagna av Migrationsverket mot Polismyndighetens fingeravtrycks- och signalementregister. Den hittillsvarande bestämmelsen i första stycket 6 överförs utan ändringar i sak till den nya första stycket 7.
18 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11-17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregistret, om verket behöver uppgifterna för kontroll av fingeravtryck som verket tagit.
Paragrafen innehåller vissa sekretessbrytande bestämmelser. Övervägandena finns i avsnitt 6.10.
Paragrafen kompletteras med en andra mening som innebär att Polismyndigheten kan lämna ut uppgifter ur fingeravtrycks- och signalementsregistret till Migrationsverket trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400). För att uppgifter ska få lämnas ut krävs att Migrationsverket behöver uppgifterna för kontroll av fingeravtryck.
Sammanfattning av betänkandet Personuppgiftsbehandling på utlännings- och medborgarskapsområdet (SOU 2015:73)
Inledning
I detta betänkande redovisar utredningen sitt uppdrag att utarbeta förslag till en lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (dir. 2014:76). Härvid redovisas även dels en kartläggning av behandlingen av personuppgifter inom denna verksamhet, dels en analys av om den behandling som förekommer är nödvändig och om ytterligare behov av personuppgiftsbehandling finns för att skapa förutsättningar för en effektiv verksamhet.
Utredningen redovisar också i betänkandet några ytterligare frågeställningar som utredningen har fått i uppdrag att analysera särskilt.
En ny lag om behandlingen
av personuppgifter i verksamhet enligt
utlännings- och medborgarskapslagstiftningen
Lagens syfte, utformning, m.m.
Utredningens förslag innebär att behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen ska regleras i en lag, som utformats med beaktande av bland annat skyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen (RF), personuppgiftslagen (1998:204, PUL) och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Däremot har det inte varit möjligt att anpassa förslagen till det pågående reformarbetet av EU:s regler om skydd för personuppgifter, eftersom detta arbete ännu inte (juni 2015) är klart.
Lagen, som föreslås heta utlänningsdatalag, samt en föreslagen anslutande förordning ska ersätta den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.
Lagens övergripande syften föreslås vara att ge berörda myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagen har utformats som en ramlag. De grundläggande bestämmelserna som har till syfte att skydda den registrerade mot intrång i den personliga integriteten finns i lagen. Kompletterande bestämmelser finns i författningar på lägre nivå.
Lagförslaget, som gjorts teknikoberoende, syftar till att göra det möjligt för berörda myndigheter att använda moderna och ändamålsenliga it-system för att verksamheten ska kunna bedrivas så effektivt som möjligt.
Lagens tillämpningsområde
Utlänningsdatalagen föreslås vara tillämplig vid behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarlagstiftningen som utförs av Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna.
Vari denna verksamhet består preciseras närmare och uttömmande i lagen. Vad gäller Migrationsverkets och utlandsmyndigheternas verksamhet föreslås att lagen ska tillämpas vid behandling av personuppgifter som rör:
- utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,
- statusförklaring,
- mottagande av asylsökande och andra utlänningar,
- bistånd och stöd till utlänningar,
- svenskt medborgarskap,
- statlig ersättning för kostnader för utlänningar eller
- bosättning av utlänningar.
Vad gäller Polismyndighetens och Säkerhetspolisens verksamhet föreslås lagen tillämpas vid behandling av personuppgifter som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.
Viss personuppgiftsbehandling hos de aktuella myndigheterna föreslås dock falla utanför lagens tillämpningsområde trots att lagen i och för sig hade kunnat vara tillämplig. Det gäller bland annat personuppgiftsbehandling enligt lagen (2000:344) om Schengens informationssystem samt enligt de EU-förordningar som brukar benämnas VIS-förordningen, Viseringskodexen och Eurodacförordningen. Den nya lagen ska inte heller tillämpas då personuppgifter behandlas med stöd av polisdatalagen (2010:361).
I likhet med personuppgiftslagen föreslås lagen gälla då personuppgiftsbehandlingen är helt eller delvis automatiserad samt då personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det föreslagna tillämpningsområdet har alltså i viss mån utvidgats jämfört med vad som gäller enligt nuvarande utlänningsdataförordning, som i första hand gäller personuppgiftsbehandling i olika verksamhetsregister.
Förhållandet till personuppgiftslagen
Bestämmelserna i den nya lagen föreslås som huvudregel ha företräde framför personuppgiftslagens bestämmelser. Vissa bestämmelser i personuppgiftslagen ska dock vara tillämpliga i verksamheten enligt utlännings- och medborgarskapslagstiftningen. I den nya lagen pekas dessa bestämmelser särskilt ut. Det gäller bland annat personuppgiftslagens bestämmelser om förhållandet till offentlighetsprincipen (8 §), grundläggande krav på behandlingen av personuppgifter (9 §), behandling av uppgifter om personnummer (22 §), överföring av personuppgifter till tredjeland (33-35 §§) och skadestånd (48 §).
Personuppgiftsansvar
Den myndighet som utför en behandling eller som det åligger att utföra en behandling föreslås vara personuppgiftsansvarig för behandlingen. Ett undantag från denna huvudregel föreslås i det att Migrationsverket ska vara personuppgiftsansvarig för utlandsmyndigheternas automatiserade personuppgiftsbehandling.
Migrationsverket, Polismyndigheten och Säkerhetspolisen föreslås vidare vara skyldiga att utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra.
Ändamål m.m.
Personuppgifter föreslås endast få behandlas med stöd av utlänningsdatalagen om det är nödvändigt för vissa särskilt angivna ändamål.
Ändamålen, både primära och sekundära, framgår av lagen.
De primära ändamålen för Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehandling föreslås vara följande:
- handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet inom lagens tillämpningsområde (se ovan),
- kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,
- utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,
- tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet eller
- fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.
Migrationsverket föreslås därutöver få behandla personuppgifter om det är nödvändigt för återsökning av avgöranden, rättsutredningar och annan rättslig information eller information rörande förhållanden i andra länder.
Vidare föreslås att personuppgifter som behandlas enligt ovan nämnda primära ändamål även ska få behandlas enligt nedan följande sekundära ändamål om det är nödvändigt för att tillhandahålla information:
- till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning eller
- till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
Personuppgifter ska i ett enskilt fall även få behandlas för att tillhandahålla information för något annat ändamål än som nu angetts under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för (finalitetsprincipen).
För Migrationsverkets register över fingeravtryck och fotografier föreslås en särreglering med mer begränsade ändamålsbestämmelser.
Känsliga personuppgifter
Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Sådana uppgifter måste i stor utsträckning behandlas på utlännings- och medborgarskapsområdet. Utredningen föreslår att känsliga personuppgifter ska få behandlas för i princip alla de ändamål för vilka behandling är tillåtna. En förutsättning är dock, om inte den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna, att uppgifterna är absolut nödvändiga för syftet med behandlingen. Med att uppgifterna ska vara absolut nödvändiga markeras att behandlingen av dem bör ske med försiktighet och aldrig slentrianmässigt.
Tillgången till personuppgifter
Stora samlingar av information som lagras på ett sätt som gör dem enkelt sökbara på elektronisk väg medför generellt sett en ökad risk för intrång i enskildas personliga integritet. Som ett led i att stärka integritetsskyddet föreslås en bestämmelse i lagen om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Migrationsverket, Polismyndigheten, Säkerhetspolisen föreslås vidare få möjlighet att meddela närmare föreskrifter om tillgången till personuppgifter för personer som är verksamma inom respektive myndighet. Enligt utredningens förslag bör Migrationsverket även få meddela föreskrifter av aktuellt slag när det gäller uppgifter som behandlas automatiserat hos utlandsmyndigheterna.
Sökbegränsningar
Som ytterligare en åtgärd för att stärka integritetsskyddet föreslås begränsningar avseende vilka sökbegrepp som får användas vid sökningar av uppgifter för vissa ändamål i vissa fall.
Känsliga personuppgifter föreslås endast få användas som sökbegrepp för behandling för ändamålet tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet samt för återsökning i vissa fall. Migrationsverket behöver kunna använda känsliga personuppgifter som sökbegrepp för exempelvis framställning av viss statistik och för att förbereda verksamheten med anledning av förväntade flyktingströmmar.
Personuppgifter om lagöverträdelser föreslås med vissa undantag inte få användas som sökbegrepp.
Elektroniskt utlämnande av personuppgifter
Även om ett elektroniskt utlämnande av personuppgifter medför vissa integritetsrisker anser utredningen, med undantag för utlämnande genom direktåtkomst, att det inte finns något behov av att införa en särskild reglering om när elektroniskt utlämnande får förekomma. Några sådana bestämmelser föreslås därför inte.
Polismyndigheten, Säkerhetspolisen, utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket föreslås för vissa särskilda ändamål få medges direktåtkomst till vissa personuppgifter som behandlas automatiserat hos Migrationsverket. Direktåtkomsten föreslås regleras uttömmande.
Reglerna om direktåtkomst har utformats med tanke på de särskilda risker som direktåtkomsten innebär för enskildas integritet. Det innebär bland annat att mottagarmyndigheterna ska ha ett verkligt behov av uppgifterna och att uppgifterna som får göras tillgängliga är så preciserat angivna som möjligt i författning. Vidare ska Migrationsverket innan direktåtkomst medges förvissa sig om att mottagarmyndigheten uppfyller kraven på behörighet och säkerhet. Ytterligare krav som föreslås är att tillgången till uppgifterna hos mottagarmyndigheterna begränsas till vad den enskilde tjänstemannen behöver för att kunna fullgöra sina uppgifter.
Utredningen föreslår några sekretessbrytande bestämmelser med anledning av direktåtkomsten.
Överföring av personuppgifter till tredjeland
Enligt utredningen finns det i vissa fall behov av att föra över personuppgifter till tredjeland oavsett om samtycke från den enskilde till detta föreligger. En bestämmelse om ytterligare undantag från förbudet mot överföring av personuppgifter till tredjeland i 33 § PUL föreslås därför för dessa fall.
Undantaget föreslås innebära att överföring av personuppgifter till tredjeland får ske om det är absolut nödvändigt för 1) handläggning av ärenden eller biträde i sådana ärenden, 2) kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige samt för 3) sådan behandling som sker för ändamålet återsökning av avgöranden, rättsutredningar och annan rättslig information.
Bevarande och gallring samt avskiljande
Automatiserat behandlade personuppgifter i allmänna handlingar i verksamheten bör enligt utredningen, i likhet med hur det är i dag, som huvudregel bevaras eller gallras i enlighet med arkivlagens (1990:782) bestämmelser. Vad som talar för bevarande är enligt utredningen allmänhetens intresse av insyn i verksamheten. Inte minst finns ett intresse från forskare och journalister. Det är inte heller självklart enligt utredningen att integritetsintresset bäst tillgodoses genom att personuppgifter förstörs. I verksamheten är det också ofta nödvändigt att ta fram uppgifter från tidigare ärenden.
Utredningen anser dock att det i vissa fall bör göras undantag från denna huvudregel. Undantag från arkivlagens bestämmelser föreslås således gälla 1) för Migrationsverkets fingeravtrycks- och fotografiregister där uppgifter förslås gallras enligt nuvarande ordning, 2) för känsliga personuppgifter som har behandlats för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet som föreslås gallras direkt när behandlingen inte längre är nödvändig för något av de angivna ändamålen och 3) för personuppgifter som Migrationsverket behandlar automatiskt därför att ett offentligt biträde, en tolk, en översättare eller språkanalytiker kan vara olämplig för framtida uppdrag som föreslås gallras efter kort tid.
För att stärka de enskildas personliga integritet föreslår utredningen att tillgången till uppgifter som inte längre behövs för de i lagen angivna ändamålen ska begränsas genom en bestämmelse om avskiljande av sådana uppgifter. Genom bestämmelsen föreslås att personuppgifter i automatiserade uppgiftssamlingar som används i myndigheternas löpande verksamhet ska avskiljas när de inte längre behövs i denna verksamhet. Åtkomst till avskilda uppgifter föreslås vara förbehållen endast de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.
Ytterligare föreskrifter
Den nya lagen föreslås vara en ramlag som endast innehåller de grundläggande bestämmelserna om skydd för enskildas personliga integritet. I lagförslaget ges möjlighet till föreskrifter på lägre nivå. Sådana föreskrifter kan meddelas när det gäller Migrationsverkets fingeravtrycks- och fotografiregister, tillgången till personuppgifter, direktåtkomst, överföring av personuppgifter till tredjeland, avskiljande, gallring och säkerhetsåtgärder.
Ikraftträdande och övergångsbestämmelser
Utlänningsdatalagen och den nya utlänningsdataförordningen föreslås träda i kraft den 1 januari 2016.
Några särskilda frågor
Registrering av kvalitetsomdömen
Utredningens förslag innebär att Migrationsverket kan registrera identitetsuppgifter, speciell kompetens och avvikelser rörande andra offentliga biträden än advokater och biträdande jurister, tolkar, översättare och språkanalytiker. Med avvikelser avses i huvudsak uppgifter om misskötsamhet, oskicklighet och inkompetens men även uppgifter om att en uppdragstagare har begått brott eller försatts i konkurs. Sådana avvikelser kan innebära att en uppdragstagare är olämplig för uppdrag. Registreringen av aktuella uppgifter syftar till att stärka rättssäkerheten för enskilda i asylprocessen. Av integritetsskäl föreslås dock att uppgifter om avvikelser ska gallras efter kort tid.
Ett effektivare informationsutbyte vid handläggning
av uppehållstillstånd för arbete och arbetstillstånd
Utredningen föreslår att Migrationsverket bör medges direktåtkomst till vissa personuppgifter i Skatteverkets beskattningsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Försäkringskassans och Pensionsmyndighetens socialförsäkringsdatabas. Migrationsverket har redan i dag tillgång till de flesta uppgifterna. Det nya är alltså att verket nu föreslås få direktåtkomst till uppgifterna. Utredningen har särskilt analyserat Migrationsverkets behov av direktåtkomst till uppgifterna samt behovet av regler som ger enskilda ett bra skydd för den personliga integriteten vid direktåtkomsten. Sistnämnda regler föreskriver ett ansvar för såväl de utlämnande myndigheterna som mottagarmyndigheten.
Migrationsverkets rätt att ta del av uppgifter
från Polismyndighetens fingeravtrycksregister
Utredningen föreslår att Migrationsverket bör ha rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister (A-filen i det automatiserade fingeravtrycksidentifieringssystemet, AFIS) vid kontroller av fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716, UtlL). Enligt den sistnämnda paragrafen får Migrationsverket i vissa fall ta fingeravtryck på en utlänning. Det gäller bland annat om utlänningen inte kan styrka sin identitet. Bakgrunden till utredningens förslag är att kontroller mot Polismyndighetens fingeravtrycksregister förbättrar möjligheterna att fastställa en korrekt identitet på utlänningen. Sammantaget menar utredningen att detta intresse väger tyngre än de eventuella integritetsrisker som kan förknippas med en sådan möjlighet.
Skadeståndsskyldighet efter kontroller av Schengenviseringar
Bestämmelserna i 9 kap. 8 c § UtlL innebär att en utlänning är skyldig att låta en polisman, en särskild förordnat passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av identiteten och av Schengenviseringens äkthet genom sökning i informationssystemet för visering (VIS). Motsvarande skyldighet gäller även för en utlänning som vid en in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras mot VIS i identifieringssyfte. När en kontroll har genomförts ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits i samband med kontrollen.
Utredningen föreslår en klargörande regel om att det är den myndighet som har utfört kontrollen som är ansvarig för att uppgifterna förstörs och att skadestånd kan utgå om förstöringsskyldigheten försummas.
Betänkandets lagförslag
Förslag till utlänningsdatalag
Härigenom förskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör:
1. utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,
2. statusförklaring,
3. mottagande av asylsökande och andra utlänningar,
4. bistånd och stöd till utlänningar,
5. svenskt medborgarskap,
6. statlig ersättning för kostnader för utlänningar eller
7. bosättning av utlänningar.
3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens och Säkerhetspolisens verksamhet som rör utlänningars inresa i, utresa från, vistelse i eller avlägsnande från Sverige.
4 § Lagen gäller endast om behandlingen av personuppgifter enligt 2 och 3 §§ är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
5 § Denna lag gäller inte, utöver vad som framgår av andra stycket, då personuppgifter behandlas med stöd av
1. lagen (2000:344) om Schengens informationssystem,
2. Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen)(1),
3. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex),
4. polisdatalagen (2010:361) eller
5. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).
Vid behandling av personuppgifter enligt VIS-förordningen gäller bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd på motsvarande sätt i den mån inte annat följer av den förordningen.
Den registrerades inställning
6 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den.
Förhållandet till personuppgiftslagen
7 § Om inte annat anges i 8 §, gäller denna lag i stället för personuppgiftslagen (1998:204) eller föreskrifter som har meddelats i anslutning till den lagen.
8 § Följande bestämmelser i personuppgiftslagen (1998:204) tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen:
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen,
3. 9 § om grundläggande krav på behandling av personuppgifter,
4. 22 § om behandling av personnummer,
5. 23 och 25-27 §§ om information till den registrerade,
6. 28 § om rättelse m.m.,
7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,
8. 33-35 §§ om överföring av personuppgifter till tredjeland,
9. 38-41 §§ om personuppgiftsombud m.m.,
10. 42 § om upplysningar till allmänheten om vissa behandlingar,
11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,
12. 48 § om skadestånd och
13. 51 §, 52 § första stycket och 53 § om överklagande.
Om personuppgifter ska gallras enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.
Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.
Personuppgiftsansvar
9 § Med undantag för vad som föreskrivs i andra stycket är den myndighet som anges i 2 och 3 §§ personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför eller som det åligger den myndigheten att utföra.
Migrationsverket är även personuppgiftsansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter.
10 § Migrationsverket, Polismyndigheten och Säkerhetspolisen ska utse ett eller flera personuppgiftsombud för den personuppgiftsbehandling som myndigheten utför eller som det åligger myndigheten att utföra. Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.
Ändamål
11 § Migrationsverket, Polismyndigheten, Säkerhetspolisen och utlands-myndigheterna får behandla personuppgifter om det är nödvändigt för
1. handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§,
2. kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,
3. utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,
4. tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik samt testverksamhet eller
5. fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.
12 § Migrationsverket får därutöver behandla personuppgifter om det är nödvändigt för återsökning av
1. avgöranden, rättsutredningar och annan rättslig information eller
2. information rörande förhållanden i andra länder.
13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas om det är nödvändigt för att tillhandahålla information
1. till en annan myndighet eller enskild, om utlämnandet sker med stöd av lag eller förordning eller
2. till en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnande följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.
Migrationsverkets fingeravtrycks- och fotografiregister
14 § Migrationsverket får föra automatiserade register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Registren får användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 4 kap. 1-2 a §§ utlänningslagen åberopas, i ärenden om avvisning och utvisning samt i testverksamhet.
Migrationsverkets fotografiregister får, om det behövs, också användas för att kontrollera en persons identitet på ett till verket inkommet fotografi.
Uppgift om fingeravtryck får även behandlas när det är nödvändigt för att Migrationsverket ska kunna kontrollera fingeravtryck som tagits med stöd av 9 kap. 8 § utlänningslagen (2005:716) mot det fingeravtrycks-register som Polismyndigheten för enligt 4 kap. 11-17 §§ polisdatalagen (2010:361).
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter som får behandlas och om gallring.
Behandling av känsliga personuppgifter
15 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Därutöver får känsliga personuppgifter behandlas endast
1. för de ändamål som anges i 11 och 13 §§ om uppgifterna är absolut nödvändiga för syftet med behandlingen eller
2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.
Tillgången till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Sökning
17 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 11 § 1-3 och 5 samt 13 §.
Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.
Personuppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får inte användas som sökbegrepp. Beslut om förvar enligt utlänningslagen (1989:529) får dock användas som sökbegrepp.
Direktåtkomst
18 § Direktåtkomst till personuppgifter som behandlas automatiserat hos Migrationsverket är tillåten endast i den utsträckning som anges i denna lag.
Direktåtkomst till personuppgifter som Migrationsverket behandlar får medges
1. Polismyndigheten för ändamål som anges i 11 § 1-3 och 14 §,
2. Säkerhetspolisen för ändamål som anges i 11 § 1-3 samt
3. utlandsmyndigheterna, Försäkringskassan, Pensionsmyndigheten och Skatteverket för ändamål som anges i 11 § 1.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Överföring av personuppgifter till tredjeland
19 § Det är trots förbudet i 33 § personuppgiftslagen (1998:204) tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för ändamål som anges i 11 § 1 och 2 samt 12 § 1.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om i vilken utsträckning personuppgifter får överföras till tredjeland.
Avskiljande
20 § Personuppgifter som behandlas automatiserat för ändamål som anges i 11 § 1-3 och 13 § ska avskiljas från automatiserad behandling i myndighetens löpande verksamhet när uppgifterna inte längre är nödvändiga för denna verksamhet.
Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i absolut behov av uppgifterna för att kunna utföra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om avskiljande av personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Gallring
21 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om gallring av känsliga personuppgifter och av personuppgifter som har behandlats därför att offentliga biträden, tolkar, översättare och språkanalytiker kan vara olämpliga för framtida uppdrag.
Säkerhetsåtgärder
22 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas av utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.
Denna lag träder i kraft den 1 januari 2016.
Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs att det i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet ska införas en ny paragraf, 2 kap. 8 b §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
8 b §
Migrationsverket får medges direktåtkomst till uppgifter som avses i 3 § 1-5 och 11 om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716),
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Denna lag träder i kraft den 1 januari 2016.
Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs att det i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska införas en ny paragraf, 2 kap. 27 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
27 a §
Migrationsverket får medges direktåtkomst till uppgifter som avses i 5 § första stycket 3 om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716),
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Denna lag träder i kraft den 1 januari 2016.
Förslag till lag om ändring av utlänningslagen (2005:716)
Härigenom föreskrivs i fråga om utlänningslagen (2005:716)
dels att 9 kap. 8 c § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 17 kap. 4 §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
9 kap.
8 C §
Den som har en Schengenvisering är vid in- eller utresekontroll enligt artikel 7.3 i kodexen om Schengengränserna skyldig att låta en polisman, en särskilt förordnad passkontrollant eller en tjänsteman vid Tullverket, Kustbevakningen eller Migrationsverket ta hans eller hennes fingeravtryck för kontroll av identiteten och av viseringens äkthet i enlighet med artikel 18 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), i den ursprungliga lydelsen.
Skyldighet att lämna fingeravtryck enligt första stycket gäller även för en utlänning som vid en sådan in- eller utresekontroll inte kan styrka sin identitet och som får kontrolleras i identifieringssyfte i enlighet med artikel 20 i VIS-förordningen.
När en kontroll enligt första eller andra stycket har genomförts, ska de fingeravtryck som tagits för kontrollen omedelbart förstöras. Det gäller också de biometriska data som tagits fram i samband med kontrollen.
Om den myndighet som har utfört kontrollen enligt första och andra styckena inte förstör fingeravtryck och de biometriska data som föreskrivs i tredje stycket, gäller 48 § personuppgiftslagen (1998:204) om skadestånd på motsvarande sätt.
17 kap.
4 §
Polismyndigheten, Säkerhetspolisen och utlandsmyndigheterna har rätt att ta del av sådana uppgifter som myndigheterna får medges direktåtkomst till enligt utlänningsdatalagen (0000:00).
Denna lag träder i kraft den 1 januari 2016.
Förslag till lag om ändring i socialförsäkringsbalken (2010:110)
Härigenom föreskrivs i fråga om socialförsäkringsbalken (2010:110)
dels att 114 kap. 1 och 17 §§ ska ha följande lydelse,
dels att en ny paragraf, 114 kap. 23 a §, ska införas av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
114 kap.
1 §
I detta kapitel finns allmänna bestämmelser i 2?5 §§.
Vidare finns bestämmelser om
- personuppgiftslagen och personuppgiftsansvar i 6 §,
- ändamål för behandling av personuppgifter i 7-10 §§,
- behandling av känsliga personuppgifter m.m. i 11-13 §§,
- behandling av personuppgifter i socialförsäkringsdatabasen i 14-16 §§,
- tilldelning av behörighet i 17 §,
- direktåtkomst i 18-23 §§,
- direktåtkomst i 18-23 a §§,
- utlämnande på medium för automatisk behandling i 24-26 a §§,
- sökbegrepp i 27 och 28 §§,
- överföring av personuppgifter till tredjeland i 29 §,
- information i 30 §,
- gallring i 31 §,
- avgifter i 32 §,
- rättelse och skadestånd i 33 §,
- kontrollverksamhet i 34 §,
- tystnadsplikt i 35 §, och
- överklagande i 36 §
Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.
Behörighet för åtkomst till socialförsäkringsdatabasen ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter.
17 §
Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.
Behörighet för åtkomst till socialförsäkringsdatabasen och till personuppgifter hos Migrationsverket ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter.
23 a §
Migrationsverket får medges direktåtkomst till uppgifter i socialförsäkringsdatabasen om uppgifterna behövs vid
1. handläggning av ansökningar om uppehållstillstånd för att bedriva näringsverksamhet enligt 5 kap. utlänningslagen (2005:716),
2. handläggning av ansökningar om arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen eller
3. kontroll av arbetstillstånd enligt 6 kap. 2 § första stycket utlänningslagen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Denna lag träder i kraft den 1 januari 2016.
Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att 2 kap. 8 § och 18 § polisdatalagen (2010:361) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
8 §
Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i
1. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,
2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,
3. sådan verksamhet hos Polismyndigheten som avser handräckningsuppdrag,
4. annan verksamhet som Polismyndigheten ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,
5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller
6. en myndighets verksamhet
a) om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift, eller
b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
5. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten,
6. verksamhet hos Migrationsverket för att verket ska kunna kontrollera fingeravtryck som verket tagit enligt 9 kap. 8 § utlänningslagen (2005:716) mot fingeravtrycksregister som Polismyndigheten för enligt 4 kap. 11-17 §§ eller
7. en myndighets verksamhet
a) om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift eller
b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.
Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.
I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första-tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
18 §
Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11-17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.
Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11-17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Motsvarande gäller för Migrationsverket avseende personuppgifter som behandlas i fingeravtrycksregister enligt första stycket,
om verket behöver uppgifterna för att kontrollera fingeravtryck som verket tagit.
Denna lag träder i kraft den 1 januari 2016.
Förteckning över remissinstanser
Följande remissinstanser har inkommit med svar: Riksdagens ombudsmän, Kammarrätten i Stockholm, Förvaltningsrätten i Malmö, Justitiekanslern, Domstolsverket, Polismyndigheten, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Kustbevakningen, Migrationsverket, Datainspektionen, Ambassaden New Delhi, Ambassaden Peking, Försäkringskassan, Inspektionen för socialförsäkringen, Pensionsmyndigheten, Tullverket, Skatteverket, Kronofogdemyndigheten, Uppsala universitet (Juridiska fakulteten), Riksarkivet, Sveriges advokatsamfund, Svenskt Näringsliv och Rådgivningsbyrån för asylsökande och flyktingar.
Arbetsgivarverket, Sveriges kommuner och landsting, Svenska akademikers Centralorganisation (SACO) och Landsorganisationen i Sverige (LO) har avstått från att yttra sig över förslagen i betänkandet.
Tjänstemännens Centralorganisation (TCO), Amnesty International - Svenska sektionen, Flyktinggruppernas och asylkommittéernas riksråd (FARR) och Svenska Röda Korset har inte kommit in med något svar.
Utöver remissinstanserna har Dataskydd.net Sverige inkommit med ett yttrande.
Lagrådsremissens lagförslag
1 Lagtext
Regeringen har följande förslag till lagtext.
1.1 Förslag till utlänningsdatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Migrationsverket, Polismyndigheten och utlandsmyndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Migrationsverkets och utlandsmyndigheternas verksamhet som rör
1. utlänningars inresa i Sverige, i en stat som ingår i Europeiska unionen, i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet eller i Schweiz,
2. utlänningars vistelse eller arbete i Sverige och utresa eller avlägsnande från Sverige,
3. statusförklaring,
4. mottagande av asylsökande och andra utlänningar,
5. bistånd och stöd till utlänningar,
6. svenskt medborgarskap,
7. statlig ersättning för kostnader för utlänningar,
8. bosättning av utlänningar, eller
9. utfärdande av resehandlingar.
3 § Denna lag gäller också vid behandling av personuppgifter i Polismyndighetens verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige om verksamheten inte utgör brottsbekämpande verksamhet.
4 § Lagen gäller endast om behandlingen av personuppgifter enligt 2 eller 3 § är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
5 § Denna lag gäller inte när personuppgifter behandlas med stöd av
1. lagen (2000:344) om Schengens informationssystem,
2. Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), eller
3. Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (omarbetning).
6 § När personuppgifter behandlas med stöd av Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), gäller bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd om inte något annat följer av VIS-förordningen. I övrigt är denna lag inte tillämplig när personuppgifter behandlas med stöd av VIS-förordningen.
Förhållandet till personuppgiftslagen
7 § Om inte något annat anges i 8 §, gäller denna lag i stället för personuppgiftslagen (1998:204).
8 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen,
3. 9 § om grundläggande krav på behandling av personuppgifter,
4. 22 § om behandling av personnummer,
5. 23 och 25-27 §§ om information till den registrerade,
6. 28 § om rättelse,
7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,
8. 33-35 §§ om överföring av personuppgifter till tredjeland,
9. 38-41 §§ om personuppgiftsombud m.m.,
10. 42 § om upplysningar till allmänheten om vissa behandlingar,
11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,
12. 48 § om skadestånd, och
13. 51 § första stycket, 52 § första stycket och 53 § om överklagande.
Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.
Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.
Personuppgiftsansvar
9 § Migrationsverket, Polismyndigheten och en utlandsmyndighet är var och en personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Migrationsverket är dock personuppgifts-ansvarigt för utlandsmyndigheternas automatiserade behandling av personuppgifter.
10 § Migrationsverket och Polismyndigheten ska var och en utse ett eller flera personuppgiftsombud.
Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.
Ändamål
11 § Migrationsverket, Polismyndigheten och utlandsmyndigheterna får behandla personuppgifter om det behövs för
1. handläggning av ärenden eller en myndighets biträde i sådana ärenden i verksamhet som avses i 2 och 3 §§,
2. kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,
3. utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,
4. framställning av statistik,
5. utförande av testverksamhet, eller
6. fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en personuppgift.
12 § Migrationsverket får också behandla personuppgifter om det behövs för återsökning av
1. avgöranden, rättsutredningar och annan rättslig information, eller
2. information som rör förhållanden i andra länder.
13 § Personuppgifter som behandlas enligt 11 och 12 §§ får även behandlas när det är nödvändigt för att tillhandahålla information till
1. riksdagen eller regeringen,
2. en annan myndighet eller en enskild, om uppgifterna lämnas med stöd av lag eller förordning, eller
3. en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation, om utlämnandet av uppgifterna följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.
I ett enskilt fall får personuppgifter som behandlas enligt 11 och 12 §§ även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första stycket under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.
Migrationsverkets register över fingeravtryck
och fotografier
14 § Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716).
Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast
1. vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1-2 a §§ utlänningslagen åberopas,
2. i ärenden om avvisning och utvisning,
3. i testverksamhet,
4. om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller
5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 § polisdatalagen (2010:361).
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1. ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och
2. föreskrifter om gallring.
Behandling av känsliga personuppgifter
15 § Sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får endast behandlas
1. för de ändamål som anges i 11 § 1-4 och 6 samt 13 § om uppgifterna är absolut nödvändiga för syftet med behandlingen, eller
2. i löpande text för det ändamål som anges i 12 § 2, om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i sådan verksamhet som anges i 2 §.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
1. ytterligare föreskrifter om inskränkningar av möjligheten att behandla känsliga personuppgifter, och
2. föreskrifter om gallring.
Tillgången till personuppgifter
16 § Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Sökbegränsningar
17 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar
1. ras eller etniskt ursprung,
2. politiska åsikter,
3. religiös eller filosofisk övertygelse,
4. medlemskap i fackförening,
5. hälsa, eller
6. sexualliv.
18 § Vid behandling av personuppgifter för ändamål som anges i 12 § 2 får personuppgifter som direkt pekar ut den registrerade inte användas som sökbegrepp.
Vid sökning i personuppgifter får sådana uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen (1998:204) inte användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen (2005:716) får dock användas som sökbegrepp.
Direktåtkomst
19 § Direktåtkomst till personuppgifter hos Migrationsverket får endast medges
1. Polismyndigheten,
2. Säkerhetspolisen,
3. utlandsmyndigheterna,
4. Försäkringskassan,
5. Pensionsmyndigheten,
6. Skatteverket, eller
7. en part eller en parts ombud eller biträde.
Direktåtkomst enligt första stycket 7 får endast avse personuppgifter i partens ärende.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela
1. ytterligare föreskrifter om begränsningar av direktåtkomst enligt första stycket, och
2. föreskrifter om behörighet och säkerhet vid sådan åtkomst.
Uppgiftsskyldighet
20 § Polismyndigheten har rätt att ta del av personuppgifter som Migrationsverket behandlar enligt 11 eller 14 § vid direktåtkomst enligt 19 §. Säkerhetspolisen och utlandsmyndigheterna har motsvarande rätt att vid direktåtkomst ta del av uppgifter som Migrationsverket behandlar enligt 11 §.
Migrationsverket ska på begäran av Polismyndigheten, Säkerhetspolisen eller en utlandsmyndighet lämna ut personuppgifter som verket behandlar enligt 11 § 1 eller 2. Migrationsverket ska också på begäran av Polismyndigheten lämna ut personuppgifter som verket behandlar enligt 14 § andra stycket 1, 2 eller 5.
Om det finns skäl för det ska Migrationsverket på eget initiativ lämna uppgifter som avses i andra stycket andra meningen till Polismyndigheten.
Överföring av personuppgifter till tredjeland
21 § Trots hänvisningen till 33 § personuppgiftslagen (1998:204) i 8 § första stycket 8 är det tillåtet att även utan den registrerades samtycke föra över personuppgifter till tredjeland om överföringen är absolut nödvändig för de ändamål som anges i 11 § 1 och 2 samt 12 § 1, såvida det inte möter hinder av sekretess enligt offentlighets- och sekretesslagen (2009:400).
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att föra över personuppgifter till tredjeland.
Avskiljande
22 § Personuppgifter som har behandlats för ändamål som anges i 11 § 1-4 och 13 § ska avskiljas så att tillgången till dem begränsas om de inte längre behövs i myndighetens löpande verksamhet.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter.
Säkerhetsåtgärder
23 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter.
Denna lag träder i kraft den 1 april 2016.
1.2 Förslag till lag om ändring i socialförsäkringsbalken
Härigenom föreskrivs att 114 kap. 17 § socialförsäkringsbalken ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
114 kap.
17 §
Behörighet för åtkomst till socialförsäkringsdatabasen ska inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med föreskrifter som meddelas av regeringen eller den myndighet som regeringen bestämmer.
Behörighet för åtkomst till socialförsäkringsdatabasen ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter.
Behörighet för åtkomst till socialförsäkringsdatabasen och till personuppgifter hos Migrations-verket ska begränsas till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter.
Denna lag träder i kraft den 1 april 2016.
1.1
1.3 Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att 2 kap. 8 och 18 §§ polisdatalagen (2010:361) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
8 §
Personuppgifter som behandlas enligt 7 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i
1. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket,
2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,
3. sådan verksamhet hos Polismyndigheten som avser handräckningsuppdrag,
4. annan verksamhet som Polismyndigheten ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,
5. verksamhet hos Kriminal-vården för att förebygga brott och upprätthålla säkerheten, eller
6. en myndighets verksamhet
a) om det enligt lag eller förordning åligger Polis-myndigheten att bistå myndig-heten med viss uppgift, eller
b) om informationen tillhanda-hålls inom ramen för myndighets-överskridande samverkan mot brott.
5. verksamhet hos Kriminal-vården för att förebygga brott och upprätthålla säkerheten,
6. verksamhet hos Migrations-verket för att verket ska kunna kontrollera fingeravtryck som verket tagit enligt 9 kap. 8 § utlänningslagen (2005:716) mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 §, eller
7. en myndighets verksamhet
a) om det enligt lag eller förordning åligger Polismyndig-heten att bistå myndigheten med viss uppgift, eller
b) om informationen tillhanda-hålls inom ramen för myndighets-överskridande samverkan mot brott.
Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.
Regeringen meddelar föreskrifter om att personuppgifter som behandlas enligt 7 § och som avser efterlysta personer och avlägsnanden ur landet får behandlas för att tillhandahålla information till vissa särskilt angivna myndigheter och att uppgifter som behandlas i en förundersökning får tillhandahållas konkursförvaltare.
I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första-tredje styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
18 §
Säkerhetspolisen, Ekobrotts-myndigheten, Tullverket, Kust-bevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11-17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.
Säkerhetspolisen, Ekobrotts-myndigheten, Tullverket, Kust-bevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 4 kap. 11-17 §§, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregistret, om verket behöver uppgifterna för kontroll av fingeravtryck som verket tagit.
Denna lag träder i kraft den 1 april 2016.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2015-11-23
Närvarande: F.d. justitieråden Bo Svensson och Olle Stenman samt justitierådet Anita Saldén Enérus.
Utlänningsdatalag
Enligt en lagrådsremiss den 19 november 2015 (Justitiedepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till
1. utlänningsdatalag,
2. lag om ändring i socialförsäkringsbalken,
3. lag om ändring i polisdatalagen (2010:361).
Förslagen har inför Lagrådet föredragits av ämnesrådet Mattias
Larsson, biträdd av rättssakkunniga Christiana Lyrestam.
Lagrådet lämnar förslagen utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 3 december 2015
Närvarande: Statsministern S Löfven, ordförande, och statsråden Å Romson, Y Johansson, I Baylan, K Persson, P Hultqvist, H Hellmark Knutsson, I Lövin, Å Regnér, M Andersson, A Johansson, P Bolund,
M Damberg, A Bah Kuhnke, G Fridolin, G Wikström, A Hadzialic
Föredragande: statsrådet P Hultqvist
Regeringen beslutar proposition 2015/16:65 Utlänningsdatalag
Regeringen beslutar proposition Utlänningsdatalag