6Utlänningsdatalag

6.1Lagens namn

Utredningens förslag: Lagen ges namnet utlänningsdatalag.

Utredningen har övervägt att föreslå namnet lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen eftersom det namnet ger en bra beskrivning av vad lagen handlar om. Den föreslagna lagen kommer emellertid att dagligen tillämpas av ett stort antal tjänstemän vid flera myndigheter. Ett kortare namn är därför lämpligare. De personuppgifter som kommer att behandlas enligt lagen rör i de allra flesta fall utländska medborgare eller statslösa, dvs. utlänningar. Utlänningsdatalag är således, enligt utredningen, ett relevant och i övrigt lämpligt namn på den föreslagna lagen.

6.2Tillämpningsområde

Utredningens förslag: Lagen skall tillämpas vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen som bedrivs av i lagen angivna myndigheter. Verksamhetsområdet preciseras i lagen. Behandling som utförs av annan myndighet än någon av de i lagen nämnda faller utanför tillämpningsområdet. Detsamma gäller behandling som utförs av enskilda.

Av verksamhetspreciseringen framgår bl.a. att behandling av personuppgifter i myndigheternas internadministrativa verksamhet samt i Migrationsverkets respektive Integrationsverkets hantering av förenings- och projektbidrag inte omfattas av lagens tillämpningsområde.

139

6.2.1Inledning

Utredningens direktiv innehåller ingen närmare precisering av vad som skall avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Dock sägs att det är Migrationsverket, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna som bedriver sådan verksamhet. Det är också dessa myndigheters behandling av personuppgifter som omfattas av utlänningsdataförordningen. Direktiven innehåller emellertid inte någon uttalad begränsning av utredningsuppdraget till att endast omfatta den behandling av personuppgifter som nämnda myndigheter utför.

Som belysts i avsnitt 3 är ytterligare ett antal statliga myndigheter inbegripna i verksamhet som utförs med stöd av utlänningslagen eller medborgarskapslagen. Dessa myndigheter är, förutom regeringen (Regeringskansliet), Arbetsmarknadsstyrelsen och länsarbetsnämnder, som beviljar vissa arbetstillstånd, allmänna domstolar, som prövar frågor om utvisning på grund av brott efter talan av allmän åklagare, allmänna förvaltningsdomstolar, som prövar överklagade beslut om tagande i förvar m.m., Kustbevakningen och Tullverket, som biträder polisen i utlänningskontrollen, samt länsstyrelser, som prövar vissa anmälningar om svenskt medborgarskap och som har att anmäla till Rikspolisstyrelsen om de finner anledning anta att ett beslut om utvisning enligt lagen (1991:572) om särskild utlänningskontroll bör meddelas.

Endast Migrationsverket och Utlänningsnämnden kan emellertid sägas ha verksamhet enligt utlänningslagen och medborgarskapslagen som central myndighetsuppgift. Vad gäller verksamhetsområdet – verksamhet enligt utlännings- och medborgarskapslagstiftningen – innehåller utlänningsdataförordningen en definition som innefattar också viss verksamhet utöver den som bedrivs enligt utlänningslagen eller medborgarskapslagen eller till lagarna anslutande förordningar. Denna verksamhet har beskrivits översiktligt i avsnitt 3.3. Även här är ytterligare myndigheter verksamma, nämligen kommunala myndigheter, som tar emot och ger asylsökande bistånd, Centrala studiestödsnämnden, som handlägger ärenden om hemutrustningslån till flyktingar m.fl., samt landstingen, som enligt en överenskommelse med staten tillhandahåller utlänningar vid mottagningsförläggningar hälso- och sjukvård. Vidare kan enskilda på Migrationsverkets uppdrag driva mottagningsförläggningar för asylsökande.

140

Slutligen kan påpekas att Integrationsverket inte bedriver någon verksamhet enligt utlänningslagen eller medborgarskapslagen.

Det sagda innebär att det finns anledning att närmare diskutera hur utlänningsdatalagens tillämpningsområde skall avgränsas i fråga om dels vems behandling av personuppgifter som bör regleras i lagen, dels vilken verksamhet lagen skall tillämpas på. Frågorna hör förvisso ihop men behandlas i det följande var för sig.

Först bör emellertid framhållas att utredningens utgångspunkt är att tillämpningsområdet skall begränsas till det som påkallar särreglering i förhållande till personuppgiftslagens regler. När det gäller en allmän motivering till varför en särreglering över huvud taget bör införas för verksamhetsområdet hänvisas till avsnitt 5.2.

En ytterligare utgångspunkt – som också framhålls i utredningens direktiv – är att lagen inte leder till överlappande lagstiftning i den bemärkelsen att mer än en författning är tillämplig beträffande samma behandling av personuppgifter. En dylik dubbelreglering medför tillämpningssvårigheter och ökar risken för ett ologiskt och motsägelsefullt regelverk, vilket givetvis måste undvikas.

6.2.2Vems behandling av personuppgifter skall regleras av lagen?

Utredningen har övervägt om det skulle vara ändamålsenligt att i lagen inte uttryckligen ange vilket eller vilka subjekt som lagen är tillämplig på utan att låta tillämpningsområdet avgränsas med enbart en definition av verksamhetsområdet. En fördel härmed är att lagen inte behöver ändras vid organisatoriska förändringar eller överföringar av arbetsuppgifter från en myndighet till en annan. Modellen är dock förknippad med betydande nackdelar, främst i det att en mängd undantagsbestämmelser skulle krävas för att undvika överlappande lagstiftning, något som kommer att framgå i det följande. En sådan lagstiftningsteknik är opedagogisk och otymplig. Modellen skulle även avvika från flertalet nu gällande särförfattningar för behandling av personuppgifter i offentlig förvaltning, i vilka det som regel anges eller annars klart framgår vilket eller vilka organ som har att tillämpa författningen, se t.ex. 1 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga och 1 § lagen (2001:184) om behandling av uppgifter i kronofogdemyndigheternas verksamhet. Övervägande skäl talar

141

således för att det i lagen uttryckligen anges vems behandling av personuppgifter lagen reglerar.

Som nyss sagts reglerar utlänningsdataförordningen behandling av personuppgifter som företas av Migrationsverket, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna. De fortsatta övervägandena tar sitt avstamp i utlänningsdataförordningen med ett resonemang om huruvida det finns anledning att inskränka eller utvidga kretsen vars behandling av personuppgifter lagen skall omfatta.

Vad gäller den första frågan, om man bör inskränka tillämpningsområdet i förhållande till utlänningdataförordningen, kan till en början konstateras att Migrationsverkets behandling av personuppgifter självfallet bör regleras av den nya lagen. Verket behandlar i sin verksamhet en synnerligen stor mängd i hög grad integritetskänsliga personuppgifter om främst utlänningar. Särreglering är påkallad i alla de avseenden som i avsnitt 5.2 angetts som skäl för en sådan reglering. Även utlandsmyndigheternas behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen är sammantaget omfattande och integritetskänslig och påkallar därför en särreglering.

Av samma skäl bör Utlänningsnämndens behandling av personuppgifter inom verksamhetsområdet särregleras. Det pågående reformarbetet om bl.a. ändrad instansordning innebär visserligen att Utlänningsnämndens verksamhet troligen kommer att upphöra. När detta kan komma att ske är dock i nuläget oklart. Under alla förhållanden kommer utlänningsdatalagen att kunna träda i kraft före en eventuell organisationsförändring. Utlänningsnämndens behandling av personuppgifter bör därför regleras i lagen.

Det kan här inflikas att det i den tidigare nämnda lagrådsremissen Ny instans- och processordning i utlänningsärenden föreslogs att Utlänningsnämndens verksamhet skall tas över av vissa länsrätter och en kammarrätt. Dessa domstolar omfattas av förordningen (2001:640) om registerföring m.m. vid länsrätt med hjälp av automatiserad behandling respektive förordningen (2001:641) om registerföring m.m. vid Regeringsrätten och kammarrätterna med hjälp av automatiserad behandling. Båda förordningarna gäller vid automatiserad behandling av personuppgifter i domstolarnas rättskipning eller rättsvårdande verksamhet. Domstolarna omfattas vidare av de lagförslag om behandling av personuppgifter vid bl.a. allmänna förvaltningsdomstolar som Domstolsdatautredningen lämnat i betänkandet Informations-

142

hantering och behandling av uppgifter vid domstolar – En rättslig översyn (SOU 2001:100).

När det gäller Integrationsverket har det i kartläggningsarbetet (avsnitt 4) framkommit att verket behandlar en stor mängd mer eller mindre integritetskänsliga personuppgifter om utlänningar i sin handläggning av ärenden om ersättning till kommuner och landsting för flyktingmottagande samt i sitt arbete med att träffa överenskommelser med kommuner om mottagande av skyddsbehövande m.m. De allmänna argumenten för särreglering i förhållande till personuppgiftslagen (se avsnitt 5.2) motiverar därför att Integrationsverket skall omfattas av lagen.

Vad därefter gäller Rikspolisstyrelsens och polismyndigheternas behandling av personuppgifter i verksamhet enligt utlänningslagen är situationen mer tveksam. Detta hänger samman med att polisens behandling av personuppgifter i stor utsträckning regleras av polisdatalagen (1998:622).

Polisdatalagen – som utgår från personuppgiftslagen och endast innehåller de särbestämmelser som bedömts som nödvändiga – tillämpas vid behandling av personuppgifter i polisens verksamhet för att 1) förebygga brott och andra störningar av den allmänna ordningen och säkerheten, 2) övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana har inträffat eller 3) bedriva spaning och utredning i fråga om brott som hör under allmänt åtal (1 § polisdatalagen). Verksamheten utgör det som brukar kallas den egentliga polisverksamheten och är identisk med regleringen i 2 § 1–3 polislagen (1984:387). Till polisens uppgifter hör vidare att lämna allmänheten skydd, upplysningar och annan hjälp, när sådant bistånd lämpligen kan ges av polisen samt att fullgöra den verksamhet som ankommer på polisen enligt särskilda bestämmelser (2 § 4 och 5 polislagen).

I polisens övervakningsverksamhet enligt 2 § 2 polislagen ingår gränsövervakning som en speciell övervakningsform. Enligt äldre förarbeten till polislagen (se 1975 års polisutrednings betänkande Polislagen, SOU 1979:6 s. 63 f.) syftar gränsövervakningen främst till att hindra spioneri, varusmuggling och obehörigt överskridande av landets gränser. Polisen sägs här svara för passkontroll och den övervakning i övrigt som förutsätts i utlänningslagstiftningen. I polisens verksamhet enligt utlänningslagstiftningen brukar man kalla den kontroll som sker i samband med att utlänningar reser in i eller ut ur Sverige för den yttre utlänningskontrollen och den

143

kontroll som sker under utlänningens vistelse i Sverige för den inre utlänningskontrollen.

I polisens verksamhet enligt 2 § 5 polislagen ingår den s.k. polismyndighetsverksamheten. Denna avser åligganden som polisen, vid sidan av sina huvuduppgifter, har inom området för allmän förvaltning enligt särskilda författningsbestämmelser. En del av dessa åligganden innefattar handläggning av ärenden eller biträde åt myndigheter när det exempelvis gäller interimistiska åtgärder vid administrativa tvångsingripanden.

Gränsen mellan polisens olika uppgifter enligt 2 § 1–5 polislagen är emellertid ingalunda skarp (se bl.a. Berggren – Munck, Polislagen En kommentar, 1998, 3 uppl. s. 31) vilket medför vissa problem när det gäller att avgöra om en behandling av personuppgifter regleras av polisdatalagen.

I propositionen Polisens register (prop. 1997/98:97 s. 99) framhöll regeringen att den polisverksamhet som polisdatalagen skall tillämpas på inte omfattas av dataskyddsdirektivets tillämpningsområde. I Polisdatautredningens betänkande Behandling av personuppgifter i polisens verksamhet (SOU 2001:92) föreslås en ny polisdatalag med samma tillämpningsområde såvitt nu är i fråga som den nu gällande polisdatalagen. I betänkandet betonas att polisverksamhet enligt 2 § 1–3 polislagen inte omfattas av dataskyddsdirektivet och att det är olämpligt att låta den nya lagen vara tillämplig vid behandling av personuppgifter i polisens verksamhet enligt 2 § 4 och 5 polislagen med hänsyn till att det är tveksamt om dessa verksamheter kan anses undantagna från direktivets tillämpningsområde (a.a. s. 157).

Av det sagda torde enligt utredningen den slutsatsen kunna dras att behandling av personuppgifter inom polisen (eller av de av polisen särskilt förordnade gränskontrollanterna) som föranleds av polisens yttre utlänningskontroll i allt väsentligt regleras av polisdatalagen. Likaså omfattar polisdatalagen polisens behandling av personuppgifter vid verksamhet enligt lagen om särskild utlänningskontroll, som ju gäller utvisning av utlänning av hänsyn till rikets säkerhet eller om det kan befaras att utlänningen kommer att begå eller medverka till brottslig gärning som innefattar våld, hot eller tvång för politiska syften. Detsamma kan sägas om Rikspolisstyrelsens verksamhet i s.k. säkerhetsärenden enligt medborgarskapslagen.

När det gäller polisens behandling av personuppgifter inom den inre utlänningskontrollen är det enligt utredningen inte lika säkert

144

att den i sin helhet omfattas av polisdatalagens tillämpningsområde. Den inre utlänningskontrollen syftar bl.a. till efterspaning av utlänningar beträffande vilka det finns ett avvisnings- eller utvisningsbeslut. Dessutom innefattar kontrollen bl.a. övervakning av att utlänningar inte arbetar i landet utan erforderligt arbetstillstånd. Den sist nämnda kontrollen kan avse utlänningar som rest in i och vistas i Sverige i behörig ordning, vilket enligt utredningen medför att det kan sättas i fråga om verksamheten utgör sådan gränsövervakning som innefattas i polisverksamhet enligt 2 § 2 polislagen. Polisens verksamhet när det gäller verkställighet av beslut om förvar, avvisning och utvisning samt polismyndigheternas beslutsfattande om nödfallsviseringar m.m. utgör vidare polismyndighetsverksamhet enligt 2 § 5 polislagen, som faller utanför polisdatalagen tillämpningsområde.

Polisens verksamhet enligt utlänningslagstiftningen har i många fall en nära anknytning till verksamhet som omfattas av gemenskapsrätten och därmed av dataskyddsdirektivet. Det kan t.ex. påpekas att kontrollen vid passage av EU-medlemsstaternas yttre gränser numera ingår i gemenskapssamarbetets första pelare (se avsnitt 3.1), varför det kan ifrågasättas om behandling av personuppgifter ens i samband med den yttre utlänningskontrollen verkligen faller utanför dataskyddsdirektivets tillämpningsområde.

I förarbetena till den nu gällande polisdatalagen anförde regeringen att den inte kunde se att det finns något behov av särregler för polisens handläggning av polismyndighetsärenden eller annan polisverksamhet enligt 2 § 4 och 5 polislagen (prop. 1997/98:97 s. 99). Samma bedömning har Polisdatautredningen gjort i sitt nyss nämnda betänkande (SOU 2001:92 s. 156).

Med tanke på redogörelsen i det föregående kan det således konstateras att en del av polisens verksamhet enligt utlänningslagstiftningen faller utanför polisdatalagen och för den delen även lagen (2000:344) om Schengens informationssystem (som bl.a. reglerar behandling av uppgifter om utlänning som Rikspolisstyrelsen skall införa i spärrlistan för personer som skall nekas tillträde eller uppehållstillstånd i Schengenstaterna). I den verksamheten förekommer en inte obetydlig behandling av personuppgifter. Det rör sig dels om personuppgifter som polisen själv insamlar och behandlar, dels om personuppgifter som utlämnas från företrädesvis Migrationsverket eller Utlänningsnämnden.

Ett exempel kan nämnas som belyser problem som kan uppstå i förhållande till personuppgiftslagen. Polisen behöver i många fall

145

snabb information om sådana känsliga personuppgifter som etnicitet och psykisk eller fysisk hälsa när den bistår myndigheterna med att verkställa ett beslut om tagande i förvar eller när polisen har övertagit ett verkställighetsärende avseende avvisning eller utvisning. Enligt utredningens mening är det rimligt och effektivitetsfrämjande att polisen kan få del av sådan information. Av naturliga skäl kan polisen inte inhämta samtycke från vederbörande till den fortsatta behandlingen av personuppgifterna som sker efter det att informationen har överförts till polisen. Personuppgiftslagen och personuppgiftsförordningen ger därmed inte en tillfredsställande reglering eftersom ingen undantagsbestämmelse från lagens förbud mot behandling av de känsliga personuppgifterna är tillämplig på polisens behandling i en situation som denna. Inte heller gäller, som tidigare sagts, polisdatalagen eller någon annan motsvarande lag. En särreglering behövs alltså enligt utredningens mening.

Ett sätt att införa särregleringen är att föreslå ändringar i polisdatalagens bestämmelse om vilken polisverksamhet den lagen är tillämplig på. För en sådan lösning talar framför allt att det för polisens del är mera lätthanterligt med en reglering av den egna myndighetens behandling av personuppgifter samlad i en lag. Exempelvis skulle i 1 § första stycket polisdatalagen kunna tilläggas en punkt 4 av följande lydelse. ...fullgöra uppgifter enligt utlänningslagstiftningen.

Häremot talar emellertid att behandling av personuppgifter i frågor som otvetydigt faller under dataskyddsdirektivets tillämpningsområde därmed införs i polisdatalagen, vilket inte är förenligt med den inställning som regeringen uttryckt i förarbetena till polisdatalagen. Enligt utredningens mening väger detta argument mot en ändring av polisdatalagen tyngre än de skäl som talar för en ändring. Utredningen föreslår därför att Rikspolisstyrelsens och polismyndigheternas nu berörda behandling av personuppgifter i verksamhet enligt utlänningslagstiftningen regleras i utlänningsdatalagen.

I syfte att undvika överlappande lagstiftning bör vidare i utlänningsdatalagen införas en regel som från lagens tillämpningsområde utesluter behandling av personuppgifter som regleras av polisdatalagen. Även behandling av personuppgifter enligt lagen om Schengens informationssystem bör ha uttryckligt företräde framför utlänningsdatalagen i händelse av en kollision.

När det så gäller frågan om kretsen av dem som skall tillämpa utlänningsdatalagen i stället bör utvidgas i förhållande till utlän-

146

ningsdataförordningen kan till en början konstateras att det saknas särreglering av den personuppgiftsbehandling som Regeringskansliet

– i egenskap av beredare av regeringsärenden – måste utföra i samband med regeringens prövning av enskilda ärenden enligt utlänningslagen, medborgarskapslagen och lagen om särskild utlänningskontroll. Personuppgifter som behandlas i dessa ärenden är ofta av mycket integritetskänslig karaktär. Sammantaget rör det sig om en relativt omfattande verksamhet. Det är mot den bakgrunden inte tillfredsställande att Regeringskansliets behandling enbart sker med stöd av personuppgiftslagen. Övervägande skäl talar därför för att även Regeringskansliet bör tillämpa utlänningsdatalagen i dessa ärenden.

Härutöver har det i utredningens arbete inte framkommit behov av att låta någon eller några ytterligare myndigheters behandling av personuppgifter infogas i tillämpningsområdet. Skälen för denna bedömning utvecklas i det följande.

Som tidigare sagts omfattas de allmänna förvaltningsdomstolarna av gällande registerförordningar samt av en väntad lag om behandling av personuppgifter i de allmänna förvaltningsdomstolarnas verksamhet (SOU 2001:100).

Även några av de andra handläggande myndigheter som nämnts tidigare (avsnitt 6.2.1) omfattas av särreglering. De allmänna domstolarna omfattas av förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling. Domstolsutredningen har föreslagit en lag om behandling av personuppgifter vid allmän domstol (SOU 2001:100). Arbetsmarknadsstyrelsens och länsarbetsnämndernas hantering av personuppgifter i samband med frågor om arbetstillstånd omfattas av lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten som trädde i kraft den 1 augusti 2002 (se prop. 2001/02:144 s. 18). Kommunernas behandling av personuppgifter vid handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar och ärenden om bistånd enligt lagstiftning om mottagande av asylsökande m.fl. samt i verksamhet hos kommunal invandrarbyrå regleras av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

Centrala studiestödsnämndens behandling av personuppgifter vid handläggning av ärenden om hemutrustningslån till flyktingar och vissa andra utlänningar är i viss mån redan reglerad (se avsnitt 3.3). En allmän översyn av om behandlingen av personuppgifter i

147

nämndens verksamhet skall särregleras i lag görs för närvarande av Utbildningsdepartementet (se prop. 2000/01:129 s. 69).

Något behov av särreglering av övriga myndigheters behandling av personuppgifter inom verksamhetsområdet har inte framkommit. Länsstyrelsernas behandling av personuppgifter vid anmälningar om svenskt medborgarskap är varken med hänsyn till sin omfattning eller integritetskänslighet sådan att den bör regleras i lagen. Länsstyrelsernas anmälningsplikt enligt lagen om särskild utlänningskontroll avser i praktiken ytterst få fall och motiverar inte att länsstyrelserna innefattas i den föreslagna lagens tillämpningsområde. Eventuella anmälningar bör rimligtvis kunna hanteras med sådan manuell behandling av personuppgifter som inte omfattas av personuppgiftslagens tillämpningsområde utan att länsstyrelsernas effektivitet påverkas negativt.

Det är tveksamt om Kustbevakningen och Tullverket när de bistår polisen vid yttre eller inre utlänningskontroll över huvud taget behandlar personuppgifter på ett sätt som omfattas av personuppgiftslagens tillämpningsområde. I vart fall finns ingen anledning att särreglera den behandling som måhända förekommer genom att infoga den i lagförslaget.

Slutligen bör framhållas att, som tidigare nämnts, enskilda kan driva mottagningsförläggningar (även om just för närvarande inga förläggningar drivs av enskilda) och att de i den verksamheten torde behöva behandla personuppgifter. Något behov av att med anledning härav komplettera eller ersätta personuppgiftslagens regler har emellertid inte framkommit i utredningens kartläggningsarbete. De möjligheter till behandling av känsliga personuppgifter utan den registrerades samtycke som kommer att föreslås i det följande bör vidare inte utan starka skäl utsträckas till andra än myndigheter. Övervägande skäl talar därför för att utelämna enskildas behandling av personuppgifter från lagens tillämpningsområde.

Det kan i sammanhanget inflikas att man på mottagningsförläggningar som drivs av enskilda ofta torde kunna behandla personuppgifter utan den enskildes samtycke med stöd av 10 § d personuppgiftslagen. Där föreskrivs att personuppgifter får behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse skall kunna utföras.

Sammanfattningsvis föreslås således endast den ändringen i förhållande till vad utlänningsdataförordningen stadgar att Regeringskansliet fogas till den krets som tillämpar utlänningsdatalagen.

148

6.2.3Verksamhetsområdet

6.2.3.1Verksamhet som lagen skall tillämpas på

Regeringskansliets, Migrationsverkets, Utlänningsnämndens, Rikspolisstyrelsens och polismyndigheternas samt utlandsmyndigheternas behandling av personuppgifter i verksamhet enligt utlänningslagen och medborgarskapslagen med anslutande förordningar skall självfallet omfattas av lagens tillämpningsområde, dock för polisens del endast i den mån någon annan särskild registerförfattning inte är tillämplig. Integrationsverket bedriver visserligen ingen verksamhet enligt nu nämnda författningar. Verket har dock, som utredningen strax återkommer till, vissa näraliggande uppgifter. Lagen skall självfallet också omfatta utlandsmyndigheternas biträde med utredning i utlänningsmyndigheters enskilda utlännings- och medborgarskapsärenden. Denna verksamhet utförs med stöd av förordningen (1992:247) med instruktion för utrikesrepresentationen.

Frågan är huruvida någon ytterligare verksamhet, som inte direkt omfattas av utlänningslagen och medborgarskapslagen, bör ingå i den nya lagens tillämpningsområde. Detta är ytterst en avvägningsfråga. Enligt utredningen bör till lagens tillämpningsområde också hänföras sådan verksamhet som här berörda myndigheter bedriver och som får anses ha en närmare anknytning till utlännings- eller medborgarskapslagstiftningen och som dessutom motiverar särreglering i förhållande till personuppgiftslagen på grund av sin integritetskänsliga karaktär eller för att möjliggöra viktig behandling av personuppgifter som inte kan utföras enbart med stöd av personuppgiftslagen.

Inledningsvis kan konstateras att polisen inte bedriver någon övrig verksamhet som uppfyller båda dessa kriterier. När det gäller utlandsmyndigheternas finns det vissa myndigheter som representerar andra Schengenstater i tredje land. De myndigheterna beviljar viseringar till den representerade staten. Även den verksamheten bör omfattas av lagens tillämpningsområde.

I fråga om utlandsmyndigheterna, Rikspolisstyrelsen och polismyndigheterna är det alltså endast deras behandling av personuppgifter i verksamhet som nämnts i det föregående som omfattas av lagens tillämpningsområde. Det kan här nämnas att utredningen inte funnit att dessa myndigheters verksamhet enligt passlagstiftningen har en sådan anknytning till verksamhetsområdet att

149

den bör inlemmas i lagens tillämpningsområde. Främst grundar sig denna bedömning på att verksamheten i allt väsentligt rör svenska medborgare vilket utgör en avgörande skillnad jämfört med den övriga verksamhet som lagen föreslås avse.

Utlänningsnämndens enda verksamhet utöver den enligt utlännings- och medborgarskapslagarna gäller nämndens hantering av frågor om offentligt biträde i ärenden enligt lagen om särskild utlänningskontroll. Denna verksamhet bör givetvis omfattas av utlänningsdatalagens tillämpningsområde. Även Regeringskansliets och Migrationsverkets personuppgiftsbehandling i dessa ärenden bör regleras av utlänningsdatalagen.

Migrationsverket har åtskilliga uppgifter utöver de åligganden som följer av utlänningslagen, lagen om särskild utlänningskontroll eller medborgarskapslagen jämte anslutande förordningar. Migrationsverket svarar bl.a. för överföring av organiserat uttagna flyktingar (s.k. kvotflyktingar), för mottagande av asylsökande m.fl. och vissa andra utlänningar med tidsbegränsat uppehållstillstånd samt har huvudansvaret för deras boende och sysselsättning. Vidare handlägger Migrationsverket olika ärenden om bidrag åt utlänningar samt beslutar om statlig ersättning till landsting, kommuner m.fl. för kostnader för vissa utlänningar (se närmare redogörelsen i avsnitt 3.3 angående denna verksamhet). Migrationsverket för vidare, enligt ett åläggande i myndighetsinstruktionen, register och statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Dessa verksamheter förutsätter behandling av personuppgifter som i enlighet med vad som sagts ovan är särreglerad i förhållande till personuppgiftslagen. Verksamheterna bör därför omfattas av lagens tillämpningsområde.

När det slutligen gäller Integrationsverket ingår bland myndighetens uppgifter att vid behov medverka vid bosättning i kommun av skyddsbehövande utlänningar som beviljats uppehållstillstånd. Dessutom skall verket följa upp kommunernas introduktion för skyddsbehövande och andra nyanlända invandrare för vilka kommunerna får statlig ersättning och återföra resultatet till kommunerna, andra myndigheter och regeringen. Integrationsverket beslutar också om viss statlig ersättning till kommuner och landsting för flyktingmottagande och sjukvårdskostnader. För att denna verksamhet skall kunna bedrivas ändamålsenligt krävs bl.a. att känsliga personuppgifter kan behandlas i relativt stor omfattning. Verksamheten har nära anknytning till utlänningslagstiftningen och bör därför särregleras i lagen.

150

Sammanfattningsvis föreslås att lagens verksamhetsområde avgränsas i enlighet med vad som anförts i det föregående. Med tanke bl.a. på att delar av verksamheten utförs med stöd av förordningar bör en saklig beskrivning av verksamheten tas in i lagen.

Utredningen föreslår således att verksamhet som gäller utlänningars inresa, vistelse eller arbete i Sverige samt utresa från Sverige (varmed förstås all verksamhet enligt utlänningslagen och lagen om särskild utlänningskontroll), utlänningars inresa i en stat som ingår i EU eller i en stat som är ansluten till EES, mottagande av asylsökande och andra utlänningar, bistånd och bidrag till utlänningar, svenskt medborgarskap, statlig ersättning för kostnader för utlänningar samt bosättning av utlänningar skall omfattas av lagens tillämpningsområde. I författningskommentaren, avsnitt 9, kommer närmare att utvecklas vad som avses med respektive verksamhet.

6.2.3.2Verksamhet som faller utanför tillämpningsområdet

Viss annan verksamhet

Såväl Migrationsverket som Integrationsverket bedriver viss annan verksamhet som enligt utredningens mening bör utelämnas från lagens tillämpningsområde.

För Migrationsverkets del gäller detta verkets förvaltning av den europeiska flyktingfonden. Fonden inrättades av EU enligt rådets beslut 2000/596/EG av den 28 september 2000 om inrättande av en europeisk flyktingfond. Som framgått av avsnitt 3.3 kan myndigheter och organisationer beviljas ekonomiskt stöd ur fonden. Stöd beviljas efter särskild ansökan. Ofta rör det sig om projekt som drivs av kommunala organ eller av ideella föreningar. Det fåtal personuppgifter som förekommer i ansökningsförfarandet m.m. kan i och för sig vara integritetskänsliga. Enligt utredningens bedömning kan emellertid dessa uppgifter behandlas med samtycke i enlighet med personuppgiftslagens bestämmelser.

Detsamma gäller Integrationsverkets handläggning av ärenden om statsbidrag till organisationer som främjar integration. Visserligen lämnas, som huvudregel, bidrag endast till organisationer som har minst 1 000 betalande medlemmar, varav övervägande del med invandrarbakgrund. Någon registerföring eller annan integritets-

151

känslig behandling av personuppgifter sker emellertid inte inom verket med anledning av denna bidragshantering.

Integrationsverkets arbetsuppgifter utöver de tidigare nämnda avser mer allmän verksamhet till främjande av att integrationspolitiska mål och synsätt får genomslag i samhället. Sådan verksamhet torde inte föranleda behandling av personuppgifter om enskilda personer och bör givetvis utelämnas från lagens tillämpningsområde.

Även utlandsmyndigheternas handläggning, efter Utrikesdepartementets bemyndigande, av ärenden om anställningstillstånd för befattning på svenskt fartyg i utrikes trafik enligt lagen (1989:532) om tillstånd för anställning på fartyg bör utelämnas från lagens tillämpningsområde. Denna verksamhet har ett närmare samband med den arbetsmarknadspolitiska sfären än utlänningslagstiftningen. Dessutom torde den ha en ringa omfattning och inte heller kräva behandling av integritetskänsliga uppgifter eller annars motivera särreglering i förhållande till personuppgiftslagen.

Verksamhet enligt Eurodacförordningen

Som angetts i avsnitt 4.1.7, togs den EU-gemensamma centrala och elektroniska databasen Eurodac i bruk den 15 januari 2003. I den centrala databasen skall fingeravtryck från asylsökande och vissa andra medborgare från tredje land lagras i ett elektroniskt register. Fingeravtryck i databasen skall kunna jämföras med fingeravtryck som överförs från en medlemsstat i syfte att underlätta prövningen av vilken medlemsstat som, enligt Dublinkonventionen eller den EG-förordning som nyligen ersatt konventionen, är ansvarig för att pröva en ansökan om asyl.

Den centrala databasen är placerad i Luxemburg och förvaltas av Europeiska gemenskapernas kommission. För Sveriges del är det Migrationsverket som skall vara den nationella enhet som är uppkopplad till Eurodacsystemet.

Eurodac inrättades genom en EG-förordning nr 2725/2000 antagen av rådet den 11 december 2000 (Eurodacförordningen). Tillämpningsföreskrifter finns i EG-förordningen nr 407/2002, antagen av rådet den 28 februari 2002 (tillämpningsförordningen). Förordningarna innehåller bestämmelser som reglerar hur personuppgifter får behandlas. Bl.a. reglerar den först nämnda förordningen noggrant vilka personuppgifter som får överföras från en

152

medlemsstat till den centrala databasen, nämligen fingeravtryck och uppgift om kön, hur registrering och lagring skall ske i den centrala databasen, hur jämförelser av uppgifter skall ske samt att blockering och radering av registrerade uppgifter i vissa fall skall ske. Dessa bestämmelser är utformade på olika sätt beträffande skilda kategorier av utlänningar på vilka fingeravtryck skall tas enligt Eurodacförordningen.

Enligt Eurodacförordningen gäller dataskyddsdirektivet för såväl medlemsstaternas som kommissionens behandling av personuppgifter inom ramen för Eurodacsystemet. Medlemsstaterna har ensamma ansvaret för att identifiera och klassificera resultatet av de jämförelser som den centrala enheten har överlämnat samt för att blockera uppgifter om personer som tas emot och erkänns som flyktingar. Eftersom detta ansvar rör det särskilda området bearbetning av personuppgifter och kan inverka på utövandet av individens frihet, har rådet funnit särskilda skäl för att förbehålla sig utövandet av vissa genomförandebefogenheter, särskilt när det gäller antagandet av åtgärder för att garantera personuppgifternas säkerhet och tillförlitlighet.

Medlemsstaterna åläggs enligt Eurodacförordningen ett omfattande ansvar för att personuppgifterna används på ett lagligt sätt och att de skyddas från obehöriga intrång m.m. Dessutom skall staterna ansvara för att en enskild person eller en medlemsstat som lider skada på grund av en otillåten behandling eller ett annat handlande som är oförenligt med Eurodacförordningen ersätts härför. Skadeståndsanspråk mot en medlemsstat skall regleras genom bestämmelser i den nationella lagstiftningen i svarandestaten. Förordningen föreskriver vidare vilken information medlemsstaterna är skyldiga att ge till den enskilde registrerade. Enligt artikel 25 i förordningen skall medlemsstaterna säkerställa att användning av i databasen registrerade uppgifter som strider mot Eurodacs syfte bestraffas på lämpligt sätt.

Tillämpningsförordningen innehåller detaljerade föreskrifter om överföring och jämförelse av uppgifter om fingeravtryck.

Genom Sveriges anslutning till EU har EG-rätten blivit en integrerad del av den svenska rättsordningen. Förordningar tillhör den s.k. sekundärrätten som EG-instutionerna genom de grundläggande fördragen har befogenheter att anta. I artikel 249 i fördraget den 25 mars 1957 om upprättande av Europeiska gemenskapen (Romfördraget) definieras en förordning på följande sätt.

153

En förordning skall ha allmän giltighet. Den skall till alla delar vara bindande och direkt tillämplig i varje medlemsstat.

En förordning blir automatiskt en del av medlemsstatens nationella rättssystem och gäller enligt sin lydelse på samma sätt som nationella lagar. När en förordning träder i kraft utesluter den tillämpning av nationell lagstiftning som är oförenlig med förordningen. Detta gäller även om den nationella lagstiftningen är av senare datum. En EG-förordning har således företräde framför nationell rätt (se bl.a. Mats Melin och Göran Schäder, EU:s konstitution, Maktfördelningen mellan den europeiska unionen, medlemsstaterna och medborgarna, 3 uppl., 1998 s. 46 f. med där angivna hänvisningar till EG-domstolens domar). Medlemsstaterna får inte vidta nationella implementeringsåtgärder. En förordnings bestämmelser får enligt EG-domstolens praxis inte heller återges i nationell lagstiftning, eftersom detta skulle kunna dölja att de rättigheter som har sitt ursprung i förordningen är av gemenskapsrättslig natur.

Bestämmelser i en förordning torde emellertid få återges i nationell lagstiftning när det är nödvändigt för att den nationella lagstiftningen skall bli begriplig och sammanhållen. Vidare får nationell lagstiftning genomföras, om det uttryckligen krävs enligt en förordning eller underförstått krävs för att en förordning skall få verkan i det nationella rättssystemet. Det kan t.ex. behövas nationell lagstiftning när en förordning förutsätter utfärdande av straffregler för att överträdelse av förordningens bestämmelser skall kunna beivras.

Med hänsyn till det sagda om EG-förordningars direkta tillämplighet får Eurodacförordningens regler om behandling av personuppgifter inte införlivas i utlänningsdatalagen. Behandling av personuppgifter enligt Eurodacsystemet bör därför inte omfattas av utlänningsdatalagens tillämpningsområde.

Eftersom Eurodacförordningen under alla förhållanden gäller före utlänningsdatalagen behövs egentligen ingen uttrycklig bestämmelse om detta i lagen. Enligt lagförslaget skall emellertid bl.a. Migrationsverkets behandling av personuppgifter i verksamhet som gäller utlänningars inresa och vistelse i Sverige omfattas av lagen. Den beskrivningen inrymmer också verksamhet enligt Eurodacsystemet. I förtydligande syfte bör därför personuppgiftsbehandling enligt Eurodacförordningen uttryckligen utelämnas från lagens tillämpningsområde. Att på detta sätt informera om

154

förekomsten av en EG-förordning är inte någon otillåten nationell implementeringsåtgärd.

En utfyllnad av Eurodacförordningen är kanske påkallad såvitt gäller straffbestämmelse som beivrar överträdelser av Eurodacförordningen. Enligt utredningens mening är det emellertid en fråga som får övervägas i ett annat sammanhang. Detsamma gäller frågan om det behövs en författningsreglering av att Migrationsverket skall vara ansvarig myndighet för den svenska medverkan i Eurodacsystemet.

Slutligen kan nämnas att, när det gäller skadeståndsyrkande från en enskild registrerad, han eller hon möjligen kan åberopa personuppgiftslagens regler om skadestånd. Eurodacförordningen föreskriver ju att dataskyddsdirektivet skall tillämpas i fråga om en medlemsstats behandling av personuppgifter inom ramen för Eurodacsystemet samt att skadeståndsanspråk mot en medlemsstat skall regleras genom bestämmelser i svarandestatens nationella lagstiftning. Personuppgiftslagen är den lag varigenom dataskyddsdirektivet implementerats i svensk rättsordning.

Administration

Av avsnitt 4 har framgått att myndigheterna i datoriserade register behandlar personuppgifter i samband med administrativa angelägenheter vid sidan av den egentliga verksamheten. Även i löpande text, e-post, manuellt hanterade register m.m. kan personuppgifter behöva behandlas i administrativa sammanhang. Vad som avses här är sådan ren administration som saknar koppling till något enskilt ärende eller någon registrerad som omfattas av den egentliga verksamhet som särlagen, enligt vad som sagts i avsnitt 6.2.3.1, bör tillämpas på. Administration i samband med t.ex. utbetalningar av s.k. LMA-ersättningar eller hanteringen av kostnadsersättningar till offentliga biträden hör således till den egentliga verksamhet som omfattas av lagens tillämpningsområde.

Den rena administrationen kan föranleda behandling av personuppgifter om såväl anställda som ledamöter i Utlänningsnämnden eller i Integrationsverkets och Migrationsverkets styrelser. Dessutom kan personuppgifter om utomstående behandlas, t.ex. leverantörer, uppdragstagare eller tolkar.

155

Enligt utredningens mening ger personuppgiftslagen en tillfredsställande reglering av behandlingen av personuppgifter i denna administrativa verksamhet.

När det gäller anställda och arbetssökande kan anmärkas att dessa omfattas av ett förslag till lag om skydd för personlig integritet i arbetslivet som lämnats av Integritetsutredningen (SOU 2002:18). Lagförslaget är en särlag i förhållande till personuppgiftslagen och syftar till att skydda den personliga integriteten i arbetslivet genom att bl.a. reglera i vilka avseenden arbetsgivare inte får behandla personuppgifter om anställda och arbetssökande. Förslaget bereds för närvarande i Regeringskansliet.

6.2.4Närmare om vilken behandling som regleras

Som framgått av avsnitt 5.4 föreslås att utlänningsdatalagen skall omfatta såväl helt eller delvis automatiserad behandling av personuppgifter som manuell behandling av personuppgifter i register, dvs. samma behandling som regleras av personuppgiftslagen.

Förutom behandling av personuppgifter i datoriserade ärendehanteringssystem och av personuppgifter som kan sägas ha systematiserats i form av register kommer lagen att omfatta behandling av personuppgifter i bl.a. löpande text med hjälp av ordbehandling i en enskild tjänstemans dator. Lagen blir vidare tillämplig också vid inskanning av dokument samt vid hantering av e-post som rör verksamheten för att ta några exempel. Huruvida lagen blir tillämplig på manuellt hanterade personakter, dossierer, som används av Migrationsverkets, är beroende av om dessa är att betrakta som register eller inte.

Vad som avses med behandling respektive personuppgifter framgår av 3 § personuppgiftslagen. Där sägs att med begreppet behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet utgör en personuppgift. Här kan nämnas att utredningen inte funnit anledning att utsträcka lagens tillämpningsområde att omfatta också uppgifter om avlidna.

156

Det hindrar naturligtvis inte att myndigheterna i praktiken följer lagens eller personuppgiftslagens bestämmelser när uppgifter om avlidna behandlas.

6.3Förhållandet till personuppgiftslagen

Utredningens förslag: Personuppgiftslagen skall gälla vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, om inte annat följer av utlänningsdatalagen eller annars av 2 § personuppgiftslagen. I klargörande syfte anges detta uttryckligen i den nya lagen.

Personuppgiftslagen innehåller vissa definitioner och grundläggande förutsättningar för när behandling av personuppgifter är tillåten. I lagen finns vidare bl.a. bestämmelser om information till den registrerade, om säkerhet vid behandlingen, om rättelse av uppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen och om skadestånd. Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter och gäller i verksamhet enligt utlännings- och medborgarskapslagstiftningen i den mån det inte finns avvikande bestämmelser i lag eller förordning.

Den föreslagna utlänningsdatalagen innehåller – som kommer att framgå i det följande – bestämmelser som avviker från personuppgiftslagen. En övergripande fråga vid utformningen av utlänningsdatalagen är därför hur den lagtekniskt bör förhålla sig till personuppgiftslagen.

I de särförfattningar om behandling av personuppgifter som trätt i kraft eller föreslagits i anledning av personuppgiftslagens införande kan i huvudsak tre modeller för förhållningssättet till personuppgiftslagen urskiljas.

En modell är att i särförfattningen antingen inte nämna personuppgiftslagen eller klart ange att den särskilda författningen gäller utöver personuppgiftslagen. I bägge fallen gäller avvikande bestämmelser i författningen i stället för personuppgiftslagen. När reglering saknas i den särskilda författningen är personuppgiftslagens bestämmelser tillämpliga. Modellen, här kallad den kompletterande modellen, är den hittills vanligaste förekommande och tillämpas bl.a. i polisdatalagen (1998:622). En nackdel med modellen, som framförts bl.a. i Registerförfattningsutredningens betänkande Skatt

157

– Tull – Exekution – Normer för behandling av personuppgifter, (SOU 1999:105 s. 204), är att det är svårt för tillämparen att klart och tydligt se vilka bestämmelser i personuppgiftslagen som är tillämpliga och i vilken omfattning det i särlagen finns bestämmelser som kanske endast delvis avviker från personuppgiftslagen.

En annan modell, som föreslagits av Polisdatautredningen i dess förslag till en ny polisdatalag i betänkandet Behandling av personuppgifter i polisens verksamhet (SOU 2001:92 s. 152), innebär att de bestämmelser i personuppgiftslagen som skall vara tillämpliga upprepas i särförfattningen. Personuppgiftslagen gäller över huvud taget inte för den behandling av personuppgifter som regleras genom författningen enligt denna modell, som här kallas den heltäckande modellen. Den heltäckande modellen har föreslagits i anledning av den kritik som inom polisen riktats mot att den nuvarande polisdatalagen utgör ett komplement till personuppgiftslagen. Enligt kritiken är det för lagtillämparen opraktiskt att arbeta med två olika lagar. Den heltäckande modellen berördes något av regeringen i propositionen Polisens register som föregick den nu gällande polisdatalagen. Enligt regeringen skulle systemet med denna lagstiftningsteknik bli tungrott varför en sådan dubbelreglering borde undvikas (prop. 1997/98:97 s. 97).

En tredje modell, den hänvisande modellen, tillämpas i den lagstiftning om behandling av personuppgifter som gäller inom skatteförvaltningen, exekutionsväsendet och Tullverket. Modellen innebär att de bestämmelser som avviker från personuppgiftslagen regleras särskilt i specialförfattningen och att det anges att författningen gäller i stället för personuppgiftslagen om inte annat sägs i författningen. Därefter anges uttryckligen vilka bestämmelser i personuppgiftslagen som skall gälla för behandling av personuppgifter enligt särförfattningen i fråga (se t.ex. 2 och 3 §§ lagen (2001:181) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet). Modellen tillämpas även av Domstolsdatautredningen i dess förslag till lagar om behandling av personuppgifter i domstolars samt hyres- och arrendenämnders verksamhet (SOU 2001:100). Modellen har emellertid ansetts otillfredsställande av Lagrådet i dess yttrande i lagstiftningsärendet som gällde skatteförvaltningen m.m. Lagrådet ansåg bl.a. att lagstiftningstekniken är riskfylld med hänsyn till såväl svårigheterna att överblicka om dataskyddsdirektivet blir till fullo genomfört i särlagarna som till möjligheten att hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga vid kommande lagändringar (se prop.

158

2000/01:33 s. 345 f.). I samma lagstiftningsärende anförde regeringen till stöd för att ändå välja den hänvisande modellen att lagen för tillämparen blir överskådlig och tydlig och att lagen undanröjer en hel del merarbete som det innebär för tillämparen att gå igenom särlagen och personuppgiftslagen parallellt och därvid jämföra olika bestämmelser. Enligt regeringen medför modellen även överskådlighet för den enskilde, som därmed lättare kan utnyttja de rättigheter som tillerkänns denne ( a. prop. s. 88).

Som framgått av redovisningen i det föregående är samtliga förekommande lagstiftningstekniska modeller förenade med vissa nackdelar. Utredningen har emellertid inte sett det som möjligt att föreslå en fjärde modell som eliminerar dessa nackdelar. Någon av de nämnda varianterna bör därför väljas.

I utredningens direktiv har regeringen antytt att en lagstiftningsteknisk lösning som förhåller sig kompletterande till personuppgiftslagen är att föredra. Regeringen har i direktiven anfört att särlagstiftning i förhållande till personuppgiftslagen bör begränsas till att avse frågor som är specifika för de verksamheter som omfattas av lagstiftningen. Enligt direktiven kan det handla om situationer då personuppgiftslagens mer allmänt hållna bestämmelser ger upphov till tolkningsproblem i förhållande till annan lagstiftning eller att det kan finnas anledning att vara särskilt tydlig med att ange de undantag och preciseringar som är motiverade.

Som nämnts i avsnitt 5.3 sker en övervägande del av den behandling av personuppgifter som föreslås regleras genom lagen – inte minst den mest integritetskänsliga – i verksamhet som omfattas av gemenskapsrätten. Det är därför uteslutet att föreslå bestämmelser som innehåller otillåtna avvikelser från vad dataskyddsdirektivet föreskriver. Lagrådets påpekande att den hänvisande modellen gör det svårt att överblicka om dataskyddsdirektivet – som i Sverige genomförts genom personuppgiftslagen – blir till fullo genomfört i särlagen är därför särskilt beaktansvärt i fråga om utlänningsdatalagen. Av samma skäl framstår även en heltäckande lag som gäller i stället för personuppgiftslagen som ett mindre lämpligt val.

De problem för tillämparen eller den enskilde registrerade som kan följa på att två lagar är parallellt tillämpliga bör inte överbetonas. Problemen torde åtminstone delvis hänga samman med att personuppgiftslagen alltjämt är en ny lag som i sig själv inte är så enkel att tillämpa, inte minst därför att den, till skillnad från den tidigare datalagen, gäller för all automatiserad behandling av personuppgifter och inte bara behandling i registerform. Efter hand

159

som personuppgiftslagen tillämpas och kunskap om lagen inarbetas i förvaltningen och hos allmänheten torde tillämpningssvårigheterna med en kompletterande lagstiftningsteknik vara av övergående natur. I vart fall uppväger fördelarna med de heltäckande och hänvisande modellerna inte de nackdelar som dessa modeller är förenade med.

Det kan här erinras om att personuppgiftslagen för närvarande är föremål för översyn av Personuppgiftslagsutredningen i syfte att, inom ramen för dataskyddsdirektivet, bl.a. åstadkomma ett regelverk som lättar personuppgiftslagens hanteringsregler genom införande av bestämmelser som mera tar sikte på att förhindra missbruk av personuppgifter. Utredningen skall redovisas senast den 31 mars 2003 (dir. 2002:31). Inom en inte alltför avlägsen framtid kan det således ske ändringar i personuppgiftslagen som medför just sådana risker för felaktiga eller missvisande hänvisningar i särlagar som Lagrådet påtalat.

Sammanfattningsvis talar således övervägande skäl för att utlänningsdatalagen lagstiftningstekniskt skall utformas i enlighet med den kompletterande modellen. Detta innebär t.ex. att de begrepp som används i den nya lagen, t.ex. “personuppgift”, “behandling” m.m. har den innebörd som framgår av definitioner i 3 § personuppgiftslagen utan att detta särskilt behöver anges. Även 9 § personuppgiftslagen om grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter gäller också då personuppgifter behandlas enligt utlänningsdatalagen. Utredningen återkommer i det följande till vad den valda modellen innebär i förhållande till personuppgiftslagen och vilka ytterligare bestämmelser i personuppgiftslagen som skall tillämpas vid behandling som regleras av utlänningsdatalagen.

Att i lagen uttryckligen ange att utlänningsdatalagen gäller utöver personuppgiftslagen innebär inte någon saklig skillnad gentemot vad som skulle gälla även utan en sådan bestämmelse. Det har dock ett pedagogiskt värde att i lagen klargöra hur lagen förhåller sig till personuppgiftslagen. Det bör även genom en hänvisning till 2 § personuppgiftslagen klargöras att avvikande bestämmelser i lag eller förordning, t.ex. i sekretesslagen, gäller även vid behandling av personuppgifter enligt utlänningsdatalagen. En bestämmelse härom bör därför tas in i den nya lagen.

160

6.4Personuppgiftsansvar

Utredningens förslag: Migrationsverket bör även i fortsättningen vara personuppgiftsansvarigt för den behandling av personuppgifter som företas av Integrationsverket och utlandsmyndigheterna i samband med ärendehantering. I övrigt skall den myndighet som utför en behandling eller som det åligger att utföra en behandling vara personuppgiftsansvarig för behandlingen.

Enligt definitionen i 3 § personuppgiftslagen är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. Av definitionen följer att personuppgiftsansvaret kan delas av flera.

Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandling av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret en skyldighet att lämna information till den registrerade (23–27 §§ personuppgiftslagen), att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med personuppgiftslagen (28 §), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §), att – enligt huvudregeln – anmäla all automatiserad behandling av personuppgifter till Datainspektionen (36 §) samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 §).

Vem som är personuppgiftsansvarig för en viss behandling får avgöras efter en bedömning av de faktiska omständigheterna i det enskilda fallet. I lag eller förordning kan emellertid i stället bestämmas vem som är personuppgiftsansvarig. En sådan bestämmelse tar nämligen över regleringen i personuppgiftslagen.

När det gäller särreglering i förhållande till personuppgiftslagen av myndigheters behandling av personuppgifter anges oftast direkt i specialförfattningen vem som är personuppgiftsansvarig, se t.ex. 4 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården eller 1 § lagen (1998:543) om hälsodataregister. Det förekommer också att frågan om personuppgiftsansvar inte berörs i särlagen. Ett exempel härpå är lagen (1998:544) om vårdregister. En variant är vidare att frågan om personuppgiftsansvar inte berörs i särlagen utan i stället i en förordning som utfärdas i anslutning till lagen, se lagen (2001:454) om behandling av personuppgifter inom

161

socialtjänsten samt förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten.

Som kommer att framgå av avsnitt 6.5 föreslås att de ändamål för vilka behandling av personuppgifter får ske lagregleras. Dessutom kommer att föreslås att regeringen skall få föreskriva vissa begränsningar i fråga om ändamål och vilka slags personuppgifter som får behandlas. Det kan därför förefalla tveksamt huruvida en myndighet i fråga har ett sådant inflytande över ändamålen med behandlingen att myndigheten blir att anse som personuppgiftsansvarig enligt personuppgiftslagens regler (jfr Lagrådets yttrande över förslaget till lag om hälsodataregister, prop. 1997/98:108 s. 125). För att undanröja all osäkerhet på denna punkt bör därför personuppgiftsansvaret regleras i utlänningsdatalagen.

När det gäller myndigheter är det en rimlig utgångspunkt att en myndighet i princip skall kunna ha personuppgiftsansvaret för sådan behandling av personuppgifter som sker inom ramen för myndighetens verksamhet. Ett delat personuppgiftsansvar mellan myndigheter, dvs. att flera myndigheter är ansvariga för samma behandling av personuppgifter oavsett vem som faktiskt har utfört den, framstår som olämpligt och förekommer inte heller i andra särförfattningar. Den nuvarande ordningen enligt 2 § utlänningsdataförordningen att Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna är personuppgiftsansvariga för den behandling av personuppgifter som den egna myndigheten utför bör således bestå. Dessutom bör av den nya lagen framgå att personuppgiftsansvaret inte bara omfattar varje faktisk behandling av personuppgifter som företas vid myndigheten utan även all behandling som det åligger myndigheten att utföra. En underlåtenhet att t.ex. avskilja inaktuella personuppgifter på föreskrivet sätt, se avsnitt 6.15, täcks alltså av personuppgiftsansvaret.

Enligt 2 § utlänningsdataförordningen gäller vidare att Migrationsverket är personuppgiftsansvarigt för den behandling av personuppgifter som Integrationsverket eller en utlandsmyndighet utför. För denna ordning talar att det är Migrationsverket som utvecklat och tillhandahåller de tekniska datorsystem med hjälp av vilka Integrationsverket inom ROSE-systemet och utlandsmyndigheterna med ärendehanteringssystemet Wilma eller Almasystemet utför behandling av personuppgifter inom verksamheten (se om systemen i avsnitten 4.1.1.2 och 4.1.3). När det gäller utlandsmyndigheterna tillkommer att deras handläggning av ärenden om visering, arbetstillstånd och uppehållstillstånd sker efter bemyndigande från

162

Migrationsverket. Samma personuppgifter som Integrationsverket behandlar genom ROSE eller som utlandsmyndigheter behandlar och registrerar i Wilma lagras senare i Migrationsverkets STAMM- bas; en lagring som torde anses utföras av Migrationsverket.

Myndigheterna ingår emellertid inte i någon gemensam myndighetsorganisation och Migrationsverket har inte någon överordnad ställning i förhållande till vare sig Integrationsverket eller utlandsmyndigheterna. Enligt vad Migrationsverket framhållit har verket haft vissa svårigheter att i praktiken utöva den kontroll och det inflytande som personuppgiftsansvaret kräver. Bl.a. gäller detta kontrollen över säkerheten vid Integrationsverkets och utlandsmyndigheternas behandling av personuppgifter. Den behandling av personuppgifter som utlandsmyndigheterna utför och som sker efter det att Migrationsverket lämnat ut personuppgifter på en CD- romskiva (Almasystemet), har verket inte någon möjlighet att spåra eller, i förekommande fall, rätta. Detsamma gäller Integrationsverkets behandling av personuppgifter utanför ROSE-syste- met, t.ex. i de uppföljnings- och statistikregister som beskrivits i avsnitt 4.3. Den behandlingen har Migrationsverket stora svårigheter att kontrollera trots att behandlingen enligt utlänningsdataförordningen sker under Migrationsverkets personuppgiftsansvar.

Det sagda talar för att personuppgiftsansvaret regleras på så sätt att även Integrationsverket och utlandsmyndigheterna bär personuppgiftsansvaret för den behandling av personuppgifter som den egna myndigheten utför.

För den enskilde är det emellertid till fördel med en bestämmelse om personuppgiftsansvar som inte medför risker för att en utredning och bedömning i efterhand måste göras i fråga om vilken av flera alternativa myndigheter som faktiskt har utfört en viss behandling. Vid en reglering som utgår från den faktiska behandlingen kan nämligen en enskild råka i en situation där både Migrationsverket och Integrationsverket respektive utlandsmyndigheterna på olika sätt behandlat personuppgifter som rör honom eller henne. Personuppgiftsansvaret, som han eller hon vill göra gällande, skulle under denna process ha kunnat vandra mellan myndigheterna på ett sätt som kanske inte alltid är så lätt att klarlägga. Risken härför undanröjs med en regel som oberoende av de faktiska förhållandena anger en av myndigheterna som ansvarig för behandlingen.

Den enskildes möjligheter att på ett okomplicerat och smidigt sätt göra personuppgiftsansvaret gällande är en viktig del av det

163

integritetsskydd som dataskyddsdirektivet och personuppgiftslagen syftar till att säkerställa. Trots de nackdelar med ett fortsatt personuppgiftsansvar för Migrationsverket som ovan angetts, talar alltså den enskildes intresse för att den nuvarande ordningen behålls i vart fall när det gäller sådan verksamhet som ofta inbegriper såväl Migrationsverket som Integrationsverket respektive utlandsmyndigheterna.

Migrationsverkets personuppgiftsansvar för Integrationsverkets och utlandsmyndigheternas behandling av personuppgifter bör i enlighet härmed kunna begränsas till behandling för ändamålet att handlägga eller medverka vid handläggning av ärenden. För Integrationsverkets del innebär det sagda att Migrationsverket är personuppgiftsansvarigt för den behandling av personuppgifter som föranleds av Integrationsverkets handläggning av ersättningsärenden enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. men inte för Integrationsverkets behandling av personuppgifter i den övriga verksamhet verket bedriver och som enligt vad som anges i avsnitt 6.2.3.1 omfattas av utlänningsdatalagens tillämpningsområde. För den behandlingen är Integrationsverket självt personuppgiftsansvarigt. Vad gäller utlandsmyndigheterna är emellertid all deras behandling av personuppgifter som regleras av utlänningsdatalagen underkastad Migrationsverkets personuppgiftsansvar.

För att råda bot på de problem i utövandet av personuppgiftsansvaret som Migrationsverket framfört till utredningen, bör personuppgiftsansvaret förenas med ett bemyndigande för regeringen att i förordning delegera till Migrationsverket att meddela föreskrifter för Integrationsverket och utlandsmyndigheterna om säkerhetsåtgärder till skydd för personuppgifter som behandlas. Sådana åtgärder kan bl.a. avse åtkomstbehörighet, se närmare om bemyndigandet i avsnitt 6.18.6.

6.5När personuppgifter får behandlas och ändamål

Utredningens förslag: Personuppgifter får samlas in och behandlas bara om det är nödvändigt för vissa ändamål. Ändamålen anges i lagen. En personuppgift presumeras vara insamlad för samtliga föreslagna ändamål.

164

6.5.1Allmänt om när personuppgifter får behandlas enligt personuppgiftslagen

I 9 § personuppgiftslagen finns bestämmelser om grundläggande krav på behandling av personuppgifter som en personuppgiftsansvarig alltid måste uppfylla. Den registrerade kan inte med rättslig verkan ge sitt samtycke till att personuppgifter behandlas i strid mot paragrafen.

Enligt 9 § första stycket skall den personuppgiftsansvarige se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, f) inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella, h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen samt i) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Dessa bestämmelser är enligt förarbetena avsedda att ha samma innebörd som artikel 6 i dataskyddsdirektivet (se prop. 1997/98:44 s. 63).

Andra, tredje och fjärde styckena i 9 § personuppgiftslagen gäller uteslutande behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål. Enligt andra stycket skall vid en prövning enligt 9 § första stycket d) behandling av insamlade personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I tredje stycket anges att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än vad som gäller som huvudregel enligt första stycket i), dock inte längre än vad som behövs för dessa ändamål. Vidare får, enligt fjärde stycket, personuppgifter som behandlas för dessa särskilda ändamål användas för att vidta åtgärder i fråga om den registrerade, bara om den registrerade har lämnat sitt uttryckliga samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

165

För att en viss behandling skall vara laglig krävs det inte bara att behandlingen utförs i enlighet med de grundläggande kraven i 9 §. Behandlingen måste också kunna hänföras till något av de fall som anges i 10 §. Det är således bara i de fall som anges i 10 § som det över huvud taget är tillåtet att behandla personuppgifter. Enligt bestämmelsen får personuppgifter behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för vissa angivna ändamål, bl.a. för att en arbetsuppgift av allmänt intresse skall kunna utföras (d) eller den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning (f).

Avser behandlingen känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer, måste behandlingen dessutom vara förenlig med bestämmelserna i 13–22 §§. Innebär behandlingen att personuppgifter förs över till tredje land, måste också 33–35 §§ följas.

6.5.2Allmänt om ändamål

Av 9 § första stycket personuppgiftslagen framgår att bestämning av ändamålen med behandling av personuppgifter är av central betydelse för lagens regelverk till skydd för den registrerades personliga integritet. Enligt en kommentar till personuppgiftslagen är den s.k. finalitetsprincipen i 9 § första stycket d) – att personuppgifter inte senare får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in – förmodligen den viktigaste bestämmelsen i personuppgiftslagen (Sören Öman – Hans-Olof Lindblom, Personuppgiftslagen En kommentar, andra uppl. 2001, s. 98). Finalitetsprincipen medför att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda de insamlade uppgifterna finns angivna redan då personuppgifterna samlas in. Något hinder mot att ange flera ändamål vid insamlingen finns varken i dataskyddsdirektivet eller i personuppgiftslagen. Som nyss nämnts är dessutom behandling av insamlade personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte att anse som oförenlig med ändamål för vilka uppgifterna samlades in.

Det finns alltså ett visst, begränsat utrymme att behandla personuppgifter för ett nytt ändamål som inte angetts vid insamlingen,

166

nämligen om det nya ändamålet inte är oförenligt med de ursprungliga ändamålen. Datalagskommittén har i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39 s. 351) uttalat att vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen eller Datainspektionen kan utfärda. Någon utvecklad praxis eller närmare föreskrifter i denna fråga finns emellertid inte ännu.

Vad som kan anses förenligt med ett ursprungligt ändamål har diskuterats i tidigare lagstiftningsärenden av främst Socialdatautredningen i dess betänkande Behandling av personuppgifter inom socialtjänsten (SOU 1999:109 s. 160). Enligt Socialdatautredningen bör man vid denna “oförenlighetsprövning” hypotetiskt utgå från hur en registrerad typiskt sett – inte den registrerade i det enskilda fallet – skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet.

En tillämpning av personuppgiftslagen innebär att den personuppgiftsansvarige formulerar och bestämmer de ändamål för vilka personuppgifter får behandlas. Från integritetssynpunkt är det emellertid, enligt utredningens uppfattning, inte tillfredsställande att låta myndigheterna själva bestämma ändamålen för den behandling av personuppgifter som utförs i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Ändamålsbestämningens centrala betydelse för integritetsskyddet gör att principiella skäl med styrka talar för att lagstiftaren i den särlag som föreslås gälla på området uttryckligen bestämmer ändamålen för behandlingen i verksamheten. Här kan erinras om vad som tidigare redovisats (avsnitt 5.2) angående riksdagens och regeringens ståndpunkt att omfattande och integritetskänsliga myndighetsregister skall regleras särskilt i lag. Ändamålsbestämningen torde vara av just så betydelsefull beskaffenhet att den i linje med statsmakternas ståndpunkt bör regleras i lag, inte minst eftersom – vilket kommer att framgå i det följande – undantag från personuppgiftslagens förbud mot behandling av känsliga personuppgifter föreslås.

Mot denna bakgrund föreslår utredningen att utlänningsdatalagen innehåller en bestämmelse som anger för vilka ändamål personuppgifter får samlas in och behandlas. En sådan bestämmelse blir uttömmande i den meningen att de personuppgiftsansvariga

167

myndigheterna inte själva kan besluta om ytterligare ändamål för vilket eller vilka personuppgifter får samlas in.

6.5.3Utlänningsdatalagens ändamålsbestämning

6.5.3.1Allmänt om ändamålsbestämningen

Utredningens förslag till ändamålsbestämmelse innebär preciseringar i förhållande till bestämmelsen i 9 § första stycket c) personuppgiftslagen som därmed ersätts av utlänningsdatalagens ändamålsbestämmelse. I övrigt gäller de grundläggande kraven i paragrafens första stycke liksom bestämmelserna i paragrafens andra–fjärde stycken. (Utredningen återkommer i avsnitt 6.15 till vad som föreslås gälla i förhållande till bestämmelsen i 9 § första stycket i) och tredje stycket om bevarande av personuppgifter.)

Det bör noteras att utlänningsdatalagens ändamålsbestämmelse inte utesluter att behandling sker i den mån den har stöd av annan författning. Behandling kan således ske av insamlade personuppgifter för ett ändamål som inte är oförenligt med de ändamål som preciseras i utlänningsdatalagen. Vidare kan självfallet handlingar lämnas ut med stöd av bestämmelserna i 2 kap. tryckfrihetsförordningen. I 8 § personuppgiftslagen – som gäller också vid behandling enligt utlänningsdatalagen – erinras om tryckfrihetsförordningens företräde i detta avseende. Dessutom anges i sistnämnda paragrafs andra stycke att personuppgiftslagen inte hindrar myndigheternas arkivering och bevarande av allmänna handlingar respektive arkivmyndigheternas omhändertagande av arkivmaterial. Även andra avvikande bestämmelser i lag och förordning gäller före utlänningsdatalagen. Det framgår uttryckligen av utlänningsdatalagens hänvisning till 2 § personuppgiftslagen i den bestämmelse som närmare preciserar lagens förhållande till personuppgiftslagen, se avsnitt 6.3. Även utlänningsdatalagen är alltså subsidiär i förhållande till andra författningar. Vad detta har för betydelse när det gäller myndigheternas utlämnande till annan av personuppgifter behandlas i avsnitt 6.5.3.2. En avvikande regel i en annan speciallag som rör behandling av personuppgifter tar emellertid inte över utlänningsdatalagen. Det får anses följa av principen om att lex specialis har företräde. I de två fall då sådana avvikande speciallagar skall gälla före utlänningsdatalagen, nämligen i fråga om polis-

168

datalagen och lagen om Schengens informationssystem, anges det därför uttryckligen i den föreslagna lagen.

Lagens ändamålsbestämmelser bör vara fakultativa i den bemärkelsen att de reglerar vad myndigheterna får göra. Syftet med ändamålsbestämmelserna är alltså att ange en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas med stöd av utlänningsdatalagen och personuppgiftslagen. Inom denna ram står det den personuppgiftsansvariga myndigheten fritt att bestämma mer inskränkta ändamål för viss behandling eller vissa personuppgiftskategorier. Myndigheten får således och bör även vid t.ex. inrättandet av ett nytt register formulera mer preciserade ändamål för registret. Exempelvis kan det föreskrivas att registret endast får användas till stöd för handläggningen av en viss ärendetyp likväl som att endast uppgifter om vissa personkategorier eller vissa personuppgiftskategorier får registreras däri.

Enligt utredningen bör det föreskrivas i utlänningsdatalagen att personuppgifter får behandlas för de i lagen angivna ändamålen endast om det är nödvändigt. Kan en arbetsuppgift lösas även om personuppgiften utelämnas eller avidentifieras är behandlingen inte nödvändig. Vidare skall det vara nödvändigt att behandla personuppgifterna på ett sätt som omfattas av lagens tillämpningsområde, dvs. genom helt eller delvis automatiserad behandling eller i manuellt behandlade register. Det krävs dock inte att det skall vara faktiskt omöjligt att utföra en uppgift enligt något ändamål utan att behandla personuppgifterna automatiserat eller i register. Det räcker att det innebär en påtaglig förenkling att personuppgifter behandlas automatiserat eller i register i stället för manuellt utanför register. Avsikten är att utlänningsdatalagens nödvändighetsrekvisit skall förstås på samma sätt som motsvarande rekvisit i 10 § personuppgiftslagen. Prövning av om en behandling är nödvändig måste göras inte bara då en personuppgift samlas in och registreras. Även senare behandlingar skall vara nödvändiga, t.ex. fortsatt lagring av personuppgiften i ett datasystem eller behandling för uppföljning, framställning av statistik m.m.

I allmänhet gäller att det finns behov av att behandla samma personuppgifter för flera av ändamålen. Migrationsverket, som bedriver den mest omfattande och mångsidiga verksamheten inom utlänningsdatalagens tillämpningsområde, har inte sällan behov av att behandla samma personuppgifter för samtliga ändamål. Vid tidpunkten då en personuppgift samlas in, står det dock ofta inte klart för vilka övriga ändamål än det för stunden aktuella som den

169

enskilda uppgiften senare kan komma att behöva behandlas. Av lagen bör därför framgå att personuppgifterna skall anses insamlade för alla i utlänningsdatalagen angivna ändamål, om inte annat anges då en personuppgift samlas in, t.ex. i information som lämnas till den registrerade. Även om uppgiften ursprungligen, såsom i praktiken ofta är fallet, inhämtats i samband med handläggningen av ett ärende, får uppgiften alltså senare behandlas för andra i lagen angivna ändamål, givetvis under förutsättning att behandlingen är nödvändig för dessa ändamål.

Förslaget att i lagen ange bestämda ändamål begränsar myndigheternas behandlingsutrymme vilket, som tidigare sagts, är motiverat av hänsyn till enskildas personliga integritet. Som nyss sagts gäller dock 9 § första stycket d) och andra stycket personuppgiftslagen även vid behandling enligt utlänningsdatalagen. Personuppgifter som redan finns i verksamheten får alltså behandlas för andra ändamål än de som uttryckligen anges i utlänningsdatalagen, om de nya ändamålen är förenliga med de tidigare ändamålen. Det innebär att ett nytt ändamål måste vara förenligt med i vart fall ett av lagens angivna ändamål eller, såvida ändamålen vid insamlingen av personuppgifterna har begränsats till endast några av ändamålen, med i vart fall ett av dessa särskilt angivna insamlingsändamål. Enligt utredningens mening framgår detta av personuppgiftslagen och dataskyddsdirektivet. Det behöver därför inte särskilt anges i utlänningsdatalagen.

Vid bedömningen av vad som skall anses förenligt eller oförenligt med insamlingsändamålen får ledning hämtas från den praxis m.m. som kan utvecklas i anslutning till oförenlighetsprövningen enligt 9 § första stycket d) personuppgiftslagen.

Insamlade personuppgifter får också behandlas för historiska, statistiska eller vetenskapliga ändamål. Behandling för forskningsändamål av tidigare insamlade personuppgifter får således ske enligt utlänningsdatalagen utan att det behöver anges som ett särskilt ändamål. Eftersom de aktuella myndigheternas arkivering och bevarande av allmänna handlingar är undantagen från lagens tillämpningsområde enligt 8 § personuppgiftslagen, torde behandling för historiska ändamål endast undantagsvis kunna bli aktuell inom utlänningsdatalagens tillämpningsområde och enbart kunna avse handlingar som inte är allmänna.

Givetvis skall behandling för ett nytt ändamål eller för historiska, statistiska eller vetenskapliga ändamål vara nödvändig.

170

6.5.3.2De särskilda ändamålen

Av dataskyddsdirektivet följer ett krav på att ändamålen skall vara särskilda. Det ligger emellertid i sakens natur att ändamålsbestämmelser måste formuleras tämligen generellt när det som i detta fall gäller en särlag som reglerar flera myndigheters behandling av personuppgifter i en så omfattande och mångskiftande verksamhet som här är i fråga. Utredningen bedömer dock att de föreslagna ändamålen uppfyller direktivets krav på att vara särskilda, genom att de ger tillämparen tillräcklig ledning för bedömningen av vilka personuppgifter som är adekvata och relevanta i förhållande till ändamålen med behandlingen.

Nedan följer en närmare beskrivning av de ändamål för vilka personuppgifter skall få behandlas enligt utredningens förslag. I praktiken flyter ändamålen ibland in i varandra i det att en och samma behandling av personuppgifter kan ske för mer än ett ändamål.

Handläggning av ärenden eller en myndighets biträde i sådana ärenden

Det är självklart att myndigheterna skall få inhämta och behandla uppgifter som är nödvändiga för att de skall kunna fullgöra sina uppgifter att handlägga ärenden enligt de författningar som omfattas av lagens verksamhetsområde såsom detta närmare preciseras i avsnitt 6.2.3.1 och i författningskommentaren, avsnitt 9.

Det bör noteras att en i ett ärende lämnad uppgift kan få behandlas såsom nödvändig för handläggningen av ett ärende även om uppgiften saknar all relevans för utgången av ärendet. En myndighet kan t.ex. inte underlåta att ta emot och registrera en via e-post inkommen handling som hänför sig till ett eller flera ärenden bara därför att myndigheten anser att uppgifterna i handlingen sakligt sett inte behövs för ärendets handläggning. Formella handläggningsregler i andra författningar kan således göra en behandling av sakligt sett irrelevanta personuppgifter nödvändig. Exempelvis är myndigheterna skyldiga att ta emot och registrera inkomna handlingar. Likaså finns regler om anteckningsskyldighet, parts rätt att ta del av det som har tillförts ärendet samt kommunikationsplikt i förvaltningslagen (1986:223) som i sig alltså kan medföra att personuppgifter måste behandlas.

171

Ändamålet handläggning av ärenden bör tolkas i en tämligen vidsträckt bemärkelse. Förutom att ge stöd åt insamling och senare behandling av personuppgifter som är nödvändiga i ett ärende, medger ändamålet att de lagrade uppgifterna behandlas i ett senare ärende som rör samma person eller en annan person men där den registrerade förekommer såsom t.ex. anhörig eller referensperson.

Det föreslagna ändamålet avser dock endast behandling av personuppgifter som behövs för den egna myndighetens verksamhet. Utlämnande av personuppgifter från t.ex. Migrationsverket till utlandsmyndigheterna för att de senare skall få underlag för sin ärendehantering, omfattas således inte av detta ändamål. Ett utlämnande av personuppgifter som sker för att få ytterligare information som behövs i ett eget ärende, t.ex. i samband med en begäran om yttrande, innefattas däremot i ändamålet handläggning av ärenden.

Utöver egen handläggning bör lagen också ge stöd åt behandling av personuppgifter i den medverkan med utredning i en utlänningsmyndighets handläggning av utlännings- och medborgarskapsärenden som utlandsmyndigheter utför och som närmare beskrivits i betänkandet Utlandsmyndigheternas medverkan i utlänningsärenden m.m. (SOU 2001:110). Detsamma gäller polisens behandling av personuppgifter i de fall polismyndighet bistår Migrationsverket med att genomföra beslut om förvar.

Merparten av personuppgifterna i de i avsnitt 4 beskrivna uppgiftssamlingarna behandlas för ändamålet att handlägga ärenden i verksamhet enligt utlännings- och medborgarskapslagstiftningen. System såsom STAMM, dokumenthanteringssystemet DHS, ärendehanteringssystemen Wilma och Alma, UNik och ROSE har som sina huvudsakliga ändamål att samla och tillhandahålla information som behövs för handläggning av ärenden.

Kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige

Härmed avses den utlänningskontroll som företas av polisen samt Migrationsverket i enlighet med 5 kap. utlänningslagen och 5 kap. utlänningsförordningen. I kontrollverksamheten behandlas personuppgifter i en icke ringa utsträckning. Migrationsverkets STAMM- bas används t.ex. för kontrolländamål av både Migrationsverket och polisen. Som nämnts i avsnitt 6.2.2, torde polisens behandling av personuppgifter för detta ändamål i stor utsträckning omfattas av

172

polisdatalagens bestämmelser. Migrationsverket deltar emellertid i såväl den yttre som den inre utlänningskontrollen. Det behövs därför ett ändamål som omfattar båda kontrollformerna.

Utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar

Vid Migrationsverkets regionkontor och mottagningsförläggningar bedrivs en omfattande s.k. faktisk verksamhet kring ombesörjandet av boende och sysselsättning för asylsökande och andra utlänningar. Med asylsökande och andra utlänningar avses utlänningar som omfattas av lagen om mottagande av asylsökande m.fl. Även verkets faktiska verksamhet med att överföra och ta emot kvotflyktingar omfattas av detta ändamål. Integrationsverket kan vidare med stöd av detta ändamål behandla personuppgifter för att hjälpa en utlänning med bosättning efter erhållet uppehållstillstånd. Ändamålet gör det således möjligt att behandla personuppgifter i den verksamhet som nämnts i avsnitt 6.3.1 och som avser mottagande av asylsökande och andra utlänningar samt bosättning av utlänningar.

Det i STAMM-basen ingående delsystemet Mottagning avser behandling av personuppgifter för ändamål som anges i denna punkt (se avsnitt 4.1.1). Daganteckningar beträffande inskrivna asylsökande, som görs av personal på mottagningsförläggningar, är exempel på behandling av personuppgifter för detta ändamål. Kvotsystemet är ett annat delsystem där information som behandlas för detta ändamål registreras och lagras. Vissa delsystem, t.ex. Individ och Kort, torde användas för överlappande syften, dvs. såväl för ändamål som avses i detta avsnitt som för handläggningsändamål.

Uppgiftsutlämnande som sker med stöd av lag eller förordning, följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation (Uppgiftsutlämnande)

Personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen lämnas i olika sammanhang ut till en myndighet eller en enskild för syften som inte gäller den utlämnande

173

myndighetens egen verksamhet utan som sker för mottagarens räkning. Vid ändamålet handläggning av ärenden har det fallet berörts att Migrationsverket lämnar ut personuppgifter till utlandsmyndigheter, uppgifter som de mottagande myndigheterna behöver som underlag för sin ärendehandläggning. Många andra skäl till att uppgifter lämnas ut för mottagarens räkning finns givetvis.

Utlämnande av personuppgifter i offentliga, allmänna handlingar i enlighet med tryckfrihetsförordningen kan ske utan att det behöver anges som ett särskilt ändamål för vilket behandlingen är tillåten. Detta följer av 8 § personuppgiftslagen.

Det finns vidare en rad olika författningar som föreskriver att myndigheter skall lämna ut uppgifter till andra myndigheter. Som exempel på sådana specifika bestämmelser om uppgiftsskyldighet kan nämnas de uppgifter som Migrationsverket eller Integrationsverket skall lämna till Centrala studiestödsnämnden enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar och enligt studiestödsförordningen (2000:655) samt vidare yttranden som Migrationsverket skall avge enligt 9 § förordningen (1963:194) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m. och enligt 2 § lagen (1971:796) om internationella rättsförhållanden rörande adoptioner. Av 2 § personuppgiftslagen, som är tillämplig i verksamhet enligt utlännings- och medborgarskapslagstiftningen, följer att personuppgiftslagen och utlänningsdatalagen inte hindrar utlämnande av personuppgifter enligt sådan författningsreglerad uppgiftsskyldighet som här avses.

Vidare skall enligt 15 kap. 5 § sekretesslagen en myndighet på begäran av annan myndighet lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen (1986:223). Bestämmelsen i 15 kap. 5 § sekretesslagen nämns i en kommentar till personuppgiftslagen som exempel på en sådan bestämmelse som gäller före personuppgiftslagen till följd av 2 § personuppgiftslagen (se Sören Öman – Hans-Olof Lindblom, Personuppgiftslagen En kommentar, andra uppl. 2001, s. 45).

Som framgått tidigare är det ingen förutsättning att ett särskilt ändamål som omfattar utlämnandet tas in i utlänningsdatalagen för att ett utlämnande med stöd av en bestämmelse som föreskriver en

174

skyldighet att lämna ut uppgifter till andra myndigheter eller enskilda skall kunna ske.

Det finns emellertid även regler som tillåter eller medger att uppgifter lämnas ut. Ett exempel är den s.k. generalklausulen i 14 kap. 3 § sekretesslagen (1980:100) enligt vilken sekretessbelagd uppgift får lämnas till myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. I sekretesslagen finns även flera bestämmelser som anger att uppgifter utan hinder av sekretess får lämnas till enskild. Även sådana bestämmelser torde gälla före personuppgiftslagen på motsvarande sätt som sagts ovan när det gäller författningsreglerade uppgiftsskyldigheter. Alldeles klart att det förhåller sig på detta sätt är det dock inte enligt utredningen. Enligt utredningens bedömning är det vidare tveksamt om uppgiftsutlämnande som myndigheter företar på eget initiativ – med stöd av 1 kap. 5 §, 14 kap. 1 § första meningen, 14 kap. 2 eller 3 § sekretesslagen – sker med stöd av reglering som avviker från personuppgiftslagen på det sätt som avses i 2 § personuppgiftslagen.

Gemensamt för allt det uppgiftslämnande som behandlats i det föregående är att det sker med stöd av författningar som påbjuder eller tillåter utlämnande. När bestämmelser om sådant uppgiftsutlämnande har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften skall eller får lämnas ut. Det saknas därför anledning att i en integritetsskyddslagstiftning, som den nu föreslagna, förhindra att personuppgifter som finns i verksamheten enligt utlännings- och medborgarskapslagstiftningen lämnas ut i dessa fall. För att undanröja varje tvivel huruvida lagar eller förordningar som tillåter uppgiftsutlämnande utgör sådana avvikande bestämmelser som avses i 2 § personuppgiftslagen, bör det i utlänningsdatalagen finnas en ändamålsbestämmelse som medger sådant utlämnande. En sådan bestämmelse föreslås därför.

Vidare anser utredningen att det behövs en ändamålsbestämmelse som uttryckligen tillåter att personuppgifter behandlas genom att lämnas ut, om det sker på grund av för Sverige bindande internationella överenskommelser. Härmed avses utbyte inom EU mellan myndigheter m.fl. – t.ex. inom ramen för samarbetet i asyl- och invandringsfrågor – och som inte reglerats i en direkt tillämplig EG-förordning likväl som övrigt uppgiftsutbyte enligt förpliktelser i konventioner eller av riksdagen godkända avtal med främmande

175

stat eller mellanfolkliga organisationer. En annan sak är att sekretesslagen i vissa fall kan hindra att personuppgifter lämnas till utländsk myndighet.

Återsökning av avgöranden, rättsutredningar, annan rättslig information samt information rörande förhållanden i andra länder som är ägnad at ge vägledning åt handläggning av ärenden (Informationsåtersökning)

Inom främst Migrationsverkets och Utlänningsnämndens verksamhet är informationssamlingar om praxis, förhållanden i länder varifrån många asylsökande härrör samt annan allmängiltig information mycket viktiga som stöd för bedömningar vid handläggning av enskilda ärenden. I avsnitt 4.1.6, har Migrationsverkets informationssystem LIFOS beskrivits närmare. Det är berättigat att utlänningsdatalagen innehåller ett ändamål som ger stöd för denna insamling och fortsatta behandling av personuppgifter. I enlighet med kravet att behandlingen skall vara nödvändig följer emellertid att personuppgifter i åtskilliga fall måste avidentifieras eller i vart fall att uppgifter som direkt utpekar en individ utelämnas, t.ex. i rättsfallssamlingar där identiteten på personen i fråga oftast är oväsentlig för informationsvärdet.

Tillsyn, kontroll, uppföljning och planering

Personuppgifter i en myndighets verksamhet bör få behandlas för att myndigheterna skall kunna fortlöpande eller vid särskilda tillfällen granska, utvärdera och utveckla sin verksamhet. Med det föreslagna ändamålet avses bl.a. en myndighets granskning genom tillsyn och kontroll i efterhand av handläggningen av enskilda ärenden likväl som tillsyn och kontroll av verksamheten på central, regional eller lokal nivå. Vidare avses uppföljning och planering av den egna myndighetens verksamhet på olika nivåer. Av vad som angetts i avsnitt 6.2.1 om tillämpningsområdet framgår att den tillsyn som annan myndighet kan utöva, t.ex. Justitiekanslern, inte avses med detta ändamål.

Migrationsverkets system PLUS och Integrationsverkets system MOTIV, AKTIV och Bo-Data är system som används såväl för

176

ändamål som här avses som för framställning av statistik (se om dessa system avsnitt 4.1.5 och 4.3).

Framställning av statistik

Bland såväl Migrationsverkets som Integrationsverkets uppgifter ingår att föra statistik över förhållanden som ingår i myndigheternas verksamhetsområden.

Som tidigare sagts är behandling av personuppgifter för statistiska ändamål i och för sig inte oförenlig med övriga ändamål för vilka uppgifter samlas in och behandlas. Det är med andra ord tillåtet att behandla personuppgifter som redan finns i verksamheten för att framställa statistik även om det inte direkt anges som ett ändamål i utlänningsdatalagen. Det bör dock av lagen uttryckligen framgå att uppgifter också får samlas in för att framställa statistik. Integrationsverket inhämtar t.ex. personuppgifter från myndigheter som Statistiska centralbyrån och Arbetsmarknadsstyrelsen för behandling i sitt system AKTIV ( se avsnitt 4.3). Ett särskilt ändamål för statistikframställning föreslås därför.

6.6Uppgifter som får behandlas

Utredningens förslag: Alla personuppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs får behandlas. Känsliga personuppgifter får emellertid behandlas endast då det är oundgängligen nödvändigt. Personuppgiftslagens regler om behandling av uppgifter om lagöverträdelser m.m. samt behandling av personnummer skall gälla även vid behandling enligt utlänningsdatalagen.

Som tidigare framgått behandlas en mycket stor mängd personuppgifter av olika slag inom lagförslagets verksamhetsområde. Utlänningsdataförordningen, som enbart reglerar automatiserad behandling av personuppgifter i register, innehåller en uppräkning av vilka personuppgifter som får behandlas i myndigheternas verksamhetsregister. Även om det från integritetssynpunkt är en fördel att på detta sätt specificera vilka personuppgifter som får behandlas i verksamheten, bedömer utredningen att det finns stora tillämpningssvårigheter med en sådan författningsteknisk lösning. Den

177

lagreglerade behandlingen sker i en mycket omfattande och mångskiftande verksamhet där personuppgifter behandlas inte bara i register utan också i ärendehanteringssystem, ordbehandlingsprogram m.m. En detaljreglering av det slag som nu finns i utlänningsdataförordningen riskerar att försvåra ett rationellt utnyttjande av informationstekniken i verksamheten, inte minst med hänsyn till behovet av flexibilitet vid förändringar i verksamheten. Med tanke på att listan ofta torde behöva revideras ter det sig olämpligt att i lagen ta in en lista över tillåtna personuppgifter.

Frånsett vissa särbestämmelser i fråga om känsliga personuppgifter och uppgifter om lagöverträdelser m.m., föreslår utredningen således inga bestämmelser i lagen som konkret anger vilka personuppgifter som får eller inte får behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. I stället föreslås att ändamålsbestämningen skall styra över vilka personuppgifter som får samlas in och behandlas. Alla personuppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs får därmed behandlas. Personuppgiftslagens krav på att personuppgifterna skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen medför emellertid en såväl kvalitativ som kvantitativ begränsning i fråga om vilka personuppgifter som får behandlas. Den föreslagna ordningen är, anser utredningen, godtagbar från integritetssynpunkt, inte minst mot bakgrund av att de integritetskänsliga uppgifterna kringgärdas av en sträng sekretess som är ägnad att förhindra obehörig insyn och spridning. Dessutom kommer utredningen att i det följande föreslå att begränsningar skall kunna föreskrivas i författningar på lägre nivå, dvs. i förordning eller i myndighetsföreskrifter (se avsnitt 6.18).

Enligt personuppgiftslagen gäller särskilda regler för vissa kategorier av uppgifter nämligen känsliga personuppgifter (13 §), personuppgifter om lagöverträdelser m.m. (21 §) och uppgifter om personnummer (22 §). Vad som föreslås gälla för dessa uppgiftskategorier behandlas i det följande.

178

Behandling av känsliga personuppgifter m.m.

Enligt 13 § personuppgiftslagen gäller ett principiellt förbud mot behandling av känsliga personuppgifter. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.

Från förbudet finns några undantag ( 14–20 §§) som gör att behandling får företas trots förbudet. Undantag gäller om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Vidare får behandling företas utan samtycke om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, för att den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke samt för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Under särskilda förutsättningar får vissa ideella organisationer behandla känsliga personuppgifter. Viss nödvändig behandling av känsliga personuppgifter får även ske för hälso- och sjukvårdsändamål samt för forsknings- och statistikändamål.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. Möjligheten att göra undantag från förbudet med hänsyn till ett viktigt allmänt intresse överensstämmer med vad som föreskrivs i artikel 8.4 i dataskyddsdirektivet. I 8 § personuppgiftsförordningen har regeringen föreskrivit att känsliga personuppgifter får, utöver de undantag som anges i personuppgiftslagen, behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Enligt utlänningsdataförordningen får i verksamhet enligt utlännings- och medborgarskapslagstiftningen känsliga personuppgifter behandlas i verksamhetsregister, om uppgifterna är oundgängligen nödvändiga för ändamålen att handlägga ärenden eller att fullgöra underrättelseskyldighet som följer av lag eller förordning. I landinformationsregister får känsliga personuppgifter behandlas i löpande text, om uppgifterna är oundgängligen nödvändiga för att fullgöra arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

179

Verksamhet enligt utlännings- och medborgarskapslagstiftningen är till sin karaktär sådan att känsliga personuppgifter förekommer i stor utsträckning och i sammanhang där uppgifterna är adekvata och relevanta, eftersom de har betydelse för verksamheten. I utredningens kartläggning av den nuvarande behandlingen av personuppgifter inom verksamhetsområdet har det framgått att känsliga personuppgifter behandlas för samtliga de ändamål som föreslagits i avsnitt 6.5.3.

Vid handläggning av asylärenden – vilken omfattar en stor del av den behandling som förekommer i verksamhetsområdet – är av naturliga skäl alla kategorier av känsliga personuppgifter som anges i 13 § personuppgiftslagen av central betydelse för bedömningarna. Även vid handläggning av andra ärendetyper och vid hantering av personuppgifter för övriga ändamål finns det ofta berättigad anledning att behandla känsliga personuppgifter, i synnerhet uppgifter som avslöjar en utlännings etniska ursprung eller som rör hans eller hennes hälsotillstånd. Det bör därför tillåtas att känsliga personuppgifter inom verksamhetsområdet behandlas med modern och effektiv teknik. Det kan noteras att det ofta ligger i den registrerades intresse att sådana uppgifter kommer fram och beaktas i angelägenheter som rör honom eller henne.

För den behandling av känsliga personuppgifter som behövs, finns emellertid inga andra tillämpliga undantag från dataskyddsdirektivets och personuppgiftslagens förbud än undantaget i personuppgiftslagen om den registrerades samtycke och behandling för statistikändamål samt undantaget i personuppgiftsförordningen om behandling i löpande text vid handläggning av ärenden. Dessa undantag är i enlighet med det sagda inte tillräckliga.

Utredningen föreslår därför att en bestämmelse införs om att känsliga personuppgifter får behandlas enligt utlänningsdatalagen.

Av bestämmelsen bör framgå att känsliga personuppgifter får behandlas för alla de ändamål som föreslagits i avsnitt 6.5.3, dock endast om behandlingen är oundgängligen nödvändig för syftet med behandlingen. Härmed markeras att en särskild försiktighet måste iakttas inte bara då en känslig personuppgift samlas in utan även varje gång uppgiften senare på nytt behandlas.

Med tanke på verksamhetens karaktär kommer uppgifter som avslöjar etniskt ursprung, t.ex. språkuppgift i kombination med ett namn, normalt att vara oundgängligen nödvändiga för verksamheten. Kravet innebär således inte att känsliga personuppgifter endast undantagsvis får behandlas. Likaså torde viss behandling av

180

känsliga personuppgifter som lämnats i ett ärende alltid vara oundgängligen nödvändig, t.ex. då det följer av förvaltningslagen att uppgifterna måste registreras, kommuniceras m.m., se avsnitt 6.5.3.

Att därutöver i lagen genom detaljbestämmelser begränsa tillåtligheten av behandling av känsliga personuppgifter är inte lämpligt. Som kommer att föreslås i det följande, avsnitt 6.18.1, bör emellertid ytterligare begränsningar kunna föreskrivas i en förordning som utfärdas i anslutning till lagen.

Förslaget i fråga om känsliga personuppgifter torde i praktiken i allt väsentligt ersätta personuppgiftslagens reglering i 14–20 §§ om undantag från det grundläggande förbudet mot behandling av känsliga personuppgifter.

I lagen bör vidare tas in en bestämmelse som anger att den registrerade inte med rättslig verkan kan motsätta sig en behandling som uppfyller de övriga krav som utlänningsdatalagen uppställer. Av pedagogiska skäl bör den bestämmelsen utformas så att den inte bara tar sikte på behandling av känsliga personuppgifter utan all behandling av personuppgifter enligt lagen.

Behandling av uppgifter om lagöverträdelser m.m. och om personnummer

Enligt 21 § personuppgiftslagen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Dessa uppgifter är således inte känsliga i dataskyddsdirektivets eller personuppgiftslagens mening men är naturligtvis ändå av ömtålig art integritetsmässigt sett. I verksamhet enligt utlännings- och medborgarskapslagstiftningen finns behov av att behandla dessa uppgifter, eftersom de tillmäts betydelse i bl.a. ärenden om uppehållstillstånd eller svenskt medborgarskap. Migrationsverket har därför medgetts direktåtkomst till de av Rikspolisstyrelsen förda belastningsregistret och misstankeregistret. Självfallet behandlar myndigheterna också uppgifter om förvar enligt utlänningslagen, som är ett administrativt frihetsberövande.

Utredningen föreslår ingen inskränkning av myndigheternas rätt att behandla uppgifter om lagöverträdelser m.m. i förhållande till vad som följer av personuppgiftslagen. Vid myndigheternas behand-

181

ling av uppgifter om lagöverträdelser m.m. gäller således vad som följer av 21 § personuppgiftslagen.

Uppgifter om personnummer eller samordningsnummer får enligt 22 § personuppgiftslagen förutom med den registrerades samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av säker identifiering eller något annat beaktansvärt skäl. Även person- och samordningsnummer är av ömtålig art och bör inte behandlas utan särskild försiktighet. Vikten av en säker identifiering i verksamhet enligt utlännings- och medborgarskapslagstiftningen medför dock att uppgifter om personnummer eller samordningsnummer regelmässigt måste behandlas i verksamheten. Personuppgiftslagens bestämmelse om behandling av dessa identifikationsnummer föreslås således gälla även för behandling som företas med stöd av utlänningsdatalagen. Det innebär enligt utredningens bedömning att myndigheterna kan fortsätta att behandla personnummer på det sätt som hittills gjorts.

I sammanhanget kan nämnas att Migrationsverkets dossiernummer, som visserligen är individspecifika, inte torde utgöra sådant identifikationsnummer som avses i 22 § personuppgiftslagen.

6.7Fingeravtrycksregistret

Utredningens förslag: Ändamålet för Migrationsverkets fingeravtrycksregister anges i lagen. Regeringen meddelar närmare bestämmelser om registrets innehåll m.m.

Enligt 5 kap. 5 § utlänningslagen får Migrationsverket eller polismyndigheten fotografera en utlänning och, om han fyllt 14 år, ta hans fingeravtryck om utlänningen inte kan styrka sin identitet vid ankomsten till Sverige, utlänningen ansöker om uppehållstillstånd och åberopar skäl som avses i 3 kap. 2 eller 3 §, dvs. att utlänningen är flykting eller skyddsbehövande i övrigt, eller om det finns förutsättningar att ta utlänningen i förvar.

Migrationsverket för ett automatiserat register över de fingeravtryck som tas med stöd av utlänningslagen. För en närmare redogörelse för registret och för utlänningsdataförordningens bestämmelser om registret hänvisas till avsnitt 4.1.7. Här skall endast upprepas att registret även får föras över de fotografier som tas

182

med stöd av utlänningslagen. I anledning av de planer som finns på att komplettera fotografierna och fingeravtrycken med uppgifter om asylsökandes utseende m.m. som upptas och lagras med hjälp av biometrisk teknik, kan anmärkas att sådana kompletterande personuppgifter inte självklart kommer att kunna omfattas av utlänningsdatalagens bestämmelser om det aktuella registret. Det kan också nämnas att viseringsmärken redan från år 2004 planeras att förses med fotografier. Frågan bereds inom EU. Huruvida detta kommer att utmynna i en bindande förordning eller ett direktiv från EU är ännu okänt. Utredningen ser dock ingen anledning att låta den frågan påverka utredningens förslag.

För Migrationsverkets fingeravtrycksregister gäller vidare att registret endast får användas i utlänningsärenden om uppehållstillstånd där sökanden som skäl för sin ansökan åberopar att han eller hon är flykting eller i övrigt skyddsbehövande enligt 3 kap. 2 eller 3 § utlänningslagen samt i ärenden om avvisning och utvisning. Vidare föreskrivs vilka uppgifter registret får innehålla, under vilka förutsättningar uppgifter ur registret får lämnas ut på medium för automatiserad behandling samt när gallring skall ske.

Ändamålet för fingeravtrycksregistret inryms i ändamålet handläggning av ärenden som föreslagits i avsnitt 6.5.3. I avsnitt 5.4 har utredningen dock framhållit att det från integritetssynpunkt finns anledning att särskilt begränsa behandling av personuppgifter som utförs för att underlätta identifieringen av utlänningar. Härtill kommer att fingeravtrycksregistret är – till skillnad från övriga integritetskänsliga uppgiftssamlingar som finns inom verksamheten

– ett regelrätt register som lämpar sig väl för särreglering på grund av dess innehåll och avgränsning i förhållande till annan behandling av personuppgifter inom verksamheten. Utredningen föreslår därför att det för just Migrationsverkets fingeravtrycksregister tas in en särbestämmelse i lagen som anger ett mer inskränkt ändamål i förhållande till den allmänna ändamålsbestämningen handläggning av ärenden. Detta ändamål bör motsvara vad som i dag gäller för registret.

Integritetsskäl talar vidare för att de övriga bestämmelser som enligt utlänningsdataförordningen gäller för fingeravtrycksregistret alltjämt skall gälla. Enligt utredningens mening bör dessa bestämmelser lämpligen tas in i en förordning som utfärdas i anslutning till lagen. Utredningen återkommer i avsnitt 6.18.5 med närmare överväganden i fråga om en till lagen anslutande förordning.

183

Avslutningsvis kan påpekas att den omständigheten att Migrationsverkets fingeravtrycksregister särregleras i den föreslagna utlänningsdatalagen inte innebär någon begränsning av myndigheternas rätt att föra övriga register och andra uppgiftssamlingar, ärendehanteringssystem och liknande, under förutsättning att de förs för ändamål som utredningen föreslagit i avsnitt 6.5.3. Enligt utredningens bedömning kan samtliga nuvarande uppgiftssamlingar som redovisats i avsnitt 4 alltjämt föras med stöd av den föreslagna utlänningsdatalagen.

6.8Sökbegrepp och sambearbetning

Utredningens förslag: Känsliga personuppgifter som anges i 13 § personuppgiftslagen får användas som sökbegrepp vid behandling för ändamålet informationsåtersökning. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får användas som sökbegrepp vid behandling för ändamålet tillsyn, kontroll, uppföljning och planering samt för ändamålet framställning av statistik. I övrigt får känsliga personuppgifter inte användas som sökbegrepp.

Personuppgifter om lagöverträdelser m.m. får inte användas som sökbegrepp. Uppgift om beslut om förvar enligt utlänningslagen skall dock få användas som sökbegrepp. Någon särbestämmelse som begränsar möjligheterna att sambearbeta personuppgifter behövs inte.

6.8.1Sökbegränsningar

Med sökbegrepp brukar förstås bokstäver, koder eller siffror med vars hjälp man kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd som man har tillgång till. Personnummer, namn eller ärendenummer brukar t.ex. ofta användas som sökbegrepp när man letar sig fram till eftersökt information i ett datasystem.

Frågan om sökbegrepp är i princip intressant endast när det gäller information som finns lagrad på medium för automatiserad behandling. Anledningen härtill är att informationsteknikens utveckling medfört att sökmöjligheterna är i det närmaste obegränsade när det gäller elektroniskt lagrad information. Det sagda

184

innebär att sammanställningar av uppgifter teoretiskt sett kan göras utifrån alla tänkbara urvalskriterier som korresponderar med den lagrade informationen. Motsvarande sammanställningsmöjligheter saknas emellertid i praktiken helt när det gäller manuellt behandlad information som vanligen är sökbar endast utifrån ett fåtal kriterier.

Från integritetssynpunkt är frågan om på vilket sätt uppgifter kan sammanställas av väsentlig betydelse. Ju större möjligheterna är att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet. Från början harmlösa uppgifter kan genom en sammanställning framstå som integritetskränkande (jfr prop. Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten 2001/02:144 s. 40).

Vilka sökbegrepp som kan användas har vidare betydelse för frågan om vilka handlingar som anses förvarade hos en myndighet och vad som därmed kan bli tillgängligt för allmänheten i enlighet med offentlighetsprincipen. Med handlingar avses enligt tryckfrihetsförordningen inte enbart pappershandlingar utan även upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med hjälp av tekniskt hjälpmedel.

En handling är allmän om den förvaras hos myndigheten och är att anse som inkommen till eller upprättad hos myndigheten. En upptagning för automatiserad behandling anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.

Varje sammanställning av sakligt sammanhängande uppgifter i en upptagning som myndigheten kan göra med hjälp av tillgängliga program är att anse som en handling som förvaras hos myndigheten. Detta gäller även om det aldrig tidigare har existerat en sådan sammanställning och även om sammanställningen inte alls behövs inom myndigheten. Förutom redan existerande handlingar brukar man därför tala också om s.k. potentiella handlingar. En förutsättning är dock att sammanställningen skall kunna göras tillgänglig med hjälp av rutinbetonade åtgärder, dvs. med en enkel arbetsinsats och utan nämnvärda kostnader eller andra komplikationer. Tekniska begränsningar kan således innebära att en sammanställning inte kan göras. Den tänkta sammanställningen är därmed ingen allmän handling. En myndighet är dock skyldig att

185

använda alla tillgängliga sökmöjligheter när någon begär uppgifter ur upptagningar som är allmänna handlingar.

En myndighets – och följaktligen därmed också allmänhetens – möjligheter att få tillgång till sammanställningar av uppgifter som finns i myndighetens informationssystem kan emellertid underkastas rättsliga begränsningar. Enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen kan en myndighets befogenheter att göra sammanställningar av personuppgifter begränsas genom lag eller förordning.

Av hänsyn till den enskildes personliga integritet har i många registerförfattningar sammanställningsmöjligheterna begränsats genom reglering av vilka sökbegrepp som får eller inte får användas. Även nyare författningar som har anpassats till personuppgiftslagen innehåller inte sällan begränsningar i fråga om sökbegrepp. Vanligen omfattar en sådan begränsning uppgifter som anses som särskilt känsliga från integritetssynpunkt. Lagen (2001:617) om behandling av personuppgifter inom kriminalvården och lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten kan nämnas som exempel på lagar som är anpassade till personuppgiftslagen och som innehåller sökbegränsningar.

Enligt utlänningsdataförordningen gäller att känsliga personuppgifter enligt 13 § personuppgiftslagen inte får användas som sökbegrepp i verksamhetsregister samt att personuppgifter som direkt pekar ut en registrerad inte får användas som sökbegrepp i ett landinformationsregister. Detsamma gäller för rättsfallsregister. Uppgifter som direkt pekar ut en individ får över huvud taget inte förekomma i rättsfallsregister enligt förordningen.

Utan sökbegränsningar kan, som framgått av det föregående, vilka sökningar och sammanställningar som helst göras, t.ex. i fråga om information av mycket känslig art i Migrationsverkets omfattande och integritetskänsliga datasystem STAMM. Myndigheterna kan dock utforma datasystemen så att endast behörig personal kan utföra sökningar samt inrätta behörighetssystem som gör att det i efterhand går att fastställa vilka personer som har tagit del av information (loggning). Den s.k. socialtjänstsekretessen enligt 7 kap. 4 § tredje stycket eller utlänningssekretessen i 7 kap. 14 § andra stycket sekretesslagen förhindrar också som regel allmänhetens möjligheter att med stöd av offentlighetsprincipen få ut sammanställningar av integritetskänslig information som finns i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

186

Den starka sekretessen innebär därmed i sig ett skydd mot just sådana integritetsintrång som obegränsade sökmöjligheter kan innebära. Mot bakgrund av det anförda kan det alltså ifrågasättas om det behövs några sökbegränsningar i utlänningsdatalagen.

Vikten av att minimera risken för otillbörliga integritetsintrång medför emellertid att det, enligt utredningens uppfattning, trots allt finns anledning att begränsa vilka uppgifter som får användas som sökbegrepp, inte minst därför att den fortgående utvecklingen av den elektroniska ärendehanteringen innebär att allt större mängder integritetskänslig information lagras i elektroniska uppgiftssamlingar. I likhet med vad nuvarande bestämmelser slår fast, föreslås därför att känsliga personuppgifter inte skall få användas som sökbegrepp när det gäller myndigheternas kärnverksamhet med att handlägga ärenden, kontrollera utlänningar enligt 5 kap. utlänningslagen samt bedriva mottagningsverksamhet. Inte heller bör känsliga personuppgifter få användas som sökbegrepp när det gäller uppgiftsutlämnande.

När det däremot gäller sökning efter uppgifter som behandlas för ändamålet informationsåtersökning, är just snabb tillgång till denna typ av uppgifter av stor vikt för uppgiftssamlingarnas värde som referensmaterial. Exempelvis kan det vara väsentligt i ett asylärende att kunna söka efter uppgifter i Migrationsverkets LIFOS som sammanställda kan ge en god överblick över situationen för homosexuella i den asylsökandes hemland. Eftersom stark sekretess gäller för uppgifterna anser utredningen att det från integritetssynpunkt kan godtas att känsliga personuppgifter får användas som sökbegrepp just beträffande detta ändamål. Det skall också beaktas att behandlingen inte omfattar stora mängder registrerade, eftersom personuppgifter ofta avidentifieras innan de görs tillgängliga för ändamålet informationsåtersökning.

Även när det gäller behandling av personuppgifter för ändamålen tillsyn, kontroll, uppföljning och planering samt framställning av statistik anser utredningen att myndigheterna har starka skäl att kunna söka och sammanställa uppgifter om etnicitet och hälsa. I annat fall försvåras bl.a. möjligheterna att mäta tendenser som är av betydelse för verksamheten. Det kan t.ex. finnas anledning att följa upp och planera för flyktingströmmar från en viss etnisk konflikt eller för att kunna bereda verksamheten på att ta emot stora strömmar av asylsökande som är HIV-bärare eller drabbade av svåra miljökatastrofer. Med tanke på uppgifternas sekretess och på att endast ett fåtal anställda är sysselsatta med den verksamhet som här

187

är i fråga anser utredningen att förslaget är godtagbart utifrån integritetssynpunkt. Mot denna bakgrund föreslår utredningen således att känsliga personuppgifter om hälsa och etnicitet skall få användas som sökbegrepp när det gäller behandling av personuppgifter för här avsedda ändamål. Andra känsliga personuppgifter bör dock förbjudas som sökbegrepp.

Vidare föreslås att sökningar inte skall få göras på andra personuppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen än uppgifter som avser beslut om förvar enligt utlänningslagen. Förvar är ett frihetsberövande som vidtas inom det egna verksamhetsområdet. Det är därför naturligt och acceptabelt utifrån integritetssynpunkt att uppgifter om förvar får sökas och sammanställas av myndigheter som är inbegripna i verksamheten.

Enligt utlänningsdataförordningen gäller i fråga om register som förs för ändamålet att återsöka information om förhållanden i andra länder (landinformationsregister) den sökbegränsningen att uppgifter som direkt pekar ut en registrerad, t.ex. namn, inte får användas som sökbegrepp. Utredningen anser inte att det finns något behov av en sådan sökbegränsning i fortsättningen. Utredningen förutsätter härvid att personer avidentifieras i den mån uppgiften saknar betydelse för ändamålet med behandlingen. I de fall då identitetsuppgiften är av väsentlig betydelse och därför finns kvar finns det enligt utredningens mening inte tillräckliga skäl att begränsa sökmöjligheten på motsvarande sätt som gäller i dag. Sekretess torde vidare inte sällan omfatta namnuppgifterna.

Ytterligare sökbegränsningar bör dock kunna föreskrivas i förordning, se närmare härom i avsnitt 6.18.7.

Avslutningsvis kan anmärkas att sökbegränsningarna inskränker möjligheterna att med ett sökbegrepp som urvalsmetod leta fram önskade personuppgifter i olika slags samlingar av personuppgifter, dvs. register, ärendehanteringssystem, dokumentdatabaser eller liknande. Självklart hindrar bestämmelser om sökbegrepp inte sådan sökning med hjälp av t.ex. ett ordbehandlingsprogram i ett dokument med löpande text som för användaren är omedelbart tillgängligt på en dator.

188

6.8.2Sambearbetning

Sambearbetning av uppgifter mellan olika automatiserade personregister, s.k. samkörning, krävde under datalagens giltighetstid, som huvudregel, särskilt tillstånd, eftersom ett nytt register därmed ansågs upprättat. I s.k. registerförfattningar från tiden före personuppgiftslagens införande förekom inte sällan bestämmelser som reglerade förutsättningarna för sambearbetning av registeruppgifter, eftersom den formen av personuppgiftsbehandling ansågs vara särskilt känslig.

Personuppgiftslagen skiljer emellertid inte sambearbetning av personuppgifter från olika register eller databaser från annan behandling. En sambearbetning är tillåten så länge den håller sig inom personuppgiftslagens ramar, bl.a. med avseende på att uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (9 § första stycket d), den s.k. finalitetsprincipen).

När det gäller verksamhet enligt utlännings- och medborgarskapslagstiftningen som bedrivs av de myndigheter som föreslås omfattas av utlänningsdatalagens tillämpningsområde torde det inte sällan finnas behov av att sambearbeta personuppgifter i olika register eller datasystem. Det saknas anledning att befara att behandling i form av samkörning av uppgiftssamlingar sker för ändamål som inte är förenliga med de ändamål för vilka uppgifterna ursprungligen samlades in (se avsnitt 6.5.3). I stället framstår möjligheten till samkörning, inom utlänningsdatalagens ram, som en rimlig metod att höja effektiviteten och rättssäkerheten inom verksamhetsområdet. Enligt utredningens mening finns det därför inte skäl att införa någon särbestämmelse i utlänningsdatalagen som förbjuder eller begränsar möjligheterna att sambearbeta personuppgifter som finns inom verksamheten.

189

6.9Utlämnande på medium för automatiserad behandling

Utredningens förslag: Någon regel som tillåter eller förbjuder att personuppgifter skall få lämnas ut till en svensk myndighet på medium för automatiserad behandling behövs inte. Till utländsk myndighet i ett EU-land eller ett land som är anslutet till EES samt till EU-organen får en personuppgift som behandlas enligt utlänningsdatalagen lämnas ut elektroniskt, om det är nödvändigt för ändamålen handläggning av ärenden, kontroll av utlänning, uppgiftsutlämnande eller informationsåtersökning.

Regeringen föreskriver när elektroniskt utlämnande får ske till enskild.

I avsnitt 6.5.3 har utredningen föreslagit att personuppgifter skall få behandlas genom att lämnas ut bl.a. om utlämnandet sker med stöd av lag eller förordning, följer av Sveriges medlemskap i EU eller av en förpliktelse enligt en internationell konvention som Sverige tillträtt. Mottagare kan i princip vara en svensk eller utländsk myndighet, mellanstatligt organ eller en enskild. Utlämnandet kan avse personuppgifter som begärts utifrån. Det kan också förekomma att uppgifter lämnas ut av någon av de myndigheter som omfattas av utlänningsdatalagens tillämpningsområde i syfte att myndigheten själv skall kunna fullgöra sin verksamhet inom ramen för något av de andra föreslagna ändamålen. Exempelvis måste Migrationsverket i sin mottagningsverksamhet för asylsökande m.fl. ibland lämna ut personuppgifter om utlänningar för att kunna ombesörja sin uppgift att bereda utlänningarna tillfälle att delta i undervisning i svenska, få hälsovård m.m. som handhas av annan än Migrationsverket.

Personuppgifter som behandlas helt eller delvis automatiserat eller i manuellt hanterade register kan lämnas ut från myndigheterna på olika sätt, t.ex. muntligen, på papper eller i elektronisk form. Alla varianter utgör behandling av personuppgifter enligt begreppets definition i 3 § personuppgiftslagen. Utlämnande i elektronisk form, dvs. på medium för automatiserad behandling, kan ske på flera olika sätt, t.ex. genom användning av e-post, på diskett eller CD-romskiva, genom direkt överföring från ett datorsystem till ett annat via telenätet (där beslut om överföring i varje enskilt fall fattas av den utlämnande myndigheten) eller genom direktåtkomst till den utlämnande myndighetens datorsystem. Av dessa olika

190

varianter är direktåtkomsten den mest känsliga och den behandlas därför särskilt, se avsnitt 6.10. Från Migrationsverket utlämnas personuppgifter i större omfattning såväl på CD-romskiva (se t.ex. om Almasystemet i avsnitt 4.1.3.) som i direkt överföring på datafil (t.ex. beträffande beviljade arbetstillstånd till Arbetsmarknadsstyrelsen, se avsnitt 4.1.1.2).

Att ett utlämnande sker på medium för automatiserad behandling innebär att mottagaren efter utlämnandet har möjlighet att bearbeta informationen. Ett utlämnande på ett sätt som innebär att mottagaren kan läsa informationen men inte bearbeta den – t.ex. utlämnande enligt 2 kap. 12 § tryckfrihetsförordningen jämförd med 15 kap. 10 § sekretesslagen genom s.k. allmänhetens terminal vid en myndighet – är alltså inte ett utlämnande på medium för automatiserad behandling i den bemärkelse som här avses.

Utlämnande på medium för automatiserad behandling utgör, som nyss sagts, en form av behandling av personuppgifter enligt 3 § personuppgiftslagen och är som sådan tillåten under förutsättning att utlämnandet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Dataskyddsdirektivet och personuppgiftslagen saknar särbestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form. Någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker på papper görs således inte. Inte heller görs någon åtskillnad mellan olika former av utlämnande i 7 kap. 16 § sekretesslagen, som föreskriver att sekretess gäller för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgifterna behandlas i strid mot personuppgiftslagen.

Särskild författningsreglering krävs således inte för att utlämnande av personuppgifter på medium för automatiserad behandling skall vara tillåten. Med tanke på de särskilda möjligheterna att bearbeta erhållen information som finns vid elektroniskt utlämnande, kan det emellertid finnas anledning att överväga om utlämnande på automatiserat medium bör underkastas någon begränsning i utlänningsdatalagen i syfte att minska risken för otillbörliga intrång i den enskildes integritet. Det bör observeras att frågan enbart gäller sättet för utlämnande och inte huruvida personuppgifter över huvud taget får lämnas ut.

I några motsvarande lagar för myndigheters behandling av personuppgifter finns särbestämmelser om utlämnande på medium för automatiserad behandling. Här kan t.ex. nämnas lagarna som reglerar behandling av personuppgifter inom skatteförvaltningen,

191

kronofogdemyndigheterna och Tullverket (SFS 2001:181, SFS 2001:182, SFS 2001:184 och SFS 2001:185). I dessa lagar föreskrivs att personuppgifter som behandlas i databaser får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det. Någon särbestämmelse såvitt avser elektronisk utlämnande till myndigheter finns inte. I propositionen Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33 s. 112) anförde regeringen, som skäl för att inte särskilt reglera utlämnande till myndigheter på medium för automatiserad behandling, att det är mindre tillfredsställande ur effektivitetssynpunkt om den utlämnande myndigheten först gör utskrifter av elektronisk lagrade uppgifter som den mottagande myndigheten därefter för in i sina register eller databaser. Genom sådana förfaranden ökar dessutom riskerna för överföringsfel, vilket i sig kan utgöra ett integritetsproblem. Regeringen fortsatte sitt resonemang i enlighet med det följande.

En utgångspunkt bör vara att myndigheter skall kunna utnyttja automatiserade förfaranden i sin ärendehantering i största möjliga omfattning, dock under förutsättning att behandlingen av personuppgifter inte medför risk för otillbörliga intrång i enskildas personliga integritet. För myndigheter finns vanligtvis särskilda författningar som reglerar vilka automatiserade register eller andra personuppgiftssamlingar som får föras av myndigheten eller annars på vilket sätt personuppgifter får behandlas. I dessa författningar regleras även ändamålen med behandlingen. En myndighet som tar emot uppgifter från andra myndigheter har vanligen inte rättsligt stöd för att behandla uppgifterna annat än i enlighet med de för myndigheten gällande författningarna. Någon risk för att mottagande myndigheter skall behandla personuppgifter som hämtas in på medium för automatiserad behandling på ett sätt som inte är avsett torde inte finnas. Under förutsättning att den utlämnande myndigheten har möjlighet att avgöra vilka uppgifter som skall lämnas ut saknas det därför enligt regeringens mening anledning att reglera när uppgifter får lämnas ut på medium för automatiserad behandling. Det finns med andra ord inte bärande skäl för att i informationsutbytet mellan myndigheter skilja på utlämnande som görs på papper och utlämnande som sker elektroniskt.

När det däremot gäller elektroniskt utlämnande till enskilda, såväl privatpersoner som företag och organisationer, poängterade regeringen att det normalt saknades särskilda bestämmelser, utöver personuppgiftslagen, om hur personuppgifter får behandlas hos

192

mottagaren. Med hänsyn till de integritetsrisker som kan följa med utlämnande av personuppgifter på medium för automatiserad behandling till företag och privatpersoner, fann regeringen att sådant utlämnande endast bör vara tillåtet när det efter särskild prövning anses lämpligt. Vidare fann regeringen att det inte är möjligt att i lag reglera i vilka fall så lämpligen kan ske utan att det i stället bör åligga regeringen att göra dessa bedömningar.

Här kan nämnas lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten som också föreskriver att personuppgifter som behandlas i en databas får utlämnas till enskild på medium för automatiserad behandling endast om regeringen föreskriver det. I lagens förarbeten (prop. 2001/02:144 s. 39) sägs bl.a. med hänvisning till nyssnämnda lagstiftningsärende att det inte erfordras någon särskild reglering i lag av uppgiftsutlämnande till myndigheter på medium för automatiserad behandling. I lagen föreskrivs dock att regeringen, eller den myndighet som regeringen bestämmer, meddelar föreskrifter om vilka personuppgifter som får lämnas ut på medium för automatiserad behandling till myndigheter och enskilda.

Samma bedömningar har inte gjorts vid utformandet av alla s.k. registerlagar som införts i samband med eller efter det att personuppgiftslagen trädde i kraft. I lagen (2001:454) om behandling av personuppgifter inom socialtjänsten samt i lagen (2001:617) om behandling av personuppgifter inom kriminalvården saknas t.ex. helt särbestämmelser för uppgiftsutlämnande på medium för automatiserad behandling. I lagen (1998:543) om hälsodataregister föreskrivs att personuppgifter får lämnas ut på medium för automatiserad behandling endast för vissa ändamål, dvs. oavsett om utlämnandet sker till myndighet eller till enskild. I förarbetena motiverades denna begränsning med hänsyn till intresset av integritetsskydd för den enskilde (prop. 1997/98:108 s. 77).

Möjligheten att elektroniskt ta emot – måhända stora mängder – information som efter mottagandet kan bearbetas av mottagaren har länge ansetts innebära särskilda risker från integritetssynpunkt jämfört med om samma information endast fås i pappersutskrift. Detta, menar utredningen, gäller fortfarande trots att det i dag finns tämligen lättillgänglig teknik, t.ex. skanning, som medger att information överförs från papper till automatiserat medium. Vid bedömningen av om begränsningar bör införas såvitt avser elektroniskt utlämnande av personuppgifter anser utredningen dock att en åtskillnad måste göras – på motsvarande sätt som gjorts i de i detta

193

avsnitt först nämnda s.k. registerlagarna – mellan utlämnande som sker till myndigheter respektive till enskilda.

När det gäller utlämnande till svenska myndigheter talar effektivitetsskäl med betydande styrka för att myndigheter, som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen, skall kunna lämna ut uppgifter genom användning av modern informationsteknik till en annan myndighet efter en prövning av om utlämnandet är förenligt med utlänningsdatalagens ändamålsbestämning och sekretesslagen. I takt med att myndigheterna inom den offentliga förvaltningen i allt större utsträckning övergår till fullständig elektronisk informationshantering ter sig begränsningar av möjligheten till elektroniskt informationsutbyte mellan myndigheterna i motsvarande grad mindre lämpligt. Även i de fall en s.k. registerförfattning inte finns för den mottagande myndighetens behandling, anser utredningen att det saknas anledning att befara att personuppgifter av den mottagande myndigheten kommer att behandlas för andra syften än vad den utlämnande myndigheten kunnat ta i beaktande vid sitt beslut att, efter vederbörlig prövning enligt utlänningsdatalagen och sekretesslagen, utlämna uppgifterna. Risken för otillbörliga integritetsintrång torde därför inte öka i nämnvärd mån på grund av att utlämnandet sker på medium för automatiserad behandling i stället för på papper. Enligt utredningens mening finns därför inte tillräcklig anledning att föreslå en särbestämmelse som begränsar möjligheterna att till en svensk myndighet lämna ut personuppgifter på medium för automatiserad behandling. Givetvis åligger det ändå personuppgiftsansvarig myndighet att göra övervägningar utifrån hänsyn till säkerhets- och integritetsfrågor vid valet mellan att lämna ut personuppgifter på automatiserat medium eller på pappersutskrift. Vid t.ex. användandet av e-post kan därvid en mottagande myndighets säkerhetsskydd vara av betydelse för bedömningen.

Ett av dataskyddsdirektivets syften är att genom gemensamma regler till skydd för enskildas integritet ge förutsättningar för att personuppgifter inom direktivets ram skall kunna flöda fritt inom EU-området. Såsom översiktligt har belysts i avsnitt 3.1 har samarbetet inom EU i asyl- och migrationsfrågor intensifierats på senare år. För myndigheter som bedriver verksamhet enligt utlänningslagstiftningen medför detta att personuppgifter i olika sammanhang lämnas ut eller inhämtas från utländska myndigheter i EU- länder. I avsnitt 4.1.3 har t.ex. beskrivits de konsultationer mellan EU-länderna som görs via ett automatiserat förfarande i viserings-

194

ärenden (Visionsystemet). Även Dublinkonventionen och den EG- förordning nr 343/2003 som ersatt konventionen (se avsnitt 3.1) förpliktar medlemsstaterna att utbyta personuppgifter. Delvis sker detta utbyte i enlighet med Eurodacförordningen, som gäller personuppgifter om fingeravtryck och kön. Denna behandling av personuppgifter omfattas inte av den föreslagna utlänningsdatalagen (se härom avsnitt 6.2.3.2). Den nämnda uppgiftsskyldigheten omfattar dock även en mängd andra personuppgifter än dem Eurodacförordningen avser (se bl.a. artikel 21.2 i EG-förordningen jämförd med artikel 5.1, 8.2, och 11.2 i Eurodacförordningen).

Enligt utredningens mening skulle EU-samarbetet i alltför hög grad försvåras om nödvändigt informationsutbyte inte får ske elektroniskt. Med tanke på svårigheterna att överblicka konsekvenserna från integritessynpunkt av ett utlämnande av personuppgifter till ett annat land bör emellertid möjligheten till elektroniskt utlämnande begränsas. Personuppgifter bör få lämnas ut på detta sätt endast om det sker för att fullgöra ett uppgiftsutlämnande som sker med stöd av lag eller förordning eller följer av medlemskapet i EU eller av en uppgiftsskyldighet enligt en konvention eller ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. Dessutom bör uppgifter få lämnas ut elektroniskt om utlämnandet är nödvändigt för att den utlämnande myndigheten, i allmänhet Migrationsverket eller polisen, skall kunna utföra en arbetsuppgift som sker för ändamålen handläggning av ärenden eller biträde i sådant ärende samt annan kontroll av utlänningar. Vidare bör personuppgifter som behandlas för ändamålet att ge information om praxis, förhållanden i olika länder m.m. kunna utlämnas elektroniskt, om rättsliga förutsättningar för utlämnande i och för sig är uppfyllda.

Utredningen föreslår således att lagen begränsar möjligheten att lämna ut personuppgifter på medium för automatiserad behandling i enlighet med det sagda. Sådant utlämnande föreslås få ske till myndigheter i EU-länder och i länder anslutna till EES-avtalet samt även till organ som har inrättats av EU, t.ex. kommissionen. Med tanke på den pågående intensifieringen av samarbetet inom EU är det dock inte otänkbart att bestämmelsen får revideras i framtiden.

Utlämnande till enskilda enligt 2 kap. tryckfrihetsförordningen av allmänna handlingar vari finns personuppgifter som behandlas enligt den föreslagna utlänningsdatalagen kan ofta inte medges på grund av sekretess enligt 7 kap. 14 § andra stycket sekretesslagen. Det kan emellertid nämnas att en myndighet enligt 2 kap. 13 §

195

tryckfrihetsförordningen i dess lydelse fr.o.m. den 1 januari 2003 inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift. Det är alltså möjligt att i lag föreskriva en skyldighet att lämna ut allmänna handlingar på medium för automatiserad behandling. Tidigare fanns ingen sådan möjlighet enligt den dåvarande lydelsen av 2 kap. 13 § tryckfrihetsförordningen, som föreskrev ett absolut s.k. utskriftsundantag. Undantagets syfte var enligt förarbetena att förhindra att utlämnade uppgifter behandlas automatiserat på ett sätt som kan medföra intrång i enskildas personliga integritet, t.ex. genom uppkomsten av privata personregister (prop. 1973:33 s. 85 f. och 113).

I det lagstiftningsärende som föregick ändringen i 2 kap. 13 § tryckfrihetsförordningen hade Offentlighets- och sekretesskommittén i delbetänkandet Offentlighetsprincipen och den nya tekniken (SOU 2001:3) föreslagit en ändring enligt en omvänd princip, nämligen att det skulle införas en skyldighet för en myndighet att lämna ut elektroniskt lagrade allmänna handlingar, dvs. upptagningar, i elektronisk form, såvida det inte för myndigheten i lag eller förordning finns en bestämmelse som förbjuder det. Kommittén förutsatte därvid att det i registerförfattningar införs undantag från skyldigheten att lämna ut allmänna handlingar i elektronisk form i den mån det behövs för att undvika eventuella integritetsproblem som följer på ett avskaffande av utskriftsundantaget. Vid remissbehandlingen av betänkandet var flera instanser tveksamma till förslaget i fråga, bl.a. med hänsyn till att konsekvenserna med avseende på eventuella integritetsproblem inte var tillräckligt väl utredda (prop. 2001/02:70 s. 28). Regeringen instämde i denna tvekan. Med hänsyn bl.a. härtill fann regeringen att kommitténs förslag inte borde genomföras. I stället föreslog regeringen en möjlighet att i lag införa en skyldighet för myndigheter att lämna ut allmänna handlingar i elektronisk form. Med tanke på IT-utvecklingen inom förvaltningen fann regeringen nämligen anledning att överväga att i vanlig lag, t.ex. 15 kap. sekretesslagen, införa en sådan skyldighet, generell eller med avseende på vissa kategorier av allmänna handlingar. Regeringen avsåg dock att återkomma till frågan först efter det att ytterligare utredningsarbete av Offentlighets- och sekretesskommittén respektive Personuppgiftslagsutredningen (som bl.a. skall göra en översyn av 7 kap. 16 § sekretesslagen, dir. 2002:31) har utförts. Riksdagen

196

SOU 2003:40 Utlänningsdatalag

anslöt sig, som framgått ovan, till regeringens förslag (bet. 2000/02:KU17, rskr. 2002/03:7).

Som påpekats vid ett flertal tillfällen är personuppgifter som finns i verksamhet enligt utlännings- och medborgarskapslagstiftningen av integritetskänslig karaktär. Det är därför befogat att i utlänningsdatalagen skilja på olika sätt att lämna ut personuppgifter till enskilda genom att begränsa möjligheten att lämna ut uppgifterna på medium för automatiserad behandling. Något absolut förbud mot elektroniskt utlämnande ter sig emellertid inte lämpligt. Självfallet bör t.ex. en handläggande myndighet kunna använda sig av e-post vid kommunikation med en enskild, t.ex. när myndigheten skall upplysa en sökande om att en viss person lämnat uppgifter i ett ärende som rör sökanden. Även andra situationer kan tänkas då ett elektroniskt utlämnande enskild bör tillåtas. Närmare överväganden härvidlag bör emellertid inte göras i lagen utan av regeringen. Utredningen föreslår därför att utlämnande av personuppgifter på medium för automatiserad behandling får ske till enskilda endast om regeringen har föreskrivit det. Utredningen återkommer i avsnitt 6.18.2 med överväganden angående speciella fall som bör detaljregleras i en förordning som utfärdas i anslutning till lagen.

197

6.10Direktåtkomst

Utredningens förslag: Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna skall för ändamålet handläggning eller biträde vid handläggning av ärenden få ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål. Rikspolisstyrelsens och polismyndigheternas direktåtkomst till personuppgifterna får också användas för ändamålet utlänningskontroll enligt 5 kap. utlänningslagen.

Utlänningsnämnden och utlandsmyndigheterna skall vidare få ha direktåtkomst till Migrationsverkets personuppgifter som behandlas för ändamålet att ge referensinformation om förhållanden i andra länder, praxis m.m.

Annan direktåtkomst än den i lagen medgivna skall inte vara tillåten.

Åtkomst till automatiserat behandlade personuppgifter skall vara förbehållen de personer som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter.

6.10.1Allmänt om direktåtkomst

Som nämnts i avsnitt 6.9 kan personuppgifter lämnas ut på flera sätt. Det har också påpekats att varken dataskyddsdirektivet eller personuppgiftslagen innehåller några särskilda bestämmelser som tar sikte på just det sätt på vilket uppgifter lämnas ut. Sättet har emellertid, som utredningen redan framhållit, betydelse från integritetssynpunkt när det gäller att bedöma hur stora risker för obehöriga intrång i enskildas personliga integritet som ett utlämnande typiskt sett medför. Utredningen har därför funnit anledning att i vissa fall reglera uppgiftsutlämnande på medium för automatiserad behandling.

I detta avsnitt behandlas en specialform av elektroniskt uppgiftsutlämnande till mottagare utanför en myndighet, nämligen direktåtkomst. För direktåtkomst gäller, för övrigt i likhet med allt utlämnande av personuppgifter, att den måste vara förenlig dels med de ändamål för vilka den utlämnande myndigheten får behandla personuppgifter, dels med sekretessregleringen.

198

Begreppet direktåtkomst används ibland också för personalens åtkomst till uppgifter som behandlas inom en myndighet eller inom en myndighets verksamhetsgren. Sådan åtkomst kallas dock i fortsättningen bara för åtkomst för att skilja begreppet från vad som brukar betecknas som direktåtkomst. Även personalens åtkomst behandlas i det följande.

Någon rättslig definition av begreppet direktåtkomst finns inte. Enligt en vedertagen uppfattning, som också lyfts fram i flera lagförarbeten, innebär direktåtkomst en möjlighet att på egen hand ta del av och söka efter uppgifter i en informationssamling som behandlas automatiserat, dock utan att man själv kan bearbeta eller på annat sätt påverka innehållet (se t.ex. prop. 2000/2001:33 s. 110 f.). I vissa fall har användaren emellertid en möjlighet att kopiera och så att säga “hämta hem” informationen till sitt eget system och bearbeta den där (jfr prop. 2001/002:144 s. 35 och Domstolsdatautredningen, SOU 2001:100 s. 149). Personal inom en myndighet som har åtkomst till myndighetens informationssamlingar har förstås ofta också möjlighet att bearbeta och påverka innehållet i samlingen, t.ex. i ett ärendehanteringssystem.

Direktåtkomst kan avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.

I flera författningar som reglerar myndigheters behandling av personuppgifter förekommer det bestämmelser om direktåtkomst till ett visst automatiserat register eller andra samlingar av personuppgifter som behandlas automatiserat. Som exempel härpå kan nämnas 27 § lagen (2001:184) om behandling av uppgifter i kronofogdemyndigheternas verksamhet som föreskriver att skattemyndigheterna, Tullverket och Säkerhetspolisen får ha direktåtkomst till vissa uppgiftskategorier som behandlas i kronofogdemyndigheternas gemensamma utsöknings- och indrivningsdatabas. I 6 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården finns en mer allmänt hållen bestämmelse om åtkomst till personuppgifter som behandlas. Enligt bestämmelsen skall åtkomst till personuppgifter som behandlas enligt lagen vara förbehållen de personer som på grund av sina arbetsuppgifter inom kriminalvården behöver tillgång till uppgifterna. (I lagen används dock termen direktåtkomst.) Från integritetssynpunkt har givetvis bestämmelser som dessa betydelse främst för uppgiftssamlingar som är tillgängliga och sökbara via många terminaler i ett datoriserat nätverk.

199

6.10.2Nuvarande direktåtkomst i verksamhet enligt utlännings- och medborgarskapslagstiftningen

I verksamhet enligt utlännings- och medborgarskapslagstiftningen har vissa andra myndigheter i dag direktåtkomst till personuppgifter som finns lagrade i Migrationsverkets omfattande datorsystem STAMM. Som närmare redovisats i avsnitt 4.1.1.2 har Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna, de utlandsmyndigheter som är anslutna till ärendehanteringssystemet Wilma samt Centrala studiestödsnämnden sådan direktåtkomst. Direktåtkomsten varierar såväl till omfattning som till uppgiftsslag. Därutöver har Regeringskansliet viss direktåtkomst till personuppgifter i några av STAMM:s delsystem. Åtkomsten föranleds av regeringens behov av uppgifterna vid sin handläggning av utlännings- och medborgarskapsärenden. Utlänningsnämnden har vidare direktåtkomst till Migrationsverkets system LIFOS, vari samlas praxis, länderinformation och annan information som behövs som allmänt referens- och kunskapsunderlag vid handläggning av utlänningsärenden.

Migrationsverket har direktåtkomst till belastningsregistret och misstankeregistret samt till den nationella enhetens spärrlista i Schengens informationssystem. Migrationsverkets direktåtkomst till dessa av Rikspolisstyrelsen förda register är redan författningsreglerad i förordningen (1999:1134) om belastningsregister, förordningen (1999:1135) om misstankeregistret samt förordningen (2000:836) om Schengens informationssystem. Denna åtkomst berörs därför inte av utredningens vidare överväganden.

I utlänningsdataförordningen föreskrivs att Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna får ha direktåtkomst till Migrationsverkets verksamhetsregister samt att Utlänningsnämnden får ha direktåtkomst till Migrationsverkets landinformationsregister över information som lämnats rörande förhållanden i andra länder. Centrala studiestödsnämndens och Regeringskansliets direktåtkomst till STAMM är däremot inte författningsreglerad. Inte heller har Utlänningsnämndens åtkomst till annan information i LIFOS än den som rör förhållanden i andra länder getts författningsstöd i utlänningsdataförordningen.

När det gäller åtkomst inom en myndighet är det givet att arbetstagare i alla här berörda myndigheter har åtkomst till register, ärendehanteringssystem eller andra gemensamt tillgängliga

200

uppgiftssamlingar som förs inom den myndighet vid vilken arbetstagaren är anställd. I avsnitt 4.1 har kort berörts att anställdas tillgång till STAMM, LIFOS och andra uppgiftssamlingar prövas individuellt. Migrationsverket tilldelar således varje anställd behörighet att ta del av och arbeta med personuppgifter i den utsträckning arbetstagaren behöver detta för att kunna utföra sina arbetsuppgifter. En mängd olika behörighetsnivåer finns. Trots detta är det ett relativt stort antal arbetstagare som har tillgång till integritetskänsliga personuppgifter som behandlas för ändamålen handläggning av ärenden, utlänningskontroll, mottagningsverksamhet och för informationsåtersökning. När det däremot gäller t.ex. direktåtkomst till personuppgifter i statistik- och uppföljningsdatasystemet PLUS har i dag endast ett begränsat antal anställda tillgång till de i systemet behandlade personuppgifterna. En annan sak är att tillgången till framställd statistik eller andra rapporter kan vara vida spridd sedan uppgifterna väl avidentifierats.

Även vid övriga myndigheter som omfattas av utlänningsdatalagens tillämpningsområde krävs i dag behörigheter av olika grad för åtkomst till myndighetens personuppgiftssamlingar.

6.10.3Utredningens överväganden

Myndigheters direktåtkomst till personuppgifter som behandlas i register eller andra uppgiftssamlingar av en annan myndighet har sedan lång tid betraktas som särskilt integritetskänslig. I än högre grad har utlämnande till andra än myndigheter genom direktåtkomst ansetts medföra särskilda risker för enskilda. Det förhållandet att den utlämnande myndigheten inte har kontroll över vilka uppgifter som mottagaren vid varje enskilt tillfälle tar del av, har genomgående åberopats som grund för att utifrån integritetssynpunkt särskilt reglera direktåtkomst (se t.ex. prop. 2000/01:126 s. 34).

Ett ytterligare skäl att vara återhållsam i fråga om myndigheters direktåtkomst till andra myndigheters automatiserade uppgiftssamlingar är att de upptagningar som direktåtkomsten avser blir allmänna handlingar hos en mottagande myndighet. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir allmänhetens möjlighet att få tillgång till dessa uppgifter. Avser direktåtkomsten sekretessbelagda uppgifter hos den utlämnande myndigheten – vilket ofta är fallet beträffande

201

personuppgifter som behandlas i verksamhet enlighet utlännings- och medborgarskapslagstiftningen – är det därför, enligt utredningens mening, väsentligt att uppgifterna har ett sekretesskydd även hos den mottagande myndigheten. Det kan här anmärkas att den sekretess enligt 7 kap. 14 § andra stycket sekretesslagen som i allmänhet gäller för personuppgifter inom det aktuella verksamhetsområdet inte automatiskt följer med då uppgifterna sprids utanför det område vari uppgifterna sekretesskyddas.

Det sagda innebär enligt utredningens uppfattning att utlämnande av personuppgifter genom direktåtkomst bör särregleras i förhållande till personuppgiftslagen i syfte att genom regleringen minimera de särskilda risker för otillbörliga intrång i enskildas integritet som är förknippade med direktåtkomst. De grundläggande principerna för utlämnande av personuppgifter genom direktåtkomst bör därvid anges i den föreslagna lagen. Dessa är dels vilka mottagare som skall tillåtas ha direktåtkomst, dels för vilket eller vilka ändamål direktåtkomsten skall tillåtas. Mer detaljerade bestämmelser bör kunna meddelas i en förordning som utfärdas i anslutning till lagen.

Vad utredningen föreslår i det följande avses uttömmande reglera i vilken mån direktåtkomst till personuppgifter som behandlas automatiserat i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall vara tillåten. Personuppgifter får alltså inte lämnas ut genom direktåtkomst i annan utsträckning än vad utlänningsdatalagen medger.

Med tanke på att personuppgiftssamlingarna inom verksamhetsområdet generellt sett är av integritetskänslig karaktär och på att sträng sekretess gäller för en stor del av de behandlade personuppgifterna, bör särregleringen präglas av restriktivitet. Direktåtkomst till personuppgifter bör därför medges endast i den mån det finns särskilda skäl att tillhandahålla uppgifterna på det sättet. Ett sådant särskilt skäl kan vara att direktåtkomst leder till väsentliga effektivitetsvinster jämfört med annat utlämnande på medium för automatiserad behandling. Detta kräver bl.a. att mottagaren har ett påtagligt behov av att hämta in uppgifter från värdmyndigheten i en betydande och frekvent omfattning. Om en mottagande myndighets direktåtkomst leder såväl till en snabbare genomströmning av ärenden som till att beslutsunderlaget blir fylligare och säkrare, är direktåtkomsten till gagn både för samhället och för enskilda sökande. Direktåtkomst bör vid sådant förhållande kunna tillåtas,

202

under förutsättning att den inte medför oacceptabla försämringar av skyddet för enskildas integritet.

Direktåtkomst mellan myndigheter

Migrationsverket är central utlänningsmyndighet i Sverige och har i denna egenskap en viktig funktion som informationsförsörjare till andra myndigheter som också bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen eller som annars behöver upplysningar om utlänningar som berörs av deras verksamhet. Det är också bara andra myndigheters direktåtkomst till Migrationsverkets personuppgifter som det i detta lagstiftningsärende finns behov av att tillåta. Utredningen föreslår därför att lagen enbart tillåter direktåtkomst till Migrationsverkets personuppgifter. Utredningen har vidare funnit att det inte finns något behov av att utvidga kretsen av myndigheter som skall ha direktåtkomst jämfört med vad som gäller i dag.

Frågan är i stället om alla de myndigheter som i dag har direktåtkomst – Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen, polismyndigheterna, utlandsmyndigheterna samt Centrala studiestödsnämnden – bör ha detta utifrån de utgångspunkter som utredningen anfört i det föregående.

När det gäller Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna är det uppenbart att effektivitetsvinsterna med direktåtkomst är stora. Gemensamt för myndigheterna är dessutom att de behöver uppgifterna för att utföra arbetsuppgifter i verksamhet som föreslås omfattas av utlänningsdatalagens bestämmelser (se avsnitt 6.2.3.1) och för ändamål som anges i utlänningsdatalagen (se avsnitt 6.5.3). Riskerna från integritetssynpunkt med direktåtkomst för myndigheter med samma verksamhetsområde som Migrationsverket är, enligt utredningens uppfattning, betydligt mindre än om de sprids utanför detta område. Visserligen kommer Rikspolisstyrelsens och polismyndigheternas fortsatta behandling att ofta regleras av polisdatalagen. Den lagen ger dock, enligt utredningens mening, ett tillfredsställande integritetsskydd. I övrigt kommer myndigheternas fortsatta hantering av personuppgifterna att regleras av utlänningsdatalagen och dess bestämmelser till skydd för enskildas personliga integritet. Sekretesskyddet för uppgifterna är vidare,

203

med ett undantag som behandlas nedan, lika starkt hos dessa mottagande myndigheter som hos Migrationsverket.

Som utredningen närmare kommer att utveckla i avsnitt 7 har de uppgifter som Integrationsverket skulle få direktåtkomst till inte ett lika starkt sekretesskydd hos Integrationsverket som hos Migrationsverket. Detta talar i någon mån mot att tillåta direktåtkomst. Uppgifterna som Integrationsverket har direktåtkomst till är emellertid förhållandevis harmlösa. Vidare kommer uppgifterna att behandlas enligt utlänningsdatalagen med det skydd som detta innebär för enskildas personliga integritet. Utredningens slutsats blir därför att Integrationsverket bör medges direktåtkomst.

Vid en samlad bedömning anser utredningen sålunda att det finns skäl att tillåta Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna att ha direktåtkomst till personuppgifter som behandlas av Migrationsverket. En bestämmelse härom föreslås införas i utlänningsdatalagen.

När det gäller Centrala studiestödsnämnden har nämnden för närvarande direktåtkomst till personuppgifter som nämnden behöver för handläggning av ärenden om hemutrustningslån till flyktingar och vissa andra utlänningar (avsnitt 3.3).

Enligt utredningens uppfattning är det mindre lämpligt att sprida integritetskänsliga uppgifter genom direktåtkomst till en mottagande myndighet som behandlar uppgifterna för andra ändamål än de för vilka uppgifterna ursprungligen har insamlats. Det kan vidare påpekas att de vid direktåtkomst tillgängliga personuppgifterna avser också utlänningar som inte är aktuella i Centrala studiestödsnämndens ärenden. Nämndens behandling styrs dessutom i huvudsak endast av personuppgiftslagens bestämmelser. För nämnden gäller t.ex. inga sökbegränsningar vid behandlingen av dessa uppgifter. Även om det torde åvila Migrationsverket att i egenskap av personuppgiftsansvarig myndighet genomföra de rättsliga sökbegränsningarna tekniskt så att det rent faktiskt inte går att söka i uppgiftssamlingarna på ett otillåtet sätt, är detta svagare rättsliga skydd för uppgifterna en omständighet som talar mot att tillåta direktåtkomst för Centrala studiestödsnämnden.

Mot bakgrund av det anförda anser utredningen att nämndens direktåtkomst kan medföra en försämring av de enskildas integritetsskydd jämfört med om uppgifterna lämnas ut på annat sätt. Det bör också vägas in att Centrala studiestödsnämndens behov av uppgifter om utlänningar, som omfattas av nämndens handläggning, utan

204

alltför mycket merarbete torde kunna tillgodoses på annat sätt än genom direktåtkomst.

Ett ytterligare skäl mot att tillåta direktåtkomst är att de tillgängliga uppgifterna inte får ett lika gott sekretesskydd hos Centrala studiestödsnämnden som hos Migrationsverket. Enligt 9 kap. 5 § andra stycket sekretesslagen gäller sekretess i ärenden om studiestöd och hemutrustningslån för uppgifter om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Såvitt gäller annat än studiestöd under sjukdom gäller sekretessen dock inte beslut i ärenden. Ett rakt skaderekvisit gäller således hos Centrala studiestödsnämnden för samma uppgifter som hos Migrationsverket presumeras vara sekretessbelagda enligt ett omvänt skaderekvisit, dvs. som får lämnas ut bara om det står klart att uppgiften kan röjas utan att den enskilde eller honom närstående lider men (7 kap. 14 § andra stycket sekretesslagen). Sekretessen enligt 9 kap. 5 § andra stycket sekretesslagen gäller inte heller för tillgängliga uppgifter om utlänningar som inte förekommer i nämndens ärenden.

Utredningen föreslår således att Centrala studiestödsnämnden inte skall medges direktåtkomst enligt utlänningsdatalagen. Förslaget hindrar självfallet inte att Migrationsverkets lämnar ut personuppgifterna till nämnden på medium för automatiserad behandling. Enligt vad utredningen erfarit förbereds inom Migrationsverket en snar övergång till ett sådant utlämnandesätt. Personuppgifter, som omfattas av författningsreglerade uppgiftsskyldigheter, kommer enligt det nya systemet att överföras från verket till nämnden genom s.k. filöverföring.

Närmare om hur utlämnande av personuppgifter genom direktåtkomst skall regleras

Enligt utredningens uppfattning är det inte lämpligt att i lagen precisera vilka uppgifter eller vilka uppgiftskategorier som direktåtkomsten får avse mer än att direktåtkomsten bara skall vara tillåten till uppgifter som Migrationsverket behandlar för vissa ändamål. Närmare preciseringar eller begränsning bör dock kunna ges i förordningsform, se avsnitt 6.18.3. Vidare bör av lagen uttryckligen framgå för vilka ändamål de mottagande myndigheterna får ha direktåtkomst.

205

Enligt utredningens bedömning bör direktåtkomsten enbart få förekomma dels till personuppgifter som Migrationsverket behandlar för ändamålet handläggning av ärenden, dels till personuppgifter som Migrationsverket behandlar för ändamålet informationsåtersökning. Av integritetsskäl bör direktåtkomsten inte få avse andra personuppgifter hos Migrationsverket än de nu nämnda. Förslaget i denna del överensstämmer med vad som i dag gäller.

När det gäller det först nämnda ändamålet, handläggning av ärenden, bör samtliga övriga myndigheter som omfattas av utlänningsdatalagens tillämpningsområde få ha direktåtkomst. För Utlänningsnämnden, Integrationsverket och utlandsmyndigheternas del föreslås att direktåtkomsten enbart får syfta till att ge information om personuppgifter som behövs i den mottagande myndighetens handläggning eller biträde vid handläggning av ärenden enligt utlännings- och medborgarskapslagstiftningen (dvs. samma ändamål för vilket Migrationsverket behandlar uppgifterna). Även Rikspolisstyrelsen och polismyndigheterna bör tillåtas direktåtkomst för detta ändamål. Polisens åtkomst till dessa uppgifter bör därutöver få användas för att inhämta information som polisen behöver för sin yttre och inre utlänningskontroll.

För att markera att möjligheterna till direktåtkomsten skall tillämpas restriktivt, bör föreskrivas att de tillgängliga personuppgifterna skall vara oundgängligen nödvändiga för att den mottagande myndigheten skall kunna utföra sina arbetsuppgifter.

Vidare bör Utlänningsnämnden, liksom i dag, samt utlandsmyndigheterna få ha direktåtkomst till personuppgifter som behandlas av Migrationsverket för ändamålet informationsåtersökning och som de mottagande myndigheterna behöver för samma ändamål.

Ändamålsbegränsningen innebär att mottagande myndigheter inte får använda direktåtkomsten för annat ändamål än det som bestämmelserna om direktåtkomst anger. Givetvis får informationen inte heller användas i verksamhet som inte alls omfattas av utlänningsdatalagens tillämpningsområde. Polisen får t.ex. inte i brottsutredande syfte kontrollera en brottsmisstänkt utlänning i Migrationsverkets STAMM-bas.

Det förhållandet att en mottagande myndighet, såsom t.ex. är fallet med Wilma-anslutna utlandsmyndigheter, kan registrera uppgifter i den uppgiftssamling till vilken man har direktåtkomst, innebär en fristående behandling av personuppgifter som regleras av utlänningsdatalagens bestämmelser.

206

I enlighet med utredningens förslag sker utlandsmyndigheternas och Integrationsverkets behandling av personuppgifter för ärendehandläggning under Migrationsverkets personuppgiftsansvar. Migrationsverkets personuppgiftsansvar innebär bl.a. att personuppgifter som behandlas av utlandsmyndigheterna och Integrationsverket och som registreras i eller annars överförs till Migrationsverkets uppgiftssamlingar för fortsatt behandling inte lämnas ut till Migrationsverket i personuppgiftslagens mening. Migrationsverket ansvarar ju också för dessa myndigheters behandlingar av personuppgifterna, däribland för registreringen i STAMM och för annan överföring. Det sagda innebär att Migrationsverket i princip får ha åtkomst till sådana personuppgifter hos utlandsmyndigheter och Integrationsverket som omfattas av personuppgiftsansvaret utan att det särskilt behöver anges i utlänningsdatalagen, eftersom åtkomsten inte innebär något utlämnande av personuppgifter. En annan sak är att sekretess kan hindra att uppgifterna överförs till Migrationsverkets datasystem. Som nyss sagts återkommer utredningen till frågan om direktåtkomst och sekretess i avsnitt 7.

Direktåtkomst för enskilda

Under utredningens arbete har det inte framkommit att det finns något behov hos enskilda subjekt av direktåtkomst till personuppgifter som behandlas av Migrationsverket. Av hänsyn till risken för oacceptabla integritetsintrång anser utredningen vidare att det inte utan mycket starka skäl bör förekomma att andra än myndigheter får direktåtkomst till uppgifter som behandlas enligt utlänningsdatalagen.

Även om det i och för sig kan tänkas finnas ett intresse för en enskild sökande att ha omedelbar tillgång till vissa automatiserat behandlade personuppgifter i ärenden som berör honom eller henne anser utredningen att säkerhetsmässiga skäl åtminstone för närvarande talar emot en sådan åtkomst.

Vilka personer inom myndigheterna skall få ges åtkomst?

Från integritetssynpunkt är det givetvis angeläget att personalens möjlighet att via en direktuppkopplad terminal ta del av och söka efter uppgifter som behandlas inom myndigheten eller av en annan myndighet inte är vidare än nödvändigt. Endast de personer som på

207

grund av sina arbetsuppgifter behöver tillgång till uppgifterna bör därför ha åtkomst till dem. Redan den sekretess som i stor utsträckning gäller för de integritetskänsliga personuppgifter som behandlas inom myndigheterna utgör emellertid ett starkt incitament för myndigheterna att begränsa personalens åtkomst till uppgifterna.

Personuppgiftslagens allmänna bestämmelser om grundläggande krav på säkerhet vid behandling av personuppgifter (30 och 31 §§ personuppgiftslagen) medför vidare att den personuppgiftsansvariga myndigheten måste vidta olika åtgärder för att förhindra missbruk. Ett exempel på en säkerhetsåtgärd kan vara just att åtkomsten till personuppgifter som behandlas begränsas genom system med olika behörighetsnivåer. Vid utredningens kartläggning av den nuvarande behandlingen av personuppgifter har som nyss nämnts framkommit att myndigheterna tillämpar behörighetssystem vars syfte är att begränsa den krets som har tillgång till integritetskänslig eller annars hemlig information till det nödvändiga.

Enligt utredningens mening är det i och för sig inte nödvändigt att införa en bestämmelse i utlänningsdatalagen som närmare anger vilka personer som skall få ges åtkomst till behandlade personuppgifter. Det bör dock uttryckligen framgå av lagen att personuppgiftsansvarig myndighet endast får ge åtkomstbehörighet till de personer som på grund av sina arbetsuppgifter har ett verkligt behov av uppgifterna. Den föreslagna bestämmelsen gäller åtkomst till personuppgifter som behandlas såväl inom den egna myndigheten som av en annan myndighet men till vilken den egna myndigheten har direktåtkomst enligt vad som föreslagits i det föregående.

Utredningen återkommer i avsnitt 6.12 till vad som föreslås gälla i fråga om säkerhet vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

6.11Information till den registrerade

Utredningens bedömning: Personuppgiftslagens bestämmelser i 23–27 §§ om den information som skall lämnas till den registrerade bör gälla även när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Några ytterligare bestämmelser om information behövs inte.

208

6.11.1Personuppgiftslagens bestämmelser om information

I 23–27 §§ personuppgiftslagen finns bestämmelser om information om behandling av personuppgifter som den personuppgiftsansvarige är skyldig att lämna till den registrerade. Dessa bestämmelser har sin motsvarighet i artikel 10–13 i dataskyddsdirektivet.

Regleringen gäller dels den personuppgiftsansvariges skyldighet att självmant lämna information till den registrerade i samband med att personuppgifterna samlas in (23–25 §§), dels den personuppgiftsansvariges skyldighet att lämna information på den registrerades begäran (26 §). Gemensamt för båda fallen är att bestämmelser om sekretess och tystnadsplikt går före skyldigheten att lämna information (27 §).

Enligt 23 § personuppgiftslagen skall den personuppgiftsansvarige i samband med att personuppgifter samlas in från personen själv, självmant lämna den registrerade information om behandlingen av uppgifterna. Enligt kommentaren till personuppgiftslagen bör huvudregeln vara att den registrerade får information innan han eller hon lämnar uppgifterna eller uppgifterna annars samlas in från honom eller henne (Öman – Lindblom, Personuppgiftslagen En kommentar, 2001, andra uppl, s. 187). Domstolsdatautredningen har beträffande frågan om när information bör lämnas i det fallet att den registrerade själv har sänt in uppgifter till den personuppgiftsansvarige, ansett att det är en rimlig utgångspunkt att myndigheten första gången den tar skriftlig kontakt med den enskilde lämnar information om att uppgifter om denne som lämnas i ett mål eller ärende kan komma att registreras och fortsättningsvis behandlas automatiserat vid handläggningen av målet eller ärendet (SOU 2001:32 s. 125).

När uppgifterna samlas in från någon annan källa än den registrerade, skall den personuppgiftsansvarige enligt 24 § som huvudregel självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras, dvs. när de matas in i en dator eller sorteras in i ett manuellt register som omfattas av lagen. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. Från informationsskyldigheten i fråga om uppgifter som samlas in från annan källa än den enskilde själv finns några undantag. Information behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifter i lag eller någon annan författning. Vidare behöver information inte lämnas,

209

om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.

I 25 § anges vilken information som skall lämnas självmant enligt 23 eller 24 §. Informationen skall omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen och all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till, t.ex. på grund av att han eller hon redan har fått informationen i enlighet med annan lagstiftning.

En gång per kalenderår är den personuppgiftsansvarige enligt 26 § skyldig att till var och en som ansöker om det gratis lämna besked huruvida personuppgifter som rör den registrerade behandlas eller ej. Behandlas sådana uppgifter, skall skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtas, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. I 26 § andra stycket finns det bestämmelser dels om den registrerades ansökan, dels om vid vilken tidpunkt efter ansökan som den personuppgiftsansvarige skall lämna information. Från informationsplikten enligt 26 § gäller endast undantag för personuppgifter i löpande text som inte har fått sin slutliga utformning när den registrerade gjorde sin ansökan eller som utgör minnesanteckning. Förebilden till undantagen är regleringen i 2 kap. 9 § tryckfrihetsförordningen. Praxis kring denna tryckfrihetsbestämmelse torde kunna ge en viss vägledning vid tolkningen av undantagen i 26 § personuppgiftslagen. Med löpande text avses text som inte har strukturerats så att sökning av personuppgifter underlättas. Undantagen gäller emellertid inte om personuppgifter i den löpande texten har lämnats ut till tredje man eller om personuppgifterna i den löpande texten behandlas enbart för historiska, statistiska eller vetenskapliga ändamål. Vidare gäller inte undantagen från informationsplikten om personuppgifterna i den löpande texten har behandlats under längre tid än ett år före den registrerades ansökan.

210

Från informationsskyldigheten i 23–26 §§ finns ett väsentligt och generellt undantag vid sekretess och tystnadsplikt som enligt 27 § alltid gäller före skyldigheten att lämna information. I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller, enligt 27 §, inte bestämmelserna i 23–26 §§.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om vilken information som skall lämnas till den registrerade och hur lämnandet av informationen skall gå till (50 § e). Regeringen har i 13 § 5 personuppgiftsförordningen bemyndigat Datainspektionen att meddela sådana föreskrifter. Några föreskrifter har emellertid ännu inte utfärdats. Däremot har Datainspektionen gett ut allmänna råd om information till den registrerade enligt personuppgiftslagen.

6.11.2Utredningens överväganden

I det föregående har påpekats att personuppgiftslagen inte innehåller någon bestämmelse som medger ytterligare undantag i fråga om informationsskyldigheten än dem som framgår av lagen. Anledningen därtill är att personuppgiftslagen inte går längre än vad som krävs med hänsyn till dataskyddsdirektivet (prop. 1997/98:44 s. 79). Personuppgiftslagens informationsbestämmelser uppfyller således direktivets minimikrav. I en särlag för behandling av personuppgifter i en viss verksamhet är det därför bara möjligt att göra andra undantag än dem personuppgiftslagen anger, om verksamheten i fråga inte omfattas av dataskyddsdirektivets tillämpningsområde. Direktivet tillåter dock att informationsskyldigheten utvidgas eller preciseras.

Som utredningen tidigare konstaterat (avsnitt 5.3) är verksamhet enligt utlännings- och medborgarskapslagstiftningen till övervägande del sådan som omfattas av gemenskapsrätten. Utredningen har också bedömt att utlänningsdatalagen inte bör innehålla från dataskyddsdirektivet avvikande särbestämmelser i fråga om behandling av personuppgifter i verksamhet som faller utanför direktivets tillämpningsområde. Vad som faller utanför är t.ex. verksamhet enligt medborgarskapslagstiftningen och lagen om särskild utlänningskontroll.

211

Den enskildes rätt att få information om behandling av personuppgifter som gäller honom eller henne är en viktig del av det integritetsskydd som personuppgiftslagen och dataskyddsdirektivet syftar till att säkerställa, eftersom den enskilde behöver informationen för att kunna ta till vara sina rättigheter i samband med behandlingen. Enligt utredningens mening finns det inte något beaktansvärt skäl att minska detta integritetsskydd för sådan behandling enligt utlänningsdatalagen som inte omfattas av dataskyddsdirektivet. Enhetliga regler som bygger på direktivet bör således gälla. Det sagda innebär att utredningen inte föreslår någon inskränkning i förhållande till personuppgiftslagens bestämmelser om informationsskyldighet.

Enligt utredningens uppfattning är personuppgiftslagens bestämmelser om den personuppgiftsansvariges informationsplikt tillfredsställande från integritetssynpunkt när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det finns därför inget behov av att utvidga informationsskyldigheten utöver vad som följer av personuppgiftslagen. När personuppgifter behandlas enligt utlänningsdatalagen föreslås således att personuppgiftslagens bestämmelser om information skall gälla. Detta behöver inte särskilt anges i utlänningsdatalagen, eftersom personuppgiftslagens bestämmelser gäller om inget annat sägs (se avsnitt 6.3).

Vidare anser utredningen att 25 och 26 §§ personuppgiftslagen ger tillräcklig vägledning i fråga om vad informationen till den enskilde skall innehålla. Reglerna behöver därför inte preciseras i utlänningsdatalagen. Det kommer alltså att ankomma på respektive personuppgiftsansvarig myndighet att själv och inom personuppgiftslagens ramar avgöra vilken information som skall lämnas. När det gäller undantaget från informationsskyldigheten då det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i annan författning (24 § andra stycket personuppgiftslagen), kan framhållas att det enligt utredningens mening är tveksamt om bestämmelserna i utlänningsdatalagen är tillräckligt preciserade för att omfattas av undantaget. Lagen torde nämligen inte uppfylla kravet enligt artikel 11.2 i dataskyddsdirektivet om att registreringen eller utlämnandet måste vara uttryckligen föreskrivet i författning.

Sammanfattningsvis anser utredningen således att någon särbestämmelse om information inte behövs i utlänningsdatalagen.

Förslaget innebär bl.a. att det åligger Migrationsverket att i egenskap av personuppgiftsansvarig lämna sådan information till registre-

212

rade som personuppgiftslagen föreskriver även såvitt avser behandling som företas av utlandsmyndigheterna och viss behandling av Integrationsverket. Inget hindrar emellertid att det i praktiken är dessa myndigheter som överlämnar Migrationsverkets information till de registrerade eller annars förmedlar ansökningar eller andra förfrågningar från registrerade till Migrationsverket. Utredningen anser vidare att det kan förutsättas att Integrationsverket och utlandsmyndigheterna gör den utredning och de efterforskningar som krävs för att informationsskyldigheten skall kunna uppfyllas i varje enskilt fall.

6.12Säkerheten vid behandling och Datainspektionens befogenheter

Utredningens bedömning: Personuppgiftslagens bestämmelser om säkerheten vid behandlingen (30 och 31 §§) och tillsynsmyndighetens befogenheter (32 och 43–47 §§) skall gälla också när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Regeringen, eller i vissa fall den myndighet som regeringen bestämmer, bemyndigas att meddela närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas enligt utlänningsdatalagen. Några särskilda bestämmelser därutöver behövs inte.

Datainspektionen skall vara tillsynsmyndighet även då personuppgifter behandlas enligt utlänningsdatalagen.

6.12.1Personuppgiftslagens bestämmelser om säkerhet vid behandling och tillsynsmyndighetens befogenheter

I 30 och 31 §§ personuppgiftslagen finns regler om hur den personuppgiftsansvarige skall organisera arbetet för att garantera säkerheten för personuppgifter som behandlas.

Enligt 30 § får ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Av dataskyddsdirektivet framgår inte hur utförliga instruktioner som den personuppgiftsansvarige måste lämna sina medhjälpare. Datalagskommittén har dock framhållit att den personuppgiftsansvarige i princip bär ansvaret för att

213

instruktionerna är så tydliga att otillåten behandling inte kommer att utföras (SOU 1997:39 s. 408). Om det i lag eller annan författning finns särskilda bestämmelser om behandling av personuppgifter i det allmännas verksamhet, skall dessa gälla i stället (30 § tredje stycket). Enligt personuppgiftslagens förarbeten avses särskilt bestämmelser om tystnadsplikt och sekretess (prop. 1997/98:44 s. 136).

Enligt 31 § skall en personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Personuppgiftslagen föreskriver således inte någon konkret säkerhetsåtgärd som skall eller bör vidtas utan ger en kortfattad och allmänt hållen uppräkning av de faktorer som skall beaktas av den personuppgiftsansvarige. Av- sikten är, enligt personuppgiftslagens förarbeten, att regeringen eller myndighet som regeringen bestämmer skall meddela närmare föreskrifter om säkerhetsåtgärder som behövs (prop. 1997/98.44 s. 92). Enligt 50 § b personuppgiftslagen får regeringen eller myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige. I 16 § personuppgiftsförordningen har regeringen bemyndigat tillsynsmyndigheten, dvs. Datainspektionen, att meddela sådana föreskrifter. Några föreskrifter har ännu inte meddelats. Däremot har Datainspektionen gett ut allmänna råd om säkerhet för personuppgifter.

Av 32 § personuppgiftslagen följer att Datainspektionen i enskilda fall får besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta. Datainspektionen har också rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter (43 §). Datainspektionen har vidare vissa möjligheter att förelägga vite och att förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på annat sätt än att lagra dem (44–46 §§). Datainspektionen har också möjlighet att hos domstol ansöka om att personuppgifter som har behandlats på ett olagligt sätt skall utplånas (47 §).

214

6.12.2Utredningens överväganden

Enligt utredningens uppfattning bör personuppgiftslagens bestämmelser om säkerheten vid behandling av personuppgifter gälla även när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Att i lagen eller i en förordning som utfärdas med stöd av lagen konkret ange vilka säkerhetsåtgärder som skall vidtas ter sig inte lämpligt. Rent allmänt bör emellertid framhållas att det stora antalet registrerade i här aktuell verksamhet och mängden integritetskänsliga uppgifter medför att höga krav måste ställas på de säkerhetsåtgärder som skall vidtas för att skydda personuppgifterna. Hög kvalitet på tekniska skyddsåtgärder såsom t.ex. säkra funktioner för behörighetskontroll, loggning, kryptering, säkerhetskopiering, antivirusprogram m.m. måste förutsättas, särskilt i en så integritetskänslig och omfattande verksamhet som bedrivs av Migrationsverket. Minst lika viktigt är fasta rutiner för hanteringen av personuppgifter och att personalen kontinuerligt utbildas och informeras om säkerhetsfrågor. Personuppgifter i e-post kan nämnas som ett exempel på behandling som det kan finnas särskild anledning att skapa fasta rutiner och interna säkerhetsregler för.

Det kan vidare nämnas att bestämmelser om säkerhetsåtgärder till skydd för uppgifter finns även i annan lagstiftning, t.ex. i arkivlagen (1990:782) med anknytande författningar. Sådana bestämmelser gäller vid sidan av personuppgiftslagens bestämmelser. Det innebär att en myndighet måste vidta skyddsåtgärder såväl i egenskap av arkivbildande myndighet som i egenskap av personuppgiftsansvarig. Enligt utredningens lagförslag kommer personuppgiftsansvarig myndighet inte alltid att vara identisk med arkivbildande myndighet. Migrationsverket föreslås bli personuppgiftsansvarigt för utlandsmyndigheternas och viss del av Integrationsverkets behandling av personuppgifter enligt lagen. Utlandsmyndigheternas och Integrationsverkets arkivansvar kommer emellertid att kvarstå. Enligt utredningens bedömning finns det inte anledning att befara att detta delvis överlappande ansvar mellan myndigheterna kommer att ge upphov till några problem.

Bestämmelserna om tillsynsmyndighetens befogenheter bör gälla även när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Sammanfattningsvis föreslår utredningen således att personuppgiftslagens bestämmelser om säkerheten vid behandling av person-

215

uppgifter och tillsynsmyndighetens, dvs. Datainspektionens, befogenheter skall gälla även när personuppgifter behandlas enligt den föreslagna utlänningsdatalagen. Som nämnts i avsnitt 6.4 och som närmare kommer att beröras i avsnitt 6.18.6 föreslår utredningen att det i lagen införs ett uttryckligt bemyndigande för regeringen eller i vissa fall den myndighet regeringen bestämmer att meddela föreskrifter om säkerhetsåtgärder. Bemyndigandet syftar främst till att Migrationsverket skall ges rätt att besluta om närmare föreskrifter för sådan behandling av personuppgifter som utförs av Integrationsverket eller utlandsmyndigheterna men som Migrationsverket är personuppgiftsansvarigt för. Detta bemyndigandet utesluter inte att Datainspektionen beslutar om säkerhetsåtgärder i enskilda fall enligt 32 § personuppgiftslagen eller meddelar föreskrifter om säkerhetsåtgärder enligt 16 § 2 personuppgiftsförordningen jämförd med 50 § b personuppgiftslagen.

6.13Överföring av personuppgifter till tredje land

Utredningens förslag: Myndigheter får föra över uppgifter till tredje land om den registrerade samtycker till det eller om det är oundgängligen nödvändigt för ändamålen handläggning av ärenden eller en myndighets biträde i sådana ärenden, yttre och inre utlänningskontroll, uppgiftsutlämnande samt informationsåtersökning.

6.13.1Personuppgiftslagens bestämmelser om överföring av personuppgifter till tredje land

Spridning av personuppgifter till tredje land regleras i 33–35 §§ personuppgiftslagen. Med tredje land avses en stat som inte ingår i EU eller är ansluten till EES. Regleringen grundas på bestämmelserna i artikel 25 och 26 i dataskyddsdirektivet och ingresspunkt 56–60 till direktivet. Bestämmelserna i direktivet är tämligen detaljerade och komplicerade. För att undvika alltför komplicerad lagstiftning infördes i personuppgiftslagen endast de regler som är nödvändiga med hänsyn till dataskyddsdirektivet, nämligen det grundläggande förbudet mot överföring av personuppgifter till tredje land och de konkreta undantag från förbudet som anges i direktivet (prop. 1997/98:44 s. 95 f.). I övrigt bemyndigades

216

regeringen eller den myndighet regeringen bestämmer att inom direktivets ram meddela ytterligare undantag från förbudet. Dessa undantag kan vara generella eller avse enskilda fall.

Nedan följer en kortfattad redogörelse för bestämmelserna om överföring av personuppgifter till tredje land. Redogörelsen koncentreras till bestämmelser som är relevanta för utredningens överväganden.

Enligt 33 § personuppgiftslagen gäller ett principiellt förbud mot att till tredje land föra över personuppgifter som är under behandling eller skall behandlas i tredje land, om inte det aktuella landet har en adekvat skyddsnivå för uppgifterna. Vid bedömningen av om skyddsnivån är adekvat skall särskild vikt läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmandelandet och de regler som finns för behandlingen i det tredje landet. Med att personuppgifter är under behandling avses att de är föremål för sådan behandling som omfattas av personuppgiftslagen, dvs. behandling som är helt eller delvis automatiserad eller som sker manuellt i register. Förbudet träffar också personuppgifter som förs över i syfte att de i tredje land skall undergå sådan behandling.

Riktigt vad som i praktiken skall förstås med överföring av personuppgifter till tredje land är svårt att utläsa ur direktivet och personuppgiftslagen. Enligt en kommentar till lagen verkar också det förfarandet att personuppgifter, som undergår automatiserad behandling i Sverige, sänds till tredje land i form av en pappersutskrift omfattas (Öman – Lindblom, Personuppgiftslagen En kommentar, andra upplagan, 2001, s. 246). Enligt kommentaren verkar inte heller krävas att personuppgifterna lämnas ut till tredje man för att reglerna om överföring till tredje land skall vara tillämpliga. Personuppgifterna kan alltså överföras till tredje land även om de fortsätter att vara under den personuppgiftsansvariges kontroll, t.ex. om den personuppgiftsansvarige på en tillfällig resa till tredje land tar med sig en bärbar dator vari personuppgifter dessförinnan lagrats (a.a. s. 247). Motsvarande bedömning har gjorts vid direktivets genomförande i Finland och Danmark medan Norge har intagit en motsatt ståndpunkt. Hur direktivet och lagen i detta avseende skall tolkas blir en fråga för rättstillämpningen, i sista hand EG-domstolen.

Vissa undantag från förbudet i 33 § finns angivna i 34 § personuppgiftslagen. Enligt denna bestämmelse får personuppgifter överföras till tredje land, om den registrerade har lämnat sitt samtycke

217

till överföringen eller om överföringen är nödvändig för vissa särskilt uppräknade syften. Sistnämnda undantag torde sakna tillämpning för personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Personuppgifter får dessutom överföras för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention (se avsnitt 2.1). En överföring som sker för att följa lagens krav, t.ex. lämnande av information enligt 26 § till en registrerad i tredje land, torde vidare vara tillåten.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela ytterligare undantag från förbudet i 33 § i vissa fall. Undantag får därvid bl.a. föreskrivas för överföring till vissa stater eller om överföring till tredje land behövs med hänsyn till ett viktigt allmänt intresse. I punkt 58 i ingressen till dataskyddsdirektivet anges utbyte av uppgifter mellan skattemyndigheter, tullmyndigheter eller socialförsäkringsmyndigheter som exempel på viktiga allmänna intressen.

Det bör vidare påpekas att allt överförande till tredje land av personuppgifter måste vara tillåten behandling enligt 10 och 13– 22 §§ samt uppfylla de grundläggande kraven i 9 § personuppgiftslagen. Ett uppgiftsutlämnande får givetvis inte heller strida mot sekretesslagen.

Här skall vidare nämnas att utlänningsdataförordningen medger att uppgifter som behandlas i ett rättsfallsregister får föras över till tredje land under förutsättning att uppgifterna inte direkt pekar ut den registrerade.

6.13.2Utredningens överväganden

I utredningens direktiv har regeringen anfört att behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen till betydande del är av internationell karaktär samt att överföring av uppgifter till andra EU-länder eller till tredje land är vanligt förekommande inom ramen för olika former av samarbete. Vid utredningens kartläggning av den nuvarande behandlingen i verksamhetsområdet har det framkommit att det i huvudsak är till andra EU-länder eller annars inom EES som personuppgifter överförs för ändamål som föreslås i utlänningsdatalagen.

När det gäller informationsutbytet med utlandsmyndigheter belägna i tredje land bör anmärkas att utlämnande till dem av

218

personuppgifter – genom direktåtkomst till Migrationsverkets datasystem eller på annat sätt – inte torde innebära att uppgifterna förs över till tredje land i strid mot förbudet i 33 § personuppgiftslagen. Till stöd härför kan artikel 4.1 b) dataskyddsdirektivet åberopas.

I artikel 4 regleras vilken nationell rätt som är tillämplig på behandling av personuppgifter. Av punkt 1 b) i artikeln följer att en medlemsstats nationella rätt skall tillämpas även om den registeransvarige inte är etablerad inom medlemsstatens territorium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten. Överföring till en utlandsmyndighet kan därför inte ses som en överföring till tredje land. Enligt utredningens uppfattning är det först om utlandsmyndigheten i sin tur lämnar ut personuppgifterna till mottagare i det tredje landet, t.ex. till en förtroendeadvokat eller andra utomstående, som det sker en överföring till tredje land av personuppgifterna.

Internationellt samarbete och informationsutbyte har kommit att spela en alltmer framträdande roll i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Denna utveckling jämsides med att myndigheternas informationshantering i allt högre grad blir elektronisk medför, enligt utredningen, att det är ett allmänt intresse att personuppgifter som behandlas enligt utlänningsdatalagen bör kunna föras över till tredje land när det krävs för att myndigheterna skall kunna utföra sina uppgifter på ett rationellt och rimligt sätt. Den föreslagna utlänningsdatalagen bör därför inte hindra överföring till tredje land som är befogad utifrån detta allmänintresse.

Som tidigare redovisats får personuppgifter enligt gällande rätt överföras till tredje land, om den registrerade samtycker till det. Om en registrerad i tredje land t.ex. ansöker om visum vid en utlandsmyndighet, får han eller hon givetvis anses ha samtyckt till den överföring som sker då han eller hon får del av beslutet. Likaså får en registrerad i tredje land som inleder en elektronisk kommunikation med en myndighet i Sverige, t.ex. via e-post eller via ett särskilt inrättat elektroniskt ansökningsförfarande, anses samtycka till att den fortsatta kommunikationen kan inbegripa överföring av personuppgifter till tredje land. Här får det anses vara fråga om s.k. konkludent handlande som konstituerar ett samtycke.

Emellertid har utredningens genomgång av verksamhetsområdet visat att det ibland finns behov av att överföra personuppgifter till tredje land även i fall där det inte föreligger något samtycke och

219

inte rimligen heller kan krävas att den registrerades samtycke först inhämtas. Det kan här nämnas att Utredningen om sekretess vid utlandsmyndigheter m.m., i sitt betänkande Utlandsmyndigheternas medverkan i utlänningsärenden m.m. (SOU 2001:110 s. 66 f.), har redovisat att sekretessbelagda personuppgifter, även utan den registrerades samtycke, ofta lämnas ut till förtroendeadvokater eller andra då utlandsmyndigheter i tredje land biträder utlänningsmyndigheter i Sverige med utredning i enskilda ärenden.

Även andra fall kan tänkas då en utlandsmyndighet, polisen eller en utlänningsmyndighet måste lämna ut personuppgifter till tredje land, t.ex. för att därigenom själva få ytterligare information som behövs i ett ärende eller för identitetskontroll av en utlänning som påträffas i Sverige. Frågor kan också ställas av myndigheter i tredje land till svenska myndigheter. Utlänningsmyndigheterna deltar vidare i olika samarbetsorgan rörande asyl- och migrationsfrågor där även tredje länder medverkar och där det kan bli aktuellt att från svensk sida tillhandahålla sådan allmängiltig information som finns t.ex. i Migrationsverkets informationssamling LIFOS. Även den informationen kan ibland innehålla personuppgifter som omfattas av den föreslagna utlänningsdatalagen.

Mot bakgrund av det sagda är det utredningens slutsats att de i dag tillämpliga undantagen – den registrerades samtycke och undantaget i utlänningsdataförordningen – inte är tillräckliga för all sådan överföring av personuppgifter som avses behandlas enligt utlänningsdatalagen och som sker för ett viktigt allmänt intresse. Ytterligare undantag behövs. En särreglering i utlänningsdatalagen är alltså påkallad.

Utredningen föreslår att en bestämmelse tas in i lagen som ersätter personuppgiftslagens regler om undantag från förbudet mot överföring av personuppgifter till tredje land (34 § första stycket personuppgiftslagen). Förutom med den registrerades samtycke föreslås överföring av personuppgifter till tredje land få ske om det är oundgängligen nödvändigt för den överförande myndighetens handläggning av ärende eller biträde i sådana ärenden, yttre eller inre utlänningskontroll, fullgörande av uppgiftsutlämnande samt för sådan behandling som sker för ändamålet att återsöka information om praxis, förhållanden i andra länder m.m.

Förslaget är enligt utredningens bedömning förenligt med vad dataskyddsdirektivet anger om att undantag från överföringsförbudet får göras för ett viktigt allmänt intresse. Av hänsyn till integritetsintresset kan det dock finnas anledning att i vissa fall

220

begränsa vilka uppgiftskategorier som får föras över eller till vilka mottagare som överföringen får ske. Som kommer att framgå i avsnitt 6.18.4 föreslår utredningen därför att regeringen, eller i vissa fall den myndighet regeringen bestämmer, skall bemyndigas att meddela föreskrifter om begränsningar i förhållande till vad lagen medger.

6.14Anmälan till Datainspektionen m.m.

Utredningens bedömning: Behandling av personuppgifter enligt utlänningsdatalagen behöver inte anmälas till tillsynsmyndigheten (Datainspektionen).

Bestämmelserna i 38–40 §§ personuppgiftslagen om personuppgiftsombudets åligganden skall tillämpas.

Bestämmelsen i 41 § personuppgiftslagen om att regeringen får meddela föreskrifter om särskild anmälningsskyldighet till tillsynsmyndigheten och förhandskontroll avseende särskilt integritetskänsliga behandlingar bör gälla även när personuppgifter behandlas enligt utlänningsdatalagen.

Några särbestämmelser i utlänningsdatalagen som gäller det sagda behövs inte.

Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt 36 § första stycket personuppgiftslagen av anmälningsskyldighet. Anmälan skall göras skriftligen till Datainspektionen (tillsynsmyndigheten). Anmälningsskyldigheten är emellertid inte undantagslös. Av personuppgiftslagen följer att anmälan inte behöver göras, om den personuppgiftsansvarige har anmält att ett personuppgiftsombud har utsetts och vem det är (37 §). Vidare får regeringen eller den myndighet regeringen bestämmer enligt 36 § tredje stycket meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Sådana föreskrifter finns bl.a. i 3 § 3 personuppgiftsförordningen där det anges att anmälningsskyldigheten enligt 36 § första stycket personuppgiftslagen inte gäller för behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning. Personuppgiftsförordningens undantag från anmälningsplikten innebär att behandling av personuppgifter som kommer att regleras av den föreslagna utlännings-

221

datalagen inte kommer att omfattas av anmälningsskyldigheten såvitt annat inte uttryckligen anges i lagen. Detta gäller alldeles oavsett om ett personuppgiftsombud har utsetts eller inte.

Något skäl att ändå föreskriva anmälningsplikt i utlänningsdatalagen finns inte enligt utredningens uppfattning.

Personuppgiftslagens bestämmelser i 38–40 §§ om personuppgiftsombudets uppgifter bör vidare tillämpas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Visserligen föreligger ingen skyldighet att utse ett personuppgiftsombud enligt personuppgiftslagen. Ombuden fyller dock en viktig funktion för enskildas integritetsskydd. Hos Migrationsverket, Integrationsverket och Utlänningsnämnden finns för närvarande personuppgiftsombud. Enligt utredningens uppfattning bör ombud finnas hos ansvariga myndigheter när det gäller sådan omfattande och integritetskänslig behandling av personuppgifter som här är i fråga.

Slutligen anser utredningen att bestämmelsen i 41 § personuppgiftslagen om att regeringen får meddela föreskrifter om särskild anmälningsskyldighet till tillsynsmyndigheten och förhandskontroll avseende särskilt integritetskänsliga behandlingar, bör gälla även när personuppgifter behandlas enligt utlänningsdatalagen.

Eftersom personuppgiftslagen gäller om inget annat sägs (se avsnitt 6.3), behövs ingen föreskrift i utlänningsdatalagen som berör frågor om anmälning eller personuppgiftsombud.

6.15Bevarande och gallring m.m.

Utredningens förslag: Personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall bevaras eller gallras i enlighet med arkivlagens bestämmelser. Det behövs ingen bestämmelse om detta i utlänningsdatalagen. Ett undantag föreslås dock för Migrationsverkets fingeravtrycksregister som skall gallras enligt nuvarande ordning. En bestämmelse härom bör intas i en förordning som utfärdas i anslutning till utlänningsdatalagen.

Personuppgifter i automatiserade uppgiftssamlingar som används i myndigheternas löpande kärnverksamhet skall avskiljas från dessa uppgiftssamlingar när de inte längre behövs i denna verksamhet. Åtkomst till avskilda uppgifter skall vara förbehållen de personer som är i oundgängligt behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

222

Enligt direktiven bör utredningen uppmärksamma frågor om bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål.

Dataskyddsdirektivet och personuppgiftslagen utgår från att det ligger i den registrerades intresse att personuppgifter inte bevaras. Gallring av elektroniskt lagrade allmänna handlingar är en sedan många år vedertagen metod att skydda enskildas personliga integritet vid behandling av personuppgifter inom offentlig verksamhet.

Frågor om bevarande och gallring berör emellertid inte bara integritetsskydd. Mot den registrerades integritetsintresse står nämligen allmänna och enskilda intressen av att information bevaras såväl för samtiden som för eftervärlden.

Nedan redogörs i korthet för det bakomliggande regelverket i fråga om bevarande och gallring samt för vad som för närvarande gäller i berört hänseende i den verksamhet som omfattas av den föreslagna utlänningsdatalagens tillämpningsområde.

6.15.1Grundläggande regler

Handlingsoffentligheten

Enligt 2 kap. 1 § tryckfrihetsförordningen har varje svensk medborgare en grundlagsfäst rätt att ta del av allmänna handlingar. Av bestämmelsen framgår att syftet härmed är att främja ett fritt meningsutbyte och en allsidig upplysning. Rätten att ta del av allmänna handlingar, handlingsoffentligheten, är ett av de viktigaste inslagen i offentlighetsprincipen, dvs. den grundsats som innebär att samhällsorganens verksamhet skall bedrivas under allmän insyn och kontroll.

Handlingsoffentlighetens syften brukar, utöver vad som anges i 2 kap. 1 §, sammanfattningsvis sägas vara att garantera rättssäkerheten samt effektiviteten i förvaltningen och i folkstyret.

Vad som är en allmän handling definieras i 2 kap. tryckfrihetsförordningen. Här skall enbart nämnas att med handling förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Begreppet handling avser alltså inte bara papper med skrift eller bild utan även t.ex. upptagningar för automatiserad behandling, CD- romskivor, filmer m.m. Handlingar i form av upptagningar tar inte

223

sikte på något konkret fysiskt objekt utan på själva informationsinnehållet.

I 15 kap. sekretesslagen finns regler om myndigheternas registreringsskyldighet beträffande allmänna handlingar. Syftet är att garantera allmänhetens rätt att få tillgång till allmänna handlingar. Vad gäller upptagningar för automatisk databehandling finns särbestämmelser i 15 kap. 9–14 §§ sekretesslagen. Det åligger myndigheter som i sin verksamhet använder automatisk databehandling att bl.a. ordna denna med beaktande av den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar.

Handlingsoffentligheten är emellertid inte undantagslös. Av hänsyn till allmänna eller enskilda intressen gäller en rad undantag som är tillkomna efter en avvägning gentemot intresset av offentlighet. I vilka fall allmänna handlingar är undandragna allmän insyn och kontroll regleras i sekretesslagen.

Personuppgifter som förekommer i verksamhet enligt utlännings- och medborgarskapslagstiftningen kan ofta inte lämnas ut, eftersom en prövning enligt sekretesslagen hindrar ett utlämnande. Den bestämmelse som i första hand är tillämplig finns i 7 kap. 14 § andra stycket sekretesslagen som reglerar sekretessen i verksamhet för kontroll över utlänningar m.m. När det gäller bistånd åt asylsökande m.fl. kan också 7 kap. 4 § tredje stycket sekretesslagen komma i fråga. Den nu berörda sekretessen syftar till att skydda enskildas personliga integritet. När det gäller information om förhållanden i länder varifrån många asylsökande kommer, kan även reglerna om utrikessekretess enligt 2 kap. 1 § sekretesslagen bli tillämpliga.

Arkivvård och gallring

Handlingsoffentligheten bärs upp av arkivsystemet som innebär att allmänna handlingar skall bevaras i arkiv som hålls ordnade bl.a. för att tillgodose allmänhetens rätt att ta del av allmänna handlingar.

Grundläggande bestämmelser om bevarande och gallring av allmänna handlingar hos myndigheter finns i arkivlagen (1990:782). Lagen är en ramlag som innehåller allmänna och övergripande bestämmelser för myndigheternas arkiv. Lagbestämmelserna fylls ut av arkivförordningen (1991:446) samt de myndighetsspecifika beslut eller generella föreskrifter som Riksarkivet utfärdar. Många bestämmelser är teknikoberoende och avser såväl handlingar på

224

papper som elektroniskt lagrade upptagningar. I lag eller förordning kan meddelas från arkivlagen avvikande regler om gallring av allmänna handlingar som då gäller i stället för arkivlagen.

Riksarkivet är den arkivmyndighet som utövar tillsyn över att Migrationsverket, Utlänningsnämnden, Integrationsverket och Rikspolisstyrelsen fullgör sina skyldigheter enligt arkivlagen. Landsarkiven utövar tillsyn över polismyndigheterna. Utlandsmyndigheterna omfattas av arkivlagens bestämmelser men står inte under någon arkivmyndighets tillsyn. I stället är det Regeringskansliet som skall ha tillsyn över utlandsmyndigheternas arkiv. Regeringskansliet får meddela föreskrifter om bl.a. gallring av allmänna handlingar, se 60 § förordningen (1996:1515) med instruktion för Regeringskansliet. I förarbetena till arkivlagen anges att utrikesrepresentationen, dvs. utlandsmyndigheterna, visserligen är självständiga förvaltningsmyndigheter men att de hör så intimt samman med Utrikesdepartementet att det naturliga är att Utrikesdepartementet, som har en omfattande arkivverksamhet, svarar för utlandsmyndigheterna (prop. 1989/90:72 s. 75).

I 3 § arkivlagen slås fast att myndigheternas arkiv är en del av det nationella kulturarvet och att de skall bevaras, hållas ordnade och vårdas så att rätten att ta del av allmänna handlingar tillgodoses. Dessutom skall behovet av information för rättskipningen och förvaltningens samt forskningens behov tillgodoses. Med forskning avses i arkivlagen inte enbart professionell, vetenskaplig forskning utan även amatörforskning, t.ex. släktforskning.

Myndigheternas arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen (minnesanteckningar, utkast eller koncept) som myndigheten beslutar skall tas om hand för arkivering. För elektronisk information gäller en specialregel. Om upptagningar för automatisk behandling är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, skall upptagningen bilda arkiv endast hos en av myndigheterna. Arkivmyndighet blir i första hand den myndighet som svarar för huvuddelen av upptagningen. Svarar myndigheterna för ungefär lika stora delar av upptagningen, får Riksarkivet meddela föreskrifter om hos vilken myndighet upptagningen skall bilda arkiv (4 § arkivförordningen).

Huvudprincipen enligt arkivlagen är att allmänna handlingar skall bevaras. Enligt 10 § arkivlagen får emellertid gallring ske. Därvid skall beaktas att arkiven utgör en del av kulturarvet och att

225

det arkivmaterial som återstår skall kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Det kan således konstateras att arkivlagen inte föreskriver att bevarande- och gallringsfrågor skall beaktas också utifrån integritetssynpunkt. Gallring kan många gånger föranledas av kostnads- och utrymmeshänsyn.

Med gallring avses traditionellt att vissa handlingar sorteras ut ur sitt sammanhang och sedan förstörs. Traditionella pappershandlingar förstörs fysiskt. När det gäller gallring av elektroniska upptagningar innebär detta normalt att viss information raderas från databäraren.

Det är dock inte nödvändigt att den egentliga information som finns på ett elektroniskt medium verkligen förstörs för att det skall vara fråga om gallring. Gallring kan också ske genom att elektroniskt lagrad information överförs till papper eller mikrofilm, varefter informationen raderas från det elektroniska mediet. Även om rätten till insyn inte försvinner då informationen finns kvar på papper eller på mikrofilmen, så har möjligheterna att få fram informationen försämrats.

Riksarkivet har definierat gallring som förstöring av allmänna handlingar eller uppgifter i allmänna handlingar. Överföring till annan databärare räknas som gallring, om överföringen medför informationsförlust, förlust av möjliga informationssammanställningar, förlust av sökmöjligheter eller förlust av möjligheter att fastställa informationens autenticitet, t.ex. i fråga om elektroniska signaturer. (RA-FS 1994:2 och RA-FS 1997:4).

En statlig myndighet får inte på egen hand avgöra vad som skall gallras ur dess arkiv. Tvärtom får allmänna handlingar hos myndigheten gallras endast i enlighet med föreskrifter eller beslut av Riksarkivet eller i enlighet med gallringsföreskrifter i lag eller förordning. Från arkivlagen avvikande gallringsregler i lagar eller förordningar tar då över arkivlagens regler om bevarande.

I den mån det i särförfattningar för myndigheters behandling av personuppgifter saknas gallringsbestämmelser, tillämpas arkivlagens bestämmelser om bevarande som huvudprincip och gallring som undantag.

I särförfattningar som reglerar myndigheters integritetskänsliga behandling av personuppgifter finns emellertid vanligtvis regler som innebär att uppgifter skall gallras efter viss tid, särskilt i fråga om uppgifter som behandlas automatiserat. Som exempel kan

226

nämnas lagen (2001:617) om behandling av personuppgifter inom kriminalvården som föreskriver gallring som huvudprincip oberoende av om personuppgifterna behandlas manuellt i register eller automatiserat. Ett annat exempel är lagen (2001:181) om behandling av personuppgifter i skatteförvaltningens beskattningsverksamhet som enbart föreskriver gallring av personuppgifter som behandlas automatiserat. Dessa gallringsbestämmelser har motiverats utifrån integritetssynpunkt för att förhindra att känsliga eller annars ömtåliga uppgifter bevaras i onödan.

I förarbetena till arkivlagen (prop. 1989/90:72 s. 50 f.) konstaterades mot bakgrund av då gällande s.k. registerförfattningar att gallringsbestämmelserna i flertalet registerförfattningar var konstruerade utifrån en omvänd princip i förhållande till arkivlagen, nämligen att gallring skall ske, om inte något annat uttryckligen föreskrivits. Enligt departementschefen var denna omvända princip rimlig med hänsyn till de integritetsintressen som kan föreligga på de särskilda registerförfattningarnas område. Det framhölls vidare att undantag från registerförfattningens gallringsskyldighet, som kan förestavas med hänsyn till insynsaspekten, myndighetens informationsbehov och rättssäkerhetsaspekter, som regel bör tas in direkt i den särskilda registerlagen. Sådana frågor kan nämligen normalt regleras genom generella bestämmelser. Däremot borde, menade departementschefen, konkreta avgöranden av vilka handlingar som bör bevaras med hänsyn till forskningens behov i princip överlåtas på fackkunnigt folk inom arkivmyndigheterna. När det gäller bevarande för forskningens behov förordade departementschefen således att det i lagen slås fast att, utöver de undantag från gallringsplikten som konkret anges i lagen, ytterligare undantag fick föreskrivas av regeringen eller den myndighet som regeringen bestämmer.

Det är i linje med dessa förarbetsuttalanden vanligt att det i de förordningar som utfärdats i anslutning till särlagar i förhållande till personuppgiftslagen, har överlåtits åt Riksarkivet att meddela närmare föreskrifter om undantag från gallringbestämmelser i särlagen.

Avslutningsvis kan nämnas att Offentlighets- och sekretesskommittén, OSEK, i ett nyligen lämnat delbetänkande, Ordning och reda bland allmänna handlingar (SOU 2002:97) har föreslagit en ny lag om hantering av allmänna handlingar. Lagen samordnar regleringen i 15 kap. sekretesslagen om registrering av allmänna handlingar och utlämnande av allmänna handlingar m.m. med arkivlagen. Förslaget remissbehandlas för närvarande.

227

Personuppgiftslagen

Enligt 9 § första stycket i) personuppgiftslagen skall den personuppgiftsansvarige se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste uppgifterna avidentifieras eller utplånas.

För myndigheter gäller emellertid 8 § personuppgiftslagen om förhållandet till offentlighetsprincipen och myndigheternas arkivbildning.

Enligt bestämmelsen tillämpas inte personuppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter i allmänna handlingar. Lagen hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

Personuppgiftslagen ställer således inte något krav på att personuppgifter som är allmänna handlingar skall utplånas eller gallras. För personuppgifter som inte är allmänna handlingar gäller dock regeln i 9 § första stycket i), nämligen att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

6.15.2Nuvarande förhållanden i verksamhet enligt utlännings- och medborgarskapslagstiftningen

Några särbestämmelser om gallring finns inte i utlänningslagen eller annan författning som styr verksamhet som omfattas av den föreslagna utlänningsdatalagens tillämpningsområde. I utlänningsdataförordningen finns endast en bestämmelse om gallring. Denna gäller Migrationsverkets automatiserade fingeravtrycksregister, ur vilket uppgifter skall gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades. För övriga uppgifter som förekommer i verksamhetsområdet gäller därmed de regler om bevarande och gallring som följer av arkivlagen. Det innebär att huvudprincipen är att allmänna handlingar inte skall gallras och att gallring får ske endast i enlighet med föreskrifter eller beslut av Riksarkivet eller, beträffande utlandsmyndigheter, av Regeringskansliet.

228

Riksarkivet har utfärdat några myndighetsspecifika beslut för Migrationsverket och Utlänningsnämnden som gäller gallring av vissa allmänna handlingar. Dessa föreskrifter rör enstaka typer av handlingar av ringa bevarandeintresse och har motiverats av andra intressen än hänsyn till enskildas integritet.

Riksarkivet har dessutom meddelat flera föreskrifter och allmänna råd som gäller generellt för de myndigheter som är underkastade Riksarkivets normgivningskompetens. Riksarkivet har bl.a. meddelat föreskrifter om gallring av handlingar – såväl pappershandlingar som elektroniskt lagrade upptagningar – av tillfällig eller ringa betydelse för myndigheternas verksamhet.

Som framgått av avsnitt 4 förekommer merparten av den automatiserade behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen i datorbaserade system vari personregister ingår som härrör från datalagens giltighetstid. Dessa personregister inrättades och fördes före utlänningsdataförordningens införande med stöd av tillstånd från Datainspektionen.

Enligt datalagen gällde att Datainspektionen skulle meddela föreskrift om bl.a. bevarande och gallring av personuppgifter i den mån det behövdes för att förebygga risk för otillbörliga intrång i personlig integritet. I flera av Datainspektionens tillståndsbeslut – bl.a. tillståndet för Migrationsverkets STAMM från år 1994 och tillståndet för Utlänningsnämndens verksamhetsstödjande register UNik från år 1995 – finns föreskrifter om gallring. För UNik gällde att uppgifter generellt gallrades fortlöpande fem år efter beslutsdatum. För STAMM gällde en mängd särskilda gallringsfrister för olika typer av uppgifter. När det gäller STAMM framgår av tillståndet att gallringen endast gällde den elektroniskt lagrade informationen och inte dokument i “sitt ursprungliga pappersformat”. Detsamma torde ha gällt även för gallringen i UNik och i andra personregister.

Migrationsverket, som av de aktuella myndigheterna står för den i särklass mest omfattande och integritetskänsliga behandlingen av personuppgifter, har under detta år utvecklat ett system enligt vilket personuppgifter avställs, se härom avsnitt 4.1.1.1. Äldre personuppgifter, som bedöms vara inaktuella för myndighetens verksamhet, överförs från den verksamhetsstödjande databasen STAMM till en separat databas där de avställda uppgifterna fortsättningsvis lagras. Någon gallring är det således inte frågan om, t.ex. är sök- och sammanställningsmöjligheterna oförändrade. De avställda uppgifterna är åtkomliga för behörig personal inom

229

Migrationsverket. Tidpunkten för när uppgifter avställs varierar med ärendeslag och personkategori.

Avställning är en arkivterm som enligt Riksarkivets definition innebär att handlingar eller uppgifter som redan har givits en bestämd ordning tas ut för att ges en annan ordning, Detta sker i allmänhet för att överföra uppgifterna till en ordning, ett format, som är särskilt anpassad för slutlig långtidslagring. Avställning är en teknikoberoende åtgärd som kan användas just på det sätt Migrationsverket gjort, dvs. vissa data som finns i ett system i drift inaktiveras genom att överföras till ett arkiveringsbart sekundärminne för långtidslagring. Avställning innebär således inte att information förstörs eller försämras utan avser närmast att ställa informationen i ordning för bevarande.

Från datasystemet LIFOS tas en gång om året sådana uppgifter bort som inte längre bedöms ha något värde ur informationssynpunkt.

6.15.3Utredningens överväganden

6.15.3.1 Bevarande och gallring

I verksamhet enligt utlännings- och medborgarskapslagstiftningen har stora mängder personuppgifter samlats och samlas fortlöpande i manuella och automatiserade register, datorbaserade ärendehanteringssystem och i andra automatiserade uppgiftssamlingar hos de myndigheter som föreslås omfattas av utlänningsdatalagens tillämpningsområde. Frågan är om hänsynen till enskildas integritetsskydd motiverar att det – såsom vanligen gäller enligt motsvarande registerlagar – införs särbestämmelser i förhållande till personuppgiftslagen eller arkivlagen i fråga om hur länge personuppgifter får bevaras.

Personuppgifter som inte är allmänna handlingar

Som redovisats tidigare gäller enligt 9 § första stycket i) och tredje stycket personuppgiftslagen att personuppgifter inte får bevaras längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål. Efter denna tid måste uppgifterna förstöras eller avidentifieras.

230

Enligt utredningens uppfattning saknas det anledning att föreslå en härifrån avvikande bestämmelse för personuppgifter som inte är allmänna handlingar. Det innebär bl.a. att personuppgifter i minnesanteckningar, utkast och koncept som en befattningshavare vid någon av de aktuella myndigheterna har skrivit med hjälp av ett ordbehandlingsprogram och som inte tas om hand för arkivering, i allmänhet skall rensas ur datorsystemet eller avidentifieras så snart de inte längre behövs i verksamheten. Det torde nämligen sällan finnas anledning att bevara dessa uppgifter för sådana syften som medger en längre tids bevarande. Eftersom 9 § personuppgiftslagen gäller även då personuppgifter behandlas enligt utlänningsdatalagen, behövs ingen uttrycklig bestämmelse om detta.

Manuellt behandlade personuppgifter i allmänna handlingar

Åtskilliga av de personuppgifter som behandlas i verksamheten är allmänna handlingar. Med den princip som för närvarande gäller skall handlingarna som huvudregel bevaras, dock med möjlighet till särskild gallring med stöd av arkivlagens och arkivförordningens bestämmelser.

För personuppgifter i allmänna handlingar som behandlas manuellt, alltså framställningar i skrift eller bild, och som omfattas av den föreslagna lagen, anser utredningen att en fortsatt tillämpning av de allmänna arkivbestämmelserna är godtagbar utifrån integritetssynpunkt, inte minst med tanke på det starka sekretessskydd som gäller för uppgifterna.

Automatiserat behandlade personuppgifter i allmänna handlingar

När det gäller personuppgifter som behandlas automatiserat, alltså upptagningar som kan läsas endast med tekniskt hjälpmedel, är tekniken så utvecklad att ofattbart stora informationsmängder kan samlas i myndigheternas datorsystem. I princip kan allt vara åtkomligt för en rad tjänstemän vid myndigheterna. Även om sekretess gäller för många uppgifter, är denna typ av behandling integritetskänslig, bl.a. eftersom möjligheterna att sammanställa uppgifterna trots föreslagna sökbegränsningar är mycket stora.

För att minska risken för integritetskränkningar har utredningen därför övervägt att föreslå en lagbestämmelse om att personupp-

231

gifter, som behandlas automatiserat, som huvudregel skall gallras då de inte längre behövs för verksamheten. En sådan bestämmelse kan emellertid inte reglera detaljfrågor utan måste vara allmänt och principiellt hållen med hänsyn till verksamhetens mångfacetterade art och behov. En gallringsbestämmelse av nu berört slag skulle kunna utformas enligt följande lydelse.

Personuppgifter som behandlas automatiserat skall gallras så snart de inte behövs för de ändamål som anges i 5 § första stycket, dock senast tio år efter utgången av det kalenderår då det senaste ärendet som gäller den registrerade slutligt har avgjorts eller annan åtgärd beträffande honom eller henne har upphört.

Första stycket utgör dock inte hinder mot att personuppgifter bevaras för historiska, statistiska eller vetenskapliga ändamål.

Regeringen, eller den myndighet regeringen bestämmer (förslagsvis Riksarkivet efter samråd med personuppgifts- och arkivansvarig myndighet), skulle vidare kunna ges rätt att föreskriva såväl kortare gallringsfrister som undantag från gallring med hänsyn till verksamhetens behov eller till arkivväsendets ändamål.

Det finns emellertid enligt utredningen tungt vägande skäl mot att ändra den nuvarande ordningen genom att införa gallring som huvudregel för automatiserat behandlade personuppgifter. Dessa skäl sammanhänger med senare års intensifiering av myndigheternas användning av modern informationsteknik samt utveckling mot en allt högre grad av elektronisk akt- och ärendehantering.

Av de myndigheter lagförslaget omfattar, har Migrationsverket planer på en fullständig övergång till en sådan hantering. Enligt planerna kommer information i ärenden och i mottagningsverksamhet i allt väsentligt endast att behandlas och lagras elektroniskt utan att motsvarande information också finns på papper. Personakterna, dossiererna, kommer då inte att vara pappersbaserade. Även den långsiktiga arkiveringen avses ske på medium för automatiserad behandling. Avsikten med planerna är att göra effektivitetsvinster och kostnadsbesparingar. Ett rimligt antagande är att också de andra myndigheter som skall tillämpa utlänningsdatalagen kommer att utvecklas åt samma håll inom en inte alltför avlägsen framtid.

Det är naturligtvis ett samhälleligt intresse att myndigheterna kan effektivisera sin verksamhet. Enligt utredningens uppfattning bör en registerlag inte försvåra en sådan utveckling, såvida inte utvecklingen leder till oacceptabla följder för den personliga integriteten. Ett införande av gallring som huvudregel beträffande automa-

232

tiserat behandlade personuppgifter kan befaras komma att försvåra en övergång till elektronisk akthantering, eftersom den nya tekniken kan komma i konflikt med de intressen som bär upp arkivverksamheten.

Med tanke på den stränga sekretess – med en sekretesstid för uppgifterna i allmänna handlingar ända upp till 50 år – som råder för stora delar av verksamhetsområdets personuppgifter, väger argument för bevarande i syfte att tillgodose allmänhetens intresse av insyn efter sekretesstidens utgång särskilt tungt. Det är en allvarlig konsekvens av att handlingar som enbart finns i elektronisk form gallras, om gallringen medför att allmänna handlingar som är sekretessbelagda inte alls finns kvar för allmänhetens insyn och för forskningens behov då tiden för handlingssekretessen har löpt ut. Den grundlagsfästa handlingsoffentligheten skulle därmed bli starkt urgröpt beträffande ett statligt område som har tydliga politiska dimensioner och ofta är omdiskuterat av sin samtid. Handlingar från verksamhetsområdet torde i framtiden ha ett stort forskningsvärde för historiker och andra som vill granska den förda politiken, invandrarnas historia m.m.

Efterkommande släktingar till invandrare som vill släktforska kan nämnas som exempel på enskilda som kommer att ha intresse av bevarat material. Att information finns bevarad kan också vara av vikt för den enskilde registrerade som i efterhand kan vilja söka klarhet i händelseförlopp i handläggning av ärenden som berört honom eller henne. Det kan alltså ifrågasättas om enskilda registrerade alltid har ett intresse av att uppgifter från myndighetsutövning rörande honom eller henne inte bevaras.

Även om handlingsoffentligheten och arkivlagens krav torde kunna uppfyllas genom att elektronisk information i register och andra uppgiftssamlingar gallras genom att överföras till och sparas på papper, går bl.a. viktiga sök- och sammanställningsmöjligheter förlorade. Rätten att ta del av s.k. potentiella handlingar försvinner därmed. Att ersätta elektroniskt material med pappersutskrifter torde vidare kräva en hel del merarbete och medföra större förvaringskostnader.

Enligt utredningens mening är det dessutom mindre lämpligt att, såsom fallet blir med gallring som huvudregel, det i praktiken överlåts till de personuppgifts- och arkivansvariga myndigheterna att aktivt bevaka bevarandeintressena. Med gallring som huvudregel kan det nämligen antas att det blir dessa myndigheter som får ta initiativet till avsteg från huvudregeln genom att föreslå undantag

233

från gallring. Det kan också befaras att så många undantag från gallringsbestämmelsen måste göras att huvudregeln om gallring i själva verket blir undantag.

Det finns många andra sätt att skydda den enskildes integritet än att gallra uppgifter. Redan den sekretess som gäller för merparten av uppgifterna är ett starkt skydd. Vidare anser utredningen att det kan förutsättas att behörighetskontrollen blir strikt styrd enligt utredningens förslag om åtkomst samt att säkerhetsåtgärderna blir effektiva (se avsnittenen 6.10 och 6.12).

Utredningen är medveten om att en avsaknad av gallringsbestämmelse utgör ett väsentligt avsteg från vad som brukar föreskrivas i registerlagar. Många av dessa gallringsbestämmelser torde emellertid förutsätta att samma information finns i sin originalform och sparas på papper. Förvisso motsvarar detta vad som i huvudsak nu gäller i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Enligt utredningens uppfattning bör utlänningsdatalagen emellertid vara mer anpassad till förväntade förhållanden, där andra metoder än gallring kan användas för att skydda enskildas personliga integritet.

Sammanfattningsvis föreslås således att det inte införs någon gallringsbestämmelse i lagen. När det gäller uppgifter i Migrationsverkets fingeravtrycksregister bör emellertid de nuvarande föreskrifterna om gallring bibehållas. En bestämmelse om detta kan lämpligen intas i en förordning som utfärdas i anslutning till lagen.

Utredningen vill dock påpeka att frågor om bevarande eller gallring i registerförfattningar av nu aktuellt slag är komplicerade och att alla aspekter härpå inte har kunnat beaktas inom ramen för utredningens arbete. Enligt utredningens mening finns det därför skäl att i ett annat sammanhang mera grundligt utreda den allmänna intressekonflikten mellan enskildas integritet och bevarande av allmänna handlingar i en offentlig förvaltning som alltmer övergår till elektronisk informationshantering.

6.15.3.2Avskiljande av inaktuella personuppgifter från automatiserade uppgiftssamlingar

Förslaget att låta arkivlagens bestämmelser om bevarande och gallring gälla också för automatiserat behandlade personuppgifter innebär inte att utredningen anser att det är tillfredsställande från integritetssynpunkt att personuppgifter som inte längre behövs i

234

verksamheten är tillgängliga för behöriga handläggare i datoriserade register, ärendehanteringssystem och liknande uppgiftssamlingar tillsammans med uppgifter som är aktuella. Utredningen föreslår därför att särskilda åtgärder skall vidtas beträffande inaktuella uppgifter som behandlas i verksamheten för ändamålen att handlägga ärenden, bedriva utlänningskontroll samt mottagningsverksamhet. Det är nämligen för dessa ändamål som stora integritetskänsliga uppgiftssamlingar generellt sett finns tillgängliga för stora grupper av anställd personal.

För denna typ av automatiserade uppgiftssamlingar föreslår utredningen att personuppgifter, som inte längre behövs för den löpande verksamheten, skall plockas bort, avskiljas, från uppgiftssamlingen så att de inte längre är åtkomliga via registrets, ärendehanteringssystemets eller annan uppgiftssamlings applikation för den personal som är involverad i den löpande verksamheten. Endast personal som är i oundgängligt behov av de inaktuella uppgifterna skall därefter medges åtkomst till dem, t.ex. verksarkivarier eller högre beslutsfattare. Den personuppgiftsansvariga myndigheten måste därför göra en särskild behörighetsprövning beträffande de avskilda uppgifterna. Det får vidare inte förekomma att annan myndighets direktåtkomst till Migrationsverkets personuppgifter omfattar avskilda uppgifter.

Hur avskiljandet skall ske bör personuppgiftsansvarig myndighet själv få bestämma. Det får dock inte innebära informationsförlust av något slag. En metod är att uppgifterna avställs till en annan databas på det sätt Migrationsverket för närvarande gör med inaktuella uppgifter i STAMM. Att i lagen ge någon bestämd tidsfrist för när personuppgifterna skall avskiljas behövs inte heller. Självfallet bör personuppgifter om en utlänning avskiljas när han eller hon har beviljats svenskt medborgarskap. En stor mängd personuppgifter om utlänningar som inte varit aktuella i något ärende på lång tid, kan inte heller anses behövas i den löpande verksamheten. Det bör emellertid överlämnas till personuppgiftsansvarig myndighet att närmare besluta när personuppgifter skall avskiljas. Utarbetande av fasta rutiner, tidsplan och dokumentation över avskiljandet torde underlätta för myndigheterna att uppfylla sina skyldigheter enligt den föreslagna bestämmelsen.

Utredningen anser alltså att det inte är nödvändigt att föreslå några särskilda föreskrifter i ämnet. Som utredningen återkommer till i avsnitt 6.18.6 bör dock regeringen, eller i vissa fall den myndighet regeringen bestämmer, ges möjlighet att meddela när-

235

mare föreskrifter om avskiljande. Syftet härmed är att Migrationsverket genom vidaredelegation från regeringen skall ges möjlighet att meddela särskilda föreskrifter om avskiljande beträffande personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Även när det gäller ändamålen att återsöka rättslig och annan information finns stora mängder information i uppgiftssamlingar tillgänglig för ett stort antal användare, såsom i Migrationsverkets LIFOS. Eftersom många personuppgifter avidentifieras innan de förs in i databasen, bedömer utredningen att integritetshänsyn inte påkallar att dessa uppgifter avskiljs. När det gäller ändamålen framställning av statistik samt planering och uppföljning m.m., är det endast ett fåtal användare som har tillgång till uppgiftssamlingar som förs för dessa ändamål. Något avskiljande behövs därför inte heller när det gäller personuppgifter av nu aktuellt slag.

6.16Rättelse, skadestånd och straff

Utredningens förslag: Personuppgiftslagens bestämmelser om rättelse av personuppgifter och om skadestånd skall gälla vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. En hänvisning till personuppgiftslagens regler om rättelse och skadestånd görs.

Överträdelser av bestämmelser i utlänningsdatalagen skall inte straffbeläggas.

6.16.1Rättelse och skadestånd

Enligt 28 § personuppgiftslagen är den personuppgiftsansvarige skyldig att på begäran av den registrerade genast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har meddelats med stöd av lagen, dvs. vidta rättelse. Att en uppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen (3 § personuppgiftslagen). Att en

236

uppgift utplånas innebär att den förstörs så att den inte kan återskapas. Det står den personuppgiftsansvarige fritt att välja vilken korrigeringsmetod som bör tillämpas (prop. 1997/98:44 s. 87). Den sist nämnda metoden, utplåning, torde emellertid inte kunna tillämpas när det gäller uppgifter i allmänna handlingar.

Vad som är en felaktig behandling och bör föranleda rättelse är inte möjligt att närmare definiera utan får avgöras efter en bedömning i det enskilda fallet. Felaktigheten kan t.ex. bestå såväl i att den behandlade personuppgiften inte är korrekt som i att en korrekt uppgift har använts på ett felaktigt sätt.

Sker rättelse skall den personuppgiftsansvarige också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, såvida den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling i strid mot lagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Enligt utredningens uppfattning bör den enskilde vara berättigad att begära rättelse och skadestånd vid behandling som utförts i strid mot de särskilda bestämmelserna i utlänningsdatalagen men inte samtidigt mot personuppgiftslagens bestämmelser. Personuppgiftslagens bestämmelser är emellertid så utformade att de endast gäller vid behandling i strid mot den lagen. En uttrycklig föreskrift bör därför tas in i utlänningsdatalagen om att personuppgiftslagens bestämmelser om rättelse och skadestånd gäller även då personuppgifter har behandlats i strid mot utlänningsdatalagen.

När det gäller rättelse bör noteras att det enligt 9 § första stycket h) personuppgiftslagen är ett grundläggande krav på den personuppgiftsansvarige att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I 9 § första stycket e) och g) ställs vidare krav på att den personuppgiftsansvarige ser till att uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att de personuppgifter som behandlas är riktiga och, om det är

237

nödvändigt, aktuella. Den personuppgiftsansvarige måste således – oberoende av bestämmelsen i 28 § om skyldigheten att vidta rättelse på den registrerades begäran – självmant vara aktiv för att se till att behandlade uppgifter är korrekta. Dessa krav, liksom andra grundläggande krav i 9 § första stycket personuppgiftslagen, gäller även då personuppgifter behandlas enligt den föreslagna utlänningsdatalagen och någon uttrycklig bestämmelse om detta eller hänvisning till 9 § personuppgiftslagen behövs inte i särlagen (se avsnitt 6.3).

Den personuppgiftsansvariges skyldighet att självmant korrigera en felaktig eller ofullständig uppgift ställer givetvis krav på att det – i en stor organisation med många anställda som i praktiken behandlar personuppgifter – finns lämpliga rutiner för hur den enskilde anställde skall agera när han eller hon finner att en uppgift bör korrigeras i något avseende. Inte minst viktigt är detta när det gäller utlandsmyndigheternas och Integrationsverket behandling av personuppgifter som sker under Migrationsverkets personuppgiftsansvar. I dessa fall kan det inte sällan handla om korrigering av personuppgifter som tidigare har lämnats ut av Migrationsverket till Integrationsverket genom datasystemet ROSE eller till utlandsmyndigheter på CD-romskiva enligt Alma-systemet. En förutsättning för att Migrationsverket skall kunna uppfylla sina skyldigheter enligt 9 § första stycket personuppgiftslagen torde vara att Integrationsverket och utlandsmyndigheterna regelmässigt underrättar Migrationsverket om att en korrigering enligt 9 § första stycket h) personuppgiftslagen bör utföras eller har utförts vid myndigheten.

6.16.2Straff

Personuppgiftslagen innehåller också en straffbestämmelse (49 §). Enligt den bestämmelsen kan bl.a. den som uppsåtligen eller av oaktsamhet behandlar uppgifter i strid mot vissa bestämmelser i lagen dömas till straff.

Behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen utförs emellertid vid myndigheter. Den person som gör sig skyldig till en straffbar behandling i strid mot personuppgiftslagen torde ådra sig ansvar för tjänstefel enligt brottsbalkens bestämmelser. Av allt att döma blir det därför inte aktuellt att tillämpa personuppgiftslagens straffbestämmelse i dessa fall. Det kan nämnas att regeringen har gjort motsvarande

238

bedömningar beträffande en del andra särlagar, se t.ex. polisdatalagen och prop. 1997/98:97 s. 109 eller lagen om behandling av personuppgifter inom kriminalvården och prop. 2000/01:126 s. 42.

Mot bakgrund av det anförda anser utredningen att det saknas anledning att straffbelägga överträdelser av bestämmelser i utlänningsdatalagen. Någon särbestämmelse om straff eller hänvisning till 49 § personuppgiftslagen föreslås därför inte.

6.17Överklagande

Utredningens förslag: En myndighets beslut om rättelse eller om information enligt 26 § personuppgiftslagen skall kunna överklagas hos allmän förvaltningsdomstol. Prövningstillstånd skall krävas vid överklagande till kammarrätten.

Andra beslut får inte överklagas.

Beslut som fattas rörande personuppgifter och som direkt berör den enskilde är beslut att avslå en ansökan om information enligt 26 § personuppgiftslagen samt beslut att avslå en begäran om rättelse.

Enligt utredningens uppfattning bör sådana beslut kunna överklagas då personuppgifter behandlas enligt utredningens lagförslag.

Den normala ordningen när en myndighet fattar ett beslut av förvaltningskaraktär är enligt 22 a § förvaltningslagen (1986:223) att beslutet kan överklagas hos allmän förvaltningsdomstol och att det krävs prövningstillstånd för vidare överklagande till kammarrätten. Samma ordning bör gälla då beslut om information och rättelse enligt personuppgiftslagen överklagas. Detta är också vad som generellt gäller i nyare s.k. registerförfattningar som är anpassade till personuppgiftslagens bestämmelser, se t.ex. 16 § utlänningsdataförordningen och 12 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården.

Övriga beslut enligt lagen torde inte direkt beröra den enskilde och bör därför inte kunna överklagas (jfr prop. 2000/01:33 s. 109 f.).

239

6.18Detaljreglering i förordning eller myndighetsföreskrifter

Utredningens förslag: I lagen föreskrivs att regeringen – utöver bemyndiganden rörande fingeravtrycksregistret och utlämnande till enskild på medium för automatiserad behandling – får meddela ytterligare föreskrifter som innebär begränsningar i förhållande till lagens bestämmelser såvitt avser ändamål, personuppgiftskategorier, sökbegrepp, direktåtkomst och överföring till tredje land.

Vidare föreslås att regeringen får meddela föreskrifter om avskiljande av personuppgifter och säkerhetsåtgärder till skydd för personuppgifter.

Slutligen föreslås att regeringen får delegera föreskriftsrätten till annan myndighet i fråga om behandling som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar. Rätten till vidaredelegation gäller dock inte sökbegränsningar.

I avsnitt 5.3 har utredningen framhållit att detaljfrågor inte bör regleras i utlänningsdatalagen utan i författningar av lägre rang där närmare integritetsavvägningar vid behov kan göras. I avsnitten 6.7. och 6.9 har också föreslagits att regeringen skall meddela närmare föreskrifter om Migrationsverkets fingeravtrycksregister samt att personuppgifter får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.

Därutöver bör särskilda bestämmelser tas in i lagen enligt vilken regeringen, eller i vissa fall den myndighet regeringen bestämmer, bemyndigas att meddela ytterligare föreskrifter i frågor som det kan finnas skäl att närmare reglera. Vilka dessa frågor är utvecklas i det följande. I samband därmed behandlas bestämmelserna i den förordning som enligt utredningens förslag skall utfärdas i anslutning till utlänningsdatalagen.

240

6.18.1Begränsningar i fråga om vissa ändamål och personuppgiftsslag

Det kan i många fall finnas anledning att av hänsyn till enskildas integritet begränsa vilka personuppgifter som får behandlas för ett visst ändamål. Utredningen föreslår därför att regeringen i lagen bemyndigas att meddela begränsningar i förhållande till utlänningsdatalagen i fråga om vilka uppgifter som får behandlas och i fråga om ändamålen för vilka personuppgifter får behandlas. Såsom utredningen återkommer till i avsnitt 6.18.7 bör detaljerade bestämmelser härom kunna, efter vidarebemyndigande i förordning, meddelas i Migrationsverkets myndighetsföreskrifter när det gäller personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Vad gäller vissa personuppgifter eller uppgifter om särskilda personkategorier föreslås dock att några begränsningar framgår av den föreslagna förordningen.

I verksamhet enligt utlännings- och medborgarskapslagstiftningen förekommer ofta personuppgifter om andra personer än dem som omfattas av myndigheternas direkta verksamhet, t.ex. uppgifter om släktingar, referenter, uppgiftslämnare m.m. Likaså är det vanligt att uppgifter om en utlänning som omfattas eller har omfattats av verksamheten förekommer i ett ärende som gäller en annan utlänning. Personuppgifter som på detta sätt används i ärenden eller angelägenheter som inte gäller de registrerade själva bör behandlas med särskild försiktighet. Utredningen föreslår därför att dessa får behandlas för ändamålen handläggning av ärenden och utlänningskontroll enligt 5 kap. utlänningslagen samt för mottagnings- och bosättningsändamål endast om det är oundgängligen nödvändigt. Vad som avses med kravet oundgängligen nödvändigt har utvecklats i avsnitt 6.6.

I förordningen bör vidare införas en motsvarighet till utlänningsdataförordningens bestämmelse om att personuppgifter som direkt pekar ut den registrerade inte får behandlas i Migrationsverkets eller Utlänningsnämndens rättsfallsregister. Något behov av att i den vägledande rättsliga informationen t.ex. namnge registrerade finns inte. Det bör noteras att den föreslagna begränsningen inte gäller behandling av personuppgifter som sker för att ge vägledande information om förhållanden i andra länder. I det sammanhanget är identiteten på en uppgiftslämnare eller andra registrerade ofta mycket viktig för bedömningen av informationens tillförlitlighet.

241

Enligt utredningens mening finns det vidare inte något tungt vägande behov av att behandla känsliga personuppgifter om ras, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sexualliv för ändamålen utlänningskontroll enligt 5 kap. utlänningslagen eller för mottagnings- och bosättningsverksamhet som inte utgör ärendehandläggning. Av förordningen bör framgå att dessa uppgifter inte får behandlas för nämnda ändamål. Däremot får uppgifter som avslöjar etniskt ursprung – t.ex. språk, hemort eller tillhörighet till viss minoritetsgrupp – eller rör hälsa behandlas för ändamålen, om utlänningsdatalagens krav på att uppgifterna skall vara oundgängligen nödvändiga är uppfyllt.

För ändamålet informationsåtersökning får enligt den nu gällande utlänningsdataförordningen känsliga personuppgifter enbart behandlas i löpande text. Den ordningen bör fortfarande gälla och en motsvarande bestämmelse föras in i den nya förordningen.

6.18.2Utlämnande till enskild på medium för automatiserad behandling

I avsnitt 6.9 har framhållits att utlämnande av personuppgifter på medium för automatiserad behandling innebär särskilda risker för intrång i registrerades personliga integritet. Utredningen har därför föreslagit att regeringen närmare föreskriver om när det sättet för utlämnande till enskild mottagare skall vara tillåtet. I det följande redovisas de fall som enligt utredningens uppfattning kan ske utan otillbörliga intrång i enskildas integritet och som därför bör tillåtas. Givetvis förutsätter förslagen i det följande att uppgifterna över huvud taget får behandlas genom att lämnas ut samt att sekretesslagen inte hindrar ett utlämnande.

För det första anser utredningen att elektroniskt utlämnande av personuppgifter skall tillåtas om den registrerade samtycker till detta.

Oberoende av samtycke bör myndigheterna dessutom ha möjlighet att t.ex. använda e-post för kommunikation med enskilda sökande eller andra som berörs av verksamhet som omfattas av utlänningsdatalagens tillämpningsområde. I den mån personuppgifter som hör till ett ärende eller en angelägenhet som gäller den enskilde skall lämnas ut, bör det kunna få ske elektroniskt utan särskilt krav på samtycke från den registrerade vare sig denne är

242

identisk med den enskilde eller inte. Bestämmelsen avses emellertid inte medge att beslut expedieras elektroniskt.

Vidare anser utredningen att personuppgifter även skall kunna få lämnas ut elektroniskt till enskild, om detta utlämnandesätt är nödvändigt för den utlämnande myndighetens handläggning av ärenden eller biträde i sådan handläggning eller för Migrationsverkets och Integrationsverkets faktiska mottagningsrespektive bosättningsverksamhet. Kan uppgifterna lika enkelt och säkert utlämnas utan användning av automatiserat medium, bör nödvändighetskravet inte anses uppfyllt. Exempel på när elektroniskt utlämnande till enskild torde vara nödvändigt är Migrationsverkets utlämnande till AB Svenska Pass av personuppgifter på CD-rom- skiva såsom underlag för bolagets framställning av resedokument och främlingspass. Andra tänkbara exempel på nödvändigt elektroniskt utlämnande till enskild av större mängder personuppgifter är när Migrationsverket anlitar en privat entreprenör för att driva mottagningsförläggning eller annan verksamhet som har samband med mottagningsverksamheten.

Slutligen bör Migrationsverket ges rätt att elektroniskt lämna ut personuppgifter om registrerade utlänningars namn, födelsedatum och adress till Svenska röda korset. Svenska röda korset bedriver en relativt omfattande verksamhet beträffande efterforskningar och familjeåterföreningar av försvunna krigsflyktingar. Enligt en skrift som regeringen har överlämnat till utredningen, se bilaga 2, är Svenska röda korset i behov av de nämnda personuppgifterna för att kunna genomföra denna verksamhet. Att personuppgifterna utlämnas elektroniskt i stället för manuellt anser utredningen kan godtas ur integritetssynpunkt. Som inledningsvis anmärkts krävs dock också att utlämnandet är möjligt enligt sekretesslagen. I avsnitt 7.5 återkommer utredningen till denna sekretessfråga.

6.18.3Begränsningar i fråga om direktåtkomst

Som utredningen nämnt i avsnitt 6.10 bör närmare preciseringar eller begränsningar av den i utlänningsdatalagen tillåtna direktåtkomsten till Migrationsverkets personuppgifter kunna ges i förordning. Utredningen föreslår därför att regeringen bemyndigas att meddela föreskrifter som innebär begränsningar av de personuppgifter som får omfattas av direktåtkomst. I utredningens förslag till en förordning finns sådana begränsande bestämmelser. Syftet

243

med dessa är att minimera de integritetsrisker som, enligt vad som sagts i avsnitt 6.10, är förknippade med att personuppgifter lämnas ut från Migrationsverket genom annan myndighets direktåtkomst.

Enligt utredningens bedömning finns det inget behov av att ge regeringen möjlighet att vidaredelegera denna begränsande föreskriftsrätt till Migrationsverket. Det följer nämligen av verkets personuppgiftsansvar att myndigheten inom utlänningsdatalagens ram kan närmare besluta vilka uppgifter som lämnas ut genom direktåtkomst. Det kan här påpekas att utlänningsdatalagens bestämmelser om direktåtkomst inte utgör bestämmelser om uppgiftsskyldighet utan bara anger i vilken omfattning personuppgifter får lämnas ut genom direktåtkomst. Migrationsverket är alltså inte genom utlänningsdatalagen förpliktad att lämna ut uppgifter genom direktåtkomst. Inte heller behövs vidaredelegation för sådan personuppgiftsbehandling som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar, eftersom Integrationsverket och utlandsmyndigheterna enligt den föreslagna utlänningsdatalagen inte får lämna ut personuppgifter till annan genom direktåtkomst.

Regeringskansliet, Utlänningsnämnden, Integrationsverket samt utlandsmyndigheterna

När det gäller Regeringskansliets, Utlänningsnämndens samt utlandsmyndigheternas direktåtkomst för ändamålet handläggning av ärende anser utredningen att de endast skall kunna ges direktåtkomst till personuppgifter som de är i oundgängligt behov av för sin handläggning av eller utredning i ärenden enligt utlänningslagen eller medborgarskapslagen. Regeringskansliets direktåtkomst föreslås således inte få avse uppgifter som krävs för handläggning av ärenden enligt lagen om särskild utlänningskontroll. Personuppgifterna i sist nämnda ärenden torde vara särskilt integritetskänsliga och bör därför inte vara åtkomliga via direktåtkomst.

I förordningen bör också föreskrivas att Integrationsverkets direktåtkomst endast får omfatta personuppgifter som verket är i oundgängligt behov av för sin handläggning av ärenden enligt förordningen om statlig ersättning för flyktingmottagande m.m.

Av hänsyn till de registrerades personliga integritet bör samtliga dessa myndigheters direktåtkomst begränsas så till vida att åtkomsten inte får avse personuppgifter i Migrationsverkets fingerav-

244

trycksregister eller personuppgifter om andra uppgifter om lagöverträdelser m.m. än sådana som avser beslut om förvar enligt utlänningslagen. Av samma skäl föreslås att direktåtkomsten inte heller får omfatta känsliga personuppgifter som avslöjar ras, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening eller som rör hälsa eller sexualliv. Personuppgifter som avslöjar ett etniskt ursprung bör dock tillåtas med tanke på verksamhetens karaktär.

Rikspolisstyrelsen och polismyndigheterna

Såvitt utredningen erfarit har polisen i dag tillgång till i Migrationsverkets STAMM-bas registrerade uppgifter om sökandes dossiernummer, namn, person- eller samordningsnummer, kön, nuvarande och tidigare medborgarskap, adress, samhörigheter, inresedatum, individstatus (avliden, avviken, verkställd utresa eller hämtning, konstaterad utresa, trolig utresa, frivillig hemresa, avhyst), uppgift om förekomsten av LMA-kort, öppna och avslutade ärenden samt beslut. Dessa uppgifter bör polisen även i fortsättningen kunna få ha direktåtkomst till. Enligt utredningens uppfattning bör det i förordningen anges att Rikspolisstyrelsens och polismyndigheternas direktåtkomst får avse dessa uppgifter.

Dessutom bör Migrationsverket genom föreskrifter kunna medge direktåtkomst till ytterligare personuppgifter som är oundgängligen nödvändiga för polisens fullgörande av sina arbetsuppgifter enligt utlänningslagen. Eftersom sådana föreskrifter utvidgar direktåtkomstens omfattning i förhållande till förordningens begränsningsregel, krävs att Migrationsverket uttryckligen bemyndigas därtill. Direktåtkomst bör dock inte tillåtas till fingeravtrycksregistret eller till känsliga personuppgifter. Migrationsverket skall samråda med Datainspektionen innan direktåtkomst medges till ytterligare personuppgifter än de i förordningen angivna.

6.18.4Begränsningar i fråga om överföring till tredje land

I avsnitt 6.13 har utredningen föreslagit en särreglering i förhållande till personuppgiftslagen som tillåter överföring av personuppgifter till tredje land i långt större utsträckning än vad som kan ske med stöd av personuppgiftslagen. Utredningen föreslår emellertid att

245

regeringen skall kunna meddela begräsningar i fråga om överföring till tredje land. Detta bör uttryckligen framgå av utlänningsdatalagen. Vidare föreslås att regeringen skall kunna bemyndiga annan myndighet, dvs. Migrationsverket, att meddela föreskrifter om begränsningar såvitt avser annan myndighets överföring till tredje land som sker under verkets personuppgiftsansvar.

De begränsningar som enligt utredningens förslag bör tas in i förordningen avser för det första en begränsning i fråga om överföring av personuppgifter som behandlas för ändamålet att ge vägledande information om förhållanden i andra länder. Som påpekats i avsnitt 6.18.1 föreslås för detta ändamål ingen begränsning i fråga om personuppgifter som direkt pekar ut en registrerad. Av hänsyn till de registrerades integritet bör dock överföring till tredje land tillåtas endast efter det att direkt utpekande uppgifter borttagits.

Den andra begränsningen som utredningen föreslår gäller utlandsmyndigheterna som utan den registrerades samtycke endast bör få överföra personuppgifter till tredje land, om det krävs för den egna myndighetens handläggning eller för det biträde åt annan myndighet med utredningar i ärenden enligt utlänningslagen eller medborgarskapslagen.

6.18.5Migrationsverkets fingeravtrycksregister

I avsnitt 6.7 har utredningen föreslagit att regeringen bemyndigas att meddela närmare föreskrifter om Migrationsverkets fingeravtrycksregister. Enligt utredningens uppfattning bör utlänningsdataförordningens regler om registrets innehåll och gallring gälla också fortsättningsvis. Motsvarande bestämmelser bör därför tas in i den föreslagna förordningen. I övrigt bör utlänningsdatalagens och förordningens allmänna bestämmelser tillämpas även i fråga om fingeravtrycksregistret. När det gäller utlämnande av personuppgifter ur registret på medium för automatiserad behandling anser utredningen att utlänningsdatalagens generella regler om sådant utlämnande skall gälla. Någon motsvarighet till utlänningsdataförordningens bestämmelse om sådant utlämnande bör därför inte tas in i förordningen.

246

6.18.6Föreskrifter om säkerhetsåtgärder och avskiljande

Som föreslagits i avsnitt 6.11 skall personuppgiftslagens bestämmelser om den personuppgiftsansvariges skyldighet att vidta åtgärder till skydd för behandlade personuppgifter gälla även vid behandling som omfattas av utlänningsdatalagens tillämpningsområde. Den personuppgiftsansvariga myndigheten beslutar om vilka säkerhetsåtgärder som skall vidtas inom den egna myndigheten. Någon uttrycklig bestämmelse om detta behövs inte utan följer av personuppgiftslagen (se 31 § personuppgiftslagen).

Emellertid skall Migrationsverket vara personuppgiftsansvarigt även för utlandsmyndigheternas och i viss utsträckning för Integrationsverkets behandling av personuppgifter som sker med stöd av lagen. Förslaget har motiverats i avsnitt 6.4 där utredningen också framfört att detta personuppgiftsansvar bör förenas med en möjlighet för Migrationsverket att meddela föreskrifter om säkerhetsåtgärder till skydd för de av utlandsmyndigheterna och Integrationsverket behandlade personuppgifterna. Härigenom kan Migrationsverket inom lagens ram närmare reglera t.ex. vilka faktiska skyddsåtgärder utlandsmyndigheterna och Integrationsverket skall vidta i fråga om personuppgifter som behandlas vid myndigheterna under Migrationsverkets personuppgiftsansvar. Eftersom de först nämnda myndigheterna är helt fristående myndigheter i förhållande till Migrationsverket torde en uttrycklig föreskriftsrätt krävas.

Av samma skäl som beträffande säkerhetsåtgärder anser utredningen att Migrationsverket är i behov av en föreskriftsrätt även när det gäller avskiljande av personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar. För personuppgifter som behandlas inom den egna myndigheten är de i lagen föreslagna bestämmelserna om avskiljande tillräckliga för att ge personuppgiftsansvariga myndigheter befogenhet att närmare besluta i fråga om avskiljande.

Bemyndigande i lag kan dock inte ges direkt till en förvaltningsmyndighet. I lagen bör därför en bestämmelse tas in om att regeringen får bemyndiga annan myndighet att meddela föreskrifter om säkerhetsåtgärder och avskiljande. Den vidare delegationen från regeringen till Migrationsverket bör tas in i den förordningen som föreslås utfärdas i anslutning till utlänningsdatalagen.

Bemyndigandet i fråga om säkerhetsåtgärder utesluter inte att Datainspektionen beslutar om säkerhetsåtgärder i enskilda fall enligt

247

32 § personuppgiftslagen eller meddelar föreskrifter om säkerhetsåtgärder enligt 16 § 2 personuppgiftsförordningen jämförd med 50 § b personuppgiftslagen.

6.18.7Ytterligare föreskrifter

Regeringen bör i lagen bemyndigas att meddela föreskrifter om ytterligare begränsningar såvitt avser sökbegrepp än de som anges i utlänningsdatalagen. Utredningen har dock inte funnit anledning att föreslå någon ytterligare begränsning i förordningen.

Såsom redovisats i avsnitt 6.8.1 kan en myndighet på grund av sökbegränsningar som föreskrivs i lag eller förordning sakna befogenhet att göra sammanställningar av personuppgifter ur en upptagning för automatiserad behandling. En sådan sammanställning anses inte förvarad hos myndigheten och utgör därmed inte heller en allmän handling. Att föreskriva begränsningar i fråga om sökbegrepp är den i registerförfattningar vanliga metoden att begränsa myndigheternas befogenheter att göra sammanställningar.

Sådana sökbegränsningar som beslutas på annat sätt än i lag eller förordning har ingen verkan när det gäller vad som skall anses vara en allmän handling. Enligt utredningens mening är det därför olämpligt att regeringen bemyndigar myndigheterna att meddela föreskrifter om sökbegrepp. Möjlighet till vidaredelegation från regeringen i fråga om sökbegrepp föreslås således inte.

Migrationsverket bör slutligen få meddela ytterligare begränsningar i fråga om de ändamål för vilka personuppgifter får behandlas och av vilka slags personuppgifter som får behandlas när det gäller Integrationsverkets och utlandsmyndigheternas behandling under Migrationsverkets personuppgiftsansvar.

248

7Sekretess

7.1Inledning

Utredningens förslag till utlänningsdatalag syftar till att – inom den ram som är acceptabel med hänsyn till enskildas personliga integritet – möjliggöra för myndigheterna att utbyta personuppgifter med användande av modern och rationell informationsteknik. Detta förutsätter dock att personuppgifterna kan utlämnas även med hänsyn till sekretesslagens (1980:100) bestämmelser.

I utredningsdirektiven anges att det är naturligt att sekretessfrågor kommer upp i sammanhang som rör överföring av känsliga uppgifter mellan olika myndigheter. I det helhetsperspektiv som utredningen skall anlägga ingår även att beakta vad Utredningen om sekretess hos utlandsmyndigheter m.m. har kommit fram till i frågor om sekretess och överföring av uppgifter (SOU 2001:110) och vid behov föreslå kompletterande författningsändringar eller andra åtgärder.

Nedan redogörs för de sekretessregler som i allmänhet kan vara tillämpliga på personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen, avsnitt 7.1. Dessutom redogörs för sådana sekretessbrytande bestämmelser som är aktuella när det gäller utlämnande av sekretessbelagda uppgifter från myndigheter som bedriver sådan verksamhet, avsnitt 7.2. Utredningens kartläggning av den nuvarande behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen har visat att det i dag förekommer rutinmässiga överföringar mellan myndigheter av stora mängder sekretessbelagda personuppgifter genom sådan behandling som avses omfattas av utlänningsdatalagens bestämmelser. I avsnitt 7.3. redovisas vilka bestämmelser myndigheterna synes stödja sig på för att lämna ut dessa uppgifter. Därefter, i avsnitt 7.4, redovisas utredningens överväganden i de sekretessfrågor som redogörelsen i det föregående föranleder. Slutligen behandlas i avsnitt 7.5 den sekretess-

249

fråga som ställts av Svenska röda korset i den till utredningen överlämnade skrivelsen, bilaga 2.

7.2Sekretess i verksamhet enligt utlännings- och medborgarskapslagstiftningen

7.2.1Allmänt om sekretess

I avsnitt 6.15.1 har översiktligt redogjorts för begreppet allmän handling och för allmänhetens grundlagsskyddade rätt att ta del av myndigheternas allmänna handlingar, den s.k. handlingsoffentligheten. Rätten att ta del av allmänna handlingar gäller dock inte undantagslös. I 2 kap. 2 § första stycket tryckfrihetsförordningen anges att denna rätt får begränsas om det är påkallat med hänsyn till vissa särskilt angivna intressen, bl.a. till rikets förhållande till annan stat eller mellanfolklig organisation och till skyddet för enskildas personliga eller ekonomiska förhållanden. Enligt bestämmelsens andra stycke skall sådana begränsningar anges noga i bestämmelse i särskild lag eller i annan lag till vilken den särskilda lagen hänvisar. Den särskilda lag som åsyftas är sekretesslagen.

Sekretesslagen innehåller bl.a. bestämmelser om tystnadsplikt i det allmännas verksamhet och förbud att lämna ut allmänna handlingar. Enligt 1 kap. 1 § sekretesslagen innebär sekretess förbud att röja en uppgift, vare sig det sker muntligen eller genom att en handling lämnas ut eller om det sker på annat sätt.

En uppgift som omfattas av sekretess får inte röjas för enskild eller för annan myndighet i andra fall än som anges i sekretesslagen eller i lag eller förordning till vilken sekretesslagen hänvisar.

Förbudet att lämna ut en uppgift är i regel inte absolut, vilket tar sig uttryck i att det uppställs skaderekvisit i flertalet materiella sekretessbestämmelser. En avvägning skall göras mot den risk för skada som ett utlämnande kan medföra. Det innebär bl.a. att en uppgift inte skall omfattas av sekretess, om man inte kan förutse någon skada av angiven typ som resultat av att uppgiften lämnas ut.

I lagen förekommer två typer av skaderekvisit, ett rakt och ett omvänt. Det raka skaderekvisitet innebär att sekretess föreligger, om det kan antas att en viss angiven skada uppkommer om uppgiften röjs. Det omvända skaderekvisitet innebär att sekretess föreligger, om det inte står klart att uppgiften kan röjas utan skada. När ett rakt skaderekvisit har ställts upp, presumeras alltså att

250

uppgiften är offentlig medan presumtionen vid ett omvänt skaderekvisit är att uppgiften omfattas av sekretess.

Det raka skaderekvisitet innebär att skadebedömningen kan göras inom ganska vida ramar (prop. 1979/80:2 del A, s. 80). Avsikten är att bedömningen som regel skall göras med utgångspunkt i själva uppgiften och således inte behöva knytas till en skadebedömning i det enskilda fallet. Avgörande för om sekretess gäller eller inte är om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som skall skyddas genom en viss sekretessbestämmelse. Är uppgiften sådan att den genomsnittligt sett måste betraktas som harmlös, skall den normalt sett falla utanför sekretessen. Om uppgiften å andra sidan är av sådant slag att den lätt kan komma att missbrukas, skall den omfattas av sekretess.

Det omvända skaderekvisitet utgår från att sekretess är huvudregel, vilket innebär att utlämnaren har ett ganska begränsat utrymme för sin bedömning. I praktiken innebär detta att en uppgift som omfattas av en sådan sekretessregel inte kan lämnas ut, om det saknas kännedom om mottagarens identitet och dennes avsikter med uppgiften. Som framhålls i sekretesslagens förarbeten (a. prop. s. 81) innebär konstruktionen med skaderekvisit att frågan om vem som begär en uppgift eller vad som är ändamålet med en begäran kan få betydelse när sekretessfrågan skall avgöras (jfr 2 kap. 14 § tredje stycket tryckfrihetsförordningen).

För att en enskild skall anses lida skada eller men krävs naturligtvis att uppgifterna kan hänföras till denne. Som regel bör man alltså kunna lämna ut avidentifierade uppgifter utan att risk för skada eller men uppkommer.

Flertalet sekretessregler är begränsade till verksamhet av ett visst slag, till ärenden av en angiven art eller till viss myndighet (s.k. primär sekretess). Som huvudregel följer sekretess inte med då en uppgift lämnas ut till en annan myndighet. Uppgiften kan emellertid i många fall vara hemlig även hos den mottagande myndighet på grund av en sekretessbestämmelse som gäller för den myndighetens verksamhet. Särskilda bestämmelser om överföring av sekretess finns dock i 11–13 kap. sekretesslagen.

Om uppgifter som omfattas av sekretess lämnas från en myndighet till en annan och den mottagande myndigheten inte kan åberopa vare sig en primär sekretessregel eller en regel om överföring av sekretess, blir uppgiften som var hemlig hos den ut-

251

lämnande myndigheten offentlig hos den mottagande myndigheten.

7.2.2Sekretessbestämmelser som gäller i verksamhet enligt utlännings- och medborgarskapslagstiftningen

I det följande beskrivs de materiella sekretessregler som ofta är tillämpliga för personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen, nämligen utrikessekretessen, utlänningssekretessen, socialtjänstsekretessen, sekretessen för Schengens informationssystem samt statistiksekretessen. Även annan sekretess kan ibland bli aktuell. Sådana andra sekretessbestämmelser som spelar en mindre roll för de stora personuppgiftsflödena mellan eller från de aktuella myndigheterna lämnas emellertid utanför redovisningen.

Utrikessekretessen

Utrikessekretessen regleras i 2 kap. 1 § sekretesslagen och är tillämplig inom all offentlig verksamhet som omfattas av sekretesslagen. Enligt bestämmelsen gäller sekretess för uppgifter som angår Sveriges förbindelser med annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller statslös, om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. Ett rakt skaderekvisit gäller vid sekretessprövningen. Utgångspunkten är alltså att alla uppgifter inom utrikessekretessens område är offentliga.

I verksamhet enligt utlännings- och medborgarskapslagstiftningen, såsom denna definieras i utlänningsdatalagen, se avsnitt 6.2, är bestämmelsen om utrikessekretess tillämplig främst beträffande uppgifter som förekommer hos Migrationsverket och Utlänningsnämnden. Utrikessekretessens syfte är att skydda svenska intressen och inte enskilda. Det innebär att personuppgifter kan omfattas av utrikessekretess endast om ett röjande skadar svenska intressen. Så kan vara fallet t.ex. beträffande uppgiftslämnare i reserapporter från s.k. fact findingresor eller i diplomatiska rapporter som Utrikesdepartementet översänder till myndigheterna.

252

Såsom beskrivits i avsnitt 4.1.6 innehåller Migrationsverkets datasystem LIFOS sådan allmän länderinformation som här avses, däribland personuppgifter om uppgiftslämnare för vilka utrikessekretess torde gälla. Det bör noteras att samma personuppgifter också kan omfattas av sekretess enligt 7 kap. 14 § första stycket sekretesslagen som behandlas i det följande.

Ibland kan också utredningsuppgifter i enskilda ärenden omfattas av utrikessekretess, t.ex. i fråga om identiteten på en informationskälla, om ett röjande bedöms allvarligt kunna försvåra Sveriges fortsatta möjligheter att få tillgång till dylik information (se SOU 2001:110 s. 40).

Utlänningssekretessen

I 7 kap. 14 § sekretesslagen finns bestämmelser om skydd för utlänningar. Sekretesskyddet för utlänningar är avsett att förhindra att röjande av uppgift om utlänning leder till skada som hänger samman med hans eller hennes särskilda förhållanden som utlänning (prop. 1997/80:2 del A, s. 208).

Av paragrafens första stycke framgår att sekretess gäller för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller annat allvarligt men som föranleds av förhållandet mellan utlänningen och utländsk stat eller myndighet eller organisation av utlänningar. Bestämmelsen tar sikte på varje slag av uppgifter som rör utlänningar, oavsett i vilket sammanhang uppgifterna förekommer. Skaderekvisitet är rakt, vilket innebär en presumtion för offentlighet. Skadebedömningen skall, som tidigare nämnts, göras med utgångspunkt i själva uppgiften. Avgörande är om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som skall skyddas genom bestämmelsen. Endast en relativt allvarlig skada skall leda till sekretess. Det krävs nämligen att det kan antas att ett röjande av uppgiften skulle medföra att någon utsätts för övergrepp eller allvarligt men. Enligt uttalanden i förarbetena fordras visserligen inte någon högre grad av sannolikhet för sådan skada för att sekretessen skall gälla, redan en beaktansvärd skaderisk är tillräcklig. Skaderisken skall dock vara föranledd av förhållandet mellan utlänningen och utländsk stat eller organisation av utlänningar (a. prop. s. 209). Som typexempel på fall där sekretess bör gälla, nämns

253

i förarbetena situationer där röjande av uppgifter om en politisk flykting här i landet leder till repressalier mot flyktingen eller hans anhöriga i hemlandet (a. prop. s. 208). Utredningar och skäl till beslut i asylärenden som handläggs av Migrationsverket respektive Utlänningsnämnden torde inte sällan innehålla sådana uppgifter. Som nyss sagts kan även uppgifter i LIFOS angående enskilda uppgiftslämnare eller andra personer i t.ex. Migrationsverkets reserapporter omfattas av sekretess enligt den aktuella bestämmelsen.

Tillämpningsområdet för utlänningssekretessen enligt paragrafens första stycke är inte begränsat till viss myndighet eller verksamhet eller vissa ärenden. Sekretessen gäller inom hela den offentliga förvaltningen.

Enligt andra stycket i samma paragraf gäller – utöver vad som framgår av första stycket – sekretess för uppgift om enskilds personliga förhållanden i myndighets verksamhet för kontroll över utlänningar och i ärenden om medborgarskap, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Med begreppet men avses främst integritetskränkningar av olika slag som kan uppstå på grund av att uppgifter om någons personliga förhållanden lämnas ut. Det kan också inbegripa ekonomiska konsekvenser för en enskild. Utgångspunkten för en bedömning av om men föreligger är den berörda personens egen upplevelse. Bedömningen kan emellertid i viss utsträckning korrigeras med utgångspunkt i gängse värderingar i samhället.

Uttrycket enskilds personliga förhållanden förekommer på många ställen i sekretesslagen. Vad som menas härmed skall bestämmas med ledning av vanligt språkbruk. Uttrycket avser så vitt skilda förhållanden som t.ex. en persons adress och yttringarna av ett psykiskt sjukdomstillstånd (a. prop. s. 84).

När det gäller verksamhet för kontroll över utlänningar avses inte bara förvaltningsärenden om t.ex. visering, uppehållstillstånd, arbetstillstånd, avvisning eller utvisning utan också kontrollåtgärder eller annan löpande tillsyn (a. prop. s. 210). När det gäller uppgift i ärende om arbetstillstånd för utlänning omfattas den av sekretess även enligt 8 kap. 2 § sekretesslagen, om det kan antas att den enskilde lider skada om uppgiften röjs.

Med ärende om medborgarskap förstås alla ärenden enligt medborgarskapslagen.

Bestämmelsen i andra stycket innebär att sekretess är huvudregel. Tillämparen har alltså ett betydligt mer begränsat utrymme

254

för sin bedömning än vad som gäller enligt paragrafens första stycke. Vid bedömning av sekretessfrågan måste hänsyn tas till att uppgifter som i Sverige kan anses som tämligen harmlösa, kan uppfattas som mycket ömtåliga för den som kommer från ett annat land (Regner, Eliason, Heuman: Sekretesslagen, en kommentar, 1998, i fortsättningen Regner m.fl., s. 7:73).

Sekretessen enligt paragrafens andra stycke gäller även anmälan eller annan utsaga som lämnats av enskild i verksamhet för kontroll över utlänningar, t.ex. i ett asylärende. Syftet är att skydda uppgiftslämnaren och dennes närstående. Skyddet gäller emellertid endast om det kan antas att den enskilde löper risk att utsättas för repressalier av allvarligt slag om de lämnade uppgifterna röjs.

Beslut i utlännings- eller medborgarskapsärenden omfattas inte av sekretessbestämmelsen i andra stycket utom såvitt avser uppgifter i skälen.

Paragrafens andra stycke är tillämpligt på en stor del av de personuppgifter som Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna behandlar när de handlägger utlännings- och medborgarskapsärenden eller annars uppfyller åligganden enligt utlänningslagen. I och med det omvända skaderekvisitet presumeras flertalet personuppgifter som Migrationsverkets behandlar i sitt verksamhetsstödjande system STAMM vara hemliga enligt den ifrågavarande bestämmelsen.

Paragrafen om utlänningssekretess har ändrats vid ett flertal tillfällen sedan sekretesslagen trädde i kraft den 1 januari 1981. Från den 1 mars 2003 gäller ett nytt tredje stycke (SFS 2002:1124) som föreskriver sekretess för utlänningars personliga förhållanden hos Integrationsverket. Sekretess gäller enligt bestämmelsen i 1) ärende om statlig ersättning för kostnader för mottagande av flyktingar och andra skyddsbehövande som beviljats uppehållstillstånd och av personer som beviljats uppehållstillstånd på grund av anknytning till sådana utlänningar – dvs. ärenden enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. – samt i 2) verksamhet som avser medverkan till bosättning för personer som omfattas av 1). Sekretessen är begränsad med ett rakt skaderekvisit. Sekretess gäller således endast om det kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Som huvudprincip är uppgifterna i ärendena och i bosättningsverksamheten alltså offentliga. Enligt bestämmelsens förarbeten är avsikten att Integrationsverket skall kunna hemlig-

255

hålla typiskt sett integritetskänsliga uppgifter om den enskilde utlänningen, t.ex. om dennes hälsotillstånd eller politiska inställning och liknande uppgifter om anhöriga i hemlandet (prop. 2001/02:191 s. 94 och 115).

Fjärde stycket infördes år 1997 med anledning av Sveriges anslutning till Dublinkonventionen samma år. Dublinkonventionen har, som redovisats i avsnitt 3.1, tillkommit för att garantera att var och en som ansöker om asyl i någon medlemsstat skall få sin asylansökan prövad. I Dublinkonventionens artikel 15 behandlas informationsskyldigheten i individuella asylärenden med närmare angivande av under vilka förutsättningar olika slags personuppgifter skall utväxlas mellan staterna. Av artikel 15.5. framgår att uppgifter som Sverige tar emot bara får användas för i artikeln 15.1 angivna ändamål samt att de bara får lämnas vidare till sådana myndigheter och rättsinstanser som i något avseende handlägger utlänningsärenden.

Enligt den aktuella sekretessbestämmelsen gäller absolut sekretess, i den mån riksdagen har godkänt avtal om detta med främmande stat eller mellanfolklig organisation, för uppgifter som avses i första och andra styckena och som en myndighet har fått enligt avtalet. Något skaderekvisit är alltså inte uppställt. Föreskrifterna i 14 kap. 1–3 §§ får i fråga om denna sekretess inte tillämpas i strid mot avtalet. Bestämmelsens syfte är enligt förarbetena att säkerställa att uppgifter som Sverige tagit emot enligt artikel 15 i Dublinkonventionen endast lämnas vidare till sådana myndigheter och rättsinstanser som nyss nämnts och som avses i artikel 15 punkt 5 (prop. 1996/97:87 s. 19 och 23). När Migrationsverket eller Utlänningsnämnden gör eller får förfrågningar i enlighet med artikel 15 i Dublinkonventionen är den aktuella sekretessbestämmelsen alltså tillämplig på den från utländsk myndighet mottagna informationen. De mottagna personuppgifterna behandlas sedan i myndigheternas automatiserade system.

Inom EU har nyligen antagits en EG-förordning – rådets förordning 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredje land har gett in i någon medlemsstat – som ersätter Dublinkonventionen. Förordningen trädde i kraft den 16 mars 2003 och skall börja tillämpas på asylansökningar som lämnas in fr.o.m. den sjätte månaden från ikraftträdandet. Vilken medlemsstat som har ansvaret för att pröva

256

en asylansökan som lämnas in dessförinnan skall enligt artikel 29 i förordningen avgöras enligt Dublinkonventionens kriterier.

Ytterligare ändringar i paragrafen har föreslagits av Utredningen om sekretess hos utlandsmyndigheter m.m. I utredningens betänkande Utlandsmyndigheternas medverkan i utlänningsärenden m.m. (SOU 2001:110) föreslås en skärpning av sekretessen hos utlandsmyndigheterna genom att sekretess enligt andra stycket skall gälla inte bara då en utlandsmyndighet handlägger utlännings- och medborgarskapsärenden utan också då en utlandsmyndighet medverkar i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap genom att biträda handläggande myndighet – dvs. Migrationsverket, Utlänningsnämnden eller polismyndigheter – med utredning. Dessutom föreslås ändringar av utlänningslagen och medborgarskapslagen genom införande av bestämmelser som anger att uppgifter om utlänningar eller enskilds personliga förhållanden får utbytas mellan utlandsmyndigheter och den myndighet som biträds. För att uppgifter skall få lämnas till en utlandsmyndighet krävs, enligt förslaget, att de behövs för att utlandsmyndigheten skall kunna fullgöra sin utredning och att det föreligger särskilda skäl för att uppgiften lämnas. Något krav på särskilda skäl föreslås inte när det gäller utlandsmyndighetens återrapportering till den handläggande myndigheten. Ändringsförslagen i denna del kompletteras med ett förslag till ytterligare ett nytt stycke i 7 kap. 14 § sekretesslagen som anger att uppgifter som avses i första och andra styckena i 7 kap. 14 § får lämnas ut utan hinder av sekretess enligt vad som föreskrivs i utlänningslagen och medborgarskapslagen. Förslaget har remissbehandlats och bereds för närvarande i Regeringskansliet. Enligt vad utredningen inhämtat, är det emellertid osäkert huruvida regeringen kommer att föreslå någon ändring av sekretesslagen när det gäller utlandsmyndigheternas medverkan i utlännings- och medborgarskapsärenden.

Slutligen kan nämnas att Utredningen om översyn av regler och praxis vid verkställighet av avvisnings- och utvisningsbeslut i sitt nyligen lämnade betänkande Verkställighet vid oklar identitet m.m. (SOU 2003:25) bl.a. har funnit att gällande sekretessregler skapar problem i samarbetet mellan Migrationsverket och polismyndigheter i ärenden avseende verkställighet av avvisnings- eller utvisningsbeslut. Utredningen har därför bl.a. föreslagit att Migrationsverket och Utlänningsnämnden åläggs en generell skyldighet att till polismyndighet lämna uppgifter som behövs i sådana ärenden.

257

Enligt förslaget författningsregleras uppgiftsskyldigheten genom en ny bestämmelse i utlänningslagen.

Socialtjänstsekretessen

I 7 kap. 4 § sekretesslagen regleras sekretess inom socialtjänstens område. I paragrafens tredje stycke beskrivs närmare den s.k. socialtjänstsekretessens omfång. Där anges bl.a. att med socialtjänst jämställs verksamhet rörande ärenden om bistånd åt asylsökande och andra utlänningar. Sekretessen omfattar uppgifter om enskildas personliga förhållanden. I förarbetena till bestämmelsen framhålls att de uppgifter som asylsökande m.fl. kan behöva lämna för att få bistånd kan vara av lika ömtålig art och förtjäna samma skydd som uppgifter som lämnas i ärenden om socialbidrag, t.ex. uppgifter som belyser den enskilde utlänningens hälsotillstånd (prop. 1987/88:80 s. 35).

Presumtionen är för sekretess i och med att ett omvänt skaderekvisit föreskrivs. Uppgifter får lämnas ut, endast om det står klart att uppgifterna kan röjas utan att den enskilde eller någon honom närstående lider men.

Av de myndigheter som enligt utredningens förslag har att tillämpa utlänningsdatalagen är det Migrationsverket som ger sådant bistånd åt asylsökande och andra utlänningar som avses i 7 kap. 4 §. Bestämmelsen om socialtjänstsekretess är således tillämplig beträffande uppgifter om enskildas personliga förhållanden som finns i den ärendehandläggning som Migrationsverket utför enligt lagen (1994:137) om mottagande av asylsökande m.fl. (LMA). Enligt den lagen lämnas bistånd i form av logi, bostadsersättning, dagersättning eller särskilt bidrag (se även avsnitt 3.3). Sekretessen torde vidare även kunna omfatta uppgifter i Migrationsverkets ärenden enligt förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land och enligt förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigas resor till Sverige.

258

Sekretess för Schengens informationssystem

Enligt 7 kap. 41 § sekretesslagen gäller sekretess hos bl.a. polismyndighet, Rikspolisstyrelsen och Migrationsverket för uppgift om enskilds personliga förhållanden i en angelägenhet som avser en framställning enligt 3 § lagen (2000:344) om Schengens informationssystem om bl.a. att en person skall nekas tillträde till eller uppehållstillstånd i Schengenstaterna (spärrlistan). Ett omvänt skaderekvisit uppställs. Uppgift får således inte lämnas ut, om det inte står klart att så kan ske utan att den enskilde eller någon honom närstående lider men. När det gäller spärrlistan omfattar sekretessen motsvarande uppgifter också hos annan myndighet som prövar ansökningar om visering och uppehållstillstånd, dvs. utlandsmyndigheter eller Utlänningsnämnden. I tredje stycket görs undantag från sekretessen för sådant uppgiftsutlämnande som regleras i polisdatalagen (1998:622) eller i lagen om Schengens informationssystem.

De uppgifter som Migrationsverket har i sitt Sirenedatasystem (som är en kopia av spärrlistan i Rikspolisstyrelsens nationella SIS- register, se avsnitt 4.1.2) omfattas av paragrafens tillämpningsområde liksom de uppgifter som utlandsmyndigheterna erhåller vid sina kontroller i viserings- och uppehållstillståndsärenden av om sökandena förekommer i spärrlistan. För utlandsmyndigheter som använder Almasystemet (se avsnitt 4.1.3) kan tilläggas att sekretessbestämmelsen gäller beträffande de utdrag ur spärrlistan som Migrationsverket lagrar på CD-romskivor och lämnar till utlandsmyndigheterna var fjortonde dag.

Statistiksekretess

I 9 kap. 4 § regleras den s.k. statistiksekretessen. Sekretess gäller i sådan verksamhet hos myndigheter som avser framställning av statistik samt, i den utsträckning regeringen föreskriver det, i annan därmed jämförbar undersökning som utförs av myndighet för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Sekretessen är enligt huvudregeln absolut, men det finns undantag för vilka ett omvänt skaderekvisit gäller.

Statistiksekretessen är i verksamhet enligt utlännings- och medborgarskapslagstiftningen tillämplig främst i fråga om den statistik

259

som Migrationsverket och Integrationsverket kontinuerligt för i datoriserade uppgiftssamlingar och som närmare har beskrivits i avsnitt 4.1.5 och 4.3. För uppgifterna torde ofta gälla även utlännings- eller socialtjänstsekretess.

7.2.3Begränsningar i sekretessen i förhållande till andra myndigheter

Gemensamt för de myndigheter som föreslås tillämpa utlänningsdatalagen vid sin behandling av personuppgifter är att åtskilliga personuppgifter omfattas av någon eller några av de sekretessbestämmelser som redovisats i det föregående. Som tidigare sagts gäller sekretess också mellan myndigheter. Därutöver kan nämnas att sekretess även gäller mellan olika verksamhetsgrenar inom samma myndighet, när de är att betrakta som självständiga i förhållande till varandra (1 kap. 3 § andra stycket sekretesslagen).

Huvudprincipen om sekretess mellan myndigheter (och mellan olika verksamhetsgrenar) motiveras enligt förarbetena främst av att den skyddar den enskilde (prop. 1979/80 del A s. 90). Den omständigheten att ett större antal tjänstemän får kunskap om ett känsligt förhållande kan upplevas som menligt av den som uppgiften rör. Även om de funktionärer hos en annan myndighet som får del av informationen i sin tur har tystnadsplikt, ökar risken för obehörig vidarespridning. Uppgifter hos annan myndighet kan läggas till grund för åtgärder som, även om de är helt lagenliga, har en negativ innebörd för den enskilde. Sådana åtgärder kan i sekretesslagens mening innebära skada och men för den enskilde. I förarbetena framhålls att ståndpunkten att helt rättsenliga åtgärder ibland kan få bedömas som skada eller men är nödvändig för att sekretess skall kunna upprätthållas även mellan myndigheter (a. prop. s. 83).

Det är emellertid givet att myndigheter ofta behöver utbyta information med varandra, däribland personuppgifter. Myndigheter har dessutom en skyldighet att samverka med andra myndigheter genom att lämna dem hjälp inom ramen för den egna verksamheten, se 6 § förvaltningslagen (1986:223). I 15 kap. 5 § sekretesslagen preciseras denna samverkansskyldighet. I bestämmelsen föreskrivs att en myndighet är skyldig att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte hinder föreligger på grund av sekretess eller av hänsyn till arbetets

260

behöriga gång. När det gäller sekretessbelagda uppgifter innebär bestämmelsen att en myndighet är skyldig att lämna ut uppgifterna, om den finner att en sekretessbrytande bestämmelse är tillämplig.

Enligt 1 kap. 3 § sekretesslagen får sekretessbelagda uppgifter lämnas till annan myndighet i de fall som anges i sekretesslagen eller i lag eller förordning som sekretesslagen hänvisar till. Följande sekretessbrytande bestämmelser är de mest väsentliga för verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Enligt 1 kap. 5 § sekretesslagen får sekretessbelagda uppgifter lämnas från en myndighet till en annan (eller till en enskild), om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin egen verksamhet. Bestämmelsen är avsedd att tillämpas restriktivt och får t.ex. inte användas endast i syfte att höja myndigheternas effektivitet.

I 14 kap. 1–3 §§ sekretesslagen finns generella begränsningar i sekretessen mellan olika myndigheter i Sverige (eller olika verksamhetsgrenar).

Sekretess hindrar enligt 14 kap. 1 § inte att en uppgift lämnas till regeringen eller riksdagen. Inte heller hindrar sekretess att sekretessbelagd uppgift lämnas till annan myndighet, om en uppgiftsskyldighet följer av lag eller förordning. För att en bestämmelse om uppgiftsskyldighet skall ha företräde framför en sekretessregel krävs att det är fråga om en uttrycklig uppgiftsskyldighet, uppgiften skall lämnas ut. Enligt förarbetena är det inte nödvändigt att föreskriften i fråga har avfattats med tanke på att uppgifterna kan vara hemliga (prop. 1979/80 del A, s. 322 f.). Däremot krävs för att bestämmelsen skall vara tillämplig att den uppfyller vissa krav på konkretion. Den kan ta sikte på utlämnande av uppgifter av speciellt slag, gälla en viss myndighets rätt att få del av uppgifter i allmänhet eller avse skyldighet för viss myndighet att lämna andra myndigheter information. En författningsreglerad uppgiftsskyldighet innebär att någon sekretessprövning inte behöver göras. Den prövning som görs avser i stället vilka uppgifter som skall lämnas ut till följd av uppgiftsskyldigheten.

En bestämmelse som mera generellt ålägger en myndighet att samarbeta med andra myndigheter anses inte innefatta en uppgiftsskyldighet som här avses. Detsamma gäller bestämmelserna i 15 kap. 5 § sekretesslagen om myndigheternas upplysningsplikt gentemot varandra respektive den allmänna samverkansskyldigheten myndigheter emellan som föreskrivs i 6 § förvaltningslagen (1986:223) (Regner m.fl. s. 14:6).

261

Författningsreglerad uppgiftsskyldighet med sekretessbrytande verkan som berör verksamhet enligt utlännings- och medborgarskapslagstiftningen är t.ex. Migrationsverkets respektive Integrationsverkets skyldighet enlig förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar att lämna vissa särskilt angivna uppgifter till Centrala studiestödsnämnden. Ytterligare exempel är Migrationsverkets skyldigheter enligt 6 kap. 13 § a studiestödsförordningen (2000:655) respektive 19 c § förordningen (2002:744) om rekryteringsbidrag till vuxenstuderande att lämna vissa angivna uppgifter till Centrala studiestödsnämnden eller Överklagandenämnden för studiestöd.

I 14 kap. 2 § regleras uppgiftslämnande i vissa särskilda situationer. Av intresse i förevarande sammanhang är andra punkten i paragrafens första stycke enligt vilken sekretess inte hindrar att uppgift, i annat fall än som avses i 14 kap. 1 §, lämnas till en annan myndighet, om uppgiften behövs där för omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer. En sådan omprövning föranleds i allmänhet av ett överklagande. Omprövningen kan också följa av att beslut författningsenligt skall underställas en överordnad myndighet eller att sistnämnd myndighet har befogenhet att på eget initiativ förnya prövningen. Bestämmelsen är t.ex. tillämplig när Migrationsverkets beslut överklagas till Utlänningsnämnden. Det kan anmärkas att det – utöver bestämmelserna i 14 kap. 2 § och sådan särskild författningsreglerad uppgiftsskyldighet som avses i 14 kap. 1 § – inte finns någon allmän befogenhet att lämna en överordnad myndighet sekretessbelagda uppgifter.

I 14 kap. 3 § första stycket finns den s.k. generalklausulen som införts för att inte oförutsedda hinder skall uppkomma i myndigheternas verksamhet. Generalklausulen innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen skall skydda. Den mottagande myndighetens behov av uppgifterna skall vägas mot det intresse som sekretesskyddet typiskt sett tillgodoser. Bestämmelsen är subsidiär i förhållande till 14 kap. 1 och 2 §§.

I förarbetena uttalades att generalklausulen ger särskilt utrymme för informationsutbyte mellan myndigheter med samma sakliga behörighet men med skilda lokala kompetensområden eller mellan myndigheter som har närbesläktade funktioner och som båda har

262

rättslig befogenhet att direkt fordra in de utväxlade uppgifterna (prop. 1979/80:2 del A, s. 326 f.).

Generalklausulen hindrar i och för sig inte att utbyte av uppgifter mellan myndigheter sker rutinmässigt även utan särskild författningsreglering. Den bygger emellertid på att rutinmässigt uppgiftsutbyte i regel skall vara författningsreglerat. I de undantagsfall när rutinmässigt uppgiftslämnande inte är författningsreglerat men likväl anses tillräckligt motiverat, måste den intresseavvägning som skall göras enligt generalklausulen ske på förhand. Den behöver då inte avse prövning av individuella fall utan kan göras på ett sätt som liknar den som enligt förarbetena skall ske i fråga om massuttag (a. prop. s. 327). Den särskilda skaderisk som kan vara förbunden med varje enskild uppgift kan man vid massuttag inte bilda sig en uppfattning om. Å andra sidan är beställarens identitet alltid känd och oftast också dennes avsikt med uppgifterna. Dessa kunskaper i förening med en bedömning av den skaderisk som typiskt sett är förbunden med uppgifter av det slag som avses med beställningen bör i de allra flesta fall ge fullt tillräckligt underlag för bedömningen av om sekretessregleringen skall anses hindra ett utlämnande eller inte (a. prop. s. 81). Det sagda innebär enligt utredningen att utrymmet att tillämpa generalklausulen på ett rutinmässigt utlämnande av sådana uppgifter som omfattas av ett omvänt skaderekvisit är begränsat.

Vid tillämpningen av generalklausulen bör hänsyn tas bl.a. till om uppgifterna kommer att omfattas av sekretess hos den mottagande myndigheten i samma utsträckning som hos den utlämnande. Har det i en lag eller förordning föreskrivits att uppgifter “bör” eller “får” lämnas från en myndighet till en annan, finns det särskild anledning att anse att generalklausulen är tillämplig (Regner m.fl., s. 14:27).

Generalklausulen gäller inte i fråga om all sekretess. I 14 kap. 3 § andra stycket anges vissa undantag från bestämmelsens tillämpningsområde. Av intresse i detta sammanhang är undantaget för socialtjänstsekretessen, som enligt vad som tidigare sagts avser bl.a. ärenden om bistånd åt asylsökande och andra utlänningar (se avsnitt 7.2.2). Undantaget innebär alltså att Migrationsverket inte med stöd av generalklausulen kan lämna till annan myndighet sådana uppgifter som hör till ett ärende om bistånd enligt lagen om mottagande av asylsökande m.fl. Vidare kan generalklausulen inte tillämpas, om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen.

263

Som huvudregel gäller sekretess till skydd för enskild inte i förhållande till den enskilde själv. Vidare kan den enskilde helt eller delvis efterge sekretessen ( 14 kap. 4 § sekretesslagen).

Slutligen kan nämnas att utlämnande av sekretessbelagda uppgifter till utländsk myndighet får ske under de förutsättningar som anges i 1 kap. 3 § tredje stycket sekretesslagen. Där sägs att sekretessbelagd uppgift får lämnas ut till utländsk myndighet eller mellanfolklig organisation, endast om utlämnandet sker i enlighet med särskild föreskrift om det i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen. En EG-förordning jämställs med lag. I artikel 249 i Romfördraget anges att en EG-förordning skall vara bindande och direkt tillämplig i varje medlemsstat. En EG-förordning gäller därmed på samma sätt som en nationell lag, dock med företräde framför lagen i händelse av en kollision.

7.3Personuppgiftsflödet och sekretess

I avsnitt 4.1. har beskrivits hur personuppgifter rutinmässigt och ibland i stor omfattning lämnas ut från Migrationsverkets datasystem till andra svenska myndigheter och till vissa enskilda mottagare. Till några av de mottagande myndigheterna – Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna, Wilmaanslutna utlandsmyndigheter samt Centrala studiestödsnämnden – sker utlämnandet i dag genom dessa myndigheters direktåtkomst till någon eller några delar av Migrationsverkets datasystem. Till övriga utlandsmyndigheter, Arbetsmarknadsstyrelsen och landstingen sker utlämnandet på annat sätt men ändå på medium för automatiserad behandling medan uppgifter åtminstone än så länge lämnas till Riksskatteverket genom ordinär post. De enskilda mottagare som får personuppgifter i större omfattning är AB Svenska Pass och Nordea (Postgirot). I båda fallen lämnas uppgifterna ut på medium för automatiserad behandling.

Härutöver registrerar Utlänningsnämnden, Integrationsverket, polismyndigheterna och Wilmaanslutna utlandsmyndigheter personuppgifter i Migrationsverkets STAMM-bas för fortsatt lagring i

264

det systemet. I avsnitt 6.10.3 har framhållits att detta uppgiftsflöde från Integrationsverket och utlandsmyndigheterna till Migrationsverket enligt utredningens bedömning inte innebär att uppgifterna lämnas ut till Migrationsverket i personuppgiftslagens mening, eftersom Migrationsverket är personuppgiftsansvarigt för de andra myndigheternas behandling av uppgifterna i form av registrering. Enligt sekretesslagens regelsystem är det dock fråga om uppgiftslämnande från en myndighet till en annan.

Eftersom de materiella sekretessbestämmelser som beskrivits i avsnitt 7.2.2 är tillämpliga beträffande åtskilliga av de personuppgifter som lämnas ut i enlighet med det sagda, finns det anledning att närmare belysa vilka sekretessregler som aktualiseras vid informationsflödet och vilka sekretessbrytande bestämmelser myndigheterna torde tillämpa då de lämnar ut sekretessbelagda uppgifter. I nästa avsnitt, 7.4, analyseras om regleringen är tillfredsställande och, om så inte är fallet, om det finns skäl att förslå någon författningsändring eller annan åtgärd.

Naturligtvis lämnar, som redan har sagts, de aktuella myndigheterna ut sekretessbelagda personuppgifter även i andra fall än som här berörs. Utredningen har emellertid inte närmare undersökt förekomsten av sådant informationsflöde utan har inriktat granskningen på rutinmässigt informationsflöde som sker i större omfattning utan någon egentlig sekretessprövning i det enskilda fallet.

7.3.1Direktåtkomst och sekretess

I avsnitt 6.10.3 har påpekats att uppgifter som en myndighet har tillgång till genom direktåtkomst till en annan myndighets automatiserade uppgiftssamlingar, blir allmänna handlingar hos den mottagande myndigheten när upptagningarna har gjorts tillgängliga för myndigheten, se 2 kap. 6 § första stycket tryckfrihetsförordningen. Alldeles oavsett huruvida myndigheten faktiskt använder direktåtkomsten eller inte, är därför varje åtkomlig enskild personuppgift utlämnad till myndigheten redan genom att den blir åtkomlig. Direktåtkomst beträffande uppgifter för vilka gäller sekretess förutsätter således att en sekretessbrytande regel är tilllämplig på utlämnandet.

Här kan anmärkas att all direktåtkomst som förekommer i verksamhet enligt utlännings- och medborgarskapslagstiftningen

265

grundas på de mottagande myndigheternas behov av uppgifterna. Bestämmelsen i 1 kap. 5 § sekretesslagen om nödvändigt utlämnande för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet torde alltså inte tillämpas.

Som framgått av det tidigare sagda har samtliga myndigheter som i dag har direktåtkomst till personuppgifter i STAMM-basen tillgång till mycket stora mängder personuppgifter för vilka sekretess enligt främst 7 kap. 14 § andra stycket sekretesslagen normalt gäller. Integrationsverkets direktåtkomst till delsystemet ROSE, som verket har för sin handläggning av ärenden om ersättning till kommuner och landsting, omfattar även uppgifter för vilka torde gälla sekretess enligt 7 kap. 4 § sekretesslagen.

Den direktåtkomst Utlänningsnämnden i dag har till LIFOS kan omfatta personuppgifter för vilka gäller sekretess enligt främst 2 kap. 1 § eller 7 kap. 14 § första stycket sekretesslagen. Det bör anmärkas att vägledande beslut i allmänhet avidentifieras innan de görs tillgängliga i LIFOS, varför det i praktiken endast i mycket ringa utsträckning förekommer personuppgifter som är sekretessbelagda enligt 7 kap. 14 § andra stycket sekretesslagen.

Nedan beskrivs vilka sekretessbrytande bestämmelser som Migrationsverket i dag torde tillämpa vid utlämnandet till de olika myndigheter som har direktåtkomst. Utredningen återkommer i nästa avsnitt till hur man kan se på de mottagande myndigheternas registrering av uppgifter i STAMM.

För Utlänningsnämndens direktåtkomst till sekretessbelagda uppgifter i STAMM får det förutsättas att Migrationsverket tillämpar generalklausulen i 14 kap. 3 § sekretesslagen till stöd för utlämnandet. Visserligen tillåter bestämmelsen i 14 kap. 2 § första stycket 2 att uppgifter lämnas till en myndighet som skall ompröva beslut eller åtgärd av den myndighet där uppgiften förekommer. Den bestämmelsen omfattar emellertid endast uppgifter om personer som är aktuella i överklagade ärenden vid Utlänningsnämnden. Nämndens nuvarande tillgång till uppgifter avser, enligt vad utredningen upplysts om, alla i STAMM registrerade utländska sökande. Även när det gäller Utlänningsnämndens direktåtkomst till sekretessbelagda uppgifter i LIFOS sker utlämnandet under åberopande av generalklausulen i 14 kap. 3 § sekretesslagen.

Integrationsverkets direktåtkomst avser personuppgifter som Integrationsverket behöver som underlag vid sin handläggning av ärenden enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. Förordningen har ändrats fr.o.m. den

266

1 januari 2003 (SFS 2002:1056), bl.a. genom att det i 40 § föreskrivs att Migrationsverket på begäran skall lämna uppgifter till Integrationsverket om uppgifterna behövs i ärenden om ersättning till kommuner och landsting enligt förordningen. Detta innebär att Migrationsverket numera kan tillämpa 14 kap. 1 § sekretesslagen i fråga om Integrationsverkets direktåtkomst.

Beträffande Rikspolisstyrelsens och polismyndigheternas samt Wilmaanslutna utlandsmyndigheters direktåtkomst saknas någon särreglering av Migrationsverkets uppgiftslämnande. Direktåtkomsten till de sekretessbelagda uppgifterna förutsätter således för närvarande att Migrationsverket, enligt en prövning på förhand, lämnar ut uppgifterna med stöd av generalklausulen i 14 kap. 3 § sekretesslagen.

Som nämnts i avsnitt 7.2.3 har Migrationsverket en författningsreglerad skyldighet att lämna vissa uppgifter till Centrala studiestödsnämnden. Nämnden har direktåtkomst till STAMM. Utlämnandet till nämnden såvitt avser dessa uppgifter kan således ske enligt 14 kap. 1 § sekretesslagen. Uppgiftsskyldigheten omfattar dock endast utlänningar som är parter i ärenden vid nämnden. Åtkomliga uppgifter om andra utlänningar torde Migrationsverket lämna ut med åberopande av generalklausulen.

7.3.2Annat rutinmässigt utlämnande och sekretess

För Migrationsverkets utlämnande av uppgifter på CD-rom till utlandsmyndigheter enligt Almasystemet gäller samma som beträffande Wilmaanslutna utlandsmyndigheter, nämligen att uppgifter som omfattas av sekretess enligt 7 kap. 14 § andra stycket sekretesslagen torde lämnas ut av Migrationsverket med tillämpning av generalklausulen i 14 kap. 3 § sekretesslagen.

Samma sekretess gäller för personuppgifter som Migrationsverket rutinmässigt lämnar på medium för automatiserad behandling till Integrationverket i samband med att Integrationsverket skall medverka vid enskilda utlänningars bosättning efter erhållet uppehållstillstånd. I dessa fall inhämtas dock regelmässigt den enskildes samtycke till att uppgifterna lämnas ut till Integrationsverket. Uppgifterna kan därmed lämnas ut med stöd av 14 kap 4 § sekretesslagen.

Från Migrationsverket sänds uppgifter genom on line-förbin- delse till Arbetsmarknadsstyrelsen om alla beviljade arbetstillstånd.

267

Vidare underrättas Riksskatteverket om alla beviljade svenska medborgarskap. Uppgifterna avser således endast själva besluten i dessa utlännings- och medborgarskapsärenden. För uppgifter i sådana beslut gäller inte bestämmelsen om sekretess enligt 7 kap. 14 § andra stycket. Inte heller är uppgifterna rimligen av den karaktären att de omfattas av sekretess enligt samma paragrafs första stycke. De utlämnade uppgifterna är alltså offentliga.

Enligt folkbokföringsförordningen (1991:749) åligger det Migrationsverket och Integrationsverket att under vissa förhållanden underrätta skattemyndighet om enskilds adress. På förslag av Riksskatteverket övervägs för närvarande en ändring av förordningen som innebär att Migrationsverket skall underrätta skattemyndigheterna om att utlänning, som haft tillfälligt uppehållstillstånd, inte har sökt förlängning av tillståndet inom tre månader från det tillståndet löpt ut. Uppgiftsskyldighet enligt folkbokföringsförordning innebär att de i förordningen avsedda uppgifterna, som kan omfattas av utlänningssekretess, lämnas ut med stöd av 14 kap. 1 § sekretesslagen.

Även till landstingen lämnar Migrationsverket rutinmässigt ut personuppgifter. Det sker på disketter med lagrade personuppgifter om vilka asylsökande som har skrivits in på olika flyktingförläggningar. Visserligen är logi en form av bistånd som lämnas till en utlänning enligt 13 § lagen om mottagande av asylsökande m.fl., vilket kan tala för att bestämmelsen om socialtjänstsekretess i 7 kap. 4 § sekretesslagen skulle vara tillämplig. Uppgiften hos Migrationsverket om på vilken flyktingförläggning en utlänning är inskriven torde emellertid, enligt utredningens bedömning, inte kunna hänföras till ett ärende om bistånd enligt lagen om mottagande av asylsökande m.fl. Däremot kan normalt sekretess gälla för uppgiften enligt 7 kap. 14 § andra stycket sekretesslagen. Migrationsverket torde därmed tillämpa generalklausulen vid utlämnandet.

Härutöver har framkommit att det finns ett behov av att Migrationsverket skall kunna rutinmässigt lämna ut uppgifter om asylsökande barn och ungdomar till kommuner för att kommunerna skall kunna uppfylla sina skyldigheter enligt förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl. Behovet omfattar uppgifter om barnens och ungdomarnas namn, födelsedatum och bostadsadress. Utan dessa uppgifter kan kommunerna t.ex. inte tillskriva barnens målsman med kallelse till skola.

268

Såsom nämnts tidigare lämnar Migrationsverket på CD-rom- skiva ut uppgifter om utlänningars namn, födelsedatum, fotografi, namnteckning m.m. till AB Svenska Pass, som ombesörjer den faktiska framställningen av resedokument och främlingspass. Sekretess gäller hos verket för uppgifterna enligt 7 kap. 14 § andra stycket sekretesslagen. Utfärdande av resedokument och främlingspass är emellertid uppgifter som åvilar Migrationsverket enligt utlänningslagstiftningen. Enligt uppgift tillämpar Migrationsverket 1 kap. 5 § sekretesslagen vid utlämnandet i den mån den enskilde inte lämnar sitt samtycke till utlämnandet.

Vid Migrationsverkets filöverföring av uppgifter om belopp och enskildas kontonummer till Nordea (Postgirot) i samband med utbetalningar av ersättningar enligt lagen om mottagande av asylsökande m.fl., får det enligt utredningens bedömning anses vara klart att dessa uppgifter kan lämnas ut till Nordea utan att den enskilde eller någon honom eller henne närstående lider men. Sekretess gäller således inte för uppgifterna.

När det gäller Utlänningsnämndens, polismyndigheternas och Wilmaanslutna utlandsmyndigheters registrering av personuppgifter i Migrationsverkets automatiserade uppgiftssamlingar avser det uppgifter som normalt är sekretessbelagda enligt 7 kap. 14 § andra stycket sekretesslagen. Någon särreglering av uppgiftslämnandet finns inte utan myndigheterna torde tillämpa generalklausulen till stöd för att lämna uppgifterna till Migrationsverket.

För Integrationsverkets utlämnande av personuppgifter till Migrationsverket genom registrering i STAMM-basens delsystem ROSE i samband med handläggningen av ärenden om statlig ersättning för kostnader för flyktingmottagande, kan uppgifterna omfattas av sekretess enligt den nya bestämmelsen i 7 kap. 14 § tredje stycket sekretesslagen. I den mån så är fallet, torde Integrationsverket tillämpa generalklausulen till stöd för att lämna ut uppgifterna.

7.3.3Utlämnande till utländsk myndighet och sekretess

Till följd av Dublinkonventionen och samarbetet enligt Schengenkonventionen lämnar Migrationsverket personuppgifter till utländska utlänningsmyndigheter i andra konventionsstater.

Enligt artikel 15 i Dublinkonventionen föreskrivs informationsskyldighet beträffande vissa angivna personuppgifter (se avsnitt

269

3.1). Inom ramen för informationsutbytet enligt Dublinkonventionen har den centrala databasen Eurodac för uppgifter om fingeravtryck och kön inrättats (se avsnitt 4.1.7).

Som tidigare sagts (se bl.a. avsnitt 7.2.2) har Dublinkonventionen ersatts av en EG-förordning. Denna innehåller samma informationsskyldighet i fråga om personuppgifter som Dublinkonventionen. Samma uppgiftsslag kommer alltså att utlämnas även efter förordningens fulla ikraftträdande. I avsnitt 3.1 har redovisats vilka personuppgifter informationsskyldigheten omfattar.

I förarbetena till Sveriges anslutning till Dublinkonventionen framhölls att de uppgifter som enligt artikel 15 alltid skall delges en annan medlemsstat inte är av den karaktären att de normalt omfattas av utlänningssekretess. Ofta står det enligt regeringen klart att sådana uppgifter kan lämnas ut utan att den enskilde lider men (prop. 1996/97:87 s. 20). Utredningen är dock något tveksam till den bedömningen, inte minst med tanke på att utlämnandet av uppgifter kan få till följd att den enskildes asylansökan här eller utomlands avslås, vilket många gånger måste anses innebära men för den enskilde.

Vid de automatiserade konsultationerna i viseringsärenden enligt Schengenstaternas särskilda Visionsystem (se avsnitt 4.1.3) utlämnar Migrationsverket väsentligen samma slags personuppgifter som omfattas av Dublinkonventionens och den nämnda EG- förordningens informationsskyldighet. Enligt utredningens uppfattning torde även detta utlämnande ibland kunna få menliga följder för enskilda sökande genom konsultationernas inverkan på beslutsfattandet i ärendena.

Personuppgiftslämnandet enligt artikel 15 i Dublinkonventionen respektive artikel 21 i EG-förordningen och i samband med konsultationerna enligt artikel 17 i Schengenkonventionen avser således uppgifter som enligt utredningens uppfattning många gånger torde omfattas av utlänningssekretess enligt 7 kap. 14 § andra stycket sekretesslagen.

Genom vad som framkommit stöder sig Migrationsverket på 1 kap. 3 § tredje stycket sekretesslagen vid utlämnandet av uppgifterna. När det gäller uppgifter om grunder för asylansökan och skäl för beslut som lämnas ut enligt Dublinkonventionen tillämpas i stället bestämmelsen i 14 kap. 4 § sekretesslagen om den enskildes medgivande till utlämnandet. Enligt artikel 15.3 i konventionen krävs nämligen den asylsökandes samtycke till kommunikation av dessa uppgifter.

270

7.4Utredningens överväganden

Utredningens förslag:

1.I utlänningsdatalagen erinras uttryckligen om sekretesslagen.

2.I utlänningslagen (1989:529) införs en sekretessbrytande uppgiftsskyldighet mellan Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i fråga om uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt utlänningslagen. En motsvarande uppgiftsskyldighet mellan Migrationsverket, Utlänningsnämnden och utlandsmyndigheterna införs i lagen (2001:82) om svenskt medborgarskap.

3.En skyldighet för Migrationsverket att till landsting lämna uppgifter om utlänningar som registrerats vid en mottagningsförläggning införs i förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande.

4.En skyldighet för Migrationsverket att lämna vissa personuppgifter till kommuner införs i förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl.

5.Personuppgiftsutlämnandet till utländska myndigheter enligt Schengenkonventionens rådfrågningssystem författningsregleras i utlänningsförordningen (1989:547).

6.Bestämmelsen i 7 kap. 14 § fjärde stycket sekretesslagen ändras genom att den anpassas till den nya EG-förordning som ersatt Dublinkonventionen. En övergångsbestämmelse införs som anger att sekretess enligt bestämmelsens äldre lydelse alltjämt gäller dels för uppgifter som före ändringen mottagits från utländsk myndighet, dels för uppgifter som efter ändringen tas emot enligt Dublinkonventionen till följd av EG-förordningens övergångsbestämmelser.

7.4.1Inledning

Med tanke på att personuppgifter som kommer att behandlas enligt utlänningsdatalagen i stor utsträckning omfattas av sekretess, är det befogat att erinra om att bestämmelserna i sekretesslagen måste iakttas utöver den prövning som skall göras av om ett utlämnande av en personuppgift är tillåtet enligt utlänningsdatalagen. Utred-

271

ningen föreslår därför att en bestämmelse som uttryckligen erinrar om detta förs in i utlänningsdatalagen.

Förslaget till utlänningsdatalag syftar, såsom tidigare framhållits, till att möjliggöra att myndigheterna skall kunna utväxla personuppgifter rationellt och effektivt med hjälp av modern informationsteknik inom den ram som är acceptabel med hänsyn till enskildas personliga integritet. Samarbete och informationsutbyte mellan myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen gagnar inte bara effektiviteten i verksamheten utan också enskilda i och med att handläggningstider blir kortare och att rättsäkerheten ökar om myndigheterna får snabb tillgång till all relevant information. Detta förutsätter emellertid att sekretessbelagd information kan utväxlas i den omfattning som beskrivits i det föregående. Även när det gäller de beskrivna uppgiftslämnandena till andra än de myndigheter som föreslås omfattas av utlänningsdatalagens tillämpningsområde, anser utredningen att det finns ett påtagligt behov av att informationen kan lämnas ut. Utredningen syftar här bl.a. på landstingens och kommunernas informationsbehov samt på Visionkonsultationerna. Enligt utredningens bedömning är det således motiverat att det informationsutbyte som här avses också fortsättningsvis skall få omfatta sekretessbelagda personuppgifter. Frågan är då om nuvarande sekretessreglering medger det utlämnande som enligt det sagda behövs inom verksamhetsområdet.

7.4.2Uppgiftslämnande som inte påkallar författningsändring

Som framgått i det föregående kan Migrationsverkets utlämnande av sekretessbelagda personuppgifter till Integrationsverket genom direktåtkomst till ROSE-systemet ske med stöd av 14 kap. 1 § sekretesslagen på grund av att det finns en författningsreglerad uppgiftsskyldighet som omfattar de lämnade uppgifterna. Med tanke härpå samt till vad som upplysts om att den enskildes samtycke inhämtas innan sekretessbelagda uppgifter lämnas ut till Integrationsverket i samband med bosättningsprocessen, anser utredningen att nuvarande sekretessbestämmelser ger tillfredsställande stöd för personuppgiftsflödet till Integrationsverket.

272

Sekretessen hindrar inte heller uppgiftslämnandet avseende enskildas adresser till Riksskatteverket, vilket också det äger rum i enlighet med en författningsreglerad uppgiftsskyldighet.

Bestämmelsen i 14 kap. 1 § första meningen sekretesslagen ger vidare stöd för den direktåtkomst som Regeringskansliet föreslås få enligt utlänningsdatalagen.

Enligt utredningens förslag skall Centrala studiestödsnämnden inte längre att ha direktåtkomst till Migrationsverkets personuppgifter. Det kan på grund därav förutsättas att utlämnandet inte längre kommer att avse andra enskilda utlänningar än dem som omfattas av Migrationsverkets författningsreglerade uppgiftsskyldighet enligt förordningen om lån till hemutrustning för flyktingar och vissa andra utlänningar. Uppgiftslämnandet kommer därmed i sin helhet att ske med stöd av 14 kap 1 § sekretesslagen. Något behov av en ytterligare reglering i fråga om utlämnandet till nämnden finns alltså inte.

Likaledes anser utredningen att 1 kap. 5 § sekretesslagen ger utrymme för Migrationsverkets utlämnande av personuppgifter till AB Svenska Pass. Det utlämnandet får nämligen anses nödvändigt för att Migrationsverket skall kunna fullgöra sin egen verksamhet. Det kan här erinras om möjligheten för en myndighet, som anlitar ett bolag, att i avtal med bolaget ta in en klausul om tystnadsplikt enligt vilken bolaget sluter avtal med sina anställda om tystnadsplikt (Regner m.fl. s. 1:20 f.). Myndigheten kan också ställa upp förbehåll om att utlämnade uppgifter som företagets arbetstagare får del av inte får röjas för utomstående (jfr 14 kap. 9 § sekretesslagen).

Inte heller när det gäller den direktåtkomst som utredningen föreslår att Utlänningsnämnden alltjämt skall få ha och utlandsmyndigheterna skall få till Migrationsverkets datasystem LIFOS anser utredningen att det påkallas någon författningsändring. Såsom tidigare framgått är det inte någon omfattande mängd sekretessbelagda personuppgifter som behandlas för ändamålet. Införandet av dessa personuppgifter i LIFOS sker inte på samma rutinmässiga sätt som när det t.ex. gäller registrering av uppgifter i ett ärendehanteringssystem. Bl.a. prövas i allmänhet informationens värde som vägledande information samt i vad mån personuppgifter kan avidentifieras innan de görs tillgängliga i systemet. I samband med den bedömningen torde en prövning i sekretesshänseende också kunna göras beträffande en i vart fall överskådlig mängd information. Mot den bakgrunden anser

273

utredningen att uppgifterna, i den mån de är sekretessbelagda, bör kunna lämnas ut med tillämpning av generalklausulen.

När det slutligen gäller Integrationsverkets registrering av personuppgifter i Migrationsverkets STAMM-bas via delsystemet ROSE, omfattar denna uppgifter om enskilda utlänningar som, enligt utredningens bedömning, i allt väsentligt är av mindre integritetskänslig karaktär. Uppgifterna torde därmed normalt kunna lämnas till Migrationsverket utan risk för sådant men som föreskrivs enligt det raka skaderekvisitet i 7 kap. 14 § tredje stycket sekretesslagen. Någon sekretessbrytande bestämmelse behöver således inte tillämpas för dessa uppgifter. I de mindre ofta förekommande fall då Integrationsverkets uppgifter bedöms omfattas av sekretess, anser utredningen att generalklausulen bör kunna tillämpas till stöd för utlämnandet. Utredningen lämnar därför inte något förslag till författningsreglering av uppgiftslämnandet från Integrationsverket till Migrationsverket.

7.4.3Uppgiftsutlämnande som påkallar författningsändring

Personuppgiftsutbytet mellan utlänningsmyndigheterna, polisen och utlandsmyndigheterna

Det mycket omfattande informationsutbytet mellan Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i samband med handläggning av utlännings- eller medborgarskapsärenden eller annan verksamhet enligt utlänningslagen kan enligt utredningen inte ske enbart med stöd av generalklausulen i 14 kap. 3 § sekretesslagen. Detta gäller såväl beträffande Migrationsverkets utlämnande av sekretessbelagda personuppgifter genom de andra myndigheternas direktåtkomst som beträffande dessa andra myndigheters uppgiftslämnande genom registrering av sekretessbelagda uppgifter i Migrationsverkets datasystem. Detsamma gäller Migrationsverkets utlämnande på CD-romskiva till vissa utlandsmyndigheter. Såsom beskrivits i avsnitt 4.1.3 pågår en utveckling mot en allt högre grad av elektronisk informationsöverföring mellan dessa myndigheter. Bl.a. avses fler utlandsmyndigheter anslutas till Wilmasystemet. Vidare planeras polisens direktåtkomst till systemet vidgas. Polisen planeras också få möjlighet att registrera uppgifter i systemet.

274

SOU 2003:40 Sekretess

Sannolikt kommer således med tiden ännu fler sekretessbelagda uppgifter att utbytas mellan myndigheterna.

Utlänningars intresse av ett starkt sekretesskydd för uppgifter om sina personliga förhållanden i utlännings- och medborgarskapsärenden har motiverat presumtionen för sekretess enligt 7 kap. 14 § andra stycket sekretesslagen. Det omvända skaderekvisitet förutsätter en sekretessprövning som sker för varje individuellt fall. Det uppgiftsutbyte som sker mellan här berörda myndigheter med stöd av generalklausulen grundar sig uppenbarligen inte på någon sådan prövning. Med tanke härpå och på det tidigare sagda om att rutinmässigt utbyte av sekretessbelagda uppgifter mellan myndigheter bör vara författningsreglerat, är det otillfredsställande att uppgifterna lämnas ut enbart med tillämpning av generalklausulen. En författningsändring behövs således.

Den vanliga metoden för att få till stånd ett genombrott av en sekretessregel i förhållandet mellan myndigheter är att i lag eller förordning föreskriva om en skyldighet att lämna ut uppgifter. Uppgifterna kan då lämnas ut utan hinder av sekretess enligt 14 kap. 1 § sekretesslagen.

Utredningen har dock övervägt ett annat alternativ för att möjliggöra utbytet av sekretessbelagda uppgifter mellan de aktuella myndigheterna. Enligt detta alternativ skulle 7 kap. 14 § andra stycket sekretesslagen kompletteras med en ny bestämmelse av innebörd att Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen, polismyndigheterna och utlandsmyndigheterna skulle få lämna varandra uppgifter som avses i andra stycket, om uppgifterna behövdes för verksamhet som gäller kontroll över utlänningar eller medborgarskapsärenden. Sekretess skulle dock gälla för uppgifterna, om det kunde antas att den enskilde eller någon närstående till den enskilde skulle lida betydande men av om uppgifterna röjdes. Alternativet har närmast sin förebild i 7 kap. 1 § femte stycket sekretesslagen som infördes bl.a. för att utöka möjligheterna till automatiserat och rutinmässigt uppgiftsutbyte mellan myndigheter med gemensamt verksamhetsområde (prop. 1990/91:111 s. 25 f.). Av sistnämnda bestämmelse följer att landstingskommunala myndigheter och kommuner med tillämpning av ett rakt skaderekvisit kan lämna uppgifter till varandra för forskning och framställning av statistik eller för administration inom hälso- och sjukvårdsområdet. Genom att regeln är försedd med ett rakt skaderekvisit gäller normalt ingen sekretess för upp-

275

gifterna i förhållandet mellan de aktuella myndigheterna; i vart fall kan de lämnas ut med stöd av generalklausulen.

Utredningen har emellertid avstått från att föreslå en ändring av sekretesslagen enligt det redovisade alternativet. Anledningen härtill är de stora tillämpningsproblem som torde uppkomma i samband med skadebedömningen, dvs. när det skall bedömas vad som kan antas medföra betydande men för den enskilde eller dennes närstående.

Enligt utredningens bedömning talar övervägande skäl för att införa en uppgiftsskyldighet mellan de aktuella myndigheterna för att möjliggöra det rutinmässiga uppgiftsutbyte av sekretessbelagda personuppgifter som i dag sker och som är förutsatt enligt utlänningsdatalagen. Utredningen föreslår därför att det i utlänningslagen införs en skyldighet för Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna att lämna uppgifter till varandra. Även i medborgarskapslagen föreslås en motsvarande uppgiftsskyldighet mellan Migrationsverket och Utlänningsnämnden. Vidare föreslås beträffande båda lagarna att också utlandsmyndigheter som bedriver verksamhet enligt lagarna skall omfattas av uppgiftsskyldigheten. De andra myndigheterna får en motsvarande uppgiftsskyldighet till sådana utlandsmyndigheter.

För att samarbetet mellan myndigheterna skall kunna fungera smidigt, måste uppgiftsskyldigheten omfatta en mängd olika slags uppgifter som skall kunna utlämnas i olika situationer. Inom verksamhetsområdet sker dessutom ofta förändringar som genererar behov av informationsutbyte avseende helt nya uppgifter. Att närmare precisera alla de olika slags uppgifter som skall lämnas ut är därför inte möjligt. Uppgiftsskyldigheten bör dock begränsas så till vida att det uppställs ett krav på att uppgifterna skall vara nödvändiga för den mottagande myndighetens verksamhet enligt respektive lag. Det är den utlämnande myndigheten som har att göra denna nödvändighetsprövning.

Uppgiftsskyldighetens syfte är alltså att underlätta myndigheternas samarbete och informationsutbyte i den aktuella verksamheten genom att sekretessen inte skall hindra att myndigheterna får tillgång till uppgifter som är nödvändiga i verksamheten enligt utlänningslagen eller medborgarskapslagen. Uppgiftsskyldigheten gäller däremot inte om uppgifterna behövs för annan verksamhet som inte omfattas av nämnda lagar. I sådana fall bryts inte sekretessen enligt 7 kap. 14 § andra stycket sekretesslagen.

276

När det gäller automatiserade ärendehanteringssystem som är gemensamt tillgängliga för myndigheterna får nödvändighetsprövningen ske i första hand när man bestämmer vilka slags uppgifter som skall tillföras systemet. Bedömningen kan då ske med hänsyn till bl.a. uppgifternas art. Bedömer den utlämnande myndigheten att uppgifter av en viss typ inte är nödvändiga för annan myndighets verksamhet enligt utlänningslagen eller medborgarskapslagen, skall uppgiften inte föras in i de delar av systemet som är tillgängliga för de andra myndigheterna. I praktiken kommer givetvis främst typiskt sett mindre integritetskänsliga uppgifter såsom namn, dossiernummer, adress, viseringsansökningar m.m. att vara nödvändiga för de andra myndigheterna. Mera integritetskänsliga uppgifter om politisk åskådning, sexuell läggning etc. som t.ex. finns i utredningar i asylärenden torde knappast generellt sett kunna bedömas som nödvändiga för en annan myndighet. Det innebär att sådana uppgifter inte kan utlämnas genom direktåtkomst eller annat rutinmässigt utlämnande med stöd av den här föreslagna uppgiftsskyldigheten. Endast efter särskild prövning i det individuella fallet torde sådana uppgifter kunna anses omfattas av den föreslagna uppgiftsskyldigheten.

Avslutningsvis kan nämnas att det inte framkommit något behov av en likartad uppgiftsskyldighet i lagen om mottagande av asylsökande m.fl. Uppgifter som omfattas av socialtjänstsekretess enligt 7 kap. 4 § sekretesslagen, dvs. uppgifter i ärenden om bistånd till utlänningar, torde således inte kunna lämnas ut genom direktåtkomst eller annat rutinmässigt förfarande för syften som här avses.

Utlämnande av personuppgifter till landstingen

Landstingen har behov av uppgifter om vilka asylsökande som skrivits in vid olika förläggningar inom landstingen för att i första hand kunna fullgöra åtagandet gentemot staten att erbjuda asylsökande m.fl. hälso- och sjukvård. Sammantaget innebär det att uppgifter om samtliga registrerade vid flyktingförläggningar utlämnas fortlöpande och regelbundet till landstingen. Uppgifterna torde omfattas av sekretess enligt 7 kap. 14 § andra stycket sekretesslagen. Även om uppgifterna inte är att bedöma som påtagligt känsliga och kommer att omfattas av hälso- och sjukvårdssekretess enligt 7 kap. 1 § sekretesslagen hos landstingen, är det enligt

277

utredningens uppfattning tveksamt om utlämnandet kan ske med tillämpning av generalklausulen. En författningsreglerad skyldighet för Migrationsverket att lämna ut uppgifterna föreslås därför. En sådan uppgiftsskyldighet innebär att uppgifterna lämnas ut med stöd av 14 kap. 1 § sekretesslagen. Författningsregleringen bör lämpligen ske genom en ny bestämmelse som förs in i förordningen om statlig ersättning för hälso- och sjukvård till asylsökande. I bestämmelsen bör uttryckligen framgå vilka uppgifter som omfattas av uppgiftsskyldigheten. Enligt utredningens bedömning är följande personuppgifter nödvändiga för landstingens behov. Namn, födelsedatum, adress, Migrationsverkets dossiernummer och, i förekommande fall, familjesamhörighet samt tolkbehov.

Utlämnande av personuppgifter till kommuner

Enligt förordningen om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl. har asylsökande och vissa andra utländska barn och ungdomar som vistas i Sverige rätt till undervisning i det offentliga skolväsendet. De har också rätt till förskoleverksamhet och skolbarnomsorg. Enligt förordningen åligger det hemkommuner att svara för att undervisning, förskoleverksamhet och skolbarnomsorg kan komma till stånd. Med hemkommun avses den kommun där personen vistas.

En nödvändig förutsättning för att kommunerna skall kunna fullgöra sina uppgifter enligt förordningen är givetvis att de får fortlöpande information från Migrationsverket om vilka barn och ungdomar som kommunerna är skyldiga att bereda skolplats etc. Uppgift behövs om namn, födelsedatum och bostadsadress.

Av motsvarande skäl som beträffande det nyss behandlade uppgiftsutlämnandet till landstingen anser utredningen att Migrationsverket bör åläggas en författningsreglerad uppgiftsskyldighet i fråga om de nämnda personuppgifterna. Författningsregleringen bör lämpligen ske i förordningen om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl.

278

Utlämnande av personuppgifter enligt Dublinrespektive

Schengenkonventionerna m.m.

Sverige har genom tillträdet till Dublinkonventionen förbundit sig att utlämna vissa personuppgifter till utländsk myndighet i en medlemsstat. Konventionens bestämmelse om uppgiftsskyldighet har inte införlivats med svensk rätt genom särreglering. Alltså saknas sådan särskild reglering som avses i 1 kap. 3 § tredje stycket sekretesslagen som tillåter utlämnandet till utländsk myndighet. Detsamma gäller beträffande utlämnandet av personuppgifter till utländsk myndighet genom Schengenkonventionens rådfrågningssystem, de s.k. Visionkonsultationerna.

Enligt utredningens mening är avsaknaden av uttryckligt författningsstöd för detta omfattande utlämnande av sekretessbelagda uppgifter till utländsk myndighet inte helt i överensstämmelse med sekretessregleringen. Visserligen står det klart att ett uppfyllande av Sveriges åtagande enligt konventionerna är förenligt med svenska intressen. Mer tveksamt är det emellertid huruvida, såsom föreskrivs i 1 kap. 3 § tredje stycket, uppgifterna i motsvarande fall skulle få utlämnas till svenska myndigheter utan särskild författningsreglering.

I propositionen som föregick Sveriges anslutning till Dublinkonventionen uttalade regeringen i fråga om uppgiftsskyldigheten att det i något undantagsfall skulle kunna förekomma att en sekretessprövning leder till att en uppgift inte bör lämnas ut. För att möjliggöra utlämnande i ett sådant fall bör, fortsatte regeringen, en bestämmelse om det föras in i utlänningsförordningen (prop. 1996/97:87 s. 20). Så har dock inte skett.

Uppgiftsskyldigheten enligt EG-förordningen nr. 343/2003 innebär emellertid en sådan särreglering som avses i 1 kap 3 § tredje stycket sekretesslagen, eftersom EG-förordningen gäller som direkt tillämplig lag i Sverige. Någon författningsändring är alltså inte påkallad för att sekretessbelagda uppgifter skall kunna lämnas ut enligt EG-förordningen.

Även om uppgifter under en övergångstid kommer att lämnas ut enligt Dublinkonventionen, torde utlämnandets omfattning att minska betydligt redan från hösten år 2003. Med tanke härpå anser utredningen att det inte längre behövs någon författningsreglering av uppgiftslämnandet enligt Dublinkonventionen.

När det däremot gäller utlämnandet av personuppgifter enligt Schengenkonventionens rådfrågningssystem Vision anser utred-

279

ningen att övervägande skäl talar för att det författningsregleras. Regleringen bör ske i utlänningsförordningen genom införandet av en bestämmelse som anger att personuppgifterna får lämnas ut. Uppgifterna bör specificeras i bestämmelsen och omfatta de personuppgifter som i dag utbyts, se redovisningen i avsnitt 4.1.3.

Slutligen är det utredningens uppfattning att 7 kap. 14 § fjärde stycket sekretesslagen måste anpassas med anledning av den EG- förordning som ersatt Dublinkonventionen. Artikel 21.7 i förordningen innehåller motsvarande föreskrift som artikel 15 Dublinkonventionen om begränsningar i möjligheterna att vidarebefordra personuppgifter som en svensk myndighet mottagit från en utländsk myndighet. Utredningen föreslår därför att bestämmelsen i sekretesslagen ändras genom att en direkt hänvisning till EG- förordningen ersätter den nuvarande hänvisningen till ett av riksdagen godkänt avtal.

Förslaget innebär enligt utredningens mening ingen otillåten implementeringsåtgärd utan är en nödvändig åtgärd för att förordningen i just denna fråga skall få verkan i den svenska sekretessregleringen (se även avsnitt 6.2.3.2).

Vidare föreslås en övergångsbestämmelse som medför att den nuvarande lydelsen av 7 kap. 14 § fjärde stycket sekretesslagen alltjämt gäller för uppgifter som redan mottagits och för uppgifter som framöver kommer att tas emot från utländsk myndighet enligt Dublinkonventionen.

7.5Uppgiftsutlämnande till Svenska röda korset

Utredningens förslag: En sekretessbrytande bestämmelse införs i 7 kap. 14 § sekretesslagen som innebär att Migrationsverket får lämna uppgift om enskilds namn, födelsedatum och adress till Svenska röda korset. En förutsättning för uppgiftslämnandet är att uppgifterna behövs i en angelägenhet som gäller föreningens verksamhet i fredstid för återförening av familjer som skingrats till följd av väpnade konflikter eller för efterforskning av personer som har förlorat kontakten med närstående på grund av krig, väpnad konflikt eller naturkatastrof.

280

Regeringen har till utredningen överlämnat en skrivelse från Svenska röda korset, se bilaga 2. Skrivelsen innehåller en hemställan om att Svenska röda korset skall kunna få tillgång till vissa hos Migrationsverket sekretessbelagda adressuppgifter och födelsedata rörande utlänningar.

I internationellt samarbete med andra nationella röda korsföreningar och internationella rödakorsföreningen (ICRC) är Svenska röda korset verksamt med att hjälpa familjer som splittrats i väpnade konflikter att återförenas. Samarbetet omfattar också efterforskning av personer som har rapporterats försvunna i samband med krig, väpnade konflikter och naturkatastrofer.

Mellan staten och Svenska röda korset finns ett skriftligt avtal angående föreningens efterforsknings- och familjeåterföreningsärenden i fredstid. Enligt avtalet har staten förbundit sig att bl.a. lämna Svenska röda korset ekonomiskt bidrag till den nämnda verksamheten. Dessutom omfattar avtalet bidrag till Svenska röda korsets utväxlande av s.k. rödakorsmeddelanden mellan familjemedlemmar som skilts åt vid en konflikt.

När Svenska röda korset hanterar efterforsknings- och familjeåterföreningsärenden behövs, enligt vad föreningen framfört, inte sällan upplysning från Migrationsverket huruvida den eftersökte befinner sig i Sverige. Om så är fallet, behövs uppgift om dennes postadress för att Svenska röda korset skall kunna skicka ett brev till denne med en förfrågan om han eller hon är den eftersökta personen. När uppgifter begärs från Migrationsverket, handlar det alltså om namngivna individers personuppgifter. I allmänhet rör det sig om enstaka eller ett fåtal personer vid varje förfrågan. Vidare vill Svenska röda korset kunna få uppgift om utlänningens födelsedatum, eftersom uppgiften behövs för att föreningen skall kunna bedöma om personen kan vara identisk med den eftersökte. Även uppgifter om eventuella namnändringar kan vara av betydelse för föreningen.

Migrationsverket lämnar dock endast i undantagsfall ut de begärda uppgifterna. Som regel avslår Migrationsverket Svenska röda korsets förfrågningar under åberopande av att uppgifterna är sekretessbelagda och inte kan lämnas ut till en enskild mottagare. I stället förekommer att Migrationsverket vidarebefordrar Svenska röda korsets brev till personerna i fråga.

De efterfrågade uppgifterna finns i Migrationsverkets verksamhet för kontroll över utlänningar. Någon gång torde sekretessprövningen kunna leda till att det inte står klart att uppgifterna kan

281

lämnas ut till Svenska röda korset utan att den enskilde berörde eller närstående till denne lider men.

Enligt Svenska röda korset medför de nuvarande svårigheterna att få del av önskad information en försvåring av föreningens verksamhet. Även i de fall Migrationsverket vidarebefordrar Svenska röda korsets brev har föreningen erfarit problem. Risken ökar nämligen påtagligt för att adressaterna av en eller annan anledning inte vill medverka i föreningens utredningar, om försändelserna synes härröra från Migrationsverket.

Svenska röda korsets återförenings- och efterforskningsverksamhet är en angelägen och humanitär uppgift som det ligger i samhällets intresse att underlätta. Sverige har vidare till följd av artikel 74 i tilläggsprotokoll I till Genèvekonventionerna den 12 augusti 1949 rörande skydd för offren i internationella väpnade konflikter en allmän skyldighet att i möjligaste mån underlätta återförening av familjer som skingrats till följd av väpnade konflikter i omvärlden. Av artikeln följer också en särskild förpliktelse att uppmuntra Svenska röda korsets arbete med familjeåterföreningar. Det tidigare nämnda avtalet mellan staten och Svenska röda korset om bl.a. familjeåterföreningsverksamhet i fredstid har sin grund i denna förpliktelse.

Enligt utredningen bör Migrationsverket kunna lämna ut uppgifter om enskilds namn, födelsedatum och adress till Svenska röda korset i den här aktuella verksamheten. En sådan begränsad inskränkning av sekretesskyddet rörande typiskt sett mindre känsliga uppgifter torde normalt inte medföra några negativa konsekvenser för den enskilde. Det kan tvärtom antas att Svenska röda korsets förbättrade möjligheter att bedriva verksamheten i de allra flesta fall är i den enskildes intresse.

Eftersom Svenska röda korset är en enskild mottagare, måste begränsningar i sekretessen regleras antingen i sekretesslagen eller i lag eller förordning till vilken sekretesslagen hänvisar (1 kap. 2 § sekretesslagen). Enligt utredningens mening bör författningsregleringen i sin helhet ske i sekretesslagen genom införandet av ett nytt stycke i 7 kap.14 § sekretesslagen. I bestämmelsen bör uttryckligen framgå att uppgifterna bara får lämnas ut för ändamålet att användas för Svenska röda korsets verksamhet enligt avtalet med staten om familjeåterförening och efterforskning av försvunna personer.

282

8Genomförandet

8.1Ikraftträdande- och övergångsbestämmelser

Utredningens förslag: När utlänningsdatalagen träder i kraft skall utlänningsdataförordningen upphöra att gälla.

I fråga om sådan manuell behandling av personuppgifter som har påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst bestämt ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998, skall lagen med ett undantag inte börja tillämpas förrän den 1 oktober 2007. Undantaget gäller lagens bestämmelse om överföring av personuppgifter till tredje land.

Utlänningsdatalagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att utlänningsdatalagen har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas äldre bestämmelser i utlänningsdataförordningen eller datalagen.

Utlänningsdatalagen ersätter den reglering som nu finns i utlänningsdataförordningen. Utlänningsdataförordningen skall därför upphöra att gälla samtidigt som lagen träder i kraft.

När personuppgiftslagen trädde i kraft den 24 oktober 1998 föreskrevs i dess övergångsbestämmelser bl.a. att personuppgiftslagen skall tillämpas fullt ut först den 1 oktober 2007 när det gäller manuell personuppgiftsbehandling som påbörjats före ikraftträdandet eller manuell behandling för ett visst bestämt ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998 (punkten 3). För sådan redan pågående behandling skall bestämmelserna i personuppgiftslagen om grundläggande krav på behandling av personuppgifter (9 §), om när personuppgiftsbehandling är tillåten (10 §), om förbud mot behandling av känsliga personuppgifter (13 §) samt om förbudet för andra än myndigheter

283

att behandla personuppgifter om lagöverträdelser m.m. (21 §) inte tillämpas förrän den 1 oktober 2007. Personuppgiftslagens övriga bestämmelser gäller dock, i vart fall alltsedan den 1 oktober 2001. Exempelvis gäller bestämmelserna om information, rättelse och om överföring av personuppgifter till tredje land.

Enligt den av utredningen valda lagtekniska lösningen skall personuppgiftslagen tillämpas parallellt med utlänningsdatalagen. Några av utlänningsdatalagens centrala bestämmelser utgör preciseringar eller undantag från bestämmelser i personuppgiftslagen som ännu inte gäller för manuell personuppgiftsbehandling som påbörjats redan före den 24 oktober 1998. Det sagda gäller utlänningsdatalagens bestämmelse om när personuppgifter över huvud taget får behandlas inom verksamhetsområdet. Den bestämmelsen ersätter 10 § personuppgiftslagen. Vidare innefattar utlänningsdatalagens reglering av när känsliga personuppgifter får behandlas ett undantag från personuppgiftslagens förbud, ett förbud som inte omfattar sådan redan påbörjad manuell behandling som här avses. Flera bestämmelser i utlänningsdatalagen berör för övrigt inte alls manuell behandling av personuppgifter, t.ex. reglerna om elektroniskt utlämnande, direktåtkomst och avskiljande. Mot bakgrund av det anförda anser utredningen att det för sådan manuell behandling som redan påbörjats före den 24 oktober 1998 är konsekvent att låta utlänningsdatalagen träda i kraft först den 1 oktober 2007, dvs. samtidigt med att 9, 10, 13 och 21 §§ personuppgiftslagen börjar gälla för behandlingen. En övergångsbestämmelse härom föreslås därför.

Ett undantag härifrån är dock motiverat, nämligen för utlänningsdatalagens bestämmelse om överföring av personuppgifter till tredje land. Som nyss sagts gäller personuppgiftslagens grundläggande förbud mot sådan överföring även för den aktuella manuella behandlingen. Enligt utredningens bedömning är behovet av att kunna överföra de här avsedda personuppgifterna till tredje land lika påtagligt som när det gäller andra personuppgifter. Följaktligen bör utlänningsdatalagen i detta avseende gälla från lagens ikraftträdande för sådan manuell behandling som i övrigt är undantagen från lagens tillämpning fram till den 1 oktober 2007.

Slutligen anser utredningen att en övergångsbestämmelse behövs som reglerar att utlänningsdatalagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträtt efter det att lagen har trätt i kraft. Har omständigheten inträffat tidigare, kan det i stället bli aktuellt att

284

tillämpa äldre skadeståndsbestämmelser i utlänningsdataförordningen eller i datalagen, beroende på om tidpunkten ligger före eller efter den 1 oktober 2001. För sådan behandling som är skadeståndsgrundande också enligt 48 § personuppgiftslagen kan givetvis personuppgiftslagen vara tillämplig.

8.2Konsekvensbeskrivningar

Utredningens bedömning: Utredningens förslag innebär i allt väsentligt inga merkostnader för de myndigheter som omfattas av utlänningsdatalagens tillämpningsområde. Förslagen möjliggör i stället en ökad effektivitet vid informationshanteringen som på sikt kan vara kostnadsbesparande.

Förslaget att Centrala studiestödsnämnden inte längre skall tillåtas ha direktåtkomst till Migrationsverkets STAMM-bas kan möjligen medföra något ökade kostnader för nämnden och för Migrationsverket på grund av minskad effektivitet i uppgiftsflödet.

Några andra konsekvenser av förslagen som bör redovisas i betänkandet finns inte.

Den verksamhet som förslagen avser – behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen – omfattas redan av personuppgiftslagens bestämmelser samt till övervägande del av utlänningsdataförordningens kompletterande särreglering. I förarbetena till personuppgiftslagen uttalade regeringen att det vid lagens införande inte fanns grund för att anta att genomförandet av dataskyddsdirektivet skulle leda till ökade utgifter av sådan omfattning att de inte kunde finansieras inom ramen för befintliga medel (prop. 1997/98:44 s. 114 f.) De ekonomiska konsekvenserna av personuppgiftslagens införande för verksamhet enligt utlännings- och medborgarskapslagstiftningens vidkommande är, enligt utredningens uppfattning, knappast möjliga att beräkna. Kostnaderna för den informationsskyldighet som enligt dataskyddsdirektivet och personuppgiftslagen åligger de personuppgiftsansvariga torde t.ex. vara svåra att redan nu uppskatta. Under alla förhållanden kan sådana kostnader inte anses vara en följd av utredningens förslag, som i huvudsak endast innebär vissa preciseringar och undantag i förhållande till personuppgiftslagen.

Dessa undantag och preciseringar möjliggör en minst lika effektiv informationshantering som för närvarande sker inom och

285

mellan de aktuella myndigheterna. Enligt utredningens bedömning kräver förslagen ingen förändring av myndigheternas befintliga datorsystem. Utlänningsdatalagens uppbyggnad med generella och teknikoberoende bestämmelser öppnar i stället för förändringar i eller utbyte av dessa datorsystem som på sikt torde medföra kostnadsbesparingar för myndigheterna. Initialt kan vissa utbildningsinsatser krävas på grund av utredningens förslag. Utredningen bedömer dock att kostnaderna härför kan täckas av ordinarie utbildningsanslag.

Det är möjligt att en viss merkostnad kan uppstå på grund av förslaget att Centrala studiestödsnämnden inte längre skall tillåtas ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket. Båda myndigheterna kan påverkas av detta i och med att mindre effektiva rutiner möjligen måste användas då Migrationsverket uppfyller sin uppgiftsskyldighet i nämndens ärenden om hemutrustningslån. Enligt uppgift från Migrationsverket kan denna eventuella merkostnad för verkets del sannolikt uppvägas av den kostnadsbesparing för tekniska säkerhetsanordningar m.m. som direktåtkomst annars fortlöpande medför. Under alla förhållanden bör eventuella kostnadsökningar kunna rymmas inom myndigheternas ordinarie anslag.

De framlagda förslagen får, enligt utredningens uppfattning, inte någon sådan inverkan på den kommunala självstyrelsen eller andra i 15 § kommittéförordningen (1998:1474) angivna områden som motiverar en särskild konsekvensredovisning.

286

9Författningskommentar

9.1Förslaget till utlänningsdatalag

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Regeringskansliet, Migrationsverket, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i verksamhet som gäller

1.utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2.mottagande av asylsökande och andra utlänningar,

3.bistånd och bidrag till utlänningar,

4.svenskt medborgarskap,

5.statlig ersättning för kostnader för utlänningar, eller

6.bosättning av utlänningar.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Paragrafen anger – med de begränsningar som följer av 2 § – lagens tillämpningsområde. Bestämmelsen har motiverats utförligt i avsnitt 6.2.

I första stycket regleras till en början vilka myndigheters behandling av personuppgifter som omfattas av utlänningsdatalagens bestämmelser. Personuppgiftsbehandling som utförs av annan myndighet än någon av de i paragrafen nämnda faller utanför lagens tilllämpningsområde. Detsamma gäller behandling som utförs av enskilda. Med begreppen behandling och personuppgifter avses detsamma som i personuppgiftslagen (1998:204). Behandling av uppgifter om avlidna, ännu inte födda eller juridiska personer regleras

287

alltså inte av lagen. Inget hindrar emellertid att personuppgiftslagen och utlänningsdatalagen i och för sig tillämpas vid behandling också av sådana uppgifter. Skillnaden är att det för dessa uppgifter inte finns någon skyldighet att göra det.

I första stycket punkterna 1-6 regleras vidare vilken verksamhet behandlingen skall falla inom för att omfattas av lagens bestämmelser. Verksamheten har beskrivits översiktligt i avsnitt 3. Uppräkningen är uttömmande och kommenteras punktvis i det följande.

Med punkten 1 avses i första hand verksamhet enligt utlänningslagen (1989:529) samt utlänningsförordningen (1989:547) som bedrivs av Regeringskansliet, Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna.

Förutom i utlänningslagen finns regler om utvisning av utlänningar i lagen (1991:572) om särskild utlänningskontroll. Polisens behandling av personuppgifter i verksamhet enligt den lagen omfattas inte av utlänningsdatalagens bestämmelser utan av regleringen i polisdatalagen (1998:622), se kommentaren nedan till 2 §. Däremot omfattas enligt punkten 1 Regeringskansliets, Migrationsverkets och Utlänningsnämndens behandling av personuppgifter i dessa ärenden av utlänningsdatalagen.

Punkten 1 innefattar även utlandsmyndigheters verksamhet för andra Schengenländers räkning som gäller viseringar till dessa länder. Som beskrivits i avsnitt 6.2.3.1 representerar svenska utlandsmyndigheter ibland också annan stat och beviljar i den rollen viseringar till de aktuella staterna. Däremot gäller inte utlänningsdatalagens bestämmelser för utlandsmyndigheternas behandling av personuppgifter vid handläggning av ärenden enligt lagen (1989:532) om tillstånd för anställning på fartyg. Den behandlingen regleras av personuppgiftslagen.

Integrationsverket bedriver ingen verksamhet enligt punkten 1. Punkten 2 omfattar Migrationsverkets verksamhet enligt lagen (1994:137) om mottagande av asylsökande m.fl. och anslutande förordning (1994:361) om mottagande av asylsökande m.fl., som inte gäller ekonomiskt bistånd och bidrag till utlänningar. Verksamhet rörande sådant bistånd och bidrag omfattas av punkten 3. Migrationsverkets verksamhet avseende överföring till Sverige av

kvotflyktingar omfattas också av punkten 2.

Med punkten 3 avses sådant ekonomiskt bistånd och särskilt bidrag som Migrationsverket utger till utlänningar enligt lagen om mottagande av asylsökande m.fl. I avsnitt 3.3 har närmare beskri-

288

vits vilka bistånd och bidrag som lämnas enligt lagen. Även bidrag enligt förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land samt förordningen (1984:936) om bidrag till flyktingar kostnader för anhörigas resor till Sverige avses i denna punkt.

Punkten 4 omfattar Regeringskansliets, Migrationsverkets, Ut- länningsnämndens och utlandsmyndigheternas verksamhet enligt lagen (2001:82) om svenskt medborgarskap och medborgarskapsförordningen (2001:218). Verksamheten har beskrivits i avsnitt 3.2.

Punkten 5 omfattar Migrationsverkets verksamhet enligt förordningen (2002:1118) om statlig ersättning för asylsökande m.fl respektive Integrationsverkets verksamhet enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. Även Migrationsverkets verksamhet enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande samt enligt förordningen (2000:415) om statlig ersättning till kommuner och landsting för kostnader för vissa utlänningar med tidsbegränsade uppehållstillstånd omfattas av punkten 5.

Punkten 6 avser Integrationsverkets verksamhet med att träffa överenskommelser med kommuner om mottagande av skyddsbehövande och vissa andra utlänningar samt medverkan vid deras bosättning, se 1 § förordningen om statlig ersättning för flyktingmottagande m.m. och 2 § förordningen (1998:201) med instruktion för Integrationsverket.

Av uppräkningen i det föregående framgår bl.a. att behandling av personuppgifter i myndigheternas interna administration faller utanför lagens tillämpningsområde. Detsamma gäller verksamhet som rör den europeiska flyktingfonden samt statsbidrag till organisationer som främjar integration, se avsnitt 6.2.3.2. För denna behandling gäller enbart personuppgiftslagen.

Av andra stycket framgår att utlänningsdatalagen skall tillämpas såväl vid helt eller delvis automatiserad behandling av personuppgifter som vid manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i ett register. Utlänningsdatalagen har alltså i detta avseende samma tillämpningsområde som personuppgiftslagen.

2 § Lagen tillämpas inte då personuppgifter behandlas med stöd av polisdatalagen (1998:622), lagen (2000:344) om Schengens informationssystem eller rådets förordning (EG) nr 2725/2000 av den 11 december

289

2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen.

Bestämmelsen – som motiverats i avsnitt 6.2.2 och 6.2.3.2 – anger vissa undantag för när utlänningsdatalagen inte är tillämplig trots att behandlingen i och för sig träffas av den beskrivning av tillämpningsområdet som ges i 1 §. De nämnda lagarna reglerar behandling av personuppgifter som utförs av Rikspolisstyrelsen eller polismyndigheterna. Behandling av personuppgifter enligt Eurodacsystemet kommer att utföras såväl av polisen som av Migrationsverket. Det bör noteras att all verksamhet enligt Schengenkonventionen inte regleras av lagen om Schengens informationssystem. Det innebär t.ex. att behandling av personuppgifter vid de s.k. Visionkonsultationerna, se avsnitt 4.1.3, regleras av utlänningsdatalagen.

Lagens förhållande till personuppgiftslagen

3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i verksamhet enligt 1 § första stycket, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen.

Bestämmelsen har behandlats i avsnitt 6.3.

I paragrafen anges förhållandet mellan personuppgiftslagen och utlänningsdatalagen på så sätt att personuppgiftslagen gäller om inget annat sägs i utlänningsdatalagen eller i föreskrifter meddelade med stöd av lagen eller annars enligt 2 § personuppgiftslagen.

Utlänningsdatalagen har utformats så att den endast gör vissa undantag från personuppgiftslagen och i övrigt preciserar vissa för personuppgiftsbehandlingen viktiga förhållanden. Exempelvis gäller personuppgiftslagens definitioner som anges i 3 § samt grundläggande krav på behandlingen enligt 9 § också vid tillämpning av utlänningsdatalagen. Likaså gäller bl.a. personuppgiftslagens bestämmelser om information, säkerhetsåtgärder och Datainspektionens befogenheter, se avsnitt 6.11 och 6.12.

Hänvisningen till 2 § personuppgiftslagen innebär att från personuppgiftslagen avvikande bestämmelser i lag och förordning är tillämpliga även vid behandling av personuppgifter enligt utlänningsdatalagen.

290

Personuppgiftsansvar

4 § Migrationsverket är personuppgiftsansvarigt för Integrationsverkets och utlandsmyndigheternas behandling av personuppgifter för ändamål som anges i 5 § första stycket 1. I övrigt är den myndighet som anges i 1 § personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför eller som det åligger myndigheten att utföra.

Bestämmelsen har behandlats i avsnitt 6.4.

I paragrafen regleras vem som skall vara personuppgiftsansvarig. Innebörden av personuppgiftsansvaret framgår av personuppgiftslagen. Enligt bestämmelsen skall Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen samt polismyndigheterna vara personuppgiftsansvariga för den behandling som myndigheten utför eller som det åligger myndigheten att utföra.

Migrationsverket är dessutom personuppgiftsansvarigt för utlandsmyndigheternas behandling av personuppgifter som enligt 1 § omfattas av utlänningsdatalagens tillämpningsområde. När det gäller Integrationsverket är Migrationsverket personuppgiftsansvarigt för Integrationsverkets behandling av personuppgifter som har samband med verkets handläggning av ärenden enligt förordningen om statlig ersättning för flyktingmottagande m.m., dvs. verksamhet enligt 1 § första stycket 5. I övrigt är Integrationsverket personuppgiftsansvarigt för behandlingen av personuppgifter inom den egna myndigheten.

När behandling av personuppgifter är tillåten

5 § Personuppgifter får behandlas om det är nödvändigt för

1.handläggning av ärenden eller en myndighets biträde i sådana ärenden,

2.kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,

3.utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,

4.uppgiftsutlämnande som sker med stöd av lag eller förordning, följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation,

291

5.återsökning av avgöranden, rättsutredningar, annan rättslig information samt information rörande förhållanden i andra länder som är ägnad att ge vägledning åt handläggning av ärenden,

6.tillsyn, kontroll, uppföljning och planering, eller

7.framställning av statistik.

Personuppgifter som behandlas enligt lagen skall anses insamlade för samtliga ändamål som anges i första stycket, om inte annat angetts vid insamlingen.

I bestämmelsens första stycke, som ersätter 9 § första stycket c) och 10 § personuppgiftslagen, anges för vilka ändamål personuppgifter får behandlas i verksamhet som anges i 1 § första stycket. Bestämmelsen har motiverats utförligt i avsnitt 6.5 där det också närmare utvecklats vad som avses med varje angivet ändamål.

Lagen innehåller inga särskilda bestämmelser om vilka uppgifter som får behandlas för ett visst ändamål. De angivna ändamålen utgör ramen för vilka uppgifter som får behandlas. Av 19 § framgår att regeringen, eller i vissa fall den myndighet regeringen bestämmer, får meddela föreskrifter som begränsar såväl ändamålen som de uppgifter som får behandlas för ett visst ändamål. Enligt lagen gäller dock att behandlingen alltid måste vara nödvändig för det eller de ändamål som behandlingen utförs för. Det sagda innebär att varje insamling och varje efterkommande behandling av en personuppgift måste vara nödvändig för det ändamål som just den behandlingen avser. I fråga om känsliga personuppgifter gäller särskilda begränsningar, se 6 §.

Av andra stycket framgår att personuppgifterna skall anses insamlade för samtliga ändamål, om inte annat anges vid insamlingen. En personuppgift som samlas in som informationsunderlag i ärendehandläggning kan därmed senare användas för ett annat i paragrafen angivet ändamål. Dock krävs, som påtalats i det föregående, att den senare behandlingen är nödvändig för det andra ändamålet. Uppgifterna kan också behandlas för annat ändamål än som anges i första stycket under förutsättning att detta ändamål är förenligt med det för vilket uppgifterna samlades in eller, om inte ändamålen inskränkts vid insamlingen, med i vart fall något av de i första stycket nämnda ändamålen. Detta följer av 9 § första stycket d) personuppgiftslagen som gäller även vid personuppgiftsbehandling enligt utlänningsdatalagen.

292

6 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om uppgifterna är oundgängligen nödvändiga för syftet med behandlingen.

Bestämmelsen har behandlats i avsnitt 6.6.

Personuppgiftslagen innehåller ett förbud mot behandling av känsliga personuppgifter om ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Paragrafen gör undantag från förbudet genom att tillåta behandling av känsliga personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen såsom verksamheten definieras i 1 § första stycket. Känsliga personuppgifter får behandlas för alla de ändamål som anges i 5 § första stycket. Dock krävs att uppgifterna är oundgängligen nödvändiga för syftet med behandlingen. Vad som avses med detta krav har preciserats i avsnitt 6.6.

7 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.

Enligt dataskyddsdirektivet kan enskilda i vissa fall motsätta sig behandling av personuppgifter som rör honom eller henne, om det inte görs undantag i nationell lagstiftning. Av paragrafen framgår att enligt lagen tillåten behandling får utföras även om den registrerade motsätter sig den.

8 § Migrationsverket får föra ett automatiserat register över fingeravtryck och fotografier (fingeravtrycksregister) som tas med stöd av 5 kap. 5 § utlänningslagen (1989:529). Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 3 kap. 2 eller 3 § utlänningslagen åberopas samt i ärenden om avvisning och utvisning. Närmare föreskrifter om registret meddelas av regeringen.

I paragrafen anges att Migrationsverket får behandla personuppgifter i ett automatiserat register över de fingeravtryck och fotografier som tas med stöd av 5 kap. 5 § utlänningslagen.

Bestämmelsen är inte nödvändig för att möjliggöra registerföringen, eftersom denna är tillåten redan enligt 1 § och 5 §. Såsom angetts i avsnitt 6.7 är bestämmelsen i stället en inskränkning i förhållande till 5 § första stycket 1 i det att ett mer inskränkt ändamål

293

för registret anges, nämligen att det får användas endast vid prövning av vissa ansökningar om uppehållstillstånd och i ärenden om avvisning eller utvisning.

Ytterligare bestämmelser om registret meddelas av regeringen. I utredningens förslag till en förordning som utfärdas i anslutning till lagen finns dessa bestämmelser i 10 och 11 §§.

Sökbegrepp

9 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 5 § första stycket 1-4. Vid behandling för ändamål som anges i 5 § första stycket 6 eller 7 får inga andra känsliga personuppgifter än sådana som avslöjar etniskt ursprung eller rör hälsa användas som sökbegrepp.

Personuppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får inte användas som sökbegrepp. Beslut om förvar enligt utlänningslagen (1989:529) får dock användas som sökbegrepp.

Paragrafen begränsar användningen av sökbegrepp vid behandling av personuppgifter som omfattas av utlänningsdatalagens bestämmelser. Bestämmelsen har behandlats i avsnitt 6.8.

Känsliga personuppgifter får användas som sökbegrepp vid behandling som utförs för ändamålet att ge rättslig och annan information som anges i 5 § första stycket 5. Uppgifter som avslöjar etniskt ursprung eller rör hälsa får vidare behandlas för ändamålen tillsyn, kontroll, uppföljning och planering, 5 § första stycket 6, eller framställning av statistik, 5 § första stycket 7. I övrigt får känsliga personuppgifter inte användas som sökbegrepp.

Inte heller får personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden användas som sökbegrepp. Uppgifter om beslut om förvar enligt utlänningslagen får dock användas som sökbegrepp.

Enligt 19 § får regeringen meddela föreskrifter om ytterligare begränsningar i fråga om sökbegrepp.

Sökbegränsningarna i bestämmelsen gäller naturligtvis inte vid sökning efter uppgifter i det dokument eller den handling med löpande text som för användaren är omedelbart tillgänglig via en dator.

294

Begränsningar i fråga om utlämnande av personuppgifter på medium för automatiserad behandling

10 § Personuppgifter får lämnas ut på medium för automatiserad behandling till en institution inrättad av Europeiska unionen eller en utländsk myndighet i en stat som ingår i Europeiska unionen eller som är ansluten till Europeiska ekonomiska samarbetsområdet endast om det är nödvändigt för ändamål som anges i 5 § första stycket 1, 2, 4 eller 5.

Personuppgifter får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.

Personuppgiftslagen innehåller inga bestämmelser som reglerar på vilket sätt personuppgifter får lämnas ut. I paragrafen finns emellertid vissa begränsningar i fråga om automatiserat utlämnande av personuppgifter. Begränsningarna har behandlats i avsnitt 6.9.

Enligt paragrafen får personuppgifter lämnas ut automatiserat till en EU-institution eller en myndighet inom EU eller EES endast om det sker för vissa ändamål, nämligen ärendehandläggning, utlänningskontroll enligt 5 kap. utlänningslagen, uppgiftsutlämnande och informationsåtersökning såsom dessa ändamål närmare definieras i 5 § första stycket 1, 2, 4 och 5.

Någon motsvarande begränsning gäller inte för automatiserat utlämnande av personuppgifter till en svensk myndighet. Är övriga förutsättningar för uppgiftsutlämnande uppfyllda, kan utlämnandet ske på det sätt som den utlämnande myndigheten finner lämpligt.

Enligt bestämmelsen i andra stycket är det möjligt att automatiserat lämna ut personuppgifter till enskild endast om regeringen har föreskrivit detta.

Direktåtkomst m.m.

11 § För ändamål som anges i 5 § första stycket 1 får Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål. Rikspolisstyrelsens och polismyndigheternas direktåtkomst gäller även för ändamål som anges i 5 § första stycket 2.

Direktåtkomsten får inte avse andra uppgifter än sådana som är oundgängligen nödvändiga för att arbetsuppgifter som ankommer på myndigheten skall kunna utföras.

295

I 11 och 12 §§ regleras uttömmande i vilken utsträckning annan myndighet får ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket. Bestämmelserna har behandlats i avsnitt 6.10, där det också redovisas vad som avses med direktåtkomst.

I 11 § första stycket regleras dels till vilka myndigheter Migrationsverket får lämna ut personuppgifter genom direktåtkomst, dels för vilka ändamål detta får ske. Samtliga myndigheter får ges direktåtkomst för ändamålet handläggning av ärenden enligt utlännings- och medborgarskapslagstiftningen eller biträde vid sådan handläggning. Rikspolisstyrelsens och polismyndigheterna får också ges direktåtkomst till personuppgifter som polisen behöver för ändamålet utlänningskontroll enligt 5 kap. utlänningslagen. Direktåtkomst får enbart avse personuppgifter som Migrationsverket behandlar för ändamålet handläggning av ärende m.m. enligt 5 § första stycket 1.

I andra stycket görs den begränsningen att direktåtkomsten inte får avse andra uppgifter än sådana som är oundgängligen nödvändiga för att arbetsuppgifter som ankommer på myndigheten skall kunna utföras. Dessa arbetsuppgifter skall omfattas av de angivna ändamålen och avse verksamhet enligt utlännings- och medborgarskapslagstiftningen såsom denna närmare preciserats i 1 § första stycket.

Regeringen får enligt 19 § meddela föreskrifter som begränsar eller preciserar omfattningen av den tillåtna direktåtkomsten.

12 § För ändamål som anges i 5 § första stycket 5 får Utlänningsnämnden och utlandsmyndigheterna ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål.

Bestämmelsen har behandlats i avsnitt 6.10. Se även kommentaren till 11 §.

Enligt paragrafen får Migrationsverket till Utlänningsnämnden och utlandsmyndigheter genom direktåtkomst lämna ut personuppgifter som Migrationsverket behandlar för ändamålet återsökning av avgöranden, rättsutredningar, annan rättslig information samt av information rörande förhållanden i andra länder som är ägnad att ge vägledning åt handläggning av ärenden i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

296

13 § Behörighet för åtkomst till personuppgifter som behandlas automatiserat får endast ges till de personer som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter.

Bestämmelsen har behandlats i avsnitt 6.10.

I denna paragraf regleras i vad mån befattningshavare inom en myndighet får ges åtkomst dels till personuppgifter som behandlas av den egna myndigheten, dels till personuppgifter som annan myndighet, dvs. Migrationsverket, behandlar men till vilka den egna myndigheten har direktåtkomst. En befattningshavares åtkomst skall alltid vara begränsad till vad denne behöver för att kunna utföra sina arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det är den personuppgiftsansvariga myndigheten som tilldelar behörighet.

Sekretess

14 § I sekretesslagen (1980:100) finns begränsningar i fråga om utlämnande av personuppgifter som behandlas i verksamhet som anges i 1 § första stycket.

Frågor om sekretess har behandlats i avsnitt 7.

I paragrafen erinras om de sekretessbestämmelser som kan gälla för utlämnande av personuppgifter som behandlas enligt lagen.

Överföring av personuppgifter till tredje land

15 § Personuppgifter får föras över till en stat som inte ingår i Europeiska unionen och heller inte är ansluten till Europeiska ekonomiska samarbetsområdet (tredje land), om den registrerade samtycker till det eller om det är oundgängligen nödvändigt för ändamål som anges i 5 § första stycket 1, 2, 4 eller 5.

I paragrafen görs undantag från personuppgiftslagens grundläggande förbud mot överföring av personuppgifter till tredje land. Be- stämmelsen har behandlats i avsnitt 6.13 och ersätter regleringen i 34 § första stycket personuppgiftslagen om sådan överföring.

Enligt bestämmelsen får personuppgifter som behandlas med stöd av utlänningsdatalagen överföras till tredje land, om den registrerade samtycker till det eller om det är oundgängligen nödvändigt för den överförande myndighetens handläggning eller biträde

297

vid handläggning av ärenden, utlänningskontroll enligt 5 kap. utlänningslagen, uppgiftsutlämnande som avses i 5 § första stycket 4 eller informationsåtersökning som avses i 5 § första stycket 5.

Någon begränsning i fråga om på vilket sätt uppgifterna får överföras är inte föreskriven. Är förutsättningarna för överföring uppfyllda, kan den således ske elektroniskt likväl som på pappersutskrift.

Regeringen, eller i vissa fall den myndighet regeringen bestämmer, får enligt 19 § meddela föreskrifter som innebär begränsningar i förhållande till 15 §.

Avskiljande

16 § Personuppgifter som behandlas automatiserat för ändamål som anges i 5 § första stycket 1-3 skall avskiljas från register, ärendehanteringssystem eller andra automatiserat behandlade uppgiftssamlingar, som används i löpande verksamhet, då uppgifterna inte längre är nödvändiga för denna verksamhet.

Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i oundgängligt behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Regeringen, eller den myndighet regeringen bestämmer, meddelar närmare föreskrifter om avskiljande av personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Bestämmelsen har behandlats i avsnitt 6.15.3.2.

Enligt paragrafens första stycke åläggs personuppgiftsansvarig myndighet en skyldighet att plocka bort, avskilja, personuppgifter från automatiserade uppgiftssamlingar som används i löpande verksamhet – som gäller ärendehandläggning, utlänningskontroll enligt 5 kap. utlänningslagen samt mottagnings- och bosättningsverksamhet – då uppgifterna inte längre behövs för denna löpande verksamhet. På vilket sätt detta skall ske kan personuppgiftsansvariga myndigheter själva avgöra, dock att åtgärden inte får innebära att uppgifterna gallras i strid mot arkivlagens (1990:782) bestämmelser eller föreskrifter som har meddelat med stöd av den lagen.

Åtkomst till de avskilda uppgifterna skall vara starkt begränsad i enlighet med vad som anges i andra stycket. Av att uppgifterna är avskilda på grund av sin inaktualitet följer att avskilda personuppgifter inte får omfattas av sådan direktåtkomst som avses i 11 §.

298

I tredje stycket ges regeringen rätt att bemyndiga annan myndighet, i praktiken Migrationsverket, att meddela föreskrifter om avskiljande såvitt avser personuppgifter som behandlas av annan myndighet men för vars behandling verket är personuppgiftsansvarig.

Rättelse och skadestånd

17 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller författningar som har meddelats i anslutning till denna lag.

Bestämmelsen har behandlats i avsnitt 6.16.

Personuppgiftslagens bestämmelse om rättelse och skadestånd gäller enbart vid överträdelser av den lagen. Genom 17 § görs bestämmelserna tillämpliga även då uppgifter behandlas i strid mot utlänningsdatalagen.

Överklagande

18 § En myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Bestämmelsen har behandlats i avsnitt 6.17.

Ytterligare föreskrifter

19 § Regeringen meddelar föreskrifter som innebär begränsningar, utöver vad som följer av denna lag, av de ändamål för vilka personuppgifter får behandlas, av vilka slags personuppgifter som får behandlas, av de sökbegrepp som får användas, av vilken direktåtkomst som får förekomma och av i vilken utsträckning personuppgifter får överföras till tredje land.

Regeringen får överlåta åt annan myndighet att för behandling av personuppgifter som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar meddela föreskrifter om sådana begränsningar som avses i första stycket och som gäller ändamål, personuppgiftsslag eller överföring till tredje land.

299

Bestämmelsen har behandlats i avsnitt 6.18. Se också kommentarerna till 5, 9, 11 och 15 §§.

Av denna paragraf och av 20 § framgår i vilka fall regeringen – eller i vissa fall den myndighet regeringen bestämmer – får meddela föreskrifter utöver vad som angetts i respektive paragraf i lagen.

20 § Regeringen meddelar närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas.

Regeringen får överlåta åt annan myndighet att meddela sådana föreskrifter för behandling av personuppgifter som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Bestämmelsen har behandlats i avsnitt 6.18.

I paragrafen anges att regeringen, eller i vissa fall den myndighet regeringen bestämmer, meddelar närmare föreskrifter om avskiljande och skyddsåtgärder.

_______________

1.Denna lag träder i kraft den .…

2.Med undantag för bestämmelsen i 15 § skall lagens bestämmelser inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst bestämt ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

3.Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas äldre bestämmelser.

Frågor om ikraftträdande och övergångsbestämmelser har behandlats i avsnitt 8.1.

300

9.2Förslaget till lag om ändring i sekretesslagen (1980:100)

7 kap 14 § Sekretess gäller för uppgift som rör utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller annat allvarligt men som föranleds av förhållandet mellan utlänningen och utländsk stat eller myndighet eller organisation av utlänningar.

Utöver vad som följer av första stycket gäller sekretess i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. I verksamhet för kontroll över utlänningar gäller sekretess också för anmälan eller annan utsaga av enskild, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon närstående till honom eller henne utsätts för våld eller annat allvarligt men om uppgiften röjs Beträffande beslut i ärende som avses i detta stycke gäller sekretessen dock endast för uppgifter i skälen.

Utöver vad som följer av första stycket gäller sekretess hos Integrationsverket

1.i ärende om statlig ersättning för kostnader för mottagande av flyktingar och andra skyddsbehövande som beviljats uppehållstillstånd och av personer som beviljats uppehållstillstånd på grund av anknytning till sådana utlänningar och

2.i verksamhet som avser medverkan till bosättning för personer som omfattas av 1,

för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.

Utöver vad som följer av första stycket gäller sekretess hos Totalförsvarets pliktverk och Migrationsverket i verksamhet som avser mottagande och vidarebefordran av upplysningar m.m. om krigsfångar och andra skyddade personer som avses i Genèvekonventionerna den

12augusti 1949 rörande skydd för offren i internationella väpnade konflikter och tilläggsprotokollen till konventionerna, för uppgift om enskilds vistelseort, hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men.

Sekretess gäller för uppgifter som avses i första och andra styckena och som en myndighet fått enligt rådets förordning (EG) nr 343/2003 av

301

den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredje land har gett in i någon medlemsstat. Föreskrifterna i 14 kap. 1-3 §§ får i fråga om denna sekretess inte tillämpas i strid med förordningen.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.

Utan hinder av sekretess enligt första eller fjärde stycket eller enligt 2 kap. 1 eller 2 § får uppgifter som avses i fjärde stycket lämnas till den nationella upplysningsbyrån enligt vad som föreskrivs i 8 kap. 13 § lagen (1994:1720) om civilt försvar och förordningen (1996:1475) om skyldighet att lämna uppgifter m.m. om krigsfångar och andra skyddade personer.

Utan hinder av sekretess enligt andra stycket får Migrationsverket lämna uppgift om enskilds namn, födelsedatum och adress till Svenska röda korset i angelägenhet som gäller sådan verksamhet för återförening av splittrade familjer som avses i artikel 74 i tilläggsprotokoll I till Ge- nèvekonventionerna den 12 augusti 1949 rörande skydd för offren i internationella väpnade konflikter eller som gäller efterforskning i fredstid av personer som har förlorat kontakten med närstående på grund av krig, väpnad konflikt eller naturkatastrof.

-----

Denna lag träder i kraft den…

Äldre bestämmelse gäller fortfarande i fråga om uppgifter som avses i paragrafens första och andra stycke och som en myndighet fått enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

Frågor om sekretess har behandlats i avsnitt 7.

I paragrafen har ett stycke ändrats samt ett nytt stycke införts. Bestämmelsen i fjärde stycket är en anpassning till den nya EG-

förordning som ersatt Dublinkonventionen. Anpassningen har skett genom att bestämmelsen uttryckligen hänvisar till EG- förordningen. Enligt bestämmelsen gäller absolut sekretess för uppgifter som en svensk myndighet tar emot från utländsk myndighet på grund av EG-förordningens föreskrift om informationsutbyte. Härigenom säkerställs att uppgifter som Sverige tagit emot enligt artikel 21 i förordningen endast lämnas vidare till de myndigheter och domstolar som har till uppgift att a) avgöra vilken

302

medlemsstat som har ansvaret för att pröva asylansökan, b) pröva asylansökan eller c) uppfylla alla skyldigheter enligt EG- förordningen (artikel 21.7 i förordningen), dvs. för Sveriges del Regeringen, Migrationsverket och Utlänningsnämnden. Utlämnande av mottagna personuppgifter torde inte kunna ske annat än mellan de nämnda myndigheterna. Genom en övergångsbestämmelse gäller bestämmelsen i dess äldre lydelse för uppgifter som tas emot enligt Dublinkonventionen.

Åttonde stycket är nytt. Bestämmelsen utgör en sekretessbrytande regel som innebär att sekretess enligt andra stycket inte hindrar att Migrationsverket lämnar ut uppgift om enskilds namn, födelsedatum och adress till Svenska röda korset. Regeln är endast tillämplig vid utlämnande som syftar till att ge Svenska röda korset information i föreningens verksamhet med familjeåterförening och efterforskning av försvunna anhöriga; en verksamhet som har sin grund i Genèvekonventionerna med tilläggsprotokoll samt omfattas av ett avtal med staten om statligt ekonomiskt stöd.

9.3Förslaget till lag om ändring i utlänningslagen (1989:529)

11 kap 6 a § Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna skall till varandra lämna uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt denna lag.

Första stycket gäller även utlandsmyndighet som efter bemyndigande av Migrationsverket handlägger ärenden om viseringar, uppehållstillstånd och arbetstillstånd.

Paragrafen, som är ny, har behandlats i avsnitt 7.4.3.

Bestämmelsen syftar till att möjliggöra sådant nödvändigt utbyte av sekretessbelagda uppgifter mellan de myndigheter som samarbetar i verksamhet för kontroll över utlänningar enligt utlänningslagen. Genom bestämmelsen om uppgiftsskyldighet följer av 14 kap. 1 § sekretesslagen att uppgifter som omfattas av utlänningssekretess utan hinder av sekretessen kan utbytas mellan de nämnda myndigheterna. Det krävs dock att uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt utlänningslagen. Det är den utlämnande myndigheten som har att pröva i vad mån

303

uppgiften är nödvändig för den mottagande myndighetens verksamhet.

Av paragrafens andra stycke framgår att bestämmelsen även gäller för utlandsmyndighet som efter bemyndigande av Migrationsverket handlägger utlänningsärenden.

9.4Förslaget till lag om ändring i lagen (2001:82) om svenskt medborgarskap

29 § Migrationsverket och Utlänningsnämnden skall till varandra lämna uppgifter som rör utlännings eller enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt denna lag.

Första stycket gäller även utlandsmyndighet som utreder ärenden om svenskt medborgarskap.

Paragrafen, som är ny, har behandlats i avsnitt 7.4.3.

Bestämmelsen innehåller en sekretessbrytande uppgiftsskyldighet mellan de myndigheter som handlägger ärenden om svenskt medborgarskap. Bestämmelsen omfattar även de utlandsmyndigheter som enligt 7 § medborgarskapsförordningen (2001:218) gör den utredning som behövs för ärendets prövning.

Se vidare kommentaren till 11 kap. 6 a § i förslaget till lag om ändring i utlänningslagen (avsnitt 9.3).

304

BILAGOR

Bilaga 1

Kommittédirektiv

Beslut vid regeringssammanträde den 20 december 2001.

Sammanfattning av uppdraget

En särskild utredare skall kartlägga behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredaren skall utifrån ett helhetsperspektiv granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen skall vara väl anpassad till personuppgiftslagen (1998:204). Utredaren skall särskilt beakta behovet av en rättslig reglering som inte är beroende av att vissa tekniska lösningar används och som ger myndigheterna möjlighet att hantera information på ett bra sätt. Samtidigt skall utredaren väga in rättssäkerhetsaspekter, främst enskildas behov av skydd för sin personliga integritet.

Gällande bestämmelser

Internationella regler om dataskydd

Den 24 oktober 1995 beslutade Europaparlamentet och rådet om direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 3 1995L0046), det s.k. dataskyddsdirektivet. Internationella riktlinjer för automatisk databehandling av personuppgifter finns bl.a. även i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, antagen den 28 januari 1981 (CE-ETS-108/81).

307

Datalagen och personuppgiftslagen

När personuppgiftslagen (1998:204) trädde i kraft i oktober 1998 ersatte den datalagen (1973:289). Genom övergångsbestämmelserna till personuppgiftslagen gavs ytterligare tid för att anpassa den då gällande lagstiftningen på olika rättsområden. Enligt övergångsbestämmelserna skulle datalagen fortsätta att tillämpas till och med den 30 september 2001 i fråga om bl.a. sådan behandling av personuppgifter som påbörjats före den 24 oktober 1998. Från den 1 oktober 2001 tillämpas således personuppgiftslagen fullt ut på all automatiserad behandling av personuppgifter om inte annat framgår av författning.

Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen. Lagens bestämmelser innehåller därför motsvarande bestämmelser och följer samma struktur som finns i direktivet. Syftet med dataskyddsdirektivet och personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Innehållet i personuppgiftslagen bygger på att själva hanteringen av personuppgifter regleras. Regleringsmodellen innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är förbjuden. Enligt 2 § i lagen gäller särreglering i annan författning före personuppgiftslagen. En förutsättning är dock att författningen är förenlig med dataskyddsdirektivet på de områden där det direktivet är tillämpligt. Personuppgiftslagen gäller för all behandling av personuppgifter som är helt eller delvis automatiserad (5 § första stycket). Lagen gäller också för manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 § andra stycket). I övrigt innehåller personuppgiftslagen bl.a. definitioner av centrala begrepp, förutsättningar för behandling av personuppgifter, bestämmelser om information, rättelse, skadestånd och säkerhet vid behandlingen.

I lagens 13 § finns ett principiellt förbud mot att behandla känsliga personuppgifter. Det finns dock möjlighet att göra undantag från förbudet, t.ex. får känsliga uppgifter behandlas om den registrerade har lämnat ett uttryckligt samtycke till behandlingen eller om behandlingen är nödvändig på grund av vissa särskilt angivna förhållanden. Vidare får det föreskrivas generella föreskrifter

308

om undantag, om det behövs med hänsyn till ett viktigt allmänt intresse (20 §).

Utlännings- och medborgarskapslagstiftningen

De myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen är främst Migrationsverket och Utlänningsnämnden. Även Integrationsverket, Rikspolisstyrelsen, polismyndigheterna och utlandsmyndigheterna bedriver sådan verksamhet. Samtliga dessa myndigheters behandling av personuppgifter påbörjades före den 24 oktober 1998. Det innebär att före den 1 oktober 2001 krävdes Datainspektionens tillstånd för behandlingen. Sedan den 1 oktober 2001 gäller dock personuppgiftslagens bestämmelser för all automatiserad behandling av personuppgifter.

Utöver personuppgiftslagens allmänt gällande bestämmelser om behandling av personuppgifter finns specifika regler för utlännings- och medborgarskapsområdet i en särskild förordning som trädde i kraft den 1 oktober 2001, förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Förutom bestämmelser om tillämpningsområde och personuppgiftsansvar, finns det i den nämnda förordningen en närmare reglering av automatiserad behandling av personuppgifter i verksamhetsregister, rättsfallsregister, fingeravtrycksregister och landinformationsregister. Under dessa huvudkategorier finns närmare regler om de ändamål för vilka uppgifterna får behandlas i registren, vad registren får innehålla, under vilka förutsättningar känsliga personuppgifter får behandlas, myndigheters direktåtkomst till register och användningen av sökbegrepp.

Utredningsbehovet

Enligt 1 kap. 2 § tredje stycket regeringsformen (RF) skall det allmänna värna den enskildes privatliv och familjeliv. Vidare skall enligt 2 kap. 3 § RF varje medborgare, i den utsträckning som närmare anges i lag, skyddas mot att den personliga integriteten kränks genom registrering av uppgifter med hjälp av automatisk databehandling. Utlänningar som är i Sverige har i detta hänseende samma skydd som svenska medborgare (2 kap. 22 § första stycket 2

309

RF). Detta skydd för den personliga integriteten kommer främst till uttryck i personuppgiftslagen.

Bestämmelser om rätten till respekt för privat- och familjelivet finns vidare i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (artikel 8). Europakonventionen gäller sedan den 1 januari 1995 som lag i Sverige.

Riksdagen har i skilda sammanhang påpekat att myndighetsregister som innehåller ett stort antal registrerade personer och som har ett särskilt känsligt innehåll skall regleras i lag (se bet. 1990/91:KU11 s. 11, jfr prop. 1997/98:44 s. 41). Myndigheter som Migrationsverket och Utlänningsnämnden har en verksamhet som i sig innebär att de ofta hanterar stora mängder av känsliga uppgifter. Regeringens uppfattning är, mot denna bakgrund, att mer specifika bestämmelser om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall regleras särskilt i lag. Sedan den 1 oktober 2001 gäller förordningen om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Förordningen är dock avsedd att få en begränsad giltighet i avvaktan på att frågan om en lagreglering bereds vidare.

I en skrivelse till regeringen den 22 juni 2000 begärde Statens invandrarverk (numera Migrationsverket) och Utlänningsnämnden bl.a. att en utredning skulle tillsättas för att utreda behovet av en författningsreglering av en central databas för registrering av uppgifter om utlänningars rätt att vistas i Sverige. Den centrala databasen hos Migrationsverket, STAMM (System för Tillstånd, Asyl, Mottagning och Medborgarskap), innehåller uppgifter om utlänningar och flera myndigheter planeras få tillgång till STAMM.

Datainspektionen har vidare överlämnat ett beslut till regeringen från den 23 november 2000 (diarienummer 124-2000). Beslutet gällde ändring av Migrationsverkets tillstånd för STAMM. I beslutet skriver Datainspektionen att STAMM innehåller delvis mycket känsliga uppgifter och att personuppgiftslagen i princip innebär förbud mot behandling av känsliga uppgifter. Datainspektionen anser i beslutet att överväganden om författningsstöd behövs för den behandling av känsliga uppgifter som sker i STAMM.

310

Utredningsuppdraget

Lagrådet har i sitt yttrande i propositionen Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33) kritiserat användandet av en mer självbärande författningsteknik i förhållande till personuppgiftslagen. Enligt regeringens mening bör särlagstiftning i förhållande till personuppgiftslagen begränsas till att avse frågor som är specifika för de verksamheter som omfattas av lagstiftningen, i detta fall utlännings- och medborgarskapslagstiftningen. Det kan handla om situationer då personuppgiftslagens mer allmänt hållna bestämmelser ger upphov till tolkningsproblem i förhållande till annan lagstiftning. Det kan också vara fråga om att det finns anledning att vara särskilt tydlig med att ange de undantag och preciseringar som är motiverade, exempelvis i fråga om behandlingen av känsliga personuppgifter.

Utgångspunkten för utredarens uppdrag bör vara att kartlägga den nuvarande behandlingen och de framtida nödvändiga behoven av att behandla personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Även frågor om bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål bör uppmärksammas.

Utredaren bör anlägga ett helhetsperspektiv och inrikta sig på att den framtida regleringen av behandlingen av personuppgifter i verksamheter inom utlännings- och medborgarskapslagstiftningen skall passa väl in i personuppgiftslagens regelsystem. Ett mål för utredningsuppdraget är att skapa enkla, tydliga och moderna regler som inte är beroende av att vissa tekniska lösningar används och som uppfyller de krav i dataskyddshänseende som ställs i nationell och internationell rätt. Utredaren skall undvika att föreslagna författningsändringar, satta i relation till gällande rätt, leder till överlappande lagstiftning och att flera olika regler är tillämpliga beträffande samma behandling av personuppgifter i en myndighets verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Samtidigt bör den rättsliga analysen utgå från att myndigheterna skall kunna arbeta minst lika effektivt som idag. Det skall också finnas utrymme för flexibilitet inför framtiden. Verksamhet av det slag som Migrationsverket bedriver är till sin karaktär sådan att det är en förutsättning för ett rationellt arbetssätt att även större mängder känsliga personuppgifter kan hanteras smidigt.

Behandlingen av personuppgifter inom rättsområdet är vidare till betydande del av internationell karaktär. Överförande av uppgifter

311

till andra EU-länder eller till tredje land är vanligt förekommande inom ramen för olika former av samarbete, såsom utbyte av information inom ramen för Sveriges medlemskap i Schengensamarbetet och i det konsulära samarbetet i viseringsfrågor. Det är således betydelsefullt att regelverket ger möjligheter att utveckla datasystem som underlättar utbytet av information såväl mellan olika myndigheter, nationellt och internationellt, som mellan enskilda och myndigheterna.

Myndigheternas behandling av personuppgifter handlar inte enbart om att föra datoriserade register utan kan även avse t.ex. behandling av personuppgifter i en dator som sker uteslutande med hjälp av ord- och textbehandlingsprogram. Det är vidare viktigt att myndigheterna kan ge stöd för handläggningen av ärenden genom att de kan ha system för bakgrundsinformation, t.ex. landinformationssystem.

Andra arbetsområden där det kan förekomma personuppgifter är interninformation till anställda eller publicering av avidentifierade avgöranden på internet. En del av myndigheternas behandling av personuppgifter finns också inom området för intern administration, t.ex. ekonomi- och personaladministration. Även i den här typen av behandling kan det finnas känsliga personuppgifter, t.ex. om ledamöters politiska åskådning eller tolkars etnicitet.

Sedan ett par år pågår, med Migrationsverket som processansvarig myndighet, det s.k. WILMA-projektet om IT-stöd för ärendehanteringen av ansökningar om visering samt uppehålls- och arbetstillstånd som lämnas in vid svenska utlandsmyndigheter. Målet är att ansökningar om exempelvis uppehållstillstånd skall kunna registreras i systemet av utlandsmyndigheter i samband med att ansökningen görs och att vissa angivna myndigheter skall ha direktåtkomst till uppgifterna elektroniskt. En utgångspunkt för utredningen bör vara att det är viktigt att utbytet av information mellan t.ex. ambassader och Migrationsverket kan fungera smidigt och i enlighet med de lösningar som tas fram i projekt av det nu angivna slaget.

När det gäller Utlänningsnämnden har den s.k. NIPU-kom- mittén i betänkandet “Ökad rättssäkerhet i asylärenden” (SOU 1999:16) föreslagit att de ärenden som idag prövas av nämnden i framtiden skall prövas av allmänna förvaltningsdomstolar. En interdepartemental arbetsgrupp har vidare i promemorian “En specialdomstol för utlänningsärenden” (Ds 2000:45) utrett hur en specialdomstol skulle kunna fungera som överinstans.

312

Regeringens avsikt är att i enlighet med Socialförsäkringsutskottets tillkännagivande i betänkandet över budgetpropositionen (bet. 2001/02:SfU2) under år 2002 kunna presentera ett förslag till ny instans- och processordning i utlännings- och medborgarskapsärenden. Utredaren skall följa reformarbetet och se till att eventuella förslag till författningsändringar eller andra åtgärder är anpassade till den framtida nya instans- och processordningen.

Regeringen beslutade den 29 november 2000 (UD 2000:05, dir. 2000:82) att tillkalla en särskild utredare med uppgift att bl.a. överväga sekretess hos utlandsmyndigheterna, författningsreglering av en central databas hos Migrationsverket samt behandlingen av utlänningar i förvar. Utredaren skall redovisa sitt uppdrag senast den 31 december 2001 (UD 2000:05). Med anledning av de nya direktiv som nu beslutas anser regeringen att det är naturligt att till den nya utredningen föra frågorna om författningsreglering och eventuella andra åtgärder för en modifierad central databas hos Migrationsverket, frågor som således tidigare ingått i uppdraget till Utredningen om sekretess hos utlandsmyndigheterna m.m. Regeringen har därför denna dag även beslutat om att genom tilläggsdirektiv begränsa den sistnämnda utredningens uppdrag i enlighet med detta.

Det är naturligt att sekretessfrågor kommer upp i sammanhang som rör överföring av känsliga uppgifter mellan olika myndigheter oavsett om behandlingen av uppgifterna i sin helhet sker i Sverige eller i vissa delar vid svenska utlandsmyndigheter. Den grundläggande bestämmelsen om utlänningssekretess finns i 7 kap. 14 § sekretesslagen (1980:100). I det helhetsperspektiv som utredaren skall anlägga ingår även att beakta vad Utredningen om sekretess hos utlandsmyndigheterna m.m. kommer fram till i frågor om sekretess och överföring av uppgifter och vid behov föreslå kompletterande författningsändringar eller andra åtgärder.

Uppdraget skall redovisas senast den 31 december 2002.

(Utrikesdepartementet)

313

Bilaga 2

2001-11-05

Utrikesdepartementet

Att: Dep råd Peter Springfeldt Enheten för migrations och asylpolitik

103 39 STOCKHOLM

Frågor gällande personuppgiftslagen, PUL

Käre Peter Springfeldt,

För att efterforska anhöriga i Sverige på uppdrag av andra rödakorsföreningar i världen samt av ICRC krävs många gånger att Svenska Röda Korset får tillgång till utdrag från Migrationsverkets adressregister. Migrationsverket har sedan införandet av personuppgiftslagen endast rätt att lämna ut dessa uppgifter till annan myndighet, ej till organisationer såsom Svenska Röda Korset. Detta gör Röda Korsets verksamhet svår att utföra både i freds- och i en förhoppningsvis aldrig uppkommande krigssituation.

Att handlägga enskilda ärenden innebär att Svenska Röda Korset kommer i kontakt med personuppgifter och ibland känsliga uppgifter gällande de som söker Röda Korsets assistans. För att registrera uppgifter krävs samtycke enligt personuppgiftslagen. Det finns också en skyldighet att informera om registreringen.

Då regeringen, genom avtal som baseras på de konventioner Sverige undertecknat, givit Svenska Röda Korset förtroendet att arbeta med frågor gällande efterforskning och familjeåterförening bör denna fråga även vara av intresse för utrikesdepartementet att lösa på bästa sätt. Vi anhåller därför om att Svenska Röda Korset

315

undantas från gällande bestämmelser i just denna sekretessfråga och därmed få rätten att få ut viss sekretessbelagd information när det gäller efterforsknings- och familjeåterföreningsärenden, främst gällande adressuppgifter och födelsedata. Vi skulle uppskatta att snarast möjligt få till stånd en dialog med Er i denna fråga samt om hur vi ska hantera frågan om känsliga uppgifter och samtycke.

Det finns ännu en gemensam fråga att diskutera som gäller den ansökan om extra medel som Svenska Röda Korset inlämnade till UD 2001-06-13. Vi har ännu inte erhållit något svar från Er gällande detta.

Jag skulle uppskatta om Ni hör av Er till mig eller till Lena Aronsson, samordnare Efterforskning och Familjeåterförening, och föreslår en tid för ett sammanträffande.

Med vänlig hälsning

SVENSKA RÖDA KORSET

Huvudkontoret

Folkrätt & Flykting

Brita Sydhoff

Chef Folkrätt & Flykting

316